Trung Quốc cho biết dỡ bỏ các biện pháp trừng phạt với Viasat, sự đảo ngược quyết định hiếm thấy sau khi nhắm mục tiêu vào công ty truyền thông Mỹ này vì đề xuất bán vũ khí cho Đài Loan.
Người phát ngôn Bộ Ngoại giao Trung Quốc - Mao Ninh đã công bố động thái liên quan đến Viasat trong cuộc họp báo thường kỳ ở thủ đô Bắc Kinh hôm 22.7. Bà cho biết tình hình đã thay đổi kể từ khi các biện pháp được đưa ra mà không nêu rõ chi tiết.
Trung Quốc đã trừng phạt Viasat và 4 công ty quốc phòng Mỹ vào tháng 1. Các biện pháp Trung Quốc áp đặt gồm đóng băng tài sản của 5 công ty này ở quốc gia châu Á này và cấm các tổ chức, cá nhân ở Trung Quốc thực hiện giao dịch và hợp tác với họ.
Các biện pháp trừng phạt được đưa ra ngay sau khi Bộ Ngoại giao Mỹ phê duyệt bán vũ khí ước tính trị giá 300 triệu USD cho Đài Loan.
Viasat điều hành một số công ty con phụ trách các hoạt động kinh doanh liên quan đến Trung Quốc, gồm cả chi nhánh địa phương của Inmarsat, nhà cung cấp dịch vụ vệ tinh Anh mà công ty Mỹ mua lại vào năm 2023.
Inmarsat trở nên nổi tiếng cách đây một thập kỷ khi sử dụng dữ liệu vệ tinh để tính toán lộ trình khả thi của chuyến bay MH370 thuộc Malaysia Airlines sau khi nó mất tích.
Trước thỏa thuận với Viasat, Inmarsat coi Đài truyền hình Trung ương Trung Quốc (CCTV), vốn đang đầu tư mạnh vào truyền tải video toàn cầu, là một trong những khách hàng lớn nhất của họ tại nước này.
Vào năm 2019, Viasat cho biết trên trang web của mình rằng đã hợp tác với China Satellite Communications Co để cung cấp Wi-Fi trên máy bay cho các hãng hàng không ở nền kinh tế số 2 thế giới.
China Satellite Communications Co là công ty trách nhiệm hữu hạn nhà nước thuộc sở hữu hoàn toàn của Tập đoàn Khoa học và Công nghệ Hàng không Vũ trụ Trung Quốc (CASC). Đây là nhà cung cấp dịch vụ vệ tinh hàng đầu tại Trung Quốc.
Đến năm 2022, Viasat công bố đã đạt được thỏa thuận cung cấp thiết bị cho hãng hàng không Sichuan Airlines.
Cuối tháng 2.2022, một cuộc tấn công mạng quy mô lớn đã khiến hàng vạn modem vệ tinh Viasat ở Ukraine và châu Âu ngừng hoạt động. Quan chức Viasat (hãng cung cấp internet băng thông rộng và vệ tinh tốc độ cao) nói cuộc tấn công mạng được phát động gần như chính xác cùng thời điểm Nga đưa quân vào Ukraine, sử dụng "khối lượng lớn lưu lượng tập trung, độc hại" để cố gắng áp đảo mạng của họ.
Vụ tấn công được cho là do hacker Nga thực hiện nhằm gây gián đoạn khả năng liên lạc và truy cập internet của Ukraine trong bối cảnh nước này chịu ảnh hưởng bởi cuộc chiến.
Đầu tháng 3.2022, Viasat đã xác nhận một giả thuyết từ các nhà nghiên cứu bên thứ ba rằng AcidRain là nguyên nhân gây ra vụ tấn công mạng. AcidRain là wiper malware (phần mềm độc hại xóa sạch dữ) liên quan đến cuộc tấn công Ukraine của Nga.
Trong báo cáo được công bố cuối tháng 3.2022, các nhà nghiên cứu tại công ty SentinelOne (Mỹ) cho biết đã phát hiện ra AcidRain. Các nhà nghiên cứu nói AcidRain đã chia sẻ nhiều điểm tương đồng về kỹ thuật với các phần của VPNFilter, phần mềm độc hại đã lây nhiễm hơn 500.000 modem gia đình và văn phòng nhỏ ở Mỹ.
Nhiều cơ quan chính phủ Mỹ, gồm cả FBI (Cục Điều tra Liên bang Mỹ) và Cơ quan An ninh Quốc gia, đều xác nhận phần mềm độc hại với modem là tác nhân đe dọa.
Hai nhà nghiên cứu Juan Andres Guerrero-Saade và Max van Amerongen của SentinelOne cho rằng AcidRain đã được sử dụng trong cuộc tấn công mạng phá hoại hàng chục ngàn modem mà khách hàng của Viasat sử dụng.
AcidRain được thiết kế để tấn công tên file thiết bị và xóa sạch mọi file được tìm thấy, giúp dễ dàng triển khai lại ở các cuộc tấn công trong tương lai.
AcidRain lần đầu tiên được phát hiện vào ngày 15.3.2022 sau khi tải lên nền tảng phân tích phần mềm độc hại VirusTotal từ một địa chỉ IP ở Ý dưới dạng file nhị phân MIPS ELF 32-bit sử dụng tên ukrop.
Sau khi được triển khai, AcidRain sẽ đi qua toàn bộ hệ thống file của bộ định tuyến hoặc modem bị xâm phạm. Nó cũng xóa sạch bộ nhớ flash, thẻ SD/MMC và bất kỳ thiết bị khối ảo nào được tìm thấy, sử dụng tất cả số nhận dạng thiết bị có thể có.
Trong khi SentinelOne nói rằng không thể chắc chắn giả thuyết của họ là chính xác, đại diện Viasat nhanh chóng khẳng định điều này là đúng. Viasat cũng nói rằng phát hiện này phù hợp với bản báo cáo ngắn gọn mà công ty đã công bố hôm 30.3.2022.
Viasat viết: “Phân tích trong báo cáo SentinelLabs liên quan đến nhị phân ukrop phù hợp với các dữ kiện trong báo cáo của chúng tôi. Cụ thể, SentinelLabs xác định file thực thi phá hủy được chạy trên modem bằng lệnh quản lý hợp pháp như Viasat mô tả trước đây. Như đã lưu ý trong báo cáo của chúng tôi: Kẻ tấn công di chuyển ngang qua mạng quản lý đáng tin cậy này đến một phân đoạn mạng cụ thể được sử dụng để quản lý và vận hành mạng, sau đó sử dụng quyền truy cập mạng này để thực hiện các lệnh quản lý hợp pháp, có mục tiêu trên một số lượng lớn modem dân cư đồng thời".
Các nhà nghiên cứu viết: “Bất chấp những gì mà cuộc tấn công Ukraine đã dạy cho chúng tôi, wiper malware là tương đối hiếm. Hơn thế nữa, wiper malware nhắm vào bộ định tuyến, modem hoặc thiết bị IoT".
Báo cáo của Viasat hôm 30.3 cho biết những kẻ xâm nhập đã lợi dụng một thiết bị mạng riêng ảo (VPN) bị cấu hình sai để truy cập từ xa vào mạng quản lý vệ tinh KA-SAT của công ty, do Skylogic (công ty có trụ sở tại Ý) điều hành và phục vụ khách hàng trên khắp châu Âu. Sau đó, hacker mở rộng phạm vi tiếp cận sang các phân khúc khác cho phép chúng thực hiện đồng thời các lệnh quản lý hợp pháp, được nhắm mục tiêu trên một số lượng lớn modem dân dụng. Cụ thể hơn, các lệnh phá hoại này ghi đè dữ liệu quan trọng trong bộ nhớ flash trên modem, khiến modem không thể truy cập mạng và vĩnh viễn không sử dụng được".
Cũng trong ngày 31.3.2022, nhà nghiên cứu bảo mật độc lập Ruben Santamarta đã công bố một phân tích phát hiện ra các lỗ hổng có trong một số firmware chạy trên các thiết bị đầu cuối SATCOM bị gián đoạn sau cuộc tấn công. Một là thất bại trong việc xác thực mã hóa firmware mới trước khi cài đặt nó. Một loại khác là "lỗ hổng chèn nhiều lệnh có thể bị khai thác một cách vặt vãnh từ một ACS độc hại".
ACS dường như đề cập đến cơ chế được gọi là máy chủ cấu hình tự động được tìm thấy trong một giao thức được sử dụng bởi modem.
"Tôi không nói rằng những vấn đề này thực sự bị những kẻ tấn công lạm dụng, nhưng chắc chắn là nó trông không tốt lắm. Hy vọng rằng những lỗ hổng này không còn xuất hiện trong firmware Viasat mới nhất, nếu không đó sẽ là một vấn đề", Ruben Santamarta viết.
Rõ ràng vẫn còn rất nhiều bí ẩn xoay quanh việc vô hiệu hóa các modem Viasat. Song, việc xác nhận rằng AcidRain chịu trách nhiệm là bước đột phá quan trọng.
“Tôi rất vui vì Viasat đồng tình với những phát hiện của chúng tôi về AcidRain. Tôi hy vọng họ sẽ có thể chia sẻ nhiều hơn những phát hiện của họ. Còn rất nhiều điều cần tìm hiểu trong trường hợp này", Guerrero-Saade viết.
Đó là một trong những cuộc tấn công mạng quan trọng nhất trong thời chiến, thu hút sự quan tâm của tình báo phương Tây vì Viasat đóng vai trò là nhà thầu quốc phòng cho cả Mỹ và nhiều đồng minh.
Sau đó, Viasat đã thuê công ty an ninh mạng Mandiant (Mỹ) thuộc Google, chuyên theo dõi các hacker do nhà nước tài trợ, để điều tra vụ xâm nhập.