Lặng lẽ chiến dịch Cyber Guardian

Tên nhóm tấn công được nêu ra, nhưng gần như mọi chi tiết quan trọng khác đều bị giữ lại: mục tiêu cụ thể, kỹ thuật xâm nhập, mức độ thiệt hại và cách thức xử lý vụ việc. Lý do chỉ có một: tiết lộ thêm có thể gây hại cho an ninh quốc gia. Phải nhiều tháng sau, thế giới mới biết phía sau sự dè sẻn ấy là Chiến dịch Cyber Guardian. Đây là chiến dịch ứng phó sự cố mạng lớn nhất trong lịch sử Singapore, kéo dài hơn 11 tháng, với hơn 100 chuyên gia từ 6 cơ quan chính phủ.

Bộ trưởng Josephine Teo trao đổi với Giám đốc điều hành CSA David Koh (phải) tại khu vực kỹ thuật bên lề một cuộc gặp các lực lượng phòng thủ mạng.

11 tháng trong bóng tối

Câu chuyện bắt đầu trước thông báo công khai của Bộ trưởng Shanmugam nhiều tháng. Vào một thời điểm trong nửa đầu năm 2025 chưa được Singapore công bố, các kỹ sư bảo mật tại 4 nhà mạng lớn, gồm M1, SIMBA Telecom, Singtel và StarHub, phát hiện dấu hiệu bất thường trong hệ thống nội bộ. Họ báo cáo ngay lên Cơ quan An ninh mạng Singapore (CSA) và Cơ quan Phát triển thông tin và truyền thông (IMDA). Điều họ lần ra sau đó không phải là dấu vết của tin tặc thông thường, mà là hoạt động của một nhóm tấn công chuyên nghiệp như một cơ quan tình báo.

Nhóm tấn công được định danh là UNC3886, tên mã do công ty an ninh mạng Mandiant dùng để theo dõi một nhóm gián điệp mạng có năng lực cao. Singapore không chính thức cáo buộc bất kỳ quốc gia nào đứng sau vụ việc. Nhưng Mandiant và nhiều tổ chức nghiên cứu an ninh mạng phương Tây mô tả UNC3886 là nhóm gián điệp mạng có liên hệ với Trung Quốc. Bắc Kinh thường phủ nhận các cáo buộc gián điệp mạng và khẳng định phản đối mọi hình thức tấn công mạng.

Điều làm UNC3886 đặc biệt nguy hiểm không phải sức phá hoại tức thì, mà là sự kiên nhẫn và khả năng ẩn mình. Trong vụ Singapore, nhóm này sử dụng hai lớp công cụ. Lớp thứ nhất là lỗ hổng zero-day, tức kẽ hở chưa được biết tới trong phần mềm hoặc thiết bị, nên nhà sản xuất chưa kịp vá. UNC3886 lợi dụng chính kẽ hở đó để vượt qua lớp bảo vệ bên ngoài của mạng viễn thông. Đây là loại công cụ tấn công mạng hiếm, đắt giá, thường gắn với các chiến dịch có nguồn lực lớn hoặc được nhà nước hậu thuẫn.

Lớp thứ hai là rootkit, tức phần mềm ẩn sâu trong hệ thống máy tính, giúp che giấu dấu vết của kẻ tấn công và duy trì quyền truy cập trong thời gian dài mà không dễ bị phát hiện. “Điều này khiến việc phát hiện kẻ tấn công trở nên cực kỳ khó khăn, buộc các chuyên gia phòng thủ phải kiểm tra bảo mật toàn diện trên toàn bộ mạng lưới”, CSA mô tả trong báo cáo công bố ngày 9/2/2026.

Đây không phải lần đầu UNC3886 bị phát hiện sử dụng những công cụ như vậy. Trong báo cáo công bố tháng 3/2025, Mandiant cho biết từ giữa năm 2024 đã phát hiện UNC3886 cài “cửa hậu” vào các thiết bị định tuyến Juniper, loại thiết bị điều phối luồng dữ liệu ở phần lõi của nhiều mạng viễn thông và cơ quan chính phủ. Những “cửa hậu” này được tùy biến để ẩn mình, giúp kẻ tấn công duy trì quyền truy cập lâu dài mà không dễ bị phát hiện.

Trước đó, UNC3886 cũng từng khai thác các lỗ hổng chưa có bản vá trong tường lửa FortiGate và các nền tảng máy chủ ảo hóa của Vmware để xâm nhập những tổ chức quốc phòng, tài chính và viễn thông tại Mỹ và châu Á. Singapore không phải một mục tiêu ngẫu nhiên, mà giống một mắt xích được lựa chọn có tính toán trong chuỗi hoạt động gián điệp mạng toàn cầu đã kéo dài nhiều năm.

Dấu hiệu được công bố cho thấy đây không phải cuộc tấn công nhằm tống tiền hay đánh cắp dữ liệu khách hàng theo kiểu thông thường. Thứ chúng hướng tới có thể giá trị hơn và khó nhận ra hơn: những dữ liệu kỹ thuật đủ để phác họa cấu trúc vận hành của hạ tầng viễn thông Singapore. Với hoạt động gián điệp mạng, những dữ liệu như sơ đồ kết nối, các điểm điều phối, tuyến truyền dẫn, quyền truy cập và đường đi của dữ liệu có thể quan trọng hơn một tập hồ sơ khách hàng.

Chuyên gia Collin Hogue-Spears của Black Duck tóm gọn vụ việc: không có hồ sơ khách hàng bị đánh cắp, không có dịch vụ bị gián đoạn, không có món tiền chuộc nào được đòi. Điều UNC3886 theo đuổi trong 11 tháng bên trong bốn nhà mạng là “bản đồ” của mạng lưới. Đây là loại tình báo mà một quốc gia cần có nếu muốn chuẩn bị năng lực gây gián đoạn, gây áp lực hoặc can thiệp có chọn lọc trong một cuộc khủng hoảng tương lai.

Bản đồ các tuyến cáp biển kết nối Singapore với khu vực và thế giới.

Singapore phản ứng thận trọng. Ngay khi xác nhận bị xâm nhập, CSA và IMDA phối hợp khởi động Cyber Guardian - chiến dịch ứng phó sự cố mạng liên cơ quan lớn nhất trong lịch sử Singapore. Hơn 100 chuyên gia từ 6 cơ quan được huy động: CSA, IMDA, Trung tâm Công nghệ thông tin chiến lược (CSIT), Dịch vụ Kỹ thuật số và tình báo của Quân đội Singapore (DIS), Cơ quan Công nghệ Chính phủ (GovTech) và Cục An ninh nội địa (ISD). Thành phần ấy cho thấy đây không còn là một sự cố kỹ thuật thuần túy.

Sự tham gia của DIS cho thấy Singapore không xem đây là sự cố công nghệ, mà là thách thức gắn trực tiếp với năng lực phòng thủ quốc gia. Suốt 11 tháng, đội ngũ phòng thủ thực hiện song song hai nhiệm vụ: vừa âm thầm truy lùng và loại bỏ từng điểm xâm nhập của UNC3886, vừa bảo đảm các dịch vụ viễn thông vận hành ổn định. Có thời điểm, UNC3886 đã tiếp cận được một phần hạ tầng trọng yếu của mạng viễn thông Singapore. Tuy nhiên, nhóm này bị phát hiện và chặn lại trước khi dùng lối vào ấy để gây thiệt hại thực tế. Đến đầu năm 2026, Singapore đã khóa các lối vào mà UNC3886 sử dụng, mở rộng năng lực giám sát, rồi công bố đầy đủ hơn về chiến dịch diễn ra trong im lặng.

Mắt xích trong cuộc đi săn trên hạ tầng viễn thông toàn cầu

Ngày 9/2/2026, tại cuộc gặp các lực lượng phòng thủ mạng tham gia chiến dịch, Bộ trưởng Phát triển số và Thông tin Josephine Teo cảm ơn những người đã âm thầm bảo vệ hạ tầng số của Singapore trong suốt nhiều tháng. Trong trường hợp này, “âm thầm” không phải là cách nói xã giao. Nhưng ý nghĩa của chiến dịch đã vượt khỏi biên giới Singapore từ trước khi được công bố.

Câu hỏi đầu tiên mà giới phân tích đặt ra khi đọc báo cáo của CSA là: tại sao lại là Singapore? Đảo quốc với gần sáu triệu dân này không có chiều sâu lãnh thổ hay quy mô dân số của một cường quốc, nhưng lại nằm ở điểm giao của những luồng dữ liệu, tài chính và hậu cần-vận tải quan trọng bậc nhất châu Á. Hơn 95% lưu lượng Internet liên lục địa toàn cầu được truyền qua cáp biển; riêng với Singapore, hơn 99% lưu lượng viễn thông quốc tế phụ thuộc vào các tuyến cáp ngầm. Điều đó biến đảo quốc này thành một điểm nút đặc biệt nhạy cảm trong cấu trúc kết nối số của khu vực.

Từ trái sang: Chuyên gia Eric Chen từ IMDA, ME5 Eugene Tay từ SAF DIS, Tiến sĩ Adrian Tang từ CSIT và chuyên gia Benedict Chong từ CSA - các thành viên đã ngăn chặn cuộc tấn công mạng của UNC3886.

Ai xâm nhập đủ sâu để hiểu cấu trúc kỹ thuật của hạ tầng viễn thông Singapore, dù chưa gây gián đoạn, cũng có thể theo dõi cách dữ liệu di chuyển trong cả khu vực. Và không chỉ vậy. Trên thực tế, các luồng dữ liệu ngoại giao, tài chính và vận hành doanh nghiệp xuyên biên giới có thể đi qua chính những hạ tầng mà các nhóm APT muốn âm thầm lập bản đồ. APT là cách giới an ninh mạng gọi những nhóm tấn công có chủ đích, được tổ chức bài bản và có khả năng bám trụ lâu dài trong hệ thống mục tiêu.

Theo Bloomberg, năm 2024, nhóm Volt Typhoon bị nghi đã xâm nhập Singtel, nhà mạng lớn nhất Singapore; Singtel sau đó cho biết đã loại bỏ mã độc, không ghi nhận dữ liệu bị lấy cắp hay dịch vụ bị ảnh hưởng. Điều này cho thấy, trong giai đoạn 2024-2026, Singapore đã trở thành địa bàn hoạt động của ít nhất hai nhóm tình báo mạng riêng biệt.

Nhưng Singapore không phải trường hợp đơn lẻ. Vụ việc này nằm trong một chuỗi tấn công toàn cầu có nhiều điểm giống nhau. Năm 2024, tại Mỹ, Salt Typhoon được cho là đã xâm nhập ít nhất 9 công ty viễn thông - trong đó có các tên tuổi lớn như AT&T, Verizon và T-Mobile, thậm chí bị cáo buộc tiếp cận các hệ thống phục vụ việc thu thập thông tin theo yêu cầu hợp pháp của cơ quan chức năng. Canada và một số đối tác phương Tây sau đó cũng cảnh báo về các chiến dịch tương tự nhằm vào hạ tầng viễn thông.

Theo chuyên gia Collin Hogue-Spears, các vụ xâm nhập gắn với Salt Typhoon và UNC3886 cho thấy một xu hướng đáng lo ngại: những nhóm tấn công được nhiều hãng an ninh mạng phương Tây mô tả là có liên hệ với Trung Quốc đang âm thầm ghi lại và phân loại các mục tiêu viễn thông ở nhiều quốc gia. Đây không phải kiểu tấn công nhằm gây thiệt hại ngay lập tức. Đây là chiến lược thu thập tình báo dài hạn: lập bản đồ, giữ sẵn các lối vào bí mật, chuẩn bị năng lực can thiệp cho một thời điểm chưa ai biết trước.

Nếu các vụ Salt Typhoon tại Mỹ để lại nhiều tranh cãi về mức độ tổn thương và trách nhiệm ứng phó, cách Singapore xử lý Cyber Guardian lại được chú ý ở điểm khác: im lặng khi cần bảo vệ chiến dịch, nhưng công bố có kiểm soát khi mối đe dọa đã được khống chế.

Singtel, một trong bốn nhà mạng lớn của Singapore, nằm trong nhóm hạ tầng viễn thông bị UNC3886 nhắm đến.

Chiến dịch Cyber Guardian đặt ra một câu hỏi mang tính hệ thống mà nhiều quốc gia vẫn đang lúng túng: khi hạ tầng viễn thông thuộc sở hữu tư nhân nhưng an ninh quốc gia lại phụ thuộc vào nó, ai chịu trách nhiệm phòng thủ? Singapore chọn câu trả lời rõ ràng: nhà nước và tư nhân cùng chịu trách nhiệm, cùng chia sẻ thông tin tình báo, cùng triển khai lực lượng. Đây là mô hình nhiều quốc gia phương Tây kêu gọi trong nhiều năm nhưng hiếm khi thực hiện được vì rào cản pháp lý và văn hóa doanh nghiệp. Singapore làm được điều đó trong im lặng suốt hơn 11 tháng.

Tuy nhiên, chiến thắng này cũng đi kèm một cảnh báo mà CSA không che giấu: các vụ tấn công nghi do các nhóm APT thực hiện nhằm vào Singapore đã tăng gấp bốn lần trong giai đoạn 2021-2024. Và sau khi Chiến dịch Cyber Guardian đóng các điểm truy cập đã phát hiện của UNC3886, CSA khuyến cáo các nhà mạng phải “duy trì cảnh giác trước khả nắng UNC3886 tìm cách tái xâm nhập”. Đó không phải lời cảnh báo hình thức, mà là thừa nhận rằng kẻ tấn công chưa chắc đã từ bỏ mục tiêu. Bởi vì giá trị của mục tiêu không thay đổi, chỉ có lối vào là bị đổi khóa.

Trong kỷ nguyên mà chiến tranh không cần tuyên bố và không để lại dấu vết có thể nhìn thấy bằng mắt thường, Singapore vừa trải qua một cuộc đối đầu thực sự trên hạ tầng số và giành được một thắng lợi quan trọng. Không phải bằng cách bắn hạ máy bay hay phong tỏa cảng biển, mà bằng cách giữ im lặng đủ lâu, đủ kiên nhẫn và đủ kỷ luật để đánh bật kẻ xâm nhập khỏi mạng lưới quốc gia, trước khi dữ liệu bị thu thập có thể được dùng để gây sức ép trong một cuộc khủng hoảng tương lai.