Salt Typhoon 2026: Khi Hacker Trung Quốc biến 'backdoor' phương Tây thành vũ khí tình báo

Ngày 27/01/2026, trong một báo cáo gây chấn động được The Telegraph công bố vào ngày 26/01, các hacker có liên hệ nhà nước Trung Quốc được cho là đã xâm nhập sâu vào hệ thống viễn thông toàn cầu, đánh cắp dữ liệu từ điện thoại của các cố vấn cấp cao trong nội các ba đời Thủ tướng Anh (bao gồm Johnson, Truss, và Sunak), và thậm chí tiếp cận thông tin của một Tổng thống Mỹ đắc cử.

Sự kiện này, được giới tình báo phương Tây gọi là “Salt Typhoon” (Bão Muối), không chỉ là một vụ hack thông thường. Nó là minh chứng cho một cuộc “đảo chính ngược” trong thế giới gián điệp: Trung Quốc đã biến chính cơ sở hạ tầng nghe lén mà các chính phủ phương Tây xây dựng để giám sát công dân thành công cụ giám sát lại chính họ.

Phần 1: Cú đánh vào trung tâm quyền lực phương Tây

Vào ngày 26/01/2026, The Telegraph tiết lộ một cuộc tấn công mạng kéo dài nhiều năm, nhắm vào “trái tim của Phố Downing”. Các hacker có liên hệ nhà nước Trung Quốc đã xâm phạm thông tin liên lạc di động của các cố vấn thân cận nhất dưới thời các Thủ tướng Boris Johnson, Liz Truss và Rishi Sunak. Nguồn tin cho biết cuộc tấn công đã đi “thẳng vào trung tâm của Phố Downing”.

Không chỉ dừng lại ở Anh, chiến dịch này là một phần của cuộc tấn công toàn cầu nhắm vào các mạng viễn thông tại Mỹ, Australia, Canada, New Zealand và hơn 80 quốc gia khác.

Theo bà Anne Neuberger, cựu Phó Cố vấn An ninh Quốc gia Mỹ, những kẻ tấn công đã có khả năng “định vị hàng triệu cá nhân, ghi âm cuộc gọi tùy ý”.

Họ tiếp cận không chỉ siêu dữ liệu như ai gọi ai, khi nào, ở đâu, mà trong một số trường hợp còn nghe được nội dung cuộc gọi của các nhân vật cấp cao, bao gồm cả Tổng thống Donald Trump, Phó Tổng thống JD Vance và nhân viên chiến dịch tranh cử của cựu Phó Tổng thống Kamala Harris.

Phần 2: Cơ chế “Cửa hậu luật định” bị đảo ngược

Điều khiến Salt Typhoon trở nên đặc biệt nguy hiểm không phải là kỹ thuật hack tinh vi, mà là việc lợi dụng chính kiến trúc giám sát do phương Tây thiết kế.

Từ năm 1994, Mỹ thông qua Đạo luật Hỗ trợ Thực thi Pháp luật Truyền thông (CALEA), yêu cầu các nhà mạng xây dựng giao diện chuẩn để cơ quan thực thi pháp luật nghe lén hợp pháp. Anh cũng có Đạo luật Quyền lực Điều tra (IPA) năm 2016 với mục đích tương tự. Các “cửa hậu” này được cho là an toàn vì chỉ dành cho “người tốt”.

Tuy nhiên, nhóm Salt Typhoon đã không tấn công vào từng điện thoại riêng lẻ. Thay vào đó, họ xâm nhập trực tiếp vào chính hệ thống nghe lén CALEA/IPA tại các nhà mạng. Một khi vào được, họ có toàn bộ quyền truy cập mà FBI hoặc GCHQ có: cơ sở dữ liệu yêu cầu nghe lén đang hoạt động, siêu dữ liệu, vị trí và thậm chí nội dung cuộc gọi không mã hóa.

Điều này đồng nghĩa với việc họ có thể biết được ai đang bị FBI theo dõi, bao gồm cả các điệp viên Trung Quốc, và có thể cảnh báo hoặc rút lui trước khi bị bắt.

Cơ quan An ninh Mạng và Cơ sở hạ tầng Mỹ (CISA) trong một cảnh báo chi tiết đã xác nhận các tác nhân này nhắm mục tiêu vào các router biên và lõi của các nhà mạng viễn thông lớn, khai thác các lỗ hổng đã biết (CVEs) trên thiết bị của Cisco, Ivanti, Palo Alto Networks và các hãng khác để duy trì quyền truy cập lâu dài.

Phần 3: Mạng lưới hợp đồng hacker tại Thành Đô

Việc quy kết trách nhiệm cho Salt Typhoon được hỗ trợ bởi một khối bằng chứng đồ sộ. Vào ngày 17/01/2025, Bộ Tài chính Mỹ đã trừng phạt Công ty Công nghệ Mạng Tứ Xuyên Juxinhe (Sichuan Juxinhe Network Technology Co., Ltd.), xác định công ty này có “sự tham gia trực tiếp” vào nhóm Salt Typhoon và có mối quan hệ chặt chẽ với Bộ An ninh Quốc gia Trung Quốc (MSS). Các công ty khác như Beijing Huanyu Tianqiong và Sichuan Zhixin Ruijie cũng bị chỉ định là có liên quan.

Bức tranh này càng rõ nét hơn sau vụ rò rỉ tài liệu nội bộ của công ty an ninh mạng i-SOON (Sichuan Anxun Information Technology) vào tháng 02/2024. Các tài liệu này tiết lộ một “chợ hacker thuê ngoài” sôi động, nơi các công ty tư nhân đấu thầu hợp đồng với chính phủ Trung Quốc để xâm nhập các mục tiêu cụ thể.

Phân tích từ SpyCloud sau đó xác nhận các tập dữ liệu bán trên diễn đàn ngầm có chứa thông tin về các router bị Salt Typhoon tấn công, hợp đồng với nhà cung cấp quân đội, và danh sách khách hàng bao gồm cả đơn vị 61419 của Quân Giải phóng Nhân dân Trung Quốc.

Sự trùng khớp giữa thông tin rò rỉ và hoạt động của Salt Typhoon cung cấp một bằng chứng như “Đá Rosetta” cho việc truy nguyên nguồn gốc chiến dịch.

Phần 4: Thiệt hại tình báo ở mức thảm họa

Phạm vi và mức độ thiệt hại là chưa từng có.

Tại Mỹ, it nhất 9 nhà mạng bị xâm nhập, bao gồm Verizon, AT&T, T-Mobile, Lumen Technologies, Spectrum, Consolidated Communications, Windstream và Viasat. Thượng nghị sĩ Mark Warner, Chủ tịch Ủy ban Tình báo Thượng viện, gọi đây là “vụ hack viễn thông tồi tệ nhất trong lịch sử quốc gia chúng ta”.

Ở Vương quốc Anh, vụ xâm nhập Phố Downing Street xảy ra trong giai đoạn 2021-2024, trùng với thời điểm Anh đưa ra các quyết định then chốt về Huawei, AUKUS, chính sách với Hong Kong và đàm phán thương mại với Bắc Kinh.

Còn tại Australia và Canada, Giám đốc ASIO Mike Burgess xác nhận Salt Typhoon nhắm mục tiêu vào hạ tầng viễn thông quan trọng của Australia vào tháng 11/2025. Một nhà mạng Canada cũng bị xâm nhập vào tháng 02/2025.

Hệ quả phản gián là thảm khốc nhất. Bằng cách truy cập vào cơ sở dữ liệu yêu cầu nghe lén, Salt Typhoon đã biến cơ quan giám sát của phương Tây thành nguồn cấp dữ liệu tình báo cho đối thủ. Họ có thể theo dõi tiến trình điều tra của FBI, biết được khi nào điệp viên của mình sắp bị phát hiện, và đọc được “kịch bản” của đối phương ngay trong khi trận đấu đang diễn ra.

Phần 5: Phản ứng dồn dập nhưng chồng chéo

Cộng đồng tình báo “Five Eyes” (Mỹ, Anh, Canada, Australia, New Zealand) và các đồng minh đã phối hợp hành động. Tháng 08/2025, một cảnh báo chung của 13 quốc gia, được đóng dấu bởi 22 cơ quan, đã quy kết chiến dịch cho các công ty hợp đồng có liên hệ với MSS. Anh cũng trừng phạt i-SOON và Integrity Technology Group vào tháng 12/2025.

Tuy nhiên, những vết nứt nội bộ cũng lộ diện. Một số quan chức Anh chỉ trích các quy định của Mỹ không chặt chẽ bằng Anh. Nghịch lý là, trong khi chỉ trích này, chính phủ Anh lại đang gây áp lực buộc Apple làm suy yếu mã hóa iMessage theo Đạo luật IPA - tái tạo chính lỗ hổng kiến trúc mà Salt Typhoon khai thác.

Ở Mỹ, Ủy ban Truyền thông Liên bang (FCC) đề xuất các quy định an ninh mạng bắt buộc vào tháng 01/2025, nhưng đến tháng 11/2025 lại bỏ phiếu bãi bỏ chúng, với lý do ưu tiên cách tiếp cận “linh hoạt, hợp tác” thay vì bắt buộc.

Phần 6: Liệu kẻ xâm nhập đã thực sự bị loại bỏ?

Câu hỏi lớn nhất hiện nay là liệu Salt Typhoon có còn tồn tại trong các mạng viễn thông hay không. Các cơ quan chức năng tỏ ra rất thận trọng. Jeff Greene của CISA thẳng thắn: “Chúng tôi không thể nói chắc chắn rằng kẻ thù đã bị trục xuất, vì chúng tôi vẫn chưa biết phạm vi hoạt động của chúng”.

Lý do nằm ở kỹ thuật duy trì quyền truy cập cực kỳ tinh vi của Salt Typhoon. Họ sử dụng rootkit cấp nhân (Demodex) để ẩn mình, tạo đường hầm GRE trên thiết bị mạng, và chạy mã độc trong container Guest Shell của Cisco - những kỹ thuật có thể sống sót qua các nâng cấp phần mềm thông thường.

Thời gian lưu trú trước khi bị phát hiện trung bình là 393 ngày, có môi trường bị xâm nhập hơn 3 năm. Sự bất đối xứng rõ ràng: kẻ tấn công chỉ cần giữ một lối vào duy nhất, trong khi người bảo vệ phải tìm và đóng tất cả các lối vào trong một mạng lưới hàng triệu thiết bị.

Điều này dẫn đến một kết luận nghiệt ngã: việc thay thế phần cứng có thể là biện pháp khắc phục triệt để duy nhất, mở ra một chu kỳ nâng cấp cơ sở hạ tầng bắt buộc với chi phí hàng trăm tỷ USD.

Phần 7: Hàm ý thị trường và định vị đầu tư

Sự kiện Salt Typhoon đã tạo ra làn sóng tái định giá rủi ro trên nhiều lĩnh vực:

1. Lĩnh vực An ninh mạng: Là đối tượng hưởng lợi trực tiếp. Nhu cầu về giải pháp phát hiện & ứng phó điểm cuối (EDR), kiến trúc Zero-Trust và bảo mật chuỗi cung ứng tăng mạnh. Các công ty như CrowdStrike, SentinelOne và Palo Alto Networks được kỳ vọng sẽ thu được lợi nhuận từ làn sóng chi tiêu này.

2. Nhà sản xuất phần cứng mạng: Nếu phần mềm không thể loại bỏ mã độc ăn sâu vào firmware, việc thay thế thiết bị vật lý (router, switch) sẽ trở thành bắt buộc. Arista Networks và Juniper Networks có thể sẽ hưởng lợi từ chu kỳ nâng cấp phần cứng này.

3. Các nhà mạng (đặc biệt tại Anh): Đối mặt với rủi ro kiện tụng, vi phạm GDPR (có thể bị phạt tới 4% doanh thu), và chi phí khắc phục khổng lồ. Cổ phiếu của BT Group và Vodafone có thể chịu áp lực.

4. Thị trường bảo hiểm mạng: Đang định giá lại rủi ro cho ngành viễn thông, có thể dẫn đến phí bảo hiểm tăng mạnh.

Kết luận: Kết thúc một cuộc tranh luận kéo dài 30 năm

Salt Typhoon không chỉ là một sự cố an ninh mạng. Đó là một sự thức tỉnh cấu trúc. Nó chứng minh một cách thực nghiệm bằng cả dữ liệu rằng những cảnh báo lý thuyết của các chuyên gia mật mã trong 30 năm qua là đúng: “không có cửa hậu nào chỉ dành cho người tốt”. Một lỗ hổng tồn tại thì sớm muộn cũng sẽ bị kẻ thù đủ năng lực và động cơ khai thác.

Kiến trúc giám sát được phương Tây thiết kế để bảo vệ an ninh quốc gia cuối cùng lại trở thành điểm yếu chí mạng nhất, cho phép một cường quốc đối địch thực hiện vụ thu thập tình báo quy mô lớn nhất kể từ thời “Cambridge Five”. Bài học cay đắng nhất có lẽ là: hệ thống được thiết kế để bị truy cập thì sẽ bị truy cập – bởi bất kỳ ai tìm ra cơ chế đó.

Cuộc khủng hoảng Salt Typhoon vẫn đang tiếp diễn. Các nhà hoạch định chính sách, nhà quản lý rủi ro và nhà đầu tư giờ đây phải đối mặt với một thực tế mới: sự tồn tại dai dẳng của mối đe dọa bên trong các hệ thống then chốt. Cách thức thế giới phản ứng với thực tế này sẽ định hình cục diện an ninh mạng và địa chính trị trong nhiều thập kỷ tới.