FSB Nga Cáo Buộc Cloudflare và Fastly Tiếp Tay cho Hoạt Động Gián Điệp Nhắm vào Điện Thoại Quan Chức

Điều quan trọng là tuyên bố của FSB không cáo buộc nhân viên của Cloudflare và Fastly trực tiếp viết phần mềm độc hại hay chỉ đạo các vụ tấn công. Thay vào đó, cơ quan này tuyên bố rằng "năng lực kỹ thuật" của những công ty này đã bị "lợi dụng" trong chiến dịch—một cụm từ đủ rộng để ám chỉ mạng lưới phân phối nội dung (CDN), dịch vụ bảo mật hoặc hạ tầng proxy ngược của họ đã đóng một vai trò nào đó trong việc đánh cắp dữ liệu hoặc liên lạc . Để minh họa cho thông báo, FSB đã công bố đoạn video ghi lại văn phòng của Cloudflare tại San Francisco, trụ sở của Fastly ở San Francisco và London, và một tòa nhà không xác định ở New York, ngụ ý về mối liên hệ với việc phát triển hoặc kiểm soát hoạt động của phần mềm gián điệp .

FSB không nêu đích danh Hoa Kỳ nhưng nhấn mạnh rằng các bộ của chính phủ Anh, bao gồm cả Bộ Quốc phòng, là khách hàng của các dịch vụ bảo mật mạng của Cloudflare và Fastly . Tuy nhiên, truyền thông nhà nước Nga vẫn mô tả kế hoạch này được dàn dựng bởi "tình báo Mỹ và Anh" .

Không có cuộc điều tra độc lập nào xác minh bất kỳ phần nào của tuyên bố này. Cả Cloudflare và Fastly đều chưa công khai bình luận về cáo buộc cụ thể này, và FSB cũng không công bố bằng chứng pháp y về phần mềm độc hại, nhật ký mạng cho thấy luồng lưu lượng đi qua hạ tầng bị cáo buộc, hay bất kỳ chi tiết kỹ thuật nào liên kết cấu hình phía máy chủ với một hoạt động gián điệp. Bộ Tư pháp Mỹ trước đây đã từng truy tố các sĩ quan FSB vì chỉ đạo các hoạt động tấn công mạng tội phạm, bao gồm cả vụ xâm phạm hàng triệu tài khoản Yahoo, điều này nhấn mạnh vai trò của chính FSB như một chủ thể tấn công mạng chủ động và khiến những tuyên bố chưa được xác minh của họ chỉ là lời khẳng định từ một cơ quan tình báo đối thủ .

Mô-típ quy trách nhiệm cho hạ tầng công nghệ

Đây không phải là lần đầu tiên FSB cáo buộc các công ty công nghệ phương Tây là bên tham gia tích cực vào các hoạt động tình báo. Vào tháng 6 năm 2023, FSB tuyên bố rằng Cơ quan An ninh Quốc gia Mỹ (NSA) đã khai thác một lỗ hổng trên iPhone của Apple để xâm phạm thiết bị của hàng nghìn công dân Nga và các nhà ngoại giao nước ngoài, đồng thời công khai nói rằng Apple đã "hợp tác" với NSA cho các cuộc tấn công này . Apple đã phủ nhận cáo buộc và không có bằng chứng pháp y hỗ trợ nào được công khai. Sự tương đồng về cấu trúc là rất rõ ràng: một tuyên bố không có căn cứ rằng hạ tầng hoặc phần mềm của một công ty công nghệ nổi tiếng phương Tây là công cụ trực tiếp cho hoạt động gián điệp nhà nước, được đưa ra cùng với tài liệu video hoặc hình ảnh nhưng không có dữ liệu kỹ thuật có thể kiểm chứng.

Từ chặn kỹ thuật đến cáo buộc gián điệp: Chiến dịch nhắm vào Cloudflare

Cáo buộc "tiếp tay" cho hoạt động tấn công điện thoại của FSB xảy ra ngay giữa một chiến dịch kéo dài suốt một năm đã được ghi nhận của chính phủ Nga nhằm điều tiết, chặn và làm mất uy tín của Cloudflare.

Vào tháng 10 năm 2024, Roskomnadzor—cơ quan giám sát truyền thông liên bang của Nga—đã chặn hàng nghìn trang web sử dụng giao thức Encrypted Client Hello (ECH) của Cloudflare, một phần mở rộng của TLS mã hóa quá trình "bắt tay" ban đầu, khiến nhà mạng khó biết được người dùng đang truy cập trang web nào . Vào thời điểm đó, cơ quan quản lý này tuyên bố rằng ECH "vi phạm" các quy định của Nga về khả năng kiểm tra lưu lượng truy cập.

Ngày 20 tháng 3 năm 2025, chiến dịch leo thang mạnh mẽ khi Roskomnadzor tạm thời chặn toàn bộ các dải mạng con của Cloudflare—bao gồm hơn 500.000 địa chỉ IP, với một chuyên gia kỹ thuật từ nhóm bảo vệ quyền kỹ thuật số Nga Roskomsvoboda ước tính có khoảng 1,5 triệu địa chỉ IP bị ảnh hưởng trên nhiều khu vực . Lệnh chặn đã gây ra sự cố gián đoạn trên diện rộng đối với các hệ thống ngân hàng trực tuyến bao gồm Sberbank và Alfa-Bank, các cổng thông tin chính phủ, ứng dụng liên lạc và dịch vụ trò chơi—tất cả đều dựa vào CDN của Cloudflare . Khi người dùng và doanh nghiệp báo cáo sự gián đoạn, Roskomnadzor đổ lỗi cho "cơ sở hạ tầng máy chủ nước ngoài" và khuyến nghị các tổ chức Nga chuyển sang các nhà cung cấp dịch vụ lưu trữ trong nước .

Cuộc tấn công kỹ thuật kéo dài nhất bắt đầu vào ngày 9 tháng 6 năm 2025, khi các nhà cung cấp dịch vụ internet (ISP) lớn của Nga—bao gồm Rostelecom, Megafon, Vimpelcom, MTS và MGTS—bắt đầu một chiến dịch "bóp nghẹt" băng thông trên toàn quốc đối với tất cả lưu lượng được Cloudflare bảo vệ . Việc "bóp nghẹt" này được thực hiện một cách chính xác: nó cho phép thiết bị người dùng cuối chỉ tải xuống 16 kilobyte đầu tiên của bất kỳ tài sản web nào trước khi cắt đứt kết nối . Đối với một trình duyệt hiện đại, 16 KB có thể đủ để hiển thị một tiêu đề HTTP và vài dòng văn bản đầu tiên, nhưng hoàn toàn không đủ để tải một trang hoạt động, một tập lệnh hay một biểu định kiểu. Kết quả là hàng triệu trang web được Cloudflare bảo vệ đã biến mất một cách hiệu quả đối với người dùng bên trong nước Nga, trong khi các trang web này vẫn tạo ra ảo giác có thể truy cập được đối với các kiểm tra mạng thông thường .

Cloudflare đã công khai xác nhận việc bóp băng thông này vào ngày 26 tháng 6 năm 2025, gọi đây là sự can thiệp cấp nhà nước nằm ngoài tầm kiểm soát của họ . Dữ liệu nội bộ của công ty cho thấy giới hạn này đang được thực thi thông qua nhiều cơ chế đồng thời, bao gồm chèn gói tin và giới hạn tốc độ, cho thấy có sự quản lý chủ động thay vì chỉ là sự cố cấu hình mạng . Tổ chức Freedom House và các đơn vị giám sát internet độc lập đã ghi nhận rằng tổng lưu lượng Cloudflare từ Nga đã giảm đáng kể, và sự gián đoạn này trùng khớp với việc Roskomnadzor thêm Cloudflare vào sổ đăng ký "các đơn vị tổ chức phổ biến thông tin" . Sổ đăng ký này là một cơ chế giám sát yêu cầu các công ty được liệt kê phải lưu trữ dữ liệu người dùng Nga trên máy chủ trong nước và cung cấp khóa giải mã cho FSB theo yêu cầu. Các công ty không tuân thủ sẽ phải đối mặt với việc bóp băng thông hoặc chặn hoàn toàn—chính xác là kết quả đã được quan sát thấy từ tháng 6 năm 2025.

Khi đọc việc bóp băng thông tháng 6/2025 cùng với các đợt chặn dải mạng tháng 3/2025 và lệnh cấm ECH tháng 10/2024, một lộ trình tiến triển rõ ràng xuất hiện: Nga đầu tiên nhắm mục tiêu vào một giao thức mã hóa cụ thể, sau đó chặn toàn bộ phạm vi mạng, và hiện đang sử dụng các biện pháp kiểm soát kỹ thuật để làm suy giảm toàn bộ dịch vụ Cloudflare một cách vô thời hạn. Cáo buộc gián điệp ngày 2 tháng 6 năm 2026 của FSB đã phủ thêm một lớp vỏ bọc câu chuyện về tội phạm thông đồng cho một chiến dịch đàn áp kỹ thuật vốn đã và đang diễn ra hết tốc lực.

Động lực lớn hơn cho một Internet Nga có chủ quyền

Các động thái chống lại Cloudflare và Fastly là một phần của một dự án lớn hơn nhiều, kéo dài nhiều năm của Điện Kremlin nhằm đưa internet Nga vào tầm kiểm soát hoàn toàn trong nước—một khuôn khổ chính sách mà chính phủ gọi là "chủ quyền số" (digital sovereignty).

Luật mới hiện yêu cầu các nhà khai thác viễn thông cài đặt thiết bị Kiểm tra Gói tin Sâu (DPI) do nhà nước kiểm soát, được gọi là hệ thống "Phương tiện Kỹ thuật Chống lại các Mối đe dọa" (TSPU), hệ thống này trao cho FSB khả năng giám sát, lọc và điều tiết lưu lượng ở cấp độ mạng . Các công ty viễn thông không đăng ký với Roskomnadzor hoặc không tuân thủ các yêu cầu dữ liệu của FSB sẽ phải đối mặt với tiền phạt và hạn chế dịch vụ.

Vào tháng 9 năm 2025, chính quyền Nga đã giới thiệu "sổ đăng ký các dịch vụ có ý nghĩa xã hội", một danh sách trắng chính thức ban đầu gồm 57 trang web được phê duyệt trước—bao gồm hãng thông tấn nhà nước RIA Novosti, các ngân hàng lớn, cổng thông tin chính phủ Gosuslugi, mạng xã hội trong nước và một số dịch vụ chọn lọc của Yandex—được đảm bảo vẫn có thể truy cập trong thời gian gián đoạn mạng và các cuộc thử nghiệm ngắt kết nối . Bất kỳ dịch vụ nào được lưu trữ ở nước ngoài không có trong danh sách này có thể bị cắt đứt bất cứ lúc nào.

Chính phủ cũng đã hành động mạnh mẽ chống lại các công cụ liên lạc và vượt tường lửa được mã hóa. Đến đầu năm 2026, Roskomnadzor đã hạn chế hàng trăm ứng dụng và giao thức VPN . Vào tháng 8 năm 2025, các cuộc gọi thoại và video thông qua Telegram và WhatsApp đã bị hạn chế, và các hạn chế trực tiếp đối với chính Telegram cũng sớm được áp dụng sau đó .

Quỹ đạo này là rõ ràng. Cách tiếp cận của Nga đã phát triển từ việc chặn các trang web mục tiêu cách đây một thập kỷ, qua lọc dựa trên DPI quy mô lớn, đến giai đoạn hiện tại, trong đó toàn bộ các nhà cung cấp dịch vụ phân phối nội dung và cơ sở hạ tầng phương Tây bị làm suy giảm, ngắt kết nối một cách có hệ thống, hoặc trở thành đối tượng của các cáo buộc hình sự chính thức. Mục tiêu là một không gian internet Nga, nơi tất cả lưu lượng truy cập đều có thể được FSB kiểm tra và hạ tầng nước ngoài không còn chỗ đứng hoạt động nào .

Cáo buộc ngày 2 tháng 6 năm 2026 chống lại Cloudflare và Fastly là diễn biến mới nhất trong dự án đó. Đó là một cáo buộc gián điệp không có căn cứ nhằm vào chính những công ty có hạ tầng mà Nga đã dành hai năm để làm cho công dân của mình không thể truy cập một cách có phương pháp.