Lê Phan
(Theo NYT)
Wednesday,
February 06, 2013 2:27:48 PM
Hôm
Thứ Năm tuần này, nhật báo New York Times đã tố cáo là trong suốt bốn tháng
qua, những tin tặc Trung Quốc đã liên tiếp tấn công nhật báo, đột nhập hệ thống
computer và lấy passwords của các phóng viên và các nhân viên khác. Những gì
Times tiết lộ cho chúng ta một số khái niệm về những đe dọa của tin tặc từ
Trung Quốc.
Theo
Times, cuộc tấn công đã xảy ra đồng thời với bài phóng sự điều tra của tờ báo,
phổ biến online vào ngày 25 tháng 10, trong đó tờ báo tố cáo là thân nhân của
Thủ Tướng Ôn Gia Bảo đã thu thập một tài sản nhiều tỷ đô la qua các công cuộc
làm ăn dựa trên thế lực của ông Ôn.
Theo
Times, các chuyên gia về an ninh mạng cho biết từ năm 2008, các tin tặc Trung
Quốc bắt đầu nhắm vào các nhà báo Tây phương như là một phần của một cố gắng
nhận dạng và uy hiếp các nguồn tin và liên hệ của họ, và để biết trước những
bài vở có thể gây phương hại cho uy tín của các lãnh tụ Trung Quốc. Tờ báo
trích một bản phúc trình cho các khách hàng của công ty Mandiant, một công ty
an ninh mạng, nói là qua nhiều cuộc điều tra, họ đã tìm thấy bằng cớ là các tin
tặc Trung Quốc đã lấy emails, sổ địa chỉ và bài vở của hơn 30 nhà báo cùng nhân
viên điều hành của các tổ chức truyền thông Tây phương và duy trì một “danh
sách ngắn” những nhà báo mà họ luôn luôn đột nhập tấn công.
Sau
khi Times biết được là các viên chức Trung Quốc đã khuyến cáo là các cuộc điều
tra của tờ báo vào tài sản của gia đình ông Ôn sẽ “có hậu quả,” ban lãnh đạo tờ
báo hôm 24 tháng 10 đã yêu cầu AT&T, vốn theo dõi hệ thống computer của tờ
báo, để ý xem có hoạt động gì bất thường không. Hôm 25 tháng 10, khi bài báo
được đăng online, AT&T báo cho Times biết là họ thấy có những hành vi giống
như những cuộc tấn công được nghĩ là đã do quân đội Trung Quốc tổ chức.
Times
nói họ đã thông báo và tình nguyện trình bày cho cơ quan FBI về các cuộc tấn
công này, và rồi - vì lúc đầu không hiểu mức độ của sự đột nhập các máy
computers của mình - đã làm việc với AT&T để theo dõi những kẻ tấn công
trong khi tìm cách tẩy trừ họ ra khỏi hệ thống computers của mình.
Nhưng
đến 7 tháng 11, khi thấy rõ là những kẻ tấn công vẫn còn nằm trong hệ thống của
mình mặc dầu những cố gắng đuổi họ ra, Times đã thuê Mandiant, vốn chuyên lo
việc phản ứng trước những vụ bị đột nhập. Kể từ khi biết được là có các cuộc
tấn công, Times đã hợp tác, trước là với AT&T và sau đó là với Mandiant,
theo dõi những kẻ tấn công.
Toán
tin tặc bắt đầu làm việc rất đều đặn, hầu hết là vào 8 giờ sáng giờ Bắc Kinh.
Bình thường họ chỉ làm hết giờ làm việc, nhưng cũng có một vài lần cuộc đột
nhập kéo đến nửa đêm. Thỉnh thoảng cuộc tấn công nghỉ trong vòng hai tuần,
Mandiant cho biết, mặc dầu không rõ lý do.
Các
nhà điều tra vẫn chưa hiểu bằng cách nào tin tặc lúc đầu tiên đột nhập được vào
hệ thống của Times. Họ nghi là các tin tặc đã sử dụng một cuộc tấn công kiểu
mũi giáo phishing, tức là họ gửi emails đến cho các nhân viên của Times với một
links hay attachment có nội dung xấu. Và chỉ cần một cái click vào email của
một nhân viên là hackers đã đặt được “những dụng cụ tiếp cận từ xa,” ('Remote
access tools: mà các chuyên gia gọi tắt là RATs). Những dụng cụ này có thể rút
ra cả một đại dương dữ kiện, từ passwords, cách đánh máy, hình ảnh, văn kiện,
và trong một số trường hợp, thâu được từ mike của computers và của các máy quay
phim Web camera, và gửi những thông tin này trở lại vào máy của kẻ tấn công.
Ông
Michael Higgins, phụ trách an ninh của Times giải thích, “Những người tấn công
nay không còn nhắm vào các tường lửa của chúng ta nữa. Họ nhắm vào từng cá
nhân. Họ gửi nhưng code có ác ý vào trương mục emails của bạn và khi mở ra là
đã mở cửa cho họ vào.”
Một
khi tin tặc đã đột nhập, rất khó mà tẩy trừ chúng. Trong vụ cuộc tấn công năm
2011 vào Phòng Thương Mại Hoa Kỳ chẳng hạn, tổ chức đã hợp tác chặt chẽ với FBI
để đóng kín hệ thống. Nhưng mấy tháng sau, họ lại khám phá là những dụng cụ có
liên lạc qua Internet - một đồng hồ nhiệt độ ở một trong những apartment của họ
và một máy in trong văn phòng, vẫn còn tiếp tục liên lạc với computers ở Trung
Quốc.
Ðể
một phần không cho chuyện đó xảy ra, Times đã cho phép tin tặc tạo nên một mạng
lưới digital trong suốt bốn tháng để nhận diện hết mọi cánh cửa hậu online mà
tin tặc đã sử dụng. Times sau đó đã thay hết những computer bị nhiễm và lập một
hệ thống phòng thủ mới trong hy vọng là sẽ ngăn chặn được hackers.
Một
chuyên gia của Mandiant giải thích là những tin tặc nhắm vào một công ty vì có
lý do thành ra ngay khi đuổi được, họ sẽ tìm cách trở lại. Ðiều quan trọng là
phải biết cho toàn thể những gì họ tiếp cận và do đó lần sau họ tới có thể phản
ứng nhanh.
Dựa
trên phân tích giảo nghiệm trở lại nhiều tháng trước, có vẻ như hackers đã đột
nhập computers của Times vào ngày 13 tháng 9, khi các tường thuật cho bài viết
về gia đình họ Ôn sắp hoàn tất. Họ đã lập ra ít nhất ba cổng hậu vào các
computers mà họ dùng làm căn cứ ảo. Từ đó họ lén lút dọ thám hệ thống của Times
trong ít nhất hai tuần lễ trước khi họ tìm ra khu kiểm soát vốn có user names
và những passwords của mọi nhân viên của Times, tuy những passwords đã bị
“hashed” tức là xáo lên rồi.
Các
nhà điều tra tìm ra là những kẻ tấn công đã giải mã được các passwords và dùng
nó để đột nhập một số computers. Họ tạo ra những chương trình cho phép họ chiếm
dụng emails của David Barboza, phóng viên thường trú ở Thượng Hải, người đã
viết bài phóng sự điều tra, và Jim Yardley, nay là phóng viên thường trú của
Times ở Ấn Ðộ, nhưng trước đó là phóng viên thường trú của Times ở Bắc Kinh. Họ
cũng lấy một số tài liệu trong kho email của Times.
Trong
ba tháng, tin tặc đã gài 45 chương trình có chủ đích xấu malware. Ðiều còn làm
đáng ngại hơn nữa là chương trình chống virus mà Times sử dụng, của Symantec,
chỉ có một lần nhận diện được là chương trình có chủ đích xấu và cô lập nó. Ðó
là theo Mandiant. Anti-virus như vậy chưa chắc đã giúp chúng ta chặn malware.
Tin
tặc đã đặc biệt hoạt động mạnh vào giai đoạn 25 tháng 10 khi bài báo viết về
gia đình họ Ôn được đăng tải và đặc biệt vào tối ngày 6 tháng 11 của cuộc bầu
cử tổng thống. Việc này đã làm cho chủ bút của Times sợ là tin tặc có thể đóng
cửa hệ thống báo điện tử hay báo in của Times. Nhưng sự di chuyển của tin tặc
cho thấy có vẻ như mục tiêu chính là email của Barboza. Ðiều họ đặc biệt muốn
là tên của những ai đã cung cấp thông tin cho ông Barboza. Cuộc điều tra của
ông Barboza, như Times đã loan báo, dựa trên các tài liệu công khai để truy
nguyên các quyền lợi kinh doanh của thân nhân ông Ôn.
Truy
nguyên nguồn gốc của một cuộc tấn công có thể rất khó khăn bởi tin tặc thường
che giấu danh tính và nguồn gốc. Ðể điều khiển cuộc đột nhập dọ thám Times, tin
tặc đã sử dụng các computers của các trường Ðại Học North Carolina, Arizona,
Wisconsin và New Mexico cũng như của một số công ty nhỏ và các nhà cung cấp
dịch vụ trên toàn Hoa Kỳ. Tin tặc cũng thường xuyên đổi địa chỉ IP, một con số
đặc thù cho mỗi máy lên mạng từ nhiều tỷ máy khác toàn cầu, để thông điệp và
tin tức từ một máy này đến đúng máy muốn gửi.
Truy
nguyên thì Mandiant nhận ra là lối tấn công lần này là lối tấn công Trung Quốc.
Sau cuộc tấn công vào Google năm 2010 và các địa chỉ Gmail của nhiều nhà tranh
đấu cho nhân quyền của Trung Quốc bị đột nhập, các nhà điều tra đã truy được
nguồn gốc đến hai trường đại học, kể cả một có liên hệ với quân đội Trung Quốc.
Qua
việc chuyển qua các máy từ nhiều quốc gia và giao việc tấn công cho các trường
đại học phụ thuộc, Giải phóng quân có thể nói là họ không biết. Nhưng khi kỹ
thuật và chiều hướng của các tin tặc giống nhau thì đó là dấu hiệu họ là một
hay có liên hệ. Mandiants nói nhóm tin tặc này, mà họ gọi là APT số 12 mà họ
nói đồng nghĩa với tấn công từ Trung Quốc. Mandiant cũng cho biết là nhóm này
hoạt động rất mạnh và đã đột nhập vào nhiều trăm tổ chức Tây phương khác, kể cả
nhiều công ty thầu cho quân đội.
Cho
đến nay có vẻ như các biện pháp của Times đã thành công nhưng cả Mandiant lẫn
các viên chức của Times đều chờ đợi sẽ bị đột nhập nữa. Một chuyên gia của Mandiant
giải thích, “Ðây chưa phải là chấm dứt câu chuyện. Một khi họ thích một nạn
nhân, họ hay trở lại. Ðây không phải là loại tội phạm tin học khi kẻ đột nhập
đánh cắp một số rồi biến mất. Việc này đòi hỏi luôn luôn phải đề phòng.”
Ðáng
sợ lắm thay.
No comments:
Post a Comment