Thứ năm 07 Tháng Ba 2013
Ngày 19/02/2013, hãng bảo mật tin học Mandiant của Mỹ,
trong một bản báo cáo, đã vạch trần sự tồn tại của một đơn vị chiến binh tin
học bí mật của Trung Quốc. Đặt bản doanh tại Thượng Hải, các tin tặc này, tiếng
Hoa gọi là "hắc khách" (heike), bị cáo buộc là đã ào ạt thâm nhập vào
các cơ sở của Hoa Kỳ trong thời gian qua.
Như thông lệ, Bắc Kinh đã lập tức phản pháo, với tuyên bố
của Bộ Ngoại giao Trung Quốc xác định rằng báo cáo của hãng Mandiant hoàn toàn
bịa đặt. Hơn một tuần sau đó, đến lượt Bộ Quốc phòng Trung Quốc lên tiếng, tố
cáo ngược lại rằng chính Hoa Kỳ mới là nơi xuất phát của những cuộc tấn công
liên tục nhắm vào các trang web Trung Quốc.
Theo các nhà quan sát, cuộc đấu khẩu gay gắt trên đây là
bề nổi của một cuộc chiến tranh mạng Mỹ - Trung đã khai diễn, giữa một bên là
hacker Mỹ, và bên kia là những tay tin tặc Trung Quốc gọi là « hắc khách ».
Đối với Stéphane Lagarde, Thông tín viên RFI tại Bắc Kinh, đây là lần đầu
tiên mà chính Bộ Quốc phòng - tức Quân đội Trung Quốc - lên tiếng phản ứng, sau
khi đơn vị tin tặc của họ bị Mandiant lột mặt nạ :
« Hiếm khi mà Quân đội Giải phóng Nhân dân Trung Quốc
trực tiếp phản ứng về các tiết lộ được công bố trên báo chí nước ngoài. Thế
nhưng, đó chính là điều mà phát ngôn viên Bộ Quốc phòng Trung Quốc Cảnh Nhạn
Sinh đã làm hôm 28/02 vừa qua.
Theo ông Cảnh Nhạn Sinh : « Các website của quân đội
Trung Quốc đã bị tấn công trung bình 144.000 lần mỗi tháng trong năm 2012 ». Và
ông tố cáo là 62,9% các cuộc tấn công đến từ các địa chỉ IP gốc tại Hoa Kỳ.
Đây không phải là lần đầu tiên Trung Quốc nói rằng họ là
nạn nhân của tin tặc xuất phát từ nước ngoài. Mỗi lần mà hacker bị tình nghi là
thuộc Quân đội Trung Quốc bị vạch mặt chỉ tên, Bộ Ngoại giao tại Bắc Kinh đều
có trách nhiệm lên tiếng bảo vệ Bộ Quốc phòng.
Đây là điều đã xẩy ra ngày 19/02/2013, khi một bản phúc
trình của hãng Mỹ Mandiant cáo buộc Quân đội Trung Quốc chứa chấp một ổ gián
điệp trên mạng ở quận Phổ Đông, thành phố Thượng Hải.
Các số liệu nói trên đến từ Trung tâm Quốc gia Điều phối
Hành động Can thiệp Khẩn cấp trong lãnh vực Bảo mật Tin học (CNCERT). Nếu tin
vào các chuyên gia Trung Quốc, thì nhịp độ các cuộc tấn công từ Mỹ thậm chí đã
tăng vọt. Theo một bản báo cáo của trung tâm CNCERT, được Tân hoa xã trích dẫn,
trong năm 2011, chỉ có 22,9% các cuộc tấn công tin học vào Trung Quốc xuất phát
từ các máy chủ đặt tại Hoa Kỳ mà thôi.
Tóm lại, đây là lần đầu tiên Bộ Quốc phòng Trung Quốc xác
nhận việc họ là nạn nhân trực tiếp của các cuộc tấn công. Theo chính quyền
Trung Quốc, như vậy là cuộc chiến trên không gian mạng giữa Bắc Kinh và
Washington đã thực sự bắt đầu. »
Theo giới phân tích, phản ứng tố cáo ngược gay gắt khác
thường của Quân đội Trung Quốc, sau bản báo cáo của hãng Mandiant, tương ứng
với những tiết lộ có thể nói là cụ thể nhất từ trước đến nay về quy mô cũng như
hoạt động của đạo quân « hắc khách » được Bắc Kinh bí mật nuôi dưỡng.
Lực lượng 61398 Bộ Đội (部队)
Nhật báo Mỹ The New York Times, một trong những nạn nhân
hàng đầu của nhóm tin tặc bị cho là xuất xứ từ Trung Quốc này, là cơ quan
truyền thông đầu tiên đã công bố nhiều trích đoạn trong bản phúc trình hàng
chục trang của Mandiant, công ty bảo mật tin học đã được chính tờ báo nhờ giúp
đỡ chống lại các cuộc tấn công sau khi phát giác các vụ thâm nhập vào hệ thống
máy tính của mình.
Mandiant đã không đi đến mức chỉ rõ văn phòng nơi đặt các
máy tính phát lệnh tấn công, nhưng đã xác định cụ thể bản doanh của đạo quân
hắc khách Trung Quốc. Đó là một cao ốc 12 tầng màu trắng, tọa lạc bên bờ phía
đông của sông Hoàng Phố, khúc chảy qua Thượng Hải. Đạo quân bí mật này mang một
cái tên rất kỳ bí : Bộ đội 61398, trực thuộc quân đội Trung Quốc. Báo cáo này
cho biết :
(Nhóm tin tặc) « được cho là thuộc Cục 2 thuộc Tổng cục 3
Bộ Tổng tham mưu Quân đội Giải phóng Nhân dân Trung Quốc (Tổng tham Tam bộ Nhị
cục 总参 三 部 二 局), thường được biết qua tên gọi là Đơn vị 61398 (tiếng
Hoa : 61398 部队 -Bộ đội). Nhiệm vụ của "Đơn vị 61398" được Trung Quốc coi là bí
mật quốc gia, tuy nhiên, chúng tôi tin rằng nhóm này can dự vào các "chiến
dịch mạng máy tính" nguy hại.
Một phần của Đơn vị 61398 nằm trên đường Đại Đồng (大同 路), thuộc trấn Cao Kiều (高桥镇), ở khu Tân Phổ Đông (浦东 新区) của thành phố Thượng Hải (上海). Cao ốc trung tâm trong khu nhà này là một cơ sở cao 12
tầng, xây dựng vào đầu năm 2007.
Chúng tôi ước tính là Đơn vị 61398 có hàng trăm, có thể
là hàng ngàn nhân viên, căn cứ vào kích thước của cơ sở hạ tầng vật chất được
đon vị này sử dụng. Tập đoàn viễn thông China Telecom cung cấp hạ tầng cơ sở
truyền thông bằng cáp quang đặc biệt cho đơn vị này dưới danh nghĩa quốc phòng.
Đơn vị 61398 yêu cầu nhân viên của mình phải được đào tạo
trong các hoạt động bảo mật máy tính và mạng máy tính, cũng như đòi hỏi nhân
viên của mình phải thông thạo tiếng Anh.
Theo báo cáo được Mandiant công bố, kể từ năm 2006 cho
đến gần đây, tin tặc đã tấn công vào email và các dữ liệu nhạy cảm của 141 công
ty, bao gồm 115 tại Hoa Kỳ, 5 ở Anh, 3 ở Ấn Độ, 3 ở Israel, 2 ở Canada, Đài
Loan, Singapore, Thụy Sĩ , và 1 ở Pháp, Bỉ, Na Uy, Tiểu Vương Quốc Ả Rập Thống
Nhất, Luxembourg và Nhật Bản, trong hai mươi lĩnh vực.
Tiền án của hắc khách Trung Quốc
Quy mô của các cuộc tấn công không khỏi khiến người ta
nhớ lại một chiến dịch đánh cắp thông tin trên mạng khác được một đồng nghiệp
của Mandiant tiết lộ vào tháng 08/2011, một chiến dịch mà Trung Quốc đã bị tình
nghi là thủ phạm, dù không bị nêu đích danh.
Vào năm 2011, tập đoàn bảo mật tin học McAfee đã gây chấn
động khi công bố một bản báo cáo, tiết lộ sự kiện là hơn 70 tổ chức và định chế
đã bị tin tặc thâm nhập và theo dõi ròng rã 5 năm trong khuôn khổ một chiến
dịch được tập đoàn này mệnh danh là Shady RAT, với từ RAT là tên tắt tiếng Anh
của Remote Access Tool – tức là công cụ theo dõi từ xa. Shady Rat cũng có thể
hiểu theo nghĩa thông thường là « Loài chuột mờ ám ».
Điều đáng nói là McAfee xác định là có một « tác nhân nhà
nước » cụ thể đứng đằng sau các cuộc tấn công này, nhưng không cho biết quốc
gia đó là ai. Cho dù vậy, căn cứ vào danh sách các thực thể bị tấn công, cũng
như cách thức hành động của những tay tin tặc, giới an ninh mạng đều khẳng định
rằng thủ phạm không ai khác hơn là Trung Quốc.
Theo báo cáo của McAfee, từ tháng 7 năm 2006 cho đến
tháng 6 năm 2011, tức hai tháng trước ngày tập đoàn này công bố bản phúc trình,
tin tặc đã gởi email bên trong có giấu phần mềm gián điệp đến những nơi họ cần
dò xét. Một khi các email này được mở ra, lập tức các « âm binh » này len lỏi
vào các chương trình của máy tính.
Những thông tin nào được thu thập và với mục đích gì ?
Các chuyên gia của McAfee không tiết lộ rõ ràng, nhưng tỏ ý lo ngại rằng nhiều
dữ liệu nhạy cảm đã bị tin tặc thu thập được từ các hệ thống quốc phòng và
thông tin liên lạc vệ tinh của Mỹ mà họ đã thâm nhập thành công.
Phải nói là danh sách nạn nhân của chiến dịch Shady Rat
rất dài, trải rộng trên 4 khu vực địa lý, bao hàm hơn ba mươi lĩnh vực khác
nhau. Nhiều cơ quan chính phủ đã bị ảnh hưởng - từ Mỹ, Canada, Ấn Độ cho đến
khu vực Đông Á và Đông Nam Á (Đài Loan, Hàn Quốc, Việt Nam…).
Các tổ chức quốc tế cũng không thoát nạn, từ Liên Hiệp
Quốc, ASEAN, cho đến Ủy ban Thế vận Quốc tế IOC, Cơ quan chống Doping Thế giới,
cũng như hàng loạt các công ty chế tạo vũ khí, công ty công nghệ cao...
Đối với nhiều chuyên gia, sự đa dạng của các nạn nhân và
các lãnh vực bị tấn công cho thấy là chiến dịch Shady Rat không nhằm mục tiêu
lừa đảo kiếm tiền, mà nhằm đánh cắp thông tin mật, bản chất của hành vi gián
điệp.
Theo chuyên gia an ninh mạng Jim Lewis của Trung tâm
Chiến lược và Nghiên cứu Quốc tế, có rất nhiều khả năng Bắc Kinh là thủ phạm
trong vụ này vì tất cả các thông tin bị khai thác đều đặc biệt có lợi cho Trung
Quốc. Hai yếu tố khả nghi : tin tặc đã thâm nhập vào các định chế Olympic một
năm trước lúc diễn ra Thế vận hội Bắc Kinh năm 2008, cũng như vào các cơ quan
của Đài Loan, nước bị Trung Quốc coi là đối tượng cần sát nhập.
Cách hành động của tin tặc trong chiến dịch Shady Rat và
các phương tiện sử dụng cũng tương tự như các chương trình tấn công trên mạng
khác được quy cho Trung Quốc. Ví dụ không thể chối cãi là trường hợp tập đoàn
internet Google, đã tố cáo rằng tài khoản email của các quan chức chính trị
cũng như quân sự Mỹ, cùng với giới bất đồng chính kiến Trung Quốc đã bị tin tặc xuất phát từ Trung Quốc tấn công.
Gần đây hơn cuối tháng Giêng vừa qua, nhật báo Mỹ The New
York Times xác nhận là đã bị tin tặc liên tục thâm nhập và mục tiêu của tin tặc
là dò xét thông tin liên quan đến cuộc điều tra mà tờ báo này thực hiện về tài
sản khổng lồ của gia đình Thủ tướng Trung Quốc Ôn Gia Bảo. Đồng hội đồng thuyền
với New York Times là hãng tin Mỹ Bloomberg News cũng bị hắc khách thăm viếng
sau khi đưa tin về tài sản kếch xù của ông Tập Cận Bình.
Ba hắc khách bị vạch mặt : UglyGorilla, DOTA và SuperHard
Đây không phải là lần đầu tiên Trung Quốc bị cáo buộc
hoạt động gián điệp trên không gian mạng. Nhưng đây là lần đầu tiên mà tờ New
York Times và hãng Mandiant khẳng định là đã có bằng chứng cụ thể về những gì
họ nêu lên. Không những thế, các chuyên gia Mỹ còn xác định được "chân
dung" của ba hắc khách cụ thể, hoạt động dưới ba bí danh :
« Nhân vật đầu tiên, UglyGorilla (Khỉ đột xấu xí), đã
hoạt động tích cực trong các chiến dịch mạng máy tính kể từ tháng Mười năm
2004, trong đó có việc đăng ký các tên miền được gắn với nhóm tin tặc, và soạn
thảo mã độc sử dụng trong các chiến dịch. UglyGorilla công khai bày tỏ thái độ
quan tâm của ông đối với « đôi quân không gian mạng » vào tháng Giêng năm 2004.
Nhân vật thứ hai, một tác nhân được chúng tôi gọi là
"DOTA", đã đăng ký hàng chục tài khoản email được sử dụng để thực
hiện các kỹ thuật xã hội và các cuộc tấn công lừa đảo hỗ trợ cho các chiến dịch
tấn công. DOTA sử dụng một số điện thoại ở Thượng Hải khi đăng ký các tài khoản
này.
Chúng tôi đã quan sát thấy là cả hai nhân vật UglyGorilla
và DOTA đều sử dụng chung một cơ sở hạ tầng, bao gồm cả FQDN và loạt địa chỉ IP
mà chúng ta đã quy cho nhóm tin tặc này ».
Nhân vật thứ ba, biệt danh là SuperHard (Siêu cứng), là
tác giả hoặc là người góp phần đáng kể vào việc làm ra phần mềm độc hại thuộc
chủng Auriga và BANGAT mà chúng tôi đã thấycác nhóm tin tặc sử dụng. SuperHard
đã tiết lộ lộ vị trí của mình ở tại khu Tân Phổ Đông, thành phố Thượng Hải. »
« Những lời buộc tội vô căn cứ » ?
Trước các bằng chứng được nêu lên, từ Bộ Ngoại giao cho
đến Bộ Quốc phòng Trung Quốc đều đã lên án những cáo buộc « vô căn cứ », và
tuyên bố rằng Trung Quốc cũng là nạn nhân của các cuộc tấn công của hacker đến
từ Hoa Kỳ ! Đối với Bắc Kinh, Washington thiếu các bằng chứng kỹ thuật.
Trên trang web của mình, Bộ Quốc phòng Trung Quốc đả kích
hãng Mandiant là chỉ đơn thuần dựa vào địa chỉ IP để kết luận rằng các cuộc tấn
công bắt nguồn từ Trung Quốc. Theo phía Trung Quốc : « Ai cũng biết là việc
tiếm đoạt địa chỉ IP để thực hiện các cuộc tấn công tin học là điều xảy ra hầu
như hàng ngày.
Thứ nữa, cho đến nay, vẫn chưa có định nghĩa quốc tế rõ
ràng, thống nhất về khái niệm ‘tấn công tin học (hacking)’. Không có bằng chứng
pháp lý nào đằng sau bản báo cáo vốn chủ quan cho rằng những hoạt động thu thập
(thông tin) trực tuyến hàng ngày là hành động làm gián điệp trên mang. ».
Bộ Quốc phòng Trung Quốc kết luận : Tin tặc là một hiện
tượng xuyên biên giới, vô danh và mang tính lừa đảo ; chính vì bản chất của
hiện tượng đó là như vậy, cho nên khó có thể xác định một cách đúng đắn nơi
xuất phát của tin tặc.
Về nơi đặt bản doanh của nhóm tin tặc tại Thượng Hải,
Quân đội Trung Quốc cho rằng tòa nhà đó không hề là nơi đồn trú của một đơn vị
chiến binh mạng bí mật nào cả mà là một nơi "được tất cả mọi người biết
đến " với "những người ra vào đều mặc quân phục."
Ý kiến trên tuy nhiên đã bị John Sudworth, phóng viên BBC tại Thượng Hải bác bỏ. Nhà báo này cho biết nói rằng ông đã bị quân đội bắt giữ khi đang cố gắng quay phim tòa nhà được nêu lên trong báo cáo của Mandiant.
Nữ ký giả Melissa Chan cũng thế, và cô là người rất thông
thạo tình hình Trung Quốc. Nguyên là thông tín viên tại Bắc Kinh của ban Anh
ngữ đài truyền hình Ả Rập Al Jazeera, Melissa Chan đã nêu bật sự kiện là các
tin tặc Trung Quốc ngày nay đã trở thành bá chủ của bầy « Ngựa thành Troie » -
tức là Trojan Horse, phần mềm gián điệp được cài đặt bên trong máy tính của bạn
để sẵn sáng phát tác khi nhận được lệnh của chủ.
No comments:
Post a Comment