Nhận diện 'chiến binh số' nghi của quân đội TQ

Khi thuật ngữ ‘chiến tranh mạng’ phổ biến hơn, người ta dần biết đến những ‘chiến binh số’ đứng đằng sau các vụ tin tặc tấn công hệ thống máy tính, đánh cắp dữ liệu.

Tòa nhà 12 tầng ở ngoại ô Thượng Hải được cho là căn cứ của Đơn vị 61398, thực hiện các chiến dịch tình báo mạng.

Hôm 18/2, công ty an ninh mạng Mandiant của Mỹ đã công bố báo cáo cho rằng một nhóm tin tặc có quan hệ với Quân giải phóng nhân dân Trung Quốc (PLA) là thủ phạm tấn công, đánh cắp các dữ liệu trong hệ thống máy tính của 141 công ty và 20 tổ chức trên toàn thế giới trong vòng hơn 6 năm qua.

Bộ Ngoại giao và Quốc phòng Trung Quốc đã lên tiếng phủ nhận thông tin này.

Tuy nhiên, câu hỏi mà nhiều người vẫn phải đặt ra là đội quân này có thật sự tồn tại trên thực tế và có thật là nằm dưới sự chỉ đạo của PLA? Dưới đây là những thông tin có tính chất tham khảo từ nghi hoặc mà Mỹ công bố.

Đội quân bóng tối

Đơn vị 61398 hầu như không tồn tại trong bất kỳ giấy tờ chính thức nào của quân đội Trung Quốc nhưng Mỹ cho rằng lực lượng này nằm trong Văn phòng của Bộ Tổng tham mưu PLA.

Các nhà phân tích tình báo đã nghiên cứu về nhóm này nói rằng đây là nhân tố trung tâm của tình báo mạng Trung Quốc. Năm 2011, một tổ chức phi chính phủ tại Virginia, Mỹ, mô tả đơn vị này là ‘thực thể hàng đầu nhắm vào Mỹ và Canada, hầu như tập trung vào tình báo chính trị, kinh tế và quân sự’.

Trong khi chính quyền Obama không bao giờ công khai thảo luận về các hoạt động của đơn vị này của Trung Quốc, một bức điện tín dài được viết một ngày trước khi Tổng thống Obama đắc cử vào tháng 11/2008 nói về việc Mỹ lo ngại về các vụ tấn công của nhóm này vào các trang mạng chính phủ.

Khi đó, các cơ quan tình báo Mỹ gọi đơn vị này bằng một mật mã là “Byzantine Candor”.

Theo bức điện này thì Bộ Quốc phòng và Bộ Ngoại giao Mỹ đều là các mục tiêu đặc biệt. Bức điện cũng mô tả nhóm này thâm nhập vào các bức thư đã gửi đi, và gọi đó là các cuộc tấn công kiểu ‘spear phishing’ – tức là thâm nhập bằng cách sử dụng thư điện tử giả từ một nguồn đáng tin cậy.

Đối tượng đặt các phần mềm độc vào máy tính mục tiêu một khi người nhận nhấp chuôt vào các email. Như vậy, tin tặc đã đột nhập được vào hệ thống.

Các quan chức Mỹ nói rằng các lo ngại về ngoại giao cũng như mong muốn lần theo hoạt động của đơn vị này đã buộc chính quyền phải giữ kín sự việc. Nhưng báo cáo của Mandiant lại đưa vấn đề này bung ra trước dư luận thế giới.

Suốt hơn 6 năm, Mandiant đã lần theo hoạt động của ‘nhóm Thượng Hải’, hay còn gọi là ‘Đội Bình luận’. Dựa trên những ‘mẩu vụn’ rất nhỏ mà nhóm này bỏ sót, Mandiant đã theo dấu 141 vụ tấn công mà nhóm này thực hiện, họ gọi đó là APT1 – Mối đe dọa tối tân dai dẳng số 1.

“Nhưng đó chỉ là một số những vụ chúng tôi có thể nhận dạng dễ dàng” – ông Mandia, Giám đốc của Mandiant nói. Các chuyên gia an ninh mạng khác ước tính rằng nhóm này chịu trách nhiệm cho hàng ngàn vụ tấn công khác.

Đưa ra ánh sáng

Khi Mandiant lên sơ đồ các địa chỉ IP và các bằng chứng số khác, tất cả đều dẫn tới khu vực quận Pudong ngoại ô Thượng Hải, ngay quanh trụ sở Đơn vị 61398.

Báo cáo của nhóm này cùng với 3.000 địa chỉ và các chỉ dẫn khác có thể được dùng để nhận ra các nguồn tấn công đi đến kết luận rằng “toàn bộ bằng chứng” đều cho thấy ‘APT1 chính là Đơn vị 61398’.

Mandiant phát hiện ra rằng có hai loạt địa chỉ IP được sử dụng trong các vụ tấn công đều được đăng ký trong cùng một khu vực là tòa nhà của Đơn vị 61398.

“Đó chính là nơi tiến hành hơn 90% vụ tấn công mà chúng tôi theo dõi” – Mandia nói. Mandiant nói rằng APT1 gồm hàng trăm, thậm chí là hàng nghìn người có kỹ năng ưu việt về máy tính và mạng, nói tiếng Anh thành thạo.

Báo cáo của Mỹ cũng đưa ra một khả năng khác (nhưng mang tính châm chọc) - đó là ‘các tổ chức bí mật, đầy nguồn lực toàn những người nói tiếng Trung Quốc đại lục cùng với mối quan hệ trực tiếp tới hệ thống hạ tầng viễn thông đặt tại Thượng Hải có liên quan tới một chiến dịch tình báo quy mô doanh nghiệp suốt nhiều năm lại đặt ngay trước cổng của Đơn vị 61398”.

Những chi tiết thú vị nhất trong báo cáo của Mandiant chính là việc họ theo dõi các hành động trên bàn phím của các hacker mà hãng tin rằng họ làm việc cho PLA. Mandiant đã theo dõi hoạt động của họ từ bên trong hệ thống máy tính của các công ty của Mỹ mà các hacker này thâm nhập. Các công ty này sau đó trao cho Mandiant quyền tiếp cận toàn diện để đánh bật các hacker này.

Các vụ tấn công

Mandiant tin rằng Đơn vị 61398 đã tiến hành các vụ tấn công lẻ tẻ vào các mạng lưới máy tính của doanh nghiệp và chính phủ Mỹ. Lần đầu tiên được phát hiện là vào năm 2006. Các vụ đột nhập này thường kéo dài.

Trung bình, nhóm này có thể ở lại trong hệ thống, đánh cắp dữ liệu và các mật khẩu trong suốt 1 năm; một trường hợp khác họ ‘trú ngụ’ cho tới 4 năm và 10 tháng.

Báo cáo của Mandiant hầu như không nêu tên nạn nhân vì họ muốn được bảo mật. Nhưng theo một người biết về các kết quả điều tra của Mandiant, vụ tấn công năm 2009 vào hãng Coca-Cola trùng với thời điểm hãng nước ngọt khổng lồ này thất bại khi mua Tập đoàn nước giải khát Huiyan của Trung Quốc.

Khi mà các giám đốc của Coca-Cola đang thương lượng về một thương vụ đáng ra sẽ là vụ thua mua công ty Trung Quốc lớn nhất của nước ngoài, ‘Đội Bình luận’ đã lục lọi khắp các máy tính của hãng nước ngọt trong một nỗ lực dường như là để tìm hiểu thêm về chiến lược đàm phán của Coca-Cola.

Sau đó, các hãng khác của Mỹ cũng bị tấn công theo kiểu tương tự, có thể kể đến như RSA hay nhà thầu quốc phòng lớn nhất của Mỹ là Lockheed Martin.

Mandiant không phải là công ty tư nhân đầu tiên theo dõi ‘Đội Bình luận’. Năm 2011, một nhà nghiên cứu của hãng Dell SecureWorks là Joe Stewart đã phân tích phần mềm độc hại được sử dụng trong vụ tấn công RSA. Ông đã phát hiện ra rằng các hacker đã sử dụng một công cụ tin tặc để che dấu vị trí thật sự của mình.

Khi bóc tách được công cụ này, Stewart phát hiện ra rằng phần lớn dữ liệu bị mất cắp đều được chuyển tới các địa chỉ IP mà hãng Mandiant sau đó xác định ở Thượng Hải.

Dell SecureWorks nói rằng họ tin là ‘Đội Bình luận’ bao gồm cả nhóm tấn công đứng đằng sau vụ Chiến dịch Hắc ám RAT – chiến dịch tình báo máy tính rộng lớn kéo dài 5 năm bị phát hiện năm 2011 mà trong đó, hơn 70 tổ chức, cơ quan chính phủ quốc tế là mục tiêu.

Các đích đến của chiến dịch mà Dell SecureWorks liệt kê ra là Liên Hợp Quốc, các cơ quan chính quyền Mỹ, Canada, Hàn Quốc, Đài Loan và cả Việt Nam.

Lê Thu (theo NYT)