Mối nguy hiểm từ tin tặc Trung Quốc

121

Những hiểu biết của bạn về “tin tặc Trung Quốc” ???

Bạn làm việc ở trong các công ty điện tử, ngân hàng, các công ty nội dung số … – bạn có thể đang bị hack. Bạn đang làm việc trong một tập đoàn lớn với các chuyên gia bảo mật – bạn cũng có thể đang bị hack. Các tin tắc Trung Quốc đã xâm nhập vào các mạng máy tính trên thế giới trong hơn ba thập kỷ vừa qua.

Năm 2011 Trung Quốc đã thừa nhận lần đầu tiên rằng nước này đã rót hàng chục triệu USD vào thành lập 30 đơn vị lính biệt kích mạnh các chiến binh không gian mạng được gọi là Quân đội Xanh. Đội này được cho là được huấn luyện để cải thiện an ninh cho các lực lượng quân sự nước này và bảo vệ Quân Giải phóng Nhân dân (PLA) khỏi bị tấn công vào các mạng từ bên ngoài. Quân đội Xanh, được tin tưởng đã có kinh nghiệm 4 năm nay, hiện dưới sự chỉ huy của Chỉ huy Quân sự Quảng Đông. Dù được cho là được thành lập cho những mục đích phòng vệ, thì hầu hết các chính phủ trên thế giới sợ rằng sự tiết lộ đó có lẽ khẳng định những nghi ngờ rằng các cuộc tấn công không gian mạng vào các hệ thống của họ quả thực là có xuất xứ từ Trung Quốc.

Thời gian gần đây, quốc gia đông dân nhất thế giới liên tục dính cáo buộc cố tình tiến hành các vụ tấn công ảo, như báo The New York Times hồi tháng 1 khẳng định họ là nạn nhân của tin tặc Trung Quốc, tiếp đến là Wall Street Journal, Facebook, Apple, Microsoft và một loạt công ty khác cùng bị tấn công theo cách tương tự. Tháng 5, Mỹ công bố báo cáo cho rằng chính phủ và quân đội Trung Quốc có liên quan đến chiến dịch do thám trên Internet với quy mô lớn nhằm vào chính phủ và mạng lưới máy tính doanh nghiệp Mỹ.

Gương mặt hacker Trung Quốc

Một nhà nghiên cứu tình báo tại Ấn Độ có bút danh là Cyb3rsleuth đặc biệt quan tâm tới vấn đề tin tặc Trung Quốc. Trong khi các hãng an ninh của Mỹ lần theo các tin tặc Trung Quốc thường chỉ dừng lại ở mức độ xác định danh tính của các cá nhân, nhưng Cyb3rsleuth thì đi xa hơn rất nhiều khi lần theo các tin tặc này trên các trang mạng xã hội và diễn đàn Internet để có cái nhìn rõ ràng hơn xem các tin tặc này là người như thế nào.

tq1

 

Tòa nhà 12 tầng mà Mỹ tố cáo là trụ sở của đơn vị 61398, chuyên tiến hành các vụ tấn công mạng quy mô nghiêm trọng vào các công ty Mỹ và thế giới. Ảnh: NYTimes

Cho đến lúc này, Cyb3rsleuth đã lần ra 10 hacker Trung Quốc. Một trong số đó là Zhang Changhe, 33 tuổi. Cyb3rsleuth cho biết Zhang là một ‘trợ lý giáo sư’ tại Đại học Kỹ thật Thông tin Quân đội Nhân dân Trung Quốc.

Cyb3rsleuth đã thu thập được các tấm ảnh của Zhang từ blog của tin tặc này trên trang chat phổ biến của Trung Quốc là QQ.

Ngoài công việc liên quan tới tấn công mạng, Zhang còn có nghề tay trái là bán điện thoại và các công việc trái phép trên Facebook và Twitter. Zhang tự nhận mình là một người theo đạo Phật, nhưng blog của Zhang đã phản ánh việc anh đã đi ngược lại lời giáo huấn như thế nào khi thừa nhận những năm trước mình đã ‘liên tục ăn cắp một cách không biết xấu hổ’.

Trong số các hacker bị lộ, rất nhiều người có mối quan hệ với các học viện. Cyb3sleuth phát hiện ra một mục tiêu khác là Mei Quang là đồng tác giả trong các bài luận hàn lâm vào năm 2007-2008 về các kỹ thuật tin tặc.

Tờ Los Angles Times cũng lật mặt một tin tặc khác của Trung Quốc. Người này cũng là tác giả các bài luận hàn lâm.

Việc nhiều hacker Trung Quốc bị phơi bày khiến nhiều người bị công khai danh tính ngoài ý muốn. (Cyb3rsleuth nói rằng một số hacker đã hạ thông tin cá nhân của mình sau khi ông công bố danh tính của họ trên blog). Nhưng chưa rõ liệu những hacker này có bị hậu quả gì rõ ràng không.

“Tôi dám chắc là blog của tôi đang bị Trung Quốc theo dõi” – Cyb3rsleuth nói. “Tôi nhận được rất nhiều email có gắn file đính kèm từ những người lạ mặt”.

Động cơ

Một số tin tặc được lôi kéo tấn công mạng vì yêu nước, số khác nộp đơn xin làm việc và những người khác được tuyển dụng từ nhà trường.

Hồi tháng Hai, sau khi hãng an ninh mạng của Mỹ là Mandiant công bố báo cáo cáo buộc rằng đơn vị 31698 của Trung Quốc có trụ sở ở Thượng Hải đứng đằng sau các vụ tấn công mạng, các cư dân mạng Trung Quốc đã tìm thấy một quảng cáo tuyển dụng cho nhóm này trên website của Đại học Zhejiang.

Nội dung đoạn quảng cáo này như sau: “Các sinh viên tốt nghiệp đã nhận được thông báo rằng đơn vị 61398 của Quân đội Nhân Dân Trung Quốc (PLA) (tại phường Pudong, Thượng Hải) đang muốn tuyển mộ các sinh viên tốt nghiệp ngành khoa học máy tính lớp 2003.

Các sinh viên nào ký vào hợp đồng phục vụ sẽ nhận được một suất học bổng quốc phòng nhà nước trị giá 5.000 Nhân dân tệ mỗi năm. Sau khi tốt nghiệp, các sinh viên này sẽ làm việc trong lĩnh vực tương tự trong PLA”.

Ngay sau báo cáo của Mandiant, Chính phủ Trung Quốc nói rằng cáo buộc trong tài liệu này của Mỹ là ‘vô căn cứ’, và không tồn tại đơn vị nào như vậy trong PLA.

Đối tượng tấn công

Các công ty, nhóm cố vấn, trường đại học, các cơ quan chính phủ và tổ chức phi chính phủ với thông tin tình báo đáng giá đều là các mục tiêu tiềm năng của hacker Trung Quốc.

Giám đốc công ty an ninh mạng CrowdStrike là Adam Meyers nói rằng các nhóm khác nhau ở Trung Quốc có các mục tiêu tấn công khác nhau.

Như nhóm SamuraiPanda thì tấn công các công ty hóa chất, ngân hàng, công ty công nghệ không gian ở các quốc gia châu Á.

Nhóm AnchorPanda thì nhằm vào các mục tiêu hàng hài gần với Hạm đội Nam Hải của Hải quân PLA, và các công ty Mỹ, châu Âu với công nghệ hàng hải có giá trị.

NumberedPanda lại lùng sục thông tin tình báo nhạy cảm, chẳng hạn như các thông tin về hoạt động làm sạch khu vực Fukushima của Nhật Bản.

Một trong những vụ việc gần đây nhất là hãng Dell SecureWorks phát hiện ra một nhà thầu quốc phòng của và một công ty năng lượng của Mỹ, cùng với một trường đại học lớn nghiên cứu dự án quân sự đều bị tấn công. Số lượng dữ liệu bị thất thoát chưa rõ là bao nhiêu

Cẩn trọng với tin tặc Trung Quốc

Tháng 3-2013 Đại tá Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), trở thành đối tượng tấn công có chủ ý của hacker Trung Quốc.

Cụ thể vào ngày 5.3, ông Hòa có nhận được một thư điện tử gửi đích danh “TS Trần Văn Hòa, C15, BCA” từ địa chỉ email mang tên của một cán bộ thuộc Bộ Khoa học – Công nghệ. Email có chữ ký với đầy đủ thông tin, số điện thoại di động của người gửi, kèm theo một tập văn bản đính kèm là công văn mang tên “CV xin xác nhận LLKH-CN.doc”.

Nhận thấy email này có một số điểm nghi vấn, đại tá Hòa liên lạc lại với người gửi thì được biết email này thực ra đã bị đánh cắp password từ lâu và hiện chủ sở hữu đã mất quyền sử dụng. Người gửi email cũng không hề quen biết đại tá Hòa.

Bằng các biện pháp nghiệp vụ, cơ quan chuyên môn đã xác định được email này được đưa lên máy chủ của Yahoo từ một máy tính nối mạng có địa chỉ IP 118.145.2.250 tại Bắc Kinh (Trung Quốc), thông qua một công ty cung cấp dịch vụ internet có tên Beijing Hua Si Wei Tai Ke Technology Co.Limited.

Lấy file văn bản đính kèm đi giải mã, cơ quan cảnh sát phát hiện đây là một vi rút backdoor có chức năng gửi truy vấn tới máy chủ ctymailinh.vicp.cc có địa chỉ IP là 182.242.233.53 (thuộc Côn Minh, Vân Nam, Trung Quốc, thông qua nhà cung cấp dịch vụ Chinanet Yunnan Province Network) và tải các phần mềm từ máy chủ này về. Nếu như không bị phát hiện và ngăn chặn, vi rút này sẽ bắt đầu quá trình âm thầm đánh cắp dữ liệu mà nạn nhân không hề biết.

Hình thức phát tán vi rút của hacker vào máy của nạn nhân rất tinh vi và được ngụy trang rất tỉ mỉ để làm cho nạn nhân sập bẫy. Sau khi cài đặt thành công “cửa hậu” (backdoor), vi rút này không hề phá hoại máy tính của người sử dụng mà chỉ nằm im đó để đưa dữ liệu đến những địa chỉ đã định trước.

tq2

Nguồn gốc tấn công vào email của lãnh đạo Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao được xác định đến từ Trung Quốc – Nguồn: Đại tá Trần Văn Hòa

Theo thống kê của Công ty an ninh mạng Bkav, trong năm 2012 có tới 2.203 website của các cơ quan, doanh nghiệp tại VN bị tấn công, chủ yếu thông qua các lỗ hổng trên hệ thống mạng. So với 2011 con số này hầu như không giảm. Bên cạnh đó, theo báo cáo của Hiệp hội An toàn thông tin VN (VNISA) năm 2012, VN tuy nằm trong nhóm 5 nước đứng đầu thế giới về người dùng internet nhưng xếp thứ 15 về lượng phát tán mã độc, thứ 10 về tin rác, thứ 15 về zombie (máy tính bị mất kiểm soát). Trong số 100 website thuộc chính phủ có đến 78% có thể bị tấn công toàn diện. Năm 2012 cũng đã xuất hiện nhiều biến thể vi rút ăn cắp tài khoản ngân hàng trực tuyến, các kết nối ngầm và các mã độc chuyên dùng để đánh cắp thông tin có chủ đích.

Theo ông Ngô Việt Khôi, Giám đốc Hãng bảo mật TrendMicro tại thị trường VN và Campuchia, hình thức tấn công có chủ đích đến những đối tượng cụ thể với mục tiêu đánh cắp thông tin, dữ liệu ngày càng gia tăng. Và thông thường đứng sau các vụ tấn công này là một quốc gia hoặc một chính phủ nào đó. Trước quá trình tấn công, hacker nghiên cứu rất rõ hệ thống máy tính của nạn nhân và sẽ thiết kế những vi rút theo kiểu may đo cho từng đối tượng cụ thể.

Bên cạnh đó, hacker cũng sẽ lợi dụng những điểm yếu mang tính “con người” của nạn nhân. Ví dụ để đánh cắp dữ liệu từ máy tính của một lãnh đạo bộ, ngành nào đó mà vị này không “online”, hacker có thể tấn công gián tiếp vào máy của thư ký hay trợ lý bằng cách gửi các đường link có chứa mã độc qua các mạng xã hội, các diễn đàn mà thư ký của lãnh đạo này tham gia. Các vi rút này sau đó sẽ tự động dùng gửi email từ địa chỉ của thư ký đến lãnh đạo và qua đó cài đặt malware lên máy của nạn nhân. Nhiều malware như vậy sẽ giúp hacker “vẽ” ra được hệ thống máy tính của cơ quan nạn nhân và đẩy các thông tin cần thu thập ra ngoài. Điều nguy hiểm là hầu hết các mã độc được cài đặt theo cách tấn công này đều qua mặt các phần mềm diệt vi rút, bảo mật hiện đang có trên thị trường. Cũng theo ông Khôi, thống kê cho thấy trong số các mã độc được gửi qua email thì 70% được ẩn trong các file văn bản hoặc bảng tính khiến nạn nhân không nghi ngờ.

Theo ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng Bkav, các kịch bản thường thấy mà các phần mềm gián điệp tấn công vào các đối tượng xác định gồm: chèn spyware vào các website tải phần mềm, đánh cắp tài khoản email để gửi “file tài liệu” và giả mạo email. Các phần mềm gián điệp này sẽ ghi lại hoạt động của bàn phím, chụp lén màn hình hoặc quay video, ghi âm trộm thông qua webcam và thu thập, đánh cắp bất kỳ file nào.

Ông Đức cho rằng, hiện tại có bao nhiêu máy tính/máy chủ bị cài đặt mã độc, bao nhiêu dữ liệu bị đánh cắp, thay đổi là điều chưa thể xác định được. Và nguy hiểm hơn thông qua các mã độc này vào thời điểm nào đó rất có khả năng sẽ được kích hoạt lệnh phá hủy ổ cứng gây ra những thiệt hại nghiêm trọng.