Công bố bằng chứng quân đội Trung Quốc đứng sau các cuộc tấn công mạng

Quân đội Trung Quốc bị tố điều khiển Nhóm Thượng Hải tiến hành 141 vụ tấn công xâm nhập máy tính của hàng loạt tổ chức và công ty trong sáu năm.

Ngày 19-2 (giờ địa phương), báo New York Times (Mỹ) cho biết Công ty an ninh mạng Mandiant của Mỹ sẽ công bố báo cáo dài 60 trang đưa ra các bằng chứng cho thấy đơn vị 61398 của quân đội Trung Quốc (TQ) đã điều hành một nhóm tin tặc mang tên Nhóm Thượng Hải để tấn công mạng và đánh cắp dữ liệu của 141 tổ chức và công ty trong sáu năm qua. Các nạn nhân hoạt động ở 20 lĩnh vực, chủ yếu ở các nước nói tiếng Anh, trong đó có các nhà thầu quân sự, công ty khai khoáng, viễn thông, hóa chất...

Đơn vị tin tặc bí ẩn tại Thượng Hải

Báo New York Times cho biết công ty Mandiant đã cung cấp trước bản sao báo cáo này cho báo. Báo cáo cho biết tổng hành dinh của đơn vị 61398 là một tòa nhà 12 tầng ở ngoại ô Thượng Hải. Xung quanh tòa nhà là các nhà hàng và cơ sở massage.

Đơn vị 61398 có tên gọi chính thức là Văn phòng 2 của Cục 3 thuộc Bộ Tổng tham mưu Quân đội giải phóng Nhân dân TQ. Các chuyên gia tình báo Mỹ nhận định đơn vị 61398 là lực lượng nòng cốt của bộ máy gián điệp máy tính TQ.

Đây là lần đầu tiên một công ty an ninh mạng của Mỹ theo dõi và phát hiện Nhóm Thượng Hải, nhóm tin tặc tinh vi nhất trong các nhóm tin tặc TQ làm việc tại đơn vị 61398. Trước đó, nhiều công ty an ninh tư nhân của Mỹ cũng cho rằng Nhóm Thượng Hải được nhà nước TQ bảo trợ nhưng chưa nắm được bằng chứng rõ ràng.

Báo New York Times (Mỹ) ngày 31-1 tố cáo tin tặc Trung Quốc xâm nhập vào hệ thống của báo liên tục bốn tháng. Biếm họa của báo La Prensa (Panama)
​

Theo báo cáo, Công ty Mandiant đã phát hiện Nhóm Thượng Hải thực hiện vụ xâm nhập máy bắt đầu từ năm 2006. Trong khi đó, các cơ quan tình báo Mỹ và các công ty an ninh tư nhân cho biết đang theo dõi khoảng 20 nhóm tin tặc TQ mà dường như là nhà thầu làm thuê có liên hệ với đơn vị 61398.

Báo cáo cho biết một trong những lý do công ty Mandiant công bố báo cáo vì tháng trước Bộ Quốc phòng TQ chỉ trích các cáo buộc không có căn cứ và thiếu chuyên nghiệp cho rằng quân đội TQ phát động nhiều vụ tấn công mạng máy tính ở nước ngoài.

Công ty Mandiant theo dõi các hoạt động của Nhóm Thượng Hải từ bên trong hệ thống máy tính của các công ty Mỹ mà các thành viên này xâm nhập.

Dựa vào các manh mối số hóa mà Nhóm Thượng Hải để lại, công ty biết được nhóm này thường sử dụng cùng mã độc, tên miền web, địa chỉ IP và các công cụ và kỹ thuật tin tặc trong tấn công. Điểm xuất phát các vụ tấn công là khu vực rìa quận Phố Đông, TP Thượng Hải, ngay chính tổng hành dinh của đơn vị 61398.

Báo cáo có kèm theo 3.000 địa chỉ và dấu hiệu khác để xác định nguồn gốc các vụ tấn công. Báo cáo kết luận toàn bộ các bằng chứng đều dẫn đến kết luận Nhóm Thượng Hải xuất phát từ đơn vị 61398. Mandiant đã phát hiện nhiều địa chỉ IP được sử dụng trong các vụ tấn công đều đăng ký ở tổng hành dinh của đơn vị 61398.

Giám đốc điều hành Công ty Kevin Mandia cho biết tổng hành dinh này là nơi xuất phát hơn 90% số vụ tấn công mà Công ty Mandiant theo dõi. Bản báo cáo kết luận với giọng điệu mỉa mai: “Chỉ một khả năng duy nhất nữa là một tổ chức bí mật, hùng hậu toàn những người nói tiếng Trung có thể tiếp cận trực tiếp hệ thống cơ sở hạ tầng viễn thông đặt ở Thượng Hải tham gia chiến dịch gián điệp máy tính có quy mô lớn nằm ngay bên ngoài các cánh cổng của đơn vị 61398”.

Tòa nhà ở ngoại ô Thượng Hải (Trung Quốc) được đơn vị 61398 sử dụng làm tổng hành dinh. Ảnh: NEW YORK TIMES
​

Đe dọa cơ sở hạ tầng

Theo báo cáo của Công ty Mandiant, một năm là thời gian trung bình Nhóm Thượng Hải ở lại trong một mạng máy tính, đánh cắp dữ liệu và mật khẩu. Cá biệt có vụ xâm nhập kéo dài đến bốn năm, 10 tháng.

Công ty cho biết ban đầu Nhóm Thượng Hải thực hiện các vụ tấn công không thường xuyên vào mạng máy tính chính phủ và các doanh nghiệp Mỹ. Cách đây hai năm, số vụ tấn công bắt đầu tăng lên, trong đó có một số vụ xâm nhập kéo dài. Nhóm này thường lấy cắp các đề án công nghệ, quy trình sản xuất, kết quả các cuộc thử nghiệm lâm sàng, các chiến lược đàm phán và các thông tin độc quyền khác từ hơn 100 khách hàng của Mandiant, hầu hết ở Mỹ.

Báo cáo của Mandiant giữ bí mật tên của các công ty bị tấn công. Tuy nhiên, những người có thông tin thêm bên ngoài về bản báo cáo cho biết một vụ tấn công vào Tập đoàn Coca-Cola (Mỹ) vào năm 2009 do Nhóm Thượng Hải tổ chức trùng với thời điểm Coca-Cola thất bại trong nỗ lực thâu tóm Tập đoàn nước ép Hối Nguyên (TQ) với giá 2,4 tỉ USD. Nhóm Thượng Hải đã thâm nhập vào hệ thống máy tính của Coca-Cola đã lấy cắp chiến lược đàm phán vụ thâu tóm.

Điều làm những người soạn bản báo cáo lo ngại là trong các cuộc tấn công gần đây, Nhóm Thượng Hải tập trung tìm cách kiểm soát các cơ sở hạ tầng trọng yếu của Mỹ.Theo báo cáo, Nhóm Thượng Hải đang tăng cường tập trung tấn công lấy cắp dữ liệu của các công ty hoạt động trong các lĩnh vực cơ sở hạ tầng trọng yếu của Mỹ như mạng lưới điện lực, các đường ống dẫn khí đốt, hệ thống cung cấp nước.

Năm 2011, nhóm này cũng tấn công Công ty an ninh mạng máy tính RSA (Mỹ), đang cung cấp dịch vụ bảo vệ dữ liệu mật nhiều doanh nghiệp và chính phủ Mỹ. Từ dữ liệu lấy cắp được của RSA, nhóm này đã xâm nhập mạng máy tính của Tập đoàn quốc phòng Lockheed Martin (lớn nhất nước Mỹ).

Chính phủ Mỹ đã biết trước?

Mặc dù chính phủ Mỹ chưa bao giờ công khai đề cập đến các hoạt động của đơn vị 61398 nhưng một điện tín của Bộ Ngoại giao Mỹ viết trước ngày ông Obama được bầu làm tổng thống vào tháng 11-2008 đã bày tỏ các lo ngại về các cuộc tấn công của đơn vị 61398 nhằm vào các trang web của chính phủ Mỹ, trong đó có trang web của Bộ Ngoại giao và Bộ Quốc phòng Mỹ. Điện tín tiết lộ các tin tặc của đơn vị 61398 gửi các email có gài mã độc đến các máy tính. Khi người nhận mở email, tin tặc có thể xâm nhập vào hệ thống và lấy cắp dữ liệu.

Tuy nhiên, chính phủ Mỹ không công khai tố cáo các vụ xâm nhập này, một mặt là vì vấn đề nhạy cảm ngoại giao, mặt khác là để âm thầm theo dõi các hoạt động của đơn vị 61398.

Trong bản thông điệp liên bang ngày 12-2, Tổng thống Obama đã đề cập đến mối lo ngại tin tặc tấn công Mỹ mặc dù không đề cập đến TQ. Ông nói: “Chúng ta biết các quốc gia và các công ty nước ngoài ăn cắp các bí mật doanh nghiệp của chúng ta. Giờ đây, kẻ thù của chúng ta đang tìm cách phá hoại mạng lưới điện, các tổ chức tài chính và các hệ thống kiểm soát không lưu của chúng ta. Chúng ta không thể nhìn lại những năm đã qua và tự hỏi tại sao chúng ta đã không làm gì cả”.

Theo báo New York Times, từ ngày 19-2, chính phủ Mỹ sẽ bắt đầu khởi động một chương trình phòng vệ mạnh mẽ hơn nhằm chống tin tặc TQ. Theo một sắc lệnh được Tổng thống Obama ký tuần trước, chính phủ Mỹ sẽ chia sẻ với các nhà cung cấp dịch vụ Internet của Mỹ các thông tin chính phủ thu thập được về các chữ ký số hóa của các nhiều nhóm tin tặc, trong đó có Nhóm Thượng Hảivà các nhóm khác có nguồn gốc gần trụ sở đơn vị 61398.

- Sau khi được hỏi về các vấn đề nêu trong báo cáo của Công ty Mandiant, các quan chức Đại sứ quán TQ ở Washington ngày 18-2 khăng khăng rằng chính phủ TQ không tham gia các hoạt động tin tặc và xem đó là hành động bất hợp pháp. Họ nói rằng ngay cả TQ cũng là nạn nhân của bọn tin tặc và cho rằng ngay tại Mỹ cũng có nhiều nhóm tin tặc.

- Phản ứng trước báo cáo trên, nghị sĩ Mike Rogers, Chủ tịch Ủy ban Tình báo Hạ viện Mỹ, cho rằng báo cáo hoàn toàn nhất quán với kiểu hoạt động tin tặc mà ủy ban đã phát hiện trước đó.Ông cảnh báo nếu Mỹ không phản ứng, các tin tặc TQ sẽ tiếp tục gia tăng tấn công.

- Người phát ngôn Hội đồng An ninh quốc gia Nhà Trắng Tommy Vietor cho biết Nhà Trắng có biết về bản báo cáo của Mandiant. Ông nói: “Chúng tôi đã nhiều lần nêu ra các lo ngại ở các cấp độ cao nhất về tin tặc với các quan chức cấp cao TQ gồm cả các quan chức quân sự và chúng tôi sẽ tiếp tục làm như vậy”.

Theo Pháp luật thành phố​