Các sĩ quan Trung Quốc bị Mỹ truy nã. Tài liệu do Bộ Tư pháp Mỹ cung cấp tại họp báo của Bộ trưởng Holder hôm 19/5
Để phân tích kỹ lưỡng và có cái nhìn tổng quan về bản báo cáo dài 60
trang của Công ty an ninh mạng Mandiant, phóng viên chuyên về ANTG đã
nhận được sự tư vấn nghiệp vụ của một chuyên gia về an ninh mạng (xin
giấu tên).
Chuyên gia này đã từng đảm trách công tác giảng dạy tại một trường
đại học chuyên về công nghệ có thứ hạng hàng đầu Châu Á, chuyên ngành
chống thư rác và cài mã độc qua email. Chuyên gia này cũng đã có thời
gian nghiên cứu sâu về mặt bằng an ninh mạng và giới hacker của Trung
Quốc.
Kẻ bí ẩn Mandiant là ai?
Năm 2014, công ty an ninh mạng Mandiant chính thức được thành lập.
Người sáng lập công ty khi tạo ra Mandiant, từ năm 2000 – 2013, Kevin
đảm nhận chức danh Giám đốc bộ phận Thám tử máy tính tại Founstore (đã
sáp nhập vào Tập đoàn McAfee với phần mềm diệt virus McAfee nổi tiếng).
Lý lịch của Kevin cho biết: Từ năm 1993 – 1998, Kevin là sĩ quan của
Không lục Mỹ, đảm nhận nhiều nhiệm vụ quan trọng: Sĩ quan an ninh máy
tính tại Tập đoàn Thông tin số & của Lầu Năm Góc, đặc vụ tại Bộ phận
Điều tra đặc biệt trong Văn phòng không quân.
Năm 1998 – 2000, ông là Giám đốc An ninh thông tin cho Sytex (sau đó
đã sáp nhập vào Hãng Lockheed Martin). Tài năng kinh doanh của viên cựu
sĩ quan quân đội Mỹ này cũng được ghi nhận thông qua sự phát triển thành
công của Mandiant: vào năm 2011, Kevin đã được Tập đoàn Ernst@Young
vinh danh là doanh nhân của năm tại Washington.
Tháng 2 – 2013, cả thế giới biết đến cái tên Mandiant khi công ty này
tung ra bản báo cáo công phu đến từng chi tiết, cáo buộc một đơn vị bí
mật có mã hiệu 61398, trực thuộc quân đội Trung Quốc, có liên quan đến
việc tấn công mạng, lấy cắp thông tin các công ty của Mỹ suốt từ năm
2004 cho đến nay.
Bản báo cáo đã gây sóng gió trong quan hệ ngoại giao Trung – Mỹ đã
vốn đầy vấn đề nhạy cảm. Liên tục, Bộ Ngoại giao và Bộ quốc phòng Trung
Quốc đưa ra các thông cáo phủ nhận cáo buộc này.
Tháng 12 – 2013, 10 tháng sau khi tung ra bản báo cáo đình đám,
Mandiant bất ngờ sáp nhập vào Công ty an ninh mạng FireEye, nhưng vẫn
hoạt động độc lập dưới danh nghĩa một công ty con của FireEye.
Bản thân Kevin Mandia cũng trở thành Phó chủ tịch kiêm Giám đốc điều
hành cho FireEye. Giới công nghệ đánh giá đây là một cuộc “kết hôn” đầy
ngoạn mục, đẩy giá thị trường chứng khoán của FireEye vượt qua con số 1
tỉ USD.
Nằm trong “đế chế bảo mật” FireEye, theo nhận định của các chuyên gia
bảo mật, Mandiant càng không sợ trả những đòn đũa từ giới Hacker Trung
Quốc. Chủ tịch HĐQT kiêm Tổng giám đốc của FireEye chính là David
Dewalt, cựu Chủ tịch kiêm Tống giám đốc của hãng bảo mật khổng lồ
McAfee.
Dàn nhân sự “khủng” của FireEye không thể không kể đến Ashar Aziz,
Phó chủ tịch HĐQT kiêm Giám đốc chiến lược. Trước khi đầu quân cho
FireEye, Ashar Aziz làm việc 12 năm tại Sun Microsystem, và cũng chính
là người sáng lập ra Terrasring, một trung tâm dữ liệu tự động và công
ty ảo, sau này được gã mua bởi gã khổng lồ Sun Microsystem.
Bảng vàng nhân sự của FireEye còn được tiếp nối bởi Phó chủ tịch phụ
trách sản phẩm, Manish Gupta, người từng đảm nhiệm những vị trí quan
trọng trong những “đế chế” về công nghệ thông tin như Cisco, McAfee,
Redback Networks và Intel. Phó chủ tịch phụ trách hợp tác phát triển Ken
Gonzalez cũng đã từng nắm những vị trí quan trọng tại các “ông lớn” về
bảo mật như Avast, McAfee và Siebel…
Nhận định về năng lực của Mandiant thông qua bản báo cáo, chuyên gia
cố vấn cho PV ANTG cho biết, ông đánh giá rất cao về hệ thống cơ sở hạ
tầng mạng của Mandiant. Nếu không duy trì cơ sở vật chất là các điểm
theo dõi mạng khắp nơi trên thế giới, họ không thể truy được nguồn của
các cuộc tấn công mạng lại xuất phát từ Trung Quốc.
Do hacker Trung Quốc tấn công khắp nơi trên thế giới: Mỹ, Cannada,
Pháp, Anh, Thụy Sỹ, Na Uy, Bỉ, Luxemborg, Isarel, Tiểu vương quốc Arập
thống nhất, Ấn Độ, Nam Phi, Đài Loan, Nhật Bản…, đòi hỏi Mandiant cũng
phải thực hiện theo dõi khắp nơi trên thế giới, thì mới đo được lưu
lượng mạng, từ đó truy xuất ngược.
Việc một công ty an ninh mạng tư nhân có thể có đủ tiềm lực tài chính
cũng như quan hệ với các chính phủ sở tại để đặt các điểm theo dõi lưu
lượng mạng ở khắp nơi trên thế giới đã chứng tỏ năng lực không đơn giản
của Mandiant.
Điều thứ 2 được đánh giá cao của Mandiant chính là đội ngũ chuyên gia
phân tích an ninh mạng. Sau khi các dữ liệu được thu thập, họ phải phân
tích và suy luận, đặt giả thiết. Trong vô vàn giả thiết, họ phải đưa ra
những kết luận cuối cùng. Và kết luận của Mandiant đã khiến các chuyên
gia trong lĩnh vực sửng sốt, bởi nó đã chỉ ra mọi ngóc ngách của đội ngũ
hacker có bí số 61398 chuyên sử dụng các kỹ thuật tình báo có trụ sở
tại Thượng Hải,Trung Quốc này.
Từ việc Hacker của 61398 sử dụng những công cụ gì, trên mạng đăng ký
những tên miền nào, các thói quen của hacker ra sao, hợp đồng sử dụng
cáp quang cao tốc như thế nào, địa chỉ hacker ở đâu, nơi làm việc của
họ, trình độ ngoại ngữ, các thông báo tuyển dung nhân sự… đều bị các
chuyên gia phân tích của Mandiant “bóc trần” và đưa vào trong báo cáo…
61398 là ai?
Bản báo cáo của Mandiant cho biết họ tin rằng Đơn vị 61398, cũng có
thể là Cục 2, trực thuộc Tổng cục 3 của Bộ Tổng tham mưu Quân giải phóng
nhân dân Trung Quốc (Quân đội Trung Quốc sử dụng hệ thống kí tự 5 chữ
số để phiên hiệu cho các đơn vị, nhằm đảm bảo giữ bí mật).
Nắm 2011, Dự án có bí số 2049 báo cáo rằng Đơn vị 61398 “tập trung
vào địa bàn Mỹ và Cannada, với các lĩnh vực như chính trị, kinh tế và
tình báo liên quan đến quân sự”.
Những nghiên cứu chuyên sâu của Mandiant cho thấy Đơn vị 61398 chuyên
thực hiện các chiến dịch trên mạng máy tính này không chỉ giới hạn địa
bàn Mỹ và Canad, mà còn mở rộng tới các tổ chức tại các quốc gia mà ở đó
tiếng Anh được sử dụng như ngôn ngữ chính.
Săn lùng các thông tin hiếm hoi về Đơn vị 61398, tuy đã bị xóa kỹ
lưỡng nhưng vẫn còn rơi rớt trên diễn đàn do sơ hở của các thành viên,
các chuyên gia của Mandiant cho biết hệ thống nhân sự của Đơn vị 61398
tập trung vào các chuyên môn sau: mã hóa, ngôn ngữ tiếng Anh, hệ điều
hành nội bộ, xử lý tín hiệu điện tử và an ninh mạng.
Căn cứ vào quy mô của trụ sở cao 12 tầng tại địa chỉ 208 đường Datong
tại khu Tân Phố Đông, Thượng Hải, Mandiant ước tính Đơn vị 61398 có
hàng trăm nhân viên, thậm chí lên tới hàng nghìn.
Một hợp đồng ký kết về lắp đặt cáp quang của China Telecom rơi vào
tay Mandiant đã cho thấy Đơn vị 61398 được sử dụng hệ thống cáp quang
đặc biệt “vì mục đích quốc phòng”.
Từ năm 2006, Đơn vị 61398 đã tấn công và ăn trộm hàng trăm terabytes
dữ liệu từ ít nhất là 141 tổ chức trên nhiều lĩnh vực. Sau khi thâm nhập
được mạng của nạn nhân, các hacker duy trì sự theo dõi dài hàng năm
trời để ăn trộm số lượng lớn các dữ liệu về các lĩnh vực công nghệ thông
tin, giao thông vận tải, các thiết bị điện tử công nghệ cao, dịch vụ
tài chính, dữ liệu định vị, dịch vụ kĩ thuật, giải trí quảng cáo và
truyền thông, nông nghiệp và thực phẩm, hóa học, năng lượng, dữ liệu về
các tổ chức quốc tế, quản lý công…
Những công ty lớn của Mỹ như gã khổng lồ Coca-cola cũng đã trở thành
nạn nhân của 61398. Năm 2009, Coca-cola đã cố gắng mua lại Tập đoàn nước
trái cây Huiyuan. Theo như các báo cáo, tin tặc Trung Quốc đã cố gắng
lấy trộm thông tin vè chiến lược đàm phán của Coca-cola cũng như đề xuất
mua bán. Thương vụ đột ngột bị hủy bỏ chỉ sau khi Coca-cola bị tin tặc
viếng thăm có mấy ngày. Chính phủ Trung Quốc thông báo không chấp nhận
thương vụ này do những căn cứ không đáng tin cậy.
Hãng bảo mật RSA cũng là nạn nhân của 61398 vào năm 2011. Tin tặc đã
kiểm soát được một số quyền an ninh để tiếp cận hệ thống của RSA, nhóm
tin tặc này đã tấn công Công ty quốc phòng và vụ trụ của Lookhees
Martin.
Thủ đoạn chung của tin tặc ở Đơn vị 61398 được thuật lại khá giống
nhau: bắt đầu từ những thư điện tử được viết rất thông minh và hoàn hảo
về ngôn ngữ tiếng Anh. Điều này rất dễ khiến các nhân viên mất cảnh giác
vì tưởng rằng đây là email từ các đồng nghiệp thuộc công ty có chứa các
phần mềm mã độc, được thiết kế để thâm nhập mạng nội bộ của công ty.
Đánh giá về phương thức hoạt động của các tin tặc thông qua báo cáo
về nhân sự của Mandiant đã cung cấp, chuyên gia bảo mật cho chúng tôi
biết ông đánh giá cao của Đơn vị 61398 trong việc tuyển dụng nhân viên
thông thạo tiếng Anh là điều then chốt.
Chuyên gia này cho biết, những nhân sự thông thạo tiếng Anh luôn là
thành tố quan trọng trong đội ngũ của hacker. Kẻ này sẽ đóng 2 vai trò
vô cùng quan trọng: lên các diễn đàn hacker để cập nhật công cụ, và viết
email để lừa nạn nhân.
Giới hacker có những diễn đàn “trao đổi kinh nghiệm” vô cùng cởi mở.
Những công cụ mới để hack, những lỗ hổng bảo mật của các sản phẩm tin
học hay các doanh nghiệp luôn được chia sẻ hào phóng cho các thành viên.
Có những lỗ hổng bảo mật được chia sẻ nhanh tới mức các hacker chia sẻ
cho nhau chán rồi thì các nhân viên bảo mật của hãng đó mới phát hiện
ra.
Nhưng có một điều kiện tiên quyết: Chúng luôn được chia sẻ bằng tiếng
Anh. Chính vì vậy, một đội ngũ chuyên gia thành thạo tiếng Anh sẽ là
tài sản quý trong đội ngũ hacker ở những quốc gia mà tiếng Anh không
phải là ngôn ngữ chính.
Bên cạnh đó, những kẻ thông thạo tiếng Anh sẽ tạo ra những email
“thân thiện” như chính người bản xứ viết. Đặc biệt, khi hacker nắm được
thông tin về người thân của nạn nhân, chúng sẽ tạo ra được những email
viết đúng với giọng người đó, không tạo nên bất cứ sự nghi ngờ nào cho
nạn nhân.
“Chiến lược và cách thức tấn công của 61398 không có gì mới lạ, nhưng
họ được chuẩn bị kỹ càng về công cụ, điều kiện và cơ sở vật chất lẫn
đội ngũ hỗ trợ”, chuyên gia bảo mật này đánh giá.
Không có nhận xét nào:
Đăng nhận xét