Thursday, February 28, 2013

Thực hư xung quanh đơn vị 61398

image

Tổng thống Mỹ Obama cảnh báo rằng đe dọa từ mạng là một trong những thách thức nghiêm trọng nhất đối với quốc gia, còn Bộ trưởng Quốc phòng Leon Panetta thì nói an ninh mạng thực sự quan trọng khi một số nước đang có khả năng tạo ra một “vụ Trân Châu Cảng trên mạng”.

Vấn đề này được đặt ra sau khi một báo cáo dài 74 trang của Công ty An ninh mạng Mandiant của Mỹ đưa ra những khuyến cáo nhạy cảm. Lập tức quan hệ Mỹ - Trung lại trở nên căng thẳng sau khi Washington tố cáo Bắc Kinh đứng sau các vụ tấn công mạng, cùng những vụ đánh cắp thông tin nhạy cảm.

Từ cáo buộc của Mỹ và phản ứng của Trung Quốc
Trong báo cáo dài 74 trang được công bố hôm 19/2, Công ty An ninh mạng Mandiant (có trụ sở tại bang Virginia, Mỹ) khẳng định: Quân giải phóng nhân dân Trung Quốc (PLA) đứng đằng sau vụ việc này và đơn vị 61398 là người đã đánh cắp thành công hàng trăm terabyte dữ liệu từ ít nhất 141 tổ chức kể từ năm 2006.
Công ty An ninh mạng Mandiant cũng cho biết, đơn vị 61398 đã nhằm vào 20 ngành công nghiệp, từ các nhà thầu quân sự đến các nhà máy hóa chất, công ty khai thác mỏ, công ty vệ tinh & viễn thông với nội dung thu thập bao gồm những chi tiết về các thương vụ sáp nhập và thâu tóm.

Người phát ngôn Bộ Ngoại giao Mỹ Victoria Nuland đã bày tỏ quan ngại sâu sắc về các vụ tấn công tin tặc có xuất xứ từ Trung Quốc bởi Washington coi hoạt động tin tặc kiểu này là mối đe dọa đối với không chỉ an ninh quốc gia, mà còn lợi ích kinh tế của Mỹ. Người phát ngôn Nhà Trắng Jay Carney cũng cho biết, Mỹ thường xuyên nêu vấn đề kể trên với giới chức Trung Quốc, trong đó có các quan chức quân sự nước này.

image
Báo New York Times (Mỹ) ngày 31/1 tố cáo tin tặc Trung Quốc xâm nhập vào hệ thống của báo liên tục 4 tháng. Biếm họa của báo La Prensa (Panama)
Giới truyền thông đưa tin, Mỹ đã sẵn sàng áp đặt một khoản tiền phạt lớn cùng sự trừng phạt thương mại nhằm trả đũa việc hacker Trung Quốc đánh cắp thông tin từ cơ sở dữ liệu của chính quyền Mỹ và những bí mật hợp tác thương mại với nhiều quốc gia khác.

Bộ trưởng Tư pháp Mỹ Eric Holder đã trình bày một số điểm trong sách lược mới tại một cuộc họp báo ở Washington, trong đó nhấn mạnh: vụ việc này là một đe dọa cho kinh tế và an ninh của nước Mỹ.
Hội đồng Tình báo Quốc gia Mỹ cũng chuẩn bị một bản đánh giá tình báo quốc gia, trong đó đề cập tới mối đe dọa mạng đang ngày càng gia tăng, đặc biệt từ Trung Quốc. Do đó, Mỹ sẽ có những bước đi chủ động hơn, thậm chí là tấn công phủ đầu nhằm đáp trả những chiến dịch đánh cắp dữ liệu qua Internet.

Các nhà làm luật Mỹ ước tính, trong năm 2012, các doanh nghiệp Mỹ đã thiệt hại hơn 300 tỉ USD do các vụ đánh cắp bí mật thương mại, phần lớn được thực hiện bởi “gián điệp mạng” có xuất xứ từ Trung Quốc. Mặc dù trong báo cáo của Công ty An ninh mạng Mandiant giữ bí mật tên của các công ty từng bị tấn công, nhưng thương vụ thất bại của Tập đoàn Coca-Cola (Mỹ) năm 2009 được quy kết cho đơn vị 61398.
Coca-Cola đã thất bại trong nỗ lực thâu tóm Tập đoàn nước ép Hối Nguyên của Trung Quốc với giá 2,4 tỉ USD sau khi bị đơn vị 61398 lấy được chiến lược đàm phán của vụ thâu tóm.

image
Và ông Hồng Lỗi nói chính phủ TQ phản đối mạnh hoạt động của tin tặc.
Ngay sau khi thông tin kể trên xuất hiện, người phát ngôn Bộ Ngoại giao Trung Quốc Hồng Lỗi lập tức phủ nhận những cáo buộc của Công ty An ninh mạng Mandiant, đồng thời cho biết: Trung Quốc cũng là nạn nhân của các hacker, trong đó có những tin tặc đến từ Mỹ. Ông Hồng Lỗi còn dẫn báo cáo của Bộ Thông tin truyền thông và Công nghiệp Trung Quốc để minh chứng cho tuyên bố của mình. Theo đó, riêng năm 2012, tin tặc đã dùng virus và các mã độc tấn công 38.000 website tại Trung Quốc.
Theo báo cáo của Trung tâm phản ứng khẩn cấp mạng lưới máy tính quốc gia Trung Quốc liên kết với PLA cho biết, có tới 73.000 địa chỉ IP nước ngoài được xác định có liên quan tới các vụ tấn công nhằm vào 141 triệu máy tính ở nước này, trong đó có nhiều cuộc tấn công xuất phát từ Mỹ. Ông Hồng Lỗi cũng cho rằng, tội phạm mạng là vấn đề quốc tế và cần được giải quyết thông qua hợp tác quốc tế trên cơ sở tin cậy, tôn trọng lẫn nhau…
Mặc dù ông Hồng Lỗi tuyên bố như vậy, nhưng lại không đưa ra được bằng chứng thuyết phục về vấn đề nhạy cảm này. Ngày 20/2, Bộ Quốc phòng Trung Quốc không những bác bỏ cáo buộc của Công ty An ninh mạng Mandiant, mà còn coi báo cáo này hoàn toàn “thiếu căn cứ pháp luật” bởi họ chưa bao giờ ủng hộ bất kỳ hoạt động tin tặc nào.

Những đồn đoán xung quanh đơn vị 61398
Công ty An ninh mạng Mandiant cho biết, họ bắt tay điều tra hàng trăm vụ xâm nhập dữ liệu từ năm 2004 và mọi kết quả đều cho thấy: các cuộc tấn công mạng xuất phát từ một tòa nhà 12 tầng ở khu Phố Đông, ngoại ô thành phố Thượng Hải, Trung Quốc. Theo tìm hiểu của Công ty An ninh mạng Mandiant, tòa nhà này do PLA làm chủ và đơn vị 61398 là một trong những bộ phận chính làm việc tại đây với nhiệm vụ quản lý hàng trăm, thậm chí hàng nghìn tin tặc.

Công ty An ninh mạng Mandiant cho rằng, nhóm hacker Thượng Hải (còn gọi là nhóm tin tặc APT1 hay Comment Crew) có thể thực hiện một khối lượng lớn công việc trong một thời gian dài nhất định phải có sự hỗ trợ trực tiếp từ Chính phủ Trung Quốc.
Thông tin của Công ty An ninh mạng Mandiant khiến giới chuyên môn quan tâm bởi đưa ra nhiều bằng chứng thuyết phục như tài liệu nội bộ của China Telecom thảo luận về quyết định cài đặt đường dây cáp quang tốc độ cao cho đơn vị 61398. Hợp đồng giữa China Telecom và đơn vị 61398 nói rõ: China Telecom đồng ý cung cấp với giá do PLA đưa ra vì đây là vấn đề liên quan đến an ninh quốc gia.
image
Tòa nhà 12 tầng được cho là tổng hành dinh của đơn vị 61398

Cũng theo kết quả điều tra của Công ty An ninh mạng Mandiant, trong tòa nhà 12 tầng này có đủ chỗ cho 2.000 người làm việc. Bên cạnh tòa nhà có cửa hàng, quán karaoke, sân thi đấu cầu lông, kể cả nơi khám bệnh… Để không gây chú ý với xung quanh, đơn vị 61398 đặt trụ sở tại tòa nhà 12 tầng bởi nó nằm giữa một khu đông đúc gồm nhà hàng, tiệm massage và công ty nhập khẩu rượu vang ở đường Đại Đồng, ngoại ô thành phố Thượng Hải.

Toà nhà 12 tầng này gắn biểu tượng “Bát Nhất” của Quân đội Trung Quốc và được canh gác cẩn mật với tấm bảng “cấm chụp hình” viết bằng tiếng Anh và tiếng Trung.
Đơn vị 61398 tuyển dụng trực tiếp người từ các trường đại học, ưu tiên những kỹ sư máy tính trình độ cao và giỏi tiếng Anh. Được biết, từ năm 2003 đơn vị 61398 đã tuyển nhiều sinh viên trình độ thạc sĩ ngành công nghệ và khoa học máy tính của Đại học Chiết Giang. Thậm chí họ còn cấp học bổng có điều kiện cho những sinh viên chấp nhận về làm việc cho đơn vị 61398 sau khi tốt nghiệp.

Theo Washington Post, thông báo tuyển dụng vẫn tồn tại trên mạng Internet tới ngày 20-2-2013 về việc đơn vị 61398 hứa cung cấp học bổng cho các sinh viên đủ tiêu chuẩn đồng ý về đơn vị này làm việc sau khi tốt nghiệp, nhưng không đề cập công việc cụ thể họ sẽ làm tại đây là gì. Công ty An ninh mạng Mandiant đã nhận dạng được 3 tin tặc thuộc đơn vị 61398 (theo tên của họ trên màn hình). Một trong số đó có biệt danh “UglyGorilla”, bị phát hiện lần đầu tiên vào năm 2004. Một tin tặc khác mang bí danh “Dota” có vẻ là fan của Harry Potter.

Theo thông báo của Công ty An ninh mạng Mandiant, từ năm 2006 tới nay, đơn vị 61398 đã thực hiện nhiều vụ tấn công, nhưng họ chỉ phát hiện được hơn 140 vụ tấn công. Tình báo Mỹ và các công ty an ninh mạng cho biết, mới phát hiện hơn 20 nỗ lực tấn công an ninh mạng từ Trung Quốc mỗi ngày. Sau 6 năm nghiên cứu, điều tra hoạt động của nhóm hacker mang biệt danh "Comment Crew", Công ty An ninh mạng Mandiant mới đưa ra kết luận gây chấn động dư luận.

Ông Richard Bejilitch, Trưởng phòng Bảo mật Công ty An ninh mạng Mandiant cho biết, sau khi thấy cùng một nhóm đánh cắp dữ liệu của các nhà bất đồng chính kiến Trung Quốc và các nhà hoạt động người Tây Tạng, tiếp đến là công ty hàng không vũ trụ nên họ biết đang đi đúng hướng.

Theo tờ New York Times, mục tiêu của nhóm hacker Thượng Hải không chỉ các công ty thương mại lớn của Mỹ, mà còn tập trung vào những công ty có liên quan đến cơ sở hạ tầng quan trọng của Mỹ như điện, khí và nước. Trong báo cáo của Công ty An ninh mạng Mandiant có đoạn: với những quan sát và nghiên cứu trong một thời gian dài cho thấy, PLA thực hiện các hoạt động tình báo, do thám trên mạng và ăn cắp dữ liệu một cách có hệ thống đối với nhiều tổ chức trên khắp thế giới.

image
Ông Richard Bejtlich, Trưởng Toán an ninh của Mandiant

Giám đốc phụ trách các mối đe dọa tình báo của Công ty an ninh mạng Mandiant cho biết, trước khi công bố một phần đáng kể trong báo cáo về đơn vị 61398 họ đã phải cân nhắc kỹ bởi đây là một đơn vị đặc biệt, siêu bí mật được PLA thành lập để tiến hành các vụ tấn công mạng.
Để phát hiện ra đơn vị 61398, Công ty An ninh mạng Mandiant phải thuê một đội ngũ chuyên gia giỏi về phần mềm, phần cứng… trong một thời gian dài mới phát hiện ra sự liên quan gián tiếp của 61398 tới những vụ tấn công mạng thời gian qua. Theo thông tin của tờ The New York Times, đơn vị 61398 thuộc Phòng 2, Cục 3, là một đơn vị tình báo kỹ thuật - công nghệ của PLA.

Trong khi sự tồn tại và hoạt động của đơn vị 61398 không được đề cập tới trong bất kỳ một văn bản chính thức nào của PLA, nhưng nó từng được nhắc đến trong báo cáo năm 2011 của Viện Nghiên cứu an ninh Virginia. Khi đó, đơn vị 61398 bị coi là “một thực thể chuyên nhắm mục tiêu vào các cơ quan hàng đầu của Mỹ và Canada với các vụ tấn công thu thập tin tình báo từ chính trị, kinh tế đến quân sự, ngoại giao.

Công ty An ninh mạng Mandiant phát hiện ra rằng, có 2 loạt địa chỉ IP được sử dụng trong các vụ tấn công đều được đăng ký trong cùng một khu vực là tòa nhà của đơn vị 61398. Công ty An ninh mạng Mandiant không phải là hãng tư nhân đầu tiên theo dõi đơn vị 61398. Năm 2011, ông Joe Stewart, nhà nghiên cứu của Hãng Dell SecureWorks đã phân tích phần mềm độc hại được sử dụng trong vụ tấn công RSA và phát hiện ra rằng, các hacker đã sử dụng một công cụ tin tặc để che giấu vị trí thật sự của mình - phần lớn dữ liệu bị mất cắp đều được chuyển tới các địa chỉ IP ở Thượng Hải.

Hãng Dell SecureWorks tin rằng, đơn vị 61398 có thể đứng đằng sau “Chiến dịch Hắc ám RAT” - chiến dịch tình báo máy tính rộng lớn kéo dài 5 năm bị phát hiện năm 2011 với hơn 70 tổ chức, cơ quan chính phủ quốc tế là mục tiêu bị tấn công.

Tới những thông tin đáng quan ngại
Các cơ quan tình báo Mỹ gọi đơn vị 61398 là “Byzantine Candor”. Chủ tịch Ủy ban Tình báo Hạ viện Mỹ Mike Rogers cho biết, báo cáo của Công ty An ninh mạng Mandiant hoàn toàn phù hợp với các tin tình báo đã thu thập được. Cựu trợ lý của Giám đốc điều hành FBI, ông Shawn Henry (hiện là Chủ tịch của Công ty An ninh CrowdStrike) cho rằng, thay vì bảo các công ty tăng cường an ninh mạng, chính phủ phải tập trung hơn vào việc ngăn chặn các hacker và các nước đang hậu thuẫn cho hoạt động của chúng và cần xác định đâu là giới hạn đỏ và hậu quả của nó sẽ là gì.

Phát ngôn viên của Hội đồng An ninh Quốc gia Tommy Vietor cho biết, Nhà Trắng đã nhận thức được nội dung của bản báo cáo và đã nhiều lần tăng mối quan tâm ở cấp cao nhất về các hoạt động tình báo của Trung Quốc. Cựu Giám đốc CIA Michael Hayden coi đây là điều chưa từng có tiền lệ - việc một quốc gia tấn công các công ty tư nhân.
Theo báo cáo của Công ty An ninh mạng Mandiant, các hacker đã sử dụng các mạng lưới máy chủ trên toàn thế giới để đảm bảo rằng không ai lần ra dấu vết của họ. Theo thống kê, Trung Quốc hiện có nhiều máy chủ nhất thế giới (709), tiếp đến là Mỹ (109), Hàn Quốc (11), Đài Loan (6), Canada (3), Australia, Mexico, Na Uy (2), Bỉ, Đan Mạch, Indonesia, Ấn Độ và Singapore (1). Các máy chủ này đều được sử dụng với nhiều mục đích khác nhau, từ việc trung chuyển dữ liệu bị đánh cắp cho tới rải phần mềm độc hại tới các mạng lưới máy tính của nạn nhân.

image
Phóng viên John Sudworth đài BBC.
Cách đây không lâu, John Sudworth, phóng viên kỳ cựu của Hãng BBC và một số phóng viên nước ngoài khi đang định tiếp cận để chụp ảnh tòa nhà 12 tầng ở khu Phố Đông thì bị lực lượng an ninh ngăn lại. Phóng viên John Sudworth bị bắt tạm giam, bị yêu cầu giao nộp toàn bộ những thước phim đã chụp khu vực này.
Giới truyền thông đưa tin, sau Apple, Facebook, Twitter…, một đại gia công nghệ thông tin khác của Mỹ là Microsoft vừa thông báo bị tin tặc tấn công. Một số chuyên gia cho rằng, nhóm thủ phạm có nguồn gốc từ Trung Quốc nhưng nước này bác bỏ mọi cáo buộc. Theo thống kê, Google cùng 20 doanh nghiệp khác của Mỹ từng nhiều lần cáo buộc bị tấn công, đánh cắp bí mật kinh doanh từ hacker Trung Quốc.

Tờ Telegraph của Anh từng cho rằng, phần lớn các vụ tấn công mạng xuất phát từ Trung Quốc đều nhằm vào Mỹ và Anh. Năm 2012, Ấn Độ từng lên tiếng về các vụ đột nhập vào hệ thống máy tính của hải quân của nước này ở quanh khu vực Visakhapatnam - máy tính của hải quân Ấn Độ bị nhiễm một loại virus bí mật thu thập và chuyển dữ liệu mật về địa chỉ IP tại Trung Quốc. Australia cũng cho biết, họ là một trong số 13 quốc gia bị hacker có liên quan tới Quân đội Trung Quốc sử dụng để tiến hành các vụ tấn công mạng vào các tổ chức thương mại trên toàn thế giới.

image
Ngày 20/2, Chính quyền của Tổng thống Mỹ Barack Obama công bố một chiến lược mới nhằm đối phó với tình trạng đánh cắp bí mật thương mại ngày càng nghiêm trọng. Chiến lược này được ban hành chỉ 1 ngày sau khi Washington bày tỏ quan ngại sâu sắc về các cuộc tấn công tin tặc có xuất xứ từ Trung Quốc liên tục nhắm vào các cơ quan và tổ chức ở Mỹ. Và sự quan ngại này xuất phát từ kết quả điều tra của Công ty An ninh mạng Mandiant.

Theo đó, Bộ Ngoại giao, Bộ Thương mại và Cơ quan đại diện Thương mại Mỹ (USTR) nước này phải phối hợp với các quốc gia đồng minh để đưa ra chiến lược khẩn cấp chống lại vấn nạn ăn cắp sở hữu trí tuệ. Bộ trưởng Tư pháp Mỹ Eric Holder cảnh báo: công nghệ mới đã xé nát các rào chắn truyền thống bảo vệ doanh nghiệp và thương mại quốc tế, khiến bọn tội phạm dễ ăn cắp các bí mật và phạm pháp ở khắp mọi nơi trên thế giới.
Cựu Bộ trưởng An ninh Nội địa Mỹ Michael Chertoff cho rằng: nhắm mắt làm ngơ trước thực trạng này không phải là kế sách dài lâu. Hiện Cục Điều tra Liên bang Mỹ (FBI) đang tăng cường nỗ lực chống xâm nhập vi tính do các hacker cá nhân hoặc hacker của công ty và của quốc gia tiến hành để ăn cắp bí mật thương mại.



Đông Ngàn - Từ Sơn

image

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.