Báo Mỹ vạch trần lính Trung Quốc là tin tặc

Chuyến thăm Mỹ của Chủ tịch Tập Cận Bình có chủ đề nóng là tin tặc ăn cắp bí mật công nghệ Mỹ. Báo The Wall Street Journal (WSJ) có bài viết khẳng định lính Trung Quốc là tin tặc, theo báo cáo của Công ty tư vấn an ninh Defense Group Inc (DGI) và tổ chức quan ngại an ninh mạng ThreatConnect.

Báo Mỹ vạch trần lính Trung Quốc là tin tặc

Shares

Binh sĩ Trung Quốc là tin tặc?

Báo cáo của ThreatConnect-DGI cho thấy mối quan hệ giữa quân đội TQ với lực lượng tin tặc nói tiếng Hoa. Lính Trung Quốc là tin tặc trong trường hợp này là Ge Xing, một quân nhân thuộc lực lượng tình báo quân sự TQ.

Câu chuyện về Ge soi rọi vào cỗ máy gián điệp mạng TQ, một lĩnh vực mới của chiến tranh mà TQ khai thác triệt để, khiến Mỹ bị choáng váng trong vài tháng qua: những vụ xâm nhập nhập mạng Mỹ đều có các nghi can hàng đầu là tin tặc do nhà nước TQ tài trợ.

Bài viết của WSJ mở đầu bằng câu chuyện một thư điện tử sẽ khiến ai theo dõi chuyện TQ tuyên bố độc chiếm biển Đông, gây căng thẳng với các nước láng giềng ở Đông Nam Á, phải chú ý: Một tập tin file Microsoft Word kèm nội dung và ảnh chụp hải quân Thái kê súng bắt ngư dân Việt Nam quỳ gối.

Nhưng tập tin này là bẫy: bất kỳ ai mở nó sẽ vô tình tải về một phần mềm lục lọi máy điện toán của họ, tìm thông tin nhạy cảm rồi gửi chúng về máy chủ của Ge Xing, theo một báo cáo của các nhà nghiên cứu an ninh Mỹ.

Ge công bố các bằng học thuật, cho thấy anh ta là một chuyên gia về một lĩnh vực không liên quan kỹ thuật: chính trị Thái Lan.

Việc Ge liên tục đăng tải những thông tin trên trang mạng xã hội TQ khiến các nhà nghiên cứu Mỹ nhận định Ge vừa mới có con, là người mê đua xe đạp, mới mua một chiếc xe con và đôi khi chỉ trích chính phủ TQ.

Nhưng những hoạt động khác trên internet lại cho thấy Ge dính líu một nhóm tin tặc TQ chuyên tấn công các mục tiêu là những quyền lợi chiến lược của Mỹ, theo báo cáo của ThreatConnect-DGI.

Báo cáo cho thấy mối quan hệ giữa Quân đội TQ (PLA) với lực lượng tin tặc nói tiếng Hoa: dù các tài khoản kết nối với Ge, báo cáo vạch ra mối liên hệ trực tiếp giữa Đơn vị 78020 (một nhánh tình báo quân đội ở tây nam TQ) với nhóm tin tặc Naikon.

Các nhà nghiên cứu nói Naikon đã xâm nhập vào hệ thống điện toán của các nước tranh chấp chủ quyền biển Đông với TQ.

James Mulvenon, giám đốc trung tâm nghiên cứu-phân tích tình báo của DGI, nói: “Điều chúng ta thấy từ sự xâm nhập của TQ, là họ có một mô hình rất thấp. Họ có nhiều nhóm được xúi phát triển hàng trăm cách tiếp cận để đem về vô số dữ liệu”.

Có 2 tài liệu về tình hình chính trị Thái Lan được Ge đăng tải hồi năm 2008, xác nhận anh ta làm việc cho Đơn vị 78020, một ban kỹ thuật tình báo ở thành phố Côn Minh (tỉnh Vân Nam, tây nam TQ).

Đơn vị này chỉ là một trong hơn 20 ban của PLA chuyên thu thập tin tình báo, phân tích, bảo vệ và khai thác mạng lưới điện toán.

Đơn vị 78020 chịu sự kiểm soát của Quân khu Thành Đô, lực lượng chịu trách nhiệm an ninh Tây Tạng cùng biên giới TQ giáp Việt Nam, Ấn Độ và Myanmar. Họ cũng thu thập thông tin liên quan biển Đông.

Phòng tuyên truyền của đơn vị này không cho WSJ phỏng vấn. Người phát ngôn quân khu Thành Đô chuyển các câu hỏi lên Bộ Quốc phòng TQ, nhưng cơ quan này này cùng Bộ Ngoại giao TQ từ chối bình luận.

Ge sử dụng tên greensky27 trên trang mạng xã hội, cũng là tên miền của Naikon. Hồi tháng 8, WSJ phỏng vấn anh ta. Ge xác nhận có sử dụng tên greensky27, nhưng không nói gì thêm khi biết anh ta là chủ đề của một bài báo. Ge nói và cúp điện thoại trước khi nghe giới thiệu bài báo muốn viết gì: “Nếu tụi bay đăng, tao sẽ gọi công an!”.

Từ khi WSJ gọi điện cho Ge, nickname greensky27 và Naikon vẫn tắt cho đến nay.



Các chuyên gia moi ra được Naikon, nhờ tìm được một mã trong mã độc mà nhóm tin này thường sử dụng.

Naikon thường gửi thư điện tử bằng tiếng Anh hoặc ngôn ngữ địa phương, dụ người nhận mở phần đính kèm có cài mã độc, mang những nội dung tưởng như vô hại như cuộc thi hoa hậu Lào, tin tức…theo công ty chống virus Kaspersky (Nga) báo cáo hồi tháng 5.

Kaspersky khuyến cáo rằng Naikon đã xâm nhập các mạng lưới điện toán của chính phủ, giới truyền thông, công ty năng lượng ở Việt Nam, Philippines và các nước khác ở Đông Nam Á”.

Kurt Baumgartner, nhà nghiên cứu an ninh ở Kaspersky, nói: “Tỷ lệ thành công của chúng rất cao. Khi chúng muốn xâm nhập là được ngay”.

Richard Barger, chỉ huy tình báo ở ThreatConnect, cho biết rằng mã độc mà Naiko sử dụng để do thám các mục tiêu của chúng là thời “đồ đá”, so với phần mềm của tin tặc Nga đang sử dụng, nhưng nhiêu đó là quá đủ và không cần thiết phải nâng cao.

ThreatConnect biết họ tìm thấy Ge trong một lỗi thông thường của Naikon. Để lấy tất cả những thông tin bị đánh cắp mà không bị phát hiện, Naikon sử dụng hàng trăm tên miền na ná nhau trên internet, đặc biệt một số chúng được thiết kế để chỉ có thể kết nối từ những nơi khác nhau trên internet.

Các tên miền hầu hết được sử dụng để nhắm đến các trang web mục tiêu, hoặc được thiết kế như là những trang web hợp pháp tại nước bị tấn công. Nhưng nickname greensky27 lại khác, nó hoàn toàn không phù hợp với tiêu chí trên, ThreatConnect cho biết.
Kết nối tới Côn Minh

Nhìn vào hoạt động của nick greensky27 trong suốt 5 năm qua, các nhà điều tra nhận thấy có một sự kết nối lâu dài bất thường của tên miền này đến thành phố Côn Minh của Trung Quốc.

So sánh tên miền trên, với các tài khoản mạng xã hội mà nhóm tin tặc Trung Quốc sử dụng, các nhà điều tra thấy rằng chúng có một điểm chung. Vào tháng 2.2012, tài khoản greensky27 thực hiện các kết nối từ Bắc Kinh, ngay cùng thời điểm người sử dụng tài khoản này nói rằng anh ta đến thăm Bắc Kinh.

DGI cho biết họ có thể xác định danh tính của Ge, dựa vào bức ảnh người này đăng tải lên tài khoản greensky27 hồi năm 2013, cho thấy Ge đang đi thăm một ngôi chùa chỉ cách Côn Minh 50km.

Tiếp tục tìm kiếm, DGI cho biết họ đã tìm thấy gần như mọi thông tin của Ge, bao gồm số điện thoại, và cả việc Ge làm việc cho Đơn vị 78020. Nhưng cấp bậc và vai trò cụ thể của Ge trong quân đội Trung Quốc là không thể biết được, các nhà phân tích cho biết.

Một loạt các bức ảnh được Ge chụp và đăng tải từ năm 2011 đến năm 2013 cho thấy nó được chụp từ một cơ sở quân đội tại Công Minh.

Hàng loạt các bức ảnh khác của Ge cho thấy sự liên hệ giữa anh ta với quân đội Trung Quốc, từ hình thăm trường cũ …

Hoạt động của nick greensky 27 chỉ ra một lịch trình làm việc đều đặn. Tài khoản này được kết nối với mạng lưới Naikon khoảng 9 giờ sáng, không hoạt động vào giờ ăn trưa và ngắt kết nối khoảng 6 giờ chiều, theo báo cáo của DGI và ThreatConnect cho biết.

Tin tặc TQ cắp thông tin cá nhân nhạy cảm của hàng triệu công chức liên bang Mỹ, vốn chứa trong máy điện toán của Cục quản lý nhân sự Mỹ (OPM) cùng nhiều vụ xâm nhập mạng của các công ty bảo hiểm y tế và các công ty khác.

Trước sức ép phải phản ứng lại, Nhà Trắng bắt đầu lập danh sách trừng phạt các công ty TQ, vốn bị quan chức Mỹ nghi là hưởng lợi từ việc tin tặc ăn cắp bí mật công nghệ Mỹ.
Bắc Kinh phản ứng trước việc bị Mỹ điểm mặt, tự nhận là nạn nhân bị tin tặc, nhắc lại những tiết lộ của cựu nhân viên Cục An ninh quốc gia (NSA) Edward Snowden là chính phủ Mỹ tiến hành gián điệp mạng chống lại TQ.

Trước chuyến thăm Mỹ, ông Tập trả lời phỏng vấn của WSJ: “Ăn cắp bí mật thương mại và tin tặc chống mạng của chính phủ đều là trái pháp luật. Những hành vi tội phạm này phải bị trừng phạt theo đúng luật và hiệp định quốc tế”.

(Theo The Wall Street Journal)

Shares

21 queries in 1.942 seconds.