Hắc khách Trung Quốc lộng hành trên mạng

 

Hãy vào trang web :  http://www.us-cert.gov/ncas  để báo cáo tình hình tin tặc tấn công. Càng nhiều báo cáo, càng làm cho chính quyền lưu ý.

Bản doanh của lực lượng 61398, ở ngoại ô Thượng Hải (Reuters)

Bản doanh của lực lượng 61398, ở ngoại ô Thượng Hải (Reuters)
Trọng Nghĩa (RFI)

Ngày 19/02/2013, hãng bảo mật tin học Mandiant của Mỹ, trong một bản báo cáo, đã vạch trần sự tồn tại của một đơn vị chiến binh tin học bí mật của Trung Quốc. Đặt bản doanh tại Thượng Hải, các tin tặc này, tiếng Hoa gọi là “hắc khách” (heike), bị cáo buộc là đã ào ạt thâm nhập vào các cơ sở của Hoa Kỳ trong thời gian qua.

Như thông lệ, Bắc Kinh đã lập tức phản pháo, với tuyên bố của Bộ Ngoại giao Trung Quốc xác định rằng báo cáo của hãng Mandiant hoàn toàn bịa đặt. Hơn một tuần sau đó, đến lượt Bộ Quốc phòng Trung Quốc lên tiếng, tố cáo ngược lại rằng chính Hoa Kỳ mới là nơi xuất phát của những cuộc tấn công liên tục nhắm vào các trang web Trung Quốc.

Theo các nhà quan sát, cuộc đấu khẩu gay gắt trên đây là bề nổi của một cuộc chiến tranh mạng Mỹ – Trung đã khai diễn, giữa một bên là hacker Mỹ, và bên kia là những tay tin tặc Trung Quốc gọi là « hắc khách ». Đối với Stéphane Lagarde, Thông tín viên RFI tại Bắc Kinh, đây là lần đầu tiên mà chính Bộ Quốc phòng – tức Quân đội Trung Quốc – lên tiếng phản ứng, sau khi đơn vị tin tặc của họ bị Mandiant lột mặt nạ :

« Hiếm khi mà Quân đội Giải phóng Nhân dân Trung Quốc trực tiếp phản ứng về các tiết lộ được công bố trên báo chí nước ngoài. Thế nhưng, đó chính là điều mà phát ngôn viên Bộ Quốc phòng Trung Quốc Cảnh Nhạn Sinh đã làm hôm 28/02 vừa qua.

Theo ông Cảnh Nhạn Sinh : « Các website của quân đội Trung Quốc đã bị tấn công trung bình 144.000 lần mỗi tháng trong năm 2012 ». Và ông tố cáo là 62,9% các cuộc tấn công đến từ các địa chỉ IP gốc tại Hoa Kỳ.

Đây không phải là lần đầu tiên Trung Quốc nói rằng họ là nạn nhân của tin tặc xuất phát từ nước ngoài. Mỗi lần mà hacker bị tình nghi là thuộc Quân đội Trung Quốc bị vạch mặt chỉ tên, Bộ Ngoại giao tại Bắc Kinh đều có trách nhiệm lên tiếng bảo vệ Bộ Quốc phòng.

Đây là điều đã xẩy ra ngày 19/02/2013, khi một bản phúc trình của hãng Mỹ Mandiant cáo buộc Quân đội Trung Quốc chứa chấp một ổ gián điệp trên mạng ở quận Phổ Đông, thành phố Thượng Hải.

Các số liệu nói trên đến từ Trung tâm Quốc gia Điều phối Hành động Can thiệp Khẩn cấp trong lãnh vực Bảo mật Tin học (CNCERT). Nếu tin vào các chuyên gia Trung Quốc, thì nhịp độ các cuộc tấn công từ Mỹ thậm chí đã tăng vọt. Theo một bản báo cáo của trung tâm CNCERT, được Tân hoa xã trích dẫn, trong năm 2011, chỉ có 22,9% các cuộc tấn công tin học vào Trung Quốc xuất phát từ các máy chủ đặt tại Hoa Kỳ mà thôi.

Tóm lại, đây là lần đầu tiên Bộ Quốc phòng Trung Quốc xác nhận việc họ là nạn nhân trực tiếp của các cuộc tấn công. Theo chính quyền Trung Quốc, như vậy là cuộc chiến trên không gian mạng giữa Bắc Kinh và Washington đã thực sự bắt đầu. »

Theo giới phân tích, phản ứng tố cáo ngược gay gắt khác thường của Quân đội Trung Quốc, sau bản báo cáo của hãng Mandiant, tương ứng với những tiết lộ có thể nói là cụ thể nhất từ trước đến nay về quy mô cũng như hoạt động của đạo quân « hắc khách » được Bắc Kinh bí mật nuôi dưỡng.

Lực lượng 61398 Bộ Đội (部队)

Nhật báo Mỹ The New York Times, một trong những nạn nhân hàng đầu của nhóm tin tặc bị cho là xuất xứ từ Trung Quốc này, là cơ quan truyền thông đầu tiên đã công bố nhiều trích đoạn trong bản phúc trình hàng chục trang của Mandiant, công ty bảo mật tin học đã được chính tờ báo nhờ giúp đỡ chống lại các cuộc tấn công sau khi phát giác các vụ thâm nhập vào hệ thống máy tính của mình.

Mandiant đã không đi đến mức chỉ rõ văn phòng nơi đặt các máy tính phát lệnh tấn công, nhưng đã xác định cụ thể bản doanh của đạo quân hắc khách Trung Quốc. Đó là một cao ốc 12 tầng màu trắng, tọa lạc bên bờ phía đông của sông Hoàng Phố, khúc chảy qua Thượng Hải. Đạo quân bí mật này mang một cái tên rất kỳ bí : Bộ đội 61398, trực thuộc quân đội Trung Quốc. Báo cáo này cho biết :

(Nhóm tin tặc) « được cho là thuộc Cục 2 thuộc Tổng cục 3 Bộ Tổng tham mưu Quân đội Giải phóng Nhân dân Trung Quốc (Tổng tham Tam bộ Nhị cục 总参 三 部 二 局), thường được biết qua tên gọi là Đơn vị 61398 (tiếng Hoa : 61398 部队 -Bộ đội). Nhiệm vụ của “Đơn vị 61398” được Trung Quốc coi là bí mật quốc gia, tuy nhiên, chúng tôi tin rằng nhóm này can dự vào các “chiến dịch mạng máy tính” nguy hại.

Một phần của Đơn vị 61398 nằm trên đường Đại Đồng (大同 路), thuộc trấn Cao Kiều (高桥镇), ở khu Tân Phổ Đông (浦东 新区) của thành phố Thượng Hải (上海). Cao ốc trung tâm trong khu nhà này là một cơ sở cao 12 tầng, xây dựng vào đầu năm 2007.

Chúng tôi ước tính là Đơn vị 61398 có hàng trăm, có thể là hàng ngàn nhân viên, căn cứ vào kích thước của cơ sở hạ tầng vật chất được đon vị này sử dụng. Tập đoàn viễn thông China Telecom cung cấp hạ tầng cơ sở truyền thông bằng cáp quang đặc biệt cho đơn vị này dưới danh nghĩa quốc phòng.

Đơn vị 61398 yêu cầu nhân viên của mình phải được đào tạo trong các hoạt động bảo mật máy tính và mạng máy tính, cũng như đòi hỏi nhân viên của mình phải thông thạo tiếng Anh.

Theo báo cáo được Mandiant công bố, kể từ năm 2006 cho đến gần đây, tin tặc đã tấn công vào email và các dữ liệu nhạy cảm của 141 công ty, bao gồm 115 tại Hoa Kỳ, 5 ở Anh, 3 ở Ấn Độ, 3 ở Israel, 2 ở Canada, Đài Loan, Singapore, Thụy Sĩ , và 1 ở Pháp, Bỉ, Na Uy, Tiểu Vương Quốc Ả Rập Thống Nhất, Luxembourg và Nhật Bản, trong hai mươi lĩnh vực.

Tiền án của hắc khách Trung Quốc

Quy mô của các cuộc tấn công không khỏi khiến người ta nhớ lại một chiến dịch đánh cắp thông tin trên mạng khác được một đồng nghiệp của Mandiant tiết lộ vào tháng 08/2011, một chiến dịch mà Trung Quốc đã bị tình nghi là thủ phạm, dù không bị nêu đích danh.

Vào năm 2011, tập đoàn bảo mật tin học McAfee đã gây chấn động khi công bố một bản báo cáo, tiết lộ sự kiện là hơn 70 tổ chức và định chế đã bị tin tặc thâm nhập và theo dõi ròng rã 5 năm trong khuôn khổ một chiến dịch được tập đoàn này mệnh danh là Shady RAT, với từ RAT là tên tắt tiếng Anh của Remote Access Tool – tức là công cụ theo dõi từ xa. Shady Rat cũng có thể hiểu theo nghĩa thông thường là « Loài chuột mờ ám ».

Điều đáng nói là McAfee xác định là có một « tác nhân nhà nước » cụ thể đứng đằng sau các cuộc tấn công này, nhưng không cho biết quốc gia đó là ai. Cho dù vậy, căn cứ vào danh sách các thực thể bị tấn công, cũng như cách thức hành động của những tay tin tặc, giới an ninh mạng đều khẳng định rằng thủ phạm không ai khác hơn là Trung Quốc.

Theo báo cáo của McAfee, từ tháng 7 năm 2006 cho đến tháng 6 năm 2011, tức hai tháng trước ngày tập đoàn này công bố bản phúc trình, tin tặc đã gởi email bên trong có giấu phần mềm gián điệp đến những nơi họ cần dò xét. Một khi các email này được mở ra, lập tức các « âm binh » này len lỏi vào các chương trình của máy tính.

Những thông tin nào được thu thập và với mục đích gì ? Các chuyên gia của McAfee không tiết lộ rõ ràng, nhưng tỏ ý lo ngại rằng nhiều dữ liệu nhạy cảm đã bị tin tặc thu thập được từ các hệ thống quốc phòng và thông tin liên lạc vệ tinh của Mỹ mà họ đã thâm nhập thành công.

Phải nói là danh sách nạn nhân của chiến dịch Shady Rat rất dài, trải rộng trên 4 khu vực địa lý, bao hàm hơn ba mươi lĩnh vực khác nhau. Nhiều cơ quan chính phủ đã bị ảnh hưởng – từ Mỹ, Canada, Ấn Độ cho đến khu vực Đông Á và Đông Nam Á (Đài Loan, Hàn Quốc, Việt Nam…).

Các tổ chức quốc tế cũng không thoát nạn, từ Liên Hiệp Quốc, ASEAN, cho đến Ủy ban Thế vận Quốc tế IOC, Cơ quan chống Doping Thế giới, cũng như hàng loạt các công ty chế tạo vũ khí, công ty công nghệ cao…

Đối với nhiều chuyên gia, sự đa dạng của các nạn nhân và các lãnh vực bị tấn công cho thấy là chiến dịch Shady Rat không nhằm mục tiêu lừa đảo kiếm tiền, mà nhằm đánh cắp thông tin mật, bản chất của hành vi gián điệp.

Theo chuyên gia an ninh mạng Jim Lewis của Trung tâm Chiến lược và Nghiên cứu Quốc tế, có rất nhiều khả năng Bắc Kinh là thủ phạm trong vụ này vì tất cả các thông tin bị khai thác đều đặc biệt có lợi cho Trung Quốc. Hai yếu tố khả nghi : tin tặc đã thâm nhập vào các định chế Olympic một năm trước lúc diễn ra Thế vận hội Bắc Kinh năm 2008, cũng như vào các cơ quan của Đài Loan, nước bị Trung Quốc coi là đối tượng cần sát nhập.

Cách hành động của tin tặc trong chiến dịch Shady Rat và các phương tiện sử dụng cũng tương tự như các chương trình tấn công trên mạng khác được quy cho Trung Quốc. Ví dụ không thể chối cãi là trường hợp tập đoàn internet Google, đã tố cáo rằng tài khoản email của các quan chức chính trị cũng như quân sự Mỹ, cùng với giới bất đồng chính kiến ​​Trung Quốc đã bị tin tặc xuất phát từ Trung Quốc tấn công.

Gần đây hơn cuối tháng Giêng vừa qua, nhật báo Mỹ The New York Times xác nhận là đã bị tin tặc liên tục thâm nhập và mục tiêu của tin tặc là dò xét thông tin liên quan đến cuộc điều tra mà tờ báo này thực hiện về tài sản khổng lồ của gia đình Thủ tướng Trung Quốc Ôn Gia Bảo. Đồng hội đồng thuyền với New York Times là hãng tin Mỹ Bloomberg News cũng bị hắc khách thăm viếng sau khi đưa tin về tài sản kếch xù của ông Tập Cận Bình.

Ba hắc khách bị vạch mặt : UglyGorilla, DOTA và SuperHard

Đây không phải là lần đầu tiên Trung Quốc bị cáo buộc hoạt động gián điệp trên không gian mạng. Nhưng đây là lần đầu tiên mà tờ New York Times và hãng Mandiant khẳng định là đã có bằng chứng cụ thể về những gì họ nêu lên. Không những thế, các chuyên gia Mỹ còn xác định được “chân dung” của ba hắc khách cụ thể, hoạt động dưới ba bí danh :

« Nhân vật đầu tiên, UglyGorilla (Khỉ đột xấu xí), đã hoạt động tích cực trong các chiến dịch mạng máy tính kể từ tháng Mười năm 2004, trong đó có việc đăng ký các tên miền được gắn với nhóm tin tặc, và soạn thảo mã độc sử dụng trong các chiến dịch. UglyGorilla công khai bày tỏ thái độ quan tâm của ông đối với « đôi quân không gian mạng » vào tháng Giêng năm 2004.

Nhân vật thứ hai, một tác nhân được chúng tôi gọi là “DOTA”, đã đăng ký hàng chục tài khoản email được sử dụng để thực hiện các kỹ thuật xã hội và các cuộc tấn công lừa đảo hỗ trợ cho các chiến dịch tấn công. DOTA sử dụng một số điện thoại ở Thượng Hải khi đăng ký các tài khoản này.

Chúng tôi đã quan sát thấy là cả hai nhân vật UglyGorilla và DOTA đều sử dụng chung một cơ sở hạ tầng, bao gồm cả FQDN và loạt địa chỉ IP mà chúng ta đã quy cho nhóm tin tặc này ».

Nhân vật thứ ba, biệt danh là SuperHard (Siêu cứng), là tác giả hoặc là người góp phần đáng kể vào việc làm ra phần mềm độc hại thuộc chủng Auriga và BANGAT mà chúng tôi đã thấycác nhóm tin tặc sử dụng. SuperHard đã tiết lộ lộ vị trí của mình ở tại khu Tân Phổ Đông, thành phố Thượng Hải. »

« Những lời buộc tội vô căn cứ » ?

Trước các bằng chứng được nêu lên, từ Bộ Ngoại giao cho đến Bộ Quốc phòng Trung Quốc đều đã lên án những cáo buộc « vô căn cứ », và tuyên bố rằng Trung Quốc cũng là nạn nhân của các cuộc tấn công của hacker đến từ Hoa Kỳ ! Đối với Bắc Kinh, Washington thiếu các bằng chứng kỹ thuật.

Trên trang web của mình, Bộ Quốc phòng Trung Quốc đả kích hãng Mandiant là chỉ đơn thuần dựa vào địa chỉ IP để kết luận rằng các cuộc tấn công bắt nguồn từ Trung Quốc. Theo phía Trung Quốc : « Ai cũng biết là việc tiếm đoạt địa chỉ IP để thực hiện các cuộc tấn công tin học là điều xảy ra hầu như hàng ngày.

Thứ nữa, cho đến nay, vẫn chưa có định nghĩa quốc tế rõ ràng, thống nhất về khái niệm ‘tấn công tin học (hacking)’. Không có bằng chứng pháp lý nào đằng sau bản báo cáo vốn chủ quan cho rằng những hoạt động thu thập (thông tin) trực tuyến hàng ngày là hành động làm gián điệp trên mang. ».

Bộ Quốc phòng Trung Quốc kết luận : Tin tặc là một hiện tượng xuyên biên giới, vô danh và mang tính lừa đảo ; chính vì bản chất của hiện tượng đó là như vậy, cho nên khó có thể xác định một cách đúng đắn nơi xuất phát của tin tặc.

Về nơi đặt bản doanh của nhóm tin tặc tại Thượng Hải, Quân đội Trung Quốc cho rằng tòa nhà đó không hề là nơi đồn trú của một đơn vị chiến binh mạng bí mật nào cả mà là một nơi “được tất cả mọi người biết đến ” với “những người ra vào đều mặc quân phục.”

Ý kiến ​​trên tuy nhiên đã bị John Sudworth, phóng viên BBC tại Thượng Hải bác bỏ. Nhà báo này cho biết nói rằng ông đã bị quân đội bắt giữ khi đang cố gắng quay phim tòa nhà được nêu lên trong báo cáo của Mandiant.

Nữ ký giả Melissa Chan cũng thế, và cô là người rất thông thạo tình hình Trung Quốc. Nguyên là thông tín viên tại Bắc Kinh của ban Anh ngữ đài truyền hình Ả Rập Al Jazeera, Melissa Chan đã nêu bật sự kiện là các tin tặc Trung Quốc ngày nay đã trở thành bá chủ của bầy « Ngựa thành Troie » – tức là Trojan Horse, phần mềm gián điệp được cài đặt bên trong máy tính của bạn để sẵn sáng phát tác khi nhận được lệnh của chủ.

melissaChan

Al-Jazeera English Forced to Close China Bureau After Correspondent Expelled

The Chinese government has expelled al-Jazeera English’s correspondent, marking a further deterioration in the country’s tolerance of foreign journalists. The English-language network said Tuesday that it was forced to close its China bureau after authorities refused to renew correspondent Melissa Chan’s visa and credentials. The government has also declined to grant visas for other correspondents from al-Jazeera English, meaning the network was unable to bring in a replacement after Chan’s visa renewal was blocked.

Chan, who left Beijing for Los Angeles on Monday night, became al-Jazeera English’s China correspondent in 2007. A Hong Kong–born U.S. citizen, she is known for filing stories on sensitive issues such as China’s illegal black jailscorruption and the disappearance of Liu Xia, the wife of imprisoned Chinese Nobel laureate Liu Xiaobo. Chan, 31, will spend the 2011-12 academic year at Stanford University on a John S. Knight Journalism Fellowship and will continue working for al-Jazeera after a sabbatical, she announced over Twitter. She declined an interview request.

Her network said it was disappointed in her removal and is continuing to search for a way to station a journalist in China. “We’ve been doing a first-class job at covering all stories in China. Our editorial DNA includes covering all stories from all sides,” Salah Negm, director of news at al-Jazeera English said in a written statement. “We constantly cover the voice of the voiceless and sometimes that calls for tough news coverage from anywhere in world.”

(MORE: Chinese Premier Again Calls for Political Reform, but Will Anyone Listen?)

The Foreign Correspondents’ Club of China (FCCC) said it was “appalled by the decision of the Chinese government to take this action.” The government had complained about a November 2011 documentary on China’s labor camps. Chan didn’t participate in making that documentary, but the authorities expressed “unhappiness with the general editorial content on Al Jazeera English and accused Ms Chan of violating rules and regulations that they have not specified,” the FCCC said in a statement. “This is the most extreme example of a recent pattern of using journalist visas in an attempt to censor and intimidate foreign correspondents in China.”

The closing of al-Jazeera English’s bureau in Beijing is particularly awkward for China, which has looked to the Qatar-based network as an example of how non-Western nations can expand their global media clout. But the aggressive approach of al-Jazeera clashes with the style China’s highly censored state-media organs. Last year al-Jazeera Arabic’s China correspondent Ezzat Shahrour criticized the handling of the Arab Spring by Chinese media, which he said downplayed the level of public support. (The network says its Arabic-language coverage from China is unaffected by the closure of its English-language bureau.)

Melissa Chan – LA Times  

Advertisements

Góp ý

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s