CÁC TIN KHÁC    »
ĐỌC NHIỀU NHẤT»
« Trở về trang trước

Khi Trung Quốc làm tin tặc
Wednesday, February 06, 2013 2:27:48 PM




 

Lê Phan (Theo NYT)

 

Hôm Thứ Năm tuần này, nhật báo New York Times đã tố cáo là trong suốt bốn tháng qua, những tin tặc Trung Quốc đã liên tiếp tấn công nhật báo, đột nhập hệ thống computer và lấy passwords của các phóng viên và các nhân viên khác. Những gì Times tiết lộ cho chúng ta một số khái niệm về những đe dọa của tin tặc từ Trung Quốc.

Theo Times, cuộc tấn công đã xảy ra đồng thời với bài phóng sự điều tra của tờ báo, phổ biến online vào ngày 25 tháng 10, trong đó tờ báo tố cáo là thân nhân của Thủ Tướng Ôn Gia Bảo đã thu thập một tài sản nhiều tỷ đô la qua các công cuộc làm ăn dựa trên thế lực của ông Ôn.

Theo Times, các chuyên gia về an ninh mạng cho biết từ năm 2008, các tin tặc Trung Quốc bắt đầu nhắm vào các nhà báo Tây phương như là một phần của một cố gắng nhận dạng và uy hiếp các nguồn tin và liên hệ của họ, và để biết trước những bài vở có thể gây phương hại cho uy tín của các lãnh tụ Trung Quốc. Tờ báo trích một bản phúc trình cho các khách hàng của công ty Mandiant, một công ty an ninh mạng, nói là qua nhiều cuộc điều tra, họ đã tìm thấy bằng cớ là các tin tặc Trung Quốc đã lấy emails, sổ địa chỉ và bài vở của hơn 30 nhà báo cùng nhân viên điều hành của các tổ chức truyền thông Tây phương và duy trì một “danh sách ngắn” những nhà báo mà họ luôn luôn đột nhập tấn công.

Sau khi Times biết được là các viên chức Trung Quốc đã khuyến cáo là các cuộc điều tra của tờ báo vào tài sản của gia đình ông Ôn sẽ “có hậu quả,” ban lãnh đạo tờ báo hôm 24 tháng 10 đã yêu cầu AT&T, vốn theo dõi hệ thống computer của tờ báo, để ý xem có hoạt động gì bất thường không. Hôm 25 tháng 10, khi bài báo được đăng online, AT&T báo cho Times biết là họ thấy có những hành vi giống như những cuộc tấn công được nghĩ là đã do quân đội Trung Quốc tổ chức.

Times nói họ đã thông báo và tình nguyện trình bày cho cơ quan FBI về các cuộc tấn công này, và rồi - vì lúc đầu không hiểu mức độ của sự đột nhập các máy computers của mình - đã làm việc với AT&T để theo dõi những kẻ tấn công trong khi tìm cách tẩy trừ họ ra khỏi hệ thống computers của mình.

Nhưng đến 7 tháng 11, khi thấy rõ là những kẻ tấn công vẫn còn nằm trong hệ thống của mình mặc dầu những cố gắng đuổi họ ra, Times đã thuê Mandiant, vốn chuyên lo việc phản ứng trước những vụ bị đột nhập. Kể từ khi biết được là có các cuộc tấn công, Times đã hợp tác, trước là với AT&T và sau đó là với Mandiant, theo dõi những kẻ tấn công.

Toán tin tặc bắt đầu làm việc rất đều đặn, hầu hết là vào 8 giờ sáng giờ Bắc Kinh. Bình thường họ chỉ làm hết giờ làm việc, nhưng cũng có một vài lần cuộc đột nhập kéo đến nửa đêm. Thỉnh thoảng cuộc tấn công nghỉ trong vòng hai tuần, Mandiant cho biết, mặc dầu không rõ lý do.

Các nhà điều tra vẫn chưa hiểu bằng cách nào tin tặc lúc đầu tiên đột nhập được vào hệ thống của Times. Họ nghi là các tin tặc đã sử dụng một cuộc tấn công kiểu mũi giáo phishing, tức là họ gửi emails đến cho các nhân viên của Times với một links hay attachment có nội dung xấu. Và chỉ cần một cái click vào email của một nhân viên là hackers đã đặt được “những dụng cụ tiếp cận từ xa,” ('Remote access tools: mà các chuyên gia gọi tắt là RATs). Những dụng cụ này có thể rút ra cả một đại dương dữ kiện, từ passwords, cách đánh máy, hình ảnh, văn kiện, và trong một số trường hợp, thâu được từ mike của computers và của các máy quay phim Web camera, và gửi những thông tin này trở lại vào máy của kẻ tấn công.

Ông Michael Higgins, phụ trách an ninh của Times giải thích, “Những người tấn công nay không còn nhắm vào các tường lửa của chúng ta nữa. Họ nhắm vào từng cá nhân. Họ gửi nhưng code có ác ý vào trương mục emails của bạn và khi mở ra là đã mở cửa cho họ vào.”

Một khi tin tặc đã đột nhập, rất khó mà tẩy trừ chúng. Trong vụ cuộc tấn công năm 2011 vào Phòng Thương Mại Hoa Kỳ chẳng hạn, tổ chức đã hợp tác chặt chẽ với FBI để đóng kín hệ thống. Nhưng mấy tháng sau, họ lại khám phá là những dụng cụ có liên lạc qua Internet - một đồng hồ nhiệt độ ở một trong những apartment của họ và một máy in trong văn phòng, vẫn còn tiếp tục liên lạc với computers ở Trung Quốc.

Ðể một phần không cho chuyện đó xảy ra, Times đã cho phép tin tặc tạo nên một mạng lưới digital trong suốt bốn tháng để nhận diện hết mọi cánh cửa hậu online mà tin tặc đã sử dụng. Times sau đó đã thay hết những computer bị nhiễm và lập một hệ thống phòng thủ mới trong hy vọng là sẽ ngăn chặn được hackers.

Một chuyên gia của Mandiant giải thích là những tin tặc nhắm vào một công ty vì có lý do thành ra ngay khi đuổi được, họ sẽ tìm cách trở lại. Ðiều quan trọng là phải biết cho toàn thể những gì họ tiếp cận và do đó lần sau họ tới có thể phản ứng nhanh.

Dựa trên phân tích giảo nghiệm trở lại nhiều tháng trước, có vẻ như hackers đã đột nhập computers của Times vào ngày 13 tháng 9, khi các tường thuật cho bài viết về gia đình họ Ôn sắp hoàn tất. Họ đã lập ra ít nhất ba cổng hậu vào các computers mà họ dùng làm căn cứ ảo. Từ đó họ lén lút dọ thám hệ thống của Times trong ít nhất hai tuần lễ trước khi họ tìm ra khu kiểm soát vốn có user names và những passwords của mọi nhân viên của Times, tuy những passwords đã bị “hashed” tức là xáo lên rồi.

Các nhà điều tra tìm ra là những kẻ tấn công đã giải mã được các passwords và dùng nó để đột nhập một số computers. Họ tạo ra những chương trình cho phép họ chiếm dụng emails của David Barboza, phóng viên thường trú ở Thượng Hải, người đã viết bài phóng sự điều tra, và Jim Yardley, nay là phóng viên thường trú của Times ở Ấn Ðộ, nhưng trước đó là phóng viên thường trú của Times ở Bắc Kinh. Họ cũng lấy một số tài liệu trong kho email của Times.

Trong ba tháng, tin tặc đã gài 45 chương trình có chủ đích xấu malware. Ðiều còn làm đáng ngại hơn nữa là chương trình chống virus mà Times sử dụng, của Symantec, chỉ có một lần nhận diện được là chương trình có chủ đích xấu và cô lập nó. Ðó là theo Mandiant. Anti-virus như vậy chưa chắc đã giúp chúng ta chặn malware.

Tin tặc đã đặc biệt hoạt động mạnh vào giai đoạn 25 tháng 10 khi bài báo viết về gia đình họ Ôn được đăng tải và đặc biệt vào tối ngày 6 tháng 11 của cuộc bầu cử tổng thống. Việc này đã làm cho chủ bút của Times sợ là tin tặc có thể đóng cửa hệ thống báo điện tử hay báo in của Times. Nhưng sự di chuyển của tin tặc cho thấy có vẻ như mục tiêu chính là email của Barboza. Ðiều họ đặc biệt muốn là tên của những ai đã cung cấp thông tin cho ông Barboza. Cuộc điều tra của ông Barboza, như Times đã loan báo, dựa trên các tài liệu công khai để truy nguyên các quyền lợi kinh doanh của thân nhân ông Ôn.

Truy nguyên nguồn gốc của một cuộc tấn công có thể rất khó khăn bởi tin tặc thường che giấu danh tính và nguồn gốc. Ðể điều khiển cuộc đột nhập dọ thám Times, tin tặc đã sử dụng các computers của các trường Ðại Học North Carolina, Arizona, Wisconsin và New Mexico cũng như của một số công ty nhỏ và các nhà cung cấp dịch vụ trên toàn Hoa Kỳ. Tin tặc cũng thường xuyên đổi địa chỉ IP, một con số đặc thù cho mỗi máy lên mạng từ nhiều tỷ máy khác toàn cầu, để thông điệp và tin tức từ một máy này đến đúng máy muốn gửi.

Truy nguyên thì Mandiant nhận ra là lối tấn công lần này là lối tấn công Trung Quốc. Sau cuộc tấn công vào Google năm 2010 và các địa chỉ Gmail của nhiều nhà tranh đấu cho nhân quyền của Trung Quốc bị đột nhập, các nhà điều tra đã truy được nguồn gốc đến hai trường đại học, kể cả một có liên hệ với quân đội Trung Quốc.

Qua việc chuyển qua các máy từ nhiều quốc gia và giao việc tấn công cho các trường đại học phụ thuộc, Giải phóng quân có thể nói là họ không biết. Nhưng khi kỹ thuật và chiều hướng của các tin tặc giống nhau thì đó là dấu hiệu họ là một hay có liên hệ. Mandiants nói nhóm tin tặc này, mà họ gọi là APT số 12 mà họ nói đồng nghĩa với tấn công từ Trung Quốc. Mandiant cũng cho biết là nhóm này hoạt động rất mạnh và đã đột nhập vào nhiều trăm tổ chức Tây phương khác, kể cả nhiều công ty thầu cho quân đội.

Cho đến nay có vẻ như các biện pháp của Times đã thành công nhưng cả Mandiant lẫn các viên chức của Times đều chờ đợi sẽ bị đột nhập nữa. Một chuyên gia của Mandiant giải thích, “Ðây chưa phải là chấm dứt câu chuyện. Một khi họ thích một nạn nhân, họ hay trở lại. Ðây không phải là loại tội phạm tin học khi kẻ đột nhập đánh cắp một số rồi biến mất. Việc này đòi hỏi luôn luôn phải đề phòng.”

Ðáng sợ lắm thay.



« Trở về trang trước

comments powered by Disqus