Symantec: Hacker Trung Quốc dùng phần mềm Mỹ để tấn công nhiều nước

Dựa trên thời gian các cuộc tấn công và các dữ liệu máy tính, các chuyên gia của hãng bảo mật Symantec cho rằng Trung Quốc tuy chưa lấy được các đoạn mã, nhưng đã kịp sao chụp lại chúng từ NSA. “Việc này giống như một tay súng đã cướp được khẩu súng trường của kẻ thù, và chuẩn bị lên đạn”.

Trong các vụ mới nhất, Symantec cho biết, nhóm hacker Trung Quốc đã sử dụng các phần mềm tấn công mạng của Mỹ để thực hiện những cuộc tấn công ở ít nhất 5 nơi: Bỉ, Luxembourg, Việt Nam, Philippines và Hồng Kông (Trung Quốc). Mục tiêu là các tổ chức nghiên cứu khoa học, các tổ chức giáo dục, và mạng lưới thông tin của ít nhất 1 đồng minh của Mỹ. Các cuộc tấn công đã làm lộ hàng trăm nghìn hay hàng triệu thông tin liên lạc riêng tư.

Những quốc gia bị tấn công bởi phần mềm mà nhóm Môi giới Bóng đêm cung cấp

New York Times nhận định hành động của Trung Quốc cho thấy mức độ tăng dần của các cuộc tấn công mạng một cách không kiểm soát. Mỹ rất khó khăn để theo dõi malware của đối thủ, được dùng để tấn công các mạng lưới nước ngoài và cơ sở hạ tầng.

Tổn thất sau các cuộc tấn công, đã khiến các chuyên viên tình báo tranh luận liệu Hoa Kỳ có nên tiếp tục phát triển các công nghệ tình báo mạng nữa không, khi mà nước này còn không bảo vệ được những công nghệ này.

Nhóm hacker Trung Quốc đã tấn công một vài mục tiêu phòng thủ nhạy cảm nhất của Hoa Kỳ như hệ thống vũ trụ, vệ tinh, tên lửa đẩy, hạt nhân. Nhóm tin tặc này được báo cáo của NSA phân loại là một trong những nhóm nguy hiểm nhất mà họ đang theo dõi.

Trong báo cáo của mình, Symantec không nêu đích danh Trung Quốc, mà đặt biệt danh cho nhóm tin tặc là Buckeye. Bộ Tư pháp Mỹ và nhiều công ty an ninh mạng khác đã xác định nhóm này chính là một nhà thầu của Bộ An ninh quốc gia Trung Quốc, hiện hoạt động bên ngoài Quảng Châu.

Các công ty an ninh mạng hoạt động đa quốc gia, nên họ thường dùng biệt danh để gọi các cơ quan tình báo làm việc cho các chính phủ để tránh mích lòng họ. Ví dụ, Symantec gọi các hacker của NSA là Equation. Nhóm Buckeye còn có tên là APT3 (viết tắt của cụm từ tiếng Anh: Mối đe dọa liên tục tăng cao).

Symantec cho biết các nhóm tin tặc tương tự cũng đã bị NSA phát hiện và lật ngược tình thế.

Một vài công cụ bẻ khóa của NSA do nhóm tin tặc không xác định được danh tính của Trung Quốc, tự xưng là Môi giới Bóng đêm tuồn ra, và được Nga, Triều Tiên sử dụng để gây nên các cuộc tấn công toàn cầu. Mặc dù vậy, chưa có mối liên hệ nào giữa việc Trung Quốc đã tái sử dụng các vũ khí mạng của Mỹ với các tuyên bố của Môi giới Bóng đêm.

Nhưng phát hiện của Symantec lần đầu tiên chứng minh được việc nhiều hacker do chính phủ Trung Quốc hậu thuẫn, đã lấy được các công cụ bẻ khóa, chỉ vài tháng trước khi nhóm Môi giới Bóng đêm xuất hiện trên mạng vào tháng 8/2016.

Liên tiếp nhiều thập kỷ qua, cơ quan tình báo của Mỹ điều tra được các phần mềm bẻ khóa và chương trình an ninh mạng được phân loại tuyệt mật, đã bị các quốc gia khác và các nhóm tin tặc tái sử dụng.

Trước đây, Mỹ đã sử dụng một loại malware để tấn công máy ly tâm hạt nhân ở Iran. Sau đó, nước này lại chứng kiến loại malware tương tự được ai đó sử dụng để gây ra các cuộc tấn công khác trên toàn cầu, trong đó có cả những tập đoàn khổng lồ của Mỹ như Chevron. Bí mật về các chương trình an ninh mạng của Mỹ được Edward J. Snowden tiết lộ. Cựu nhân viên NSA này hiện đang sống lưu vong ở Mátxcơva. Trên WikiLeaks, đã đăng tải tài liệu về các vũ khí mạng của CIA, được cho là do nội bộ tuồn ra.

Nhóm Môi giới Bóng đêm từng công bố các công cụ hack của NSA

Năm 2017, Bộ Tư pháp Mỹ đã công bố bản cáo trạng đối với 3 hacker người Trung Quốc thuộc nhóm Buckeye. Tuy nhiên, các công tố viên không khẳng định rằng họ làm việc cho chính phủ Trung Quốc. Tờ The Times cho biết, nhóm này rõ ràng đã hợp tác với Bộ Anh ninh quốc gia Trung Quốc, để thực hiện các cuộc tấn công tinh vi vào Hoa Kỳ.

Trong báo cáo của Lầu Năm Góc vào tuần trước, khẳng định Bắc Kinh chính là đối thủ “thiện chiến và bền bỉ” nhất trong các hoạt động tình báo quân sự và thương mại, nhằm làm giảm lợi thế công nghệ và hoạt động kinh doanh của Mỹ.

Tuy nhiên, Trung Quốc thường chỉ tấn công để lấy đi các phần mềm chữa mã độc do Mỹ phát triển bằng nguồn ngân sách rất lớn.

Symantec báo cáo rằng vào tháng 3/2016, hacker đã dùng 2 phần mềm (được tinh chỉnh lại) là Eternal Synergy và Double Pulsar trong các cuộc tấn công của mình. Tháng 8/2016, nhóm Môi giới Bóng đêm ra mắt phần mềm đầu tiên lấy được từ NSA, đến tháng 4/2017, họ đưa lên mạng toàn bộ phần mềm lấy được.

Các chuyên gia bảo mật cho rằng Trung Quốc không muốn phát triển công cụ để tấn công Mỹ, có thể vì 2 lý do, thứ nhất họ cho rằng người Mỹ đã thiết lập hệ thống phòng thủ chống lại, thứ hai họ cũng không muốn Mỹ biết họ đã đánh cắp các công nghệ nước này.

Đối với các cơ quan tình báo Mỹ, thì phát hiện của Symantec là tình huống xấu nhất mà các quan chức Mỹ nói rằng họ đã tránh động tới, được Nhà Trắng gọi là Quy trình lỗ hổng (bảo mật) công bằng.

Bắt đầu từ thời cựu Tổng thống Obama, các điều phối viên an ninh mạng của Nhà Trắng và các cơ quan tình báo trung ương, đã cân nhắc về việc lưu giữ những phát hiện lỗ hổng bảo mật. Họ tranh luận về việc sử dụng những lỗ hổng bảo mật đó để thực hiện tấn công thu thập tình báo, nhưng lại có thể rủi ro trong việc kẻ thù sử dụng chính những lỗ hổng này để quay ngược tấn công Mỹ.

Việc Môi giới Bóng đêm công bố những phần mềm quân sự, đã khiến NSA phải chuyển toàn bộ kho dữ liệu của họ cho Microsoft tiếp quản, và đóng cửa một số hoạt động chống khủng bố nhạy cảm.

Các phần mềm của NSA từng bị Triều Tiên và Nga sử dụng để làm tê liệt hệ thống chăm sóc y tế của Anh, làm ngừng hoạt động vận tải của tập đoàn Maersk, và cắt giảm nguồn cung cấp vaccine từ Merck. Ở Ukraine, hacker Nga đã tấn công các dịch vụ quan trọng như sân bay, dịch vụ bưu chính, trạm xăng dầu và hệ thống ATM.

Anh Thư