Minh Dũng
Một chiến dịch gián điệp mạng tấn công vào chín cơ quan toàn cầu bao gồm một cơ quan của Hoa Kỳ có thể được thực hiện bởi một nhóm có quan hệ với chính quyền Trung Quốc.
Theo báo cáo của Unit 42, một đội tình báo về mối đe dọa chuyên về rủi ro mạng và ứng phó sự cố thuộc công ty Palo Alto Networks, hợp tác với Trung tâm Hợp tác An ninh mạng thuộc Cơ quan An ninh Quốc gia Hoa Kỳ, chiến dịch này đã dẫn đến việc đánh cắp các tài liệu nhạy cảm từ một cơ quan chính phủ giấu tên trong khoảng thời gian giữa tháng 9 và tháng 10.
Báo cáo viết: “Ngay từ ngày 17 tháng 9, điệp viên đã tận dụng cơ sở hạ tầng cho thuê tại Hoa Kỳ để quét hàng trăm tổ chức dễ bị tấn công trên internet. Sau đó, nỗ lực khai thác bắt đầu vào ngày 22 tháng 9 và có khả năng tiếp tục đến đầu tháng 10.”
“Trong khoảng thời gian đó, điệp viên đã xâm nhập thành công vào ít nhất chín thực thể toàn cầu trong các ngành công nghệ, quốc phòng, y tế, năng lượng và giáo dục.”
Báo cáo nói rằng không thể xác minh được danh tính của (các) điệp viên đằng sau chiến dịch này nhưng nhận thấy rằng các chiến thuật và công cụ của họ gần giống nhất với chiến thuật và công cụ của một nhóm gián điệp mạng có quan hệ với nhà nước Trung Quốc được gọi là Emissary Panda.
Emissary Panda được biết đến với nhiều tên khác nhau bao gồm APT 27, Bronze Union, Iron Tiger, Lucky Mouse và TG-3390. Theo một bản tin của CBC, một hãng truyền thông Canada, đây là một trong nhiều nhóm tách ra từ Winnti Group do nhà nước tài trợ và nhóm này có nhiệm vụ thực hiện các cuộc tấn công mạng vào châu Mỹ, châu Á, châu Âu và Trung Đông. Họ chuyên sử dụng gián điệp mạng để thu thập dữ liệu từ các mục tiêu của chính phủ và thường xuyên nhắm vào lĩnh vực năng lượng, quốc phòng và hàng không.
Nhóm tin tặc này có liên quan đến nhiều vụ tấn công không gian mạng ít nhất là từ năm 2009 và gần đây nhất là vào đầu tháng 11 đã khai thác các lỗ hổng Microsoft Exchange bằng cách sử dụng mã độc nhắm vào các mục tiêu chủ yếu tại Hoa Kỳ.
Báo cáo cho biết khi tìm kiếm các lỗ hổng, chiến dịch này đã quét qua hơn 370 máy chủ đặt tại Hoa Kỳ, bao gồm cả máy chủ đặt tại Bộ Quốc phòng. Sau đó họ khai thác các lỗ hổng mới được phát hiện bằng giải pháp quản lý mật khẩu và đăng nhập một lần được gọi là ManageEngine ADSelfService Plus.
Sau khi khai thác, các tác nhân độc hại có thể di chuyển theo chiều ngang xâm nhập vào các hệ thống liên quan, cài đặt công cụ đánh cắp thông tin xác thực, thu thập và đánh cắp tệp tin/dữ liệu nhạy cảm.
Báo cáo viết: “Unit 42 cho rằng mục tiêu chính của điệp viên là đoạt quyền truy cập bền vững vào các mạng lưới, thu thập và đánh cắp dữ liệu nhạy cảm từ các tổ chức bị xâm nhập.”
Tin tức về cuộc tấn công được truyền ra sau cảnh báo của Trung tâm Phản gián và An ninh Quốc gia rằng ĐCS Trung Quốc đang tham gia vào chiến dịch toàn diện nhằm thu thập công nghệ quan trọng và mới nổi từ Hoa Kỳ bằng hình thức hợp pháp, gần hợp pháp và bất hợp pháp. Các công nghệ của Hoa Kỳ rất quan trọng đối với sự phát triển của nhiều chương trình vũ khí của Trung Quốc. Các nhóm do nhà nước hậu thuẫn tại Trung Quốc và các nhóm có liên kết với quân đội Trung Quốc bị cáo buộc đã đánh cắp dữ liệu toàn cầu.
Tương tự, mới đây cựu giám đốc phần mềm của Lực lượng Không quân và Vũ trụ Hoa Kỳ cho biết rằng đặc vụ Trung Quốc gây ra “mối đe dọa nội gián” đáng kể đến các công ty công nghệ Hoa Kỳ.
Những mối đe dọa như thế đối với quốc gia không nhất thiết hiện diện như được chứng minh gần đây theo một báo cáo rằng một hoạt động gây ảnh hưởng thân Trung Quốc đang diễn ra trước đây đã cố gắng vận động thực tế những người biểu tình tại Hoa Kỳ bằng cách lợi dụng các tài khoản mạng xã hội giả trên 70 trang web bao gồm Facebook, Twitter và YouTube.
Đặc vụ xâm nhập trong chiến dịch chưa được xác định.
Diệp Thanh