Tháng 2/2013, công ty an ninh mạng Mandiant công bố báo cáo cho biết đã lần ra dấu vết một nhóm tin tặc tinh vi của Trung Quốc, thường được các "nạn nhân" tại Mỹ gọi là "Tập đoàn Thượng Hải". Nhóm này gây ra nhiều vụ tấn công nhằm vào các công ty, tổ chức và cơ quan chính phủ Mỹ.
Mandiant xác định trụ sở của nhóm tin tặc là một tòa nhà 12 tầng ở đường Đan Đông tại Thượng Hải, thuộc khu vực quân sự. Bề ngoài không khác biệt so với một tòa nhà bình thường, nhưng đây là nơi hoạt động của binh chủng tin học Quân giải phóng nhân dân Trung Quốc (PLA): đơn vị 61398.
Tòa nhà ở Thượng Hải được cho là trụ sở chính của một nhóm tin tặc thuộc quân đội Trung Quốc. Ảnh: NYT |
Nhắm các tập đoàn lớn và hạ tầng quan trọng
Tuy không thể xác định chính xác vị trí các hacker bên trong tòa nhà, Mandiant khẳng định không lời giải thích nào hợp lý hơn cho câu hỏi: vì sao phần lớn những vụ tấn công đều bắt nguồn từ khu vực này.
Trước đó, các cơ quan tình báo Mỹ đều xác nhận phát hiện sự liên quan của một đơn vị quân sự Trung Quốc trong các vụ hack nhiều năm liền.
Một số công ty an ninh mạng khác khi điều tra dấu vết "Tập đoàn Thượng Hải" cũng xác nhận rằng nhóm này có thể được nhà nước đứng sau chống lưng. Trong khi đó, một báo cáo mật về "Đánh giá tình báo quốc gia", tập hợp thông tin từ 16 cơ quan tình báo khác nhau của Mỹ, thực hiện năm 2013 đã chỉ ra những bằng chứng mạnh mẽ cho thấy những nhóm tin tặc này do các sĩ quan quân đội điều hành, hoặc là những nhóm nhà thầu phối hợp cùng đơn vị 61398.
Thủ đoạn tấn công của Tập đoàn Thượng Hải là đánh cắp dữ liệu của những đơn vị kinh doanh lớn, như Coca-Cola, đồng thời chú trọng các "con mồi" là những công ty tham gia quá trình phát triển những dự án hạ tầng quan trọng của Mỹ (như hệ thống điện, khí đốt và cấp nước).
Theo Mandiant, công ty này đã phát hiện hơn 140 vụ xâm nhập do Tập đoàn Thượng Hải thực hiện kể từ năm 2006 - 2013. Các cơ quan tình báo Mỹ và những công ty tư nhân khác thì truy dấu được khoảng 20 nhóm hacker Trung Quốc mỗi ngày, và dường như có liên quan đến Tập đoàn Thượng Hải.
Lực lượng bóng ma
Theo báo New York Times, sự tồn tại của biệt đội tin tặc trong quân đội Trung Quốc được xem là bí mật quốc gia đối với Bắc Kinh. Đơn vị 61398 cũng không hề có ghi chép nào về sự tồn tại của lực lượng này trong các văn bản chính thức. Tuy nhiên, Hạ nghị sĩ Mike Rogers, chủ tịch Ủy ban Tình báo Hạ viện, khẳng định những phát hiện của Mandiant "hoàn toàn phù hợp với các hoạt động mà Ủy ban đã theo dõi trong khoảng thời gian".
Giới phân tích tình báo và nghiên cứu về nhóm này tin rằng 61398 là nhân tố trung tâm trong các chiến dịch tấn công mạng từ Trung Quốc. Dự án 2049, tổ chức phi chính phủ ở Virginia nghiên cứu về chính sách và an ninh châu Á, hồi năm 2011 từng miêu tả 61398 là "đối tượng hàng đầu nhằm vào Mỹ, Canada, để tìm kiếm các thông tin tình báo về chính trị, kinh tế và quân sự".
Vị trí tòa nhà được cho là căn cứ của nhóm tin tặc trong quân đội Trung Quốc ở Thượng Hải. Đồ họa: NYT |
Chính quyền Obama chưa từng thảo luận công khai về hoạt động của binh chủng tin học này của Trung Quốc. Tuy nhiên, một điện tín mật của Bộ Ngoại giao mà Wikileaks công bố cho thấy, trước ngày ông Obama chiến thắng vào tháng 11/2008, giới chức Mỹ đã có cuộc thảo luận kéo dài về lo ngại 61398 tấn công hàng loạt các trang web chính phủ.
Hai mục tiêu: Bộ Quốc phòng, Bộ Ngoại giao
Điện tín cho biết Bộ Quốc phòng và Bộ Ngoại giao là 2 mục tiêu chính. Thủ đoạn của những kẻ xâm nhập là gửi những email chứa mã độc, và phát tán khi người dùng nhấn vào chúng. Từ đây, nó tìm đường chui sâu vào hệ thống.
Một số quan chức Mỹ biện minh cho sự kín tiếng của họ là vì các quan ngại ngoại giao, và nhu cần cần bí mật theo dõi hoạt động của đội 61398, nên chưa thể công bố thông tin này với dân chúng. Tuy nhiên, công ty Mandiant muốn vấn đề này được công khai.
Mandiant đã theo dấu 61398 kể từ năm 2007, dựa trên những "dấu vết" mà chúng để lại sau những vụ xâm nhập. Họ nhận ra, nhóm này sử dụng chung loại mã độc, tên miền web, địa chỉ IP, các công cụ để hack và một số kỹ thuật khác. Kể từ năm 2007 đến 2013, Mandiant đã nghiên cứu hơn 140 vụ tấn công được cho là do 61398 gây ra. "Tuy nhiên, đây chỉ là những vụ dễ. Họ đã thực hiện cả nghìn vụ", ông Kevin Mandia, tổng giám đốc Mandiant nói.
Khoảng 3.000 địa chỉ IP và những bằng chứng khác đã giúp Mandiant lần dấu vết về quận Phố Đông ở Thượng Hải, xung quanh trụ sở chính của đơn vị 61398. "Đây là nơi xuất phát của hơn 90% vụ tấn công mà chúng tôi điều tra", ông Mandia cho biết.
Binh sĩ Trung Quốc canh gác bên ngoài khu vực quân sự, nơi đặt tòa nhà được cho là căn cứ của nhóm 61398. Ảnh: Telegraph |
"Khỉ đột xấu xí" và các thủ đoạn tấn công
Một trong những nội dung đáng lưu tâm từ báo cáo của Mandiant là hành vi của những tin tặc nghi là phục vụ cho quân đội Trung Quốc. Các công ty Mỹ bị tấn công mạng đã trao toàn quyền điều tra cho Mandiant để loại bỏ những kẻ gián điệp Trung Quốc.
Một trong những tin tặc mà Mandiant theo dấu là UglyGorrilla (Khỉ đột xấu xí). Cái tên này lần đầu xuất hiện trên một diễn đàn quân sự của Trung Quốc hồi tháng 1/2004. Khi đó, người này đặt ra câu hỏi liệu Trung Quốc có "một lực lượng tương tự" như "đội quân trên mạng" mà quân đội Mỹ lập ra không. Đến năm 2007, UglyGorilla xây dựng một bộ mã độc mà Mandiant cho là "dấu hiệu nhận diện rõ ràng".
Một tin tặc khác mà Mandiant gọi là DOTA, thì tạo ra những tài khoản email nhằm cấy mã độc vào máy tính nạn nhân. Tên này có xu hướng sử dụng mật khẩu liên quan đến đơn vị trong quân đội của y. Cả DOTA và UglyGorilla đều sử dụng chung địa chỉ IP mà truy dấu vết cho ra khu làm việc của đơn vị 61398.
Mandiant còn phát hiện ra một thông báo nội bộ của tập đoàn viễn thông nhà nước China Telecom, nội dung bàn về chuyện lắp đặt những đường cáp quang tốc độ cao đến trụ sở đơn vị 61398.
Mandiant cho biết vụ tấn công bị phát hiện sớm nhất của nhóm 61398 nhằm vào hệ thống máy tính của các doanh nghiệp và cơ quan chính phủ Mỹ là từ năm 2006. Tính trung bình, thời gian nhóm này "ở ẩn" trong mạng lưới, đánh cắp dữ liệu và các mật khẩu khoảng 1 năm. Tuy nhiên, có một vụ mà chúng liên tục xâm nhập trong 4 năm 10 tháng.
Tấn công 20 ngành khác nhau
Theo Mandiant, nhóm 61398 tấn công nhằm đánh cắp thông tin ở khoảng 20 ngành khác nhau, từ công nghiệp hóa chất đến quân sự, khai thác mỏ, vệ tinh và viễn thông... Những dữ liệu bị đánh cắp như các kế hoạch của những dự án công nghệ, thông tin về quá trình sản xuất, kết quả các cuộc thử nghiệm lâm sàng, chiến lược đàm phán... Phần lớn các nạn nhân hoạt động ở Mỹ. Tuy nhiên, báo cáo của Mandiant không nêu danh tính nạn nhân do quy tắc bảo mật.
Điều khiến những nhà điều tra Mỹ lo lắng nhất là những vụ tấn công gần đây cho thấy nhóm 61398 không chỉ đánh cắp thông tin, mà đã có thể xâm nhập vào những hệ thống hạ tầng quan trọng của Mỹ, như hệ thống mạng điện...
Một tháng sau khi Mandiant trình làng công khai những điều tra của mình, Bộ Quốc phòng Trung Quốc lên tiếng phủ nhận cáo buộc đứng sau các vụ tấn công mạng. "Đây là những cáo buộc vô căn cứ và không hợp lẽ khi cho rằng quân đội Trung Quốc phát động những cuộc tấn công này mà không có bằng chứng vững chắc", Bộ này ra thông báo phản bác.
Trong bài phát biểu Thông điệp Liên bang năm 2013, Tổng thống Obama đã đề cập đến quan ngại này, dù không chỉ đích danh Trung Quốc hay quốc gia nào. "Chúng ta biết một số công ty và chính phủ nước ngoài muốn khoắng sạch dữ liệu kinh doanh bí mật của các tập đoàn. Bây giờ, kẻ thù còn tìm cách phá hoại hệ thống cấp điện, các cơ quan tài chính, hệ thống không lưu... Chúng ta không thể chỉ tự hỏi vì sao chúng ta không thể làm gì".
Chủ tịch Ủy ban Tình báo Hạ viện thì khẳng định: "Bây giờ không có lý do gì để Trung Quốc phải ngưng những hoạt động này. Nếu chúng ta không tạo ra một cái giá thật đắt, sự việc sẽ chỉ càng ồ ạt hơn".