The NEW YORK TIMES/ H.C. dịch
Aria-body, một phần mềm gián điệp để xâm nhập và chiếm quyền điều khiển máy tính của đối phương, được nhóm tin tặc Naikon của quân đội Trung Quốc sử dụng để tấn công các nước láng giềng, vừa bị phanh phui vì một lỗi ngớ ngẩn. Độ tinh vi của công cụ này làm các chuyên gia an ninh mạng cũng phải kinh sợ.
Vào buổi sáng ngày 03-01, một thư điện tử từ Đại sứ quán Indonesia được gửi tới Văn phòng ông Mark McGowan, Thủ hiến bang Tây Úc, cho một chuyên viên phụ trách lĩnh vực y tế và môi trường. Thư đính kèm một văn bản soạn thảo bằng ứng dụng Word thông thường và không có gì để nghi ngờ vì dường như người nhận và người gửi có biết nhau.
Ít ai biết văn bản đính kèm thư này có chứa một công cụ xâm nhập máy tính có tên Aria-body trước đây chưa từng được biết tới nhưng có những khả năng đáng sợ. Tin tặc (hackers) sử dụng công cụ này có thể chiếm quyền điều khiển máy tính từ xa, chúng không chỉ có thể sao chép, xóa, tạo tài liệu mới và lục soát toàn bộ dữ liệu trong máy của nạn nhân mà còn có thể che giấu dấu vết để tránh bị phát hiện.
Hôm nay 07-05, công ty an ninh mạng của Israel có tên Check Point Software Technologies (CPST) công bố bản báo cáo về công cụ này. Qua phân tích, Check Point xác định Aria-body là một vũ khí của nhóm tin tặc có tên là Naikon trước đây từng bị phát hiện có dính líu với quân đội Trung Quốc. Vũ khí này không chỉ nhắm vào văn phòng ông Thủ hiến Mark McGowan mà trong mấy tháng trước nhóm Naikon đã dùng nó để xâm nhập (hack) các cơ quan chính phủ, các công ty công nghệ của nhà nước ở Indonesia, Phi Luật Tân, Việt Nam, Miến Điện và Brunei. Check Point nhận định những cuộc tấn công này cho thấy độ sâu rộng và độ tinh vi trong cách sử dụng gián điệp mạng của Trung Quốc chống các quốc gia láng giềng.
“Nhóm Naikon (tiếng Hán 奈康 nãi khang: luôn vững mạnh) đang vận hành một chiến dịch đã có từ lâu, thường xuyên cập nhật các vũ khí tin học, xây dựng một hạ tầng tấn công rộng lớn và đã cố gắng xâm nhập nhiều chính phủ ở châu Á và Thái Bình Dương,” ông Lotem Finkelstein, phụ trách nhóm thông tin về các mối đe dọa trực tuyến của Check Point, cho biết.
Điều làm cho các cuộc tấn công này đáng sợ, theo Check Point và các chuyên gia khác về gián điệp mạng của Trung Quốc là khả năng xâm nhập của Aria-body – vũ khí mới của họ.
Aria-body xâm nhập bất kỳ máy tính nào đã mở tập tài liệu mà nó đã được giấu (embed) trong đó, và nhanh chóng buộc máy tính đó phải làm theo mệnh lệnh của tin tặc, bao gồm cả việc mở một đường truyền thông tin bí mật, khó phát hiện, để chuyển dữ liệu từ máy tính nạn nhân tới các máy chủ mà bọn hackers sử dụng. Nó còn cho phép sao chép thao tác trên bàn phím của người sử dụng máy tính bị xâm nhập, nghĩa là nếu như vụ tấn công ở Úc không bị phát hiện, công cụ Aria-body sẽ cho phép tin tặc đọc được, theo thời gian thực, những gì mà người chuyên viên kia soạn thảo trong văn phòng của ông Thủ hiến Mark McGowan.
Peter Jennings, cựu quan chức quốc phòng Úc, hiện là giám đốc điều hành Viện Chính sách Chiến lược Úc, nói: “Chúng tôi biết Trung Quốc có thể là nguồn xuất phát lớn nhất và duy nhất họat động gián điệp mạng nhắm vào Úc từ nơi xa”.
Trong những năm gần đây, đối mặt với làn sóng chỉ trích như vậy, Bắc Kinh luôn nói rằng họ phản đối tấn công mạng dưới mọi hình thức; chính phủ và quân đội Trung Quốc không tham gia xâm nhập mạng hoặc ăn cắp các bí mật thương mại.
Tuy nhiên, các nỗ lực gián điệp mạng của Trung Quốc trên toàn cầu không có dấu hiệu ngừng nghỉ và có thể đang gia tăng khi quan hệ giữa Trung Quốc với Úc, Hoa Kỳ và các nước khác về những vấn đề thương mại, công nghệ, và gần đây là các cuộc tranh chấp về đại dịch coronavirus ngày càng căng thẳng. Các chuyên gia nhận định, mục tiêu của Bắc Kinh là ăn cắp khối lượng lớn các dữ liệu liên quan từ các chính phủ và công ty nước ngoài.
Ông Matthew Brazil, cựu nhân viên ngoại giao Mỹ, đồng tác giả sách “Gián điệp Cộng sản Trung Quốc” (Chinese Communist Espionage) nhận xét: “Thiết kế có thể khác nhưng những vụ tấn công đều có cùng một mục đích”.
Theo Check Point, tin tặc sử dụng Aria-body có thể đã chiếm được quyền điều khiển máy tính của một nhà ngoại giao Indonesia tại đại sứ quán ở thủ đô Canberra. Tin tặc tìm thấy một văn bản mà nhà ngoại giao đang viết dở, chúng bèn viết nốt, kèm tài liệu có cài mã độc Aria-body vào rồi gửi tới người chuyên viên của văn phòng Thủ hiến Tây Úc. Âm mưu này bị phát hiện vì một lỗi của con người.
Tin tặc gửi thư điện tử đã ghi nhầm địa chỉ. Khi máy chủ của văn phòng thủ hiến trả thư lại với thông báo không tìm thấy địa chỉ, các chuyên viên tin học của đại sứ quán Indonesia lập tức nghi ngờ có điều gì bí hiểm trong lá thư gốc, theo báo cáo của Check Point. Điều bí hiểm đó đã kích hoạt một cuộc điều tra và phát hiện ra âm mưu tấn công không thành cũng như loại vũ khí tin học mới của hackers Trung Quốc.
Trước đây, nhóm Naikon đã từng bị công ty an ninh mạng của Mỹ ThreatConnect điều tra; và năm 2015 công ty này đưa ra bản báo cáo khá toàn diện về mối liên hệ giữa nhóm Naikon và quân Giải phóng Nhân dân Trung Quốc.
Theo báo cáo của ThreatConnect, nhóm tin tặc này hoạt động như là một phần của Phòng Trinh sát Kỹ thuật số 2, mã đơn vị 78029, có căn cứ chính tại thành phố Côn Minh miền Nam Trung Quốc. Nhóm này chịu trách nhiệm thực hiện các chiến dịch tấn công mạng và gián điệp kỹ thuật nhắm vào các nước Đông Nam Á và Biển Đông, nơi Bắc Kinh có tranh chấp lãnh thổ với các nước láng giềng.
Một báo cáo của công ty an ninh mạng Kaspersky Lab của Nga gọi nhóm này là một trong những “mối đe dọa dai dẳng và tiên tiến” hoạt động tích cực nhất – một thuật ngữ mà các chuyên gia an ninh thường dùng để chỉ các tin tặc được nhà nước chống lưng, điều hành những chiến dịch xâm nhập lâu dài vào hệ thống của đối phương.
Sau báo cáo năm 2015 vạch trần các vũ khí tin học chính của Naikon được công bố, nhóm này có vẻ như biến mất. Ông Brazil, cựu nhân viên ngoại giao, để ý rằng từ ngày đó, Trung Quốc đã tổ chức lại các lực lượng gián điệp mạng, chuyển một số nhóm từ quân Giải phóng Nhân dân Trung Quốc sang Bộ Công an, phân chia rõ nhiệm vụ của các nhóm giữa tình báo quân đội và gián điệp kinh tế, ngoại giao.
Báo cáo hôm nay của Check Point cho rằng nhóm Naikon vẫn tiếp tục hoạt động mạnh, dù không rõ nó có bị chuyển ra khỏi guồng máy chỉ huy của quân đội Trung Quốc hay không.
Theo báo cáo của Check Point, từ đầu năm 2019, nhóm này đã tăng tốc mở rộng cơ sở hạ tầng trực tuyến của mình, đã mua dung lượng máy chủ của tập đoàn công nghệ Trung Quốc Alibaba và mua tên miền của GoDaddy, một công ty chạy ứng dụng web của Mỹ.
Trong một trường hợp xâm nhập, Naikon đã giành quyền kiểm soát máy chủ của Bộ Khoa học và Công nghệ Phi Luật Tân và dùng nó để che giấu nguồn gốc xuất phát một cuộc tấn công của Naikon, làm người ta nghĩ rằng cuộc tấn công phát đi từ máy chủ đó.
Nhóm này cũng xâm nhập vào máy tính đối phương bằng cách giấu công cụ Aria-body trong các văn bản Microsoft Word và những file cài đặt chương trình Microsoft Office. Điều làm cho nó khó bị phát hiện là nó có khả năng tự giấu mình tốt hơn nhiều so với các công cụ xâm nhập tin học khác.
Aria-body có thể “ký sinh” vào nhiều loại file khác nhau nên nó không có một cách thức hoạt động tiêu biểu nào. Các hackers điều khiển nó có thể thay đổi một phần mã nguồn (code) của nó từ xa, cho nên sau một vụ tấn công vào máy tính, Aria-body lại trông có vẻ khác đi khi tấn công vào máy kế tiếp. Những kiểu hoạt động như vậy, dưới mắt các nhà điều tra an ninh mạng, thường giúp làm lộ chân tướng kẻ gian.
“Người ta đôi khi không nhìn thấy năng lực sức mạnh công nghiệp mà Trung Quốc thực hiện chuyện này trên quy mô toàn cầu. Chúng tôi đã nói về hàng chục ngàn người vận hành các đơn vị tình báo tín hiệu của họ và Bộ Công an. Trung Quốc vừa có năng lực vừa có ý định đã được minh chứng từ lâu là họ làm tất cả mọi chuyện, bất cứ ở đâu mà họ nghĩ rằng có thể ăn cắp được thông tin hữu ích”, ông Jennings, cựu quan chức quốc phòng của Úc nói.
Công ty Check Point không tiết lộ tất cả những mục tiêu mà họ cho là nhóm Naikon đã xâm nhập, nhưng cho biết đó là các tòa đại sứ, các bộ và các tập đoàn nhà nước trong lĩnh vực khoa học và công nghệ.
“Qua nghiên cứu của mình, chúng tôi tìm thấy rằng nhóm này đã điều chỉnh công cụ đặc thù của mình để tìm kiếm những tài liệu (file) đặc thù theo tên file trong những bộ ngành đã bị họ xâm nhập,” ông Finkelstein, chuyên gia của Check Point nói. “Chỉ riêng chuyện này thôi đã củng cố cho hiểu biết rằng đã có một cơ sở hạ tầng được tính toán kỹ, quan trọng và một sự thu thập thông tin tình báo trước khi tổ chức tấn công”.
(NYT)