Gián điệp nước ngoài tấn công an ninh mạng của NSA như thế nào?

Thứ Ba, 13/08/2019, 14:59
Gián điệp Trung Quốc sở hữu các công cụ hack của Cơ quan An ninh Quốc gia Mỹ (NSA) và tái sử dụng chúng vào năm 2016 để tấn công các đồng minh và công ty tư nhân của Mỹ ở Châu Âu và Châu Á – đó là phát hiện của công ty an ninh mạng hàng đầu Symantec.

Tiết lộ gần đây là bằng chứng mới nhất cho thấy Mỹ đã mất quyền kiểm soát các phần quan trọng trong kho vũ khí an ninh mạng như thế nào.

1. Dựa trên thời gian của các cuộc tấn công và manh mối trong mã máy tính, nhóm nhà nghiên cứu công ty bảo mật Symantec tin rằng gián điệp Trung Quốc đã không ăn cắp mã mà thu thập được từ một cuộc tấn công hệ thống máy tính của Cơ quan An ninh Quốc gia Mỹ (NSA).

Hành động của Trung Quốc cho thấy mức độ phổ biến của xung đột mạng đang tạo ra một miền Tây hoang dã kỹ thuật số và Mỹ khó theo dõi phần mềm độc hại được sử dụng để xâm nhập và tấn công cơ sở hạ tầng từ các đối thủ như thế nào.

Những tổn thất đã gây ra một cuộc tranh luận trong cộng đồng tình báo về việc liệu Mỹ có nên tiếp tục phát triển một số vũ khí công nghệ cao tinh vi nhất thế giới hay không nếu không thể bảo đảm chúng được giữ kín tuyệt đối.

Phòng máy chủ Symantec ở Culver City, bang California (Mỹ).

Theo một tài liệu mật bị rò rỉ, nhóm hack Trung Quốc thu thập các công cụ của NSA được các nhà phân tích của cơ quan tình báo đánh giá là một trong những nhóm nguy hiểm nhất của nước này mà họ theo dõi. Nhóm này chịu trách nhiệm cho nhiều cuộc tấn công vào một số mục tiêu phòng thủ nhạy cảm nhất bên trong nước Mỹ - bao gồm các nhà sản xuất công nghệ đẩy không gian, vệ tinh và hạt nhân.

Một số công cụ hack của NSA rơi vào tay Trung Quốc sau đó đã bị một nhóm bí ẩn tự xưng là Shadow Brokers phơi bày trên Internet và được Nga và Triều Tiên sử dụng để tiến hành nhiều cuộc tấn công mạng trên toàn cầu.

Phát hiện của Symantec cung cấp bằng chứng đầu tiên cho thấy nhóm hacker được chính phủ Trung Quốc bảo trợ đã thu thập được một số công cụ hack của NSA khoảng vài tháng trước khi Shadow Brokers xuất hiện lần đầu tiên trên Internet vào tháng 8-2016. Shadow Brokers công bố một số rò rỉ chứa các công cụ hacker từ NSA, bao gồm một số khai thác lỗ hổng zero-day.

Cụ thể, hacker khai thác lỗ hổng này nhắm vào bức tường lửa của doanh nghiệp, phần mềm chống virus và các sản phẩm của Microsoft.

Nhóm hacker tiết lộ những rò rỉ xuất phát từ nhóm gọi là Equation Group hoạt động trong gần 2 thập niên, nổi bật bởi các kỹ thuật phức tạp và tinh vi. Nhóm hacker này sử dụng các công cụ phức tạp và đắt tiền để lây nhiễm mã độc cho máy tính, đánh cắp dữ liệu, che đậy dấu vết một cách chuyên nghiệp cũng như là tận dụng các kỹ thuật gián điệp cổ điển nhằm phát tán phần mềm độc hại.

Từ năm 2001, Equation Group đã thực hiện hàng ngàn cuộc lây nhiễm và gây thiệt hại cho hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới - bao gồm mọi lĩnh vực: Chính phủ và các cơ quan ngoại giao, các tập đoàn viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Để lây nhiễm nạn nhân, Equation Group sử dụng kỹ thuật gọi là “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish. Liên tiếp trong thập niên qua, một loạt công cụ hack và chi tiết về các chương trình an ninh mạng được phân loại mật thuộc sở hữu của cộng đồng tình báo Mỹ đã rơi vào tay một số quốc gia hoặc nhóm tội phạm khác.

Mọi người đều biết NSA từng sử dụng mã độc tinh vi để phá hoại hệ thống máy ly tâm hạt nhân Iran - và sau đó người ta chứng kiến một mã độc tương tự như thế phổ biến trên khắp thế giới, gây thiệt hại cho các mục tiêu ngẫu nhiên - bao gồm cả những doanh nghiệp khổng lồ của Mỹ như Chevron Corporation, một tập đoàn năng lượng đa quốc gia đặt trụ sở tại San Ramon thuộc bang California và hoạt động tại hơn 180 quốc gia trên thế giới.

Eric Chien (trái), Giám đốc an ninh Symantec, trong một cuộc phỏng vấn.

Chi tiết về các chương trình an ninh mạng bí mật của Mỹ được tiết lộ cho các nhà báo bởi cựu nhân viên NSA Edward J. Snowden. Ngoài ra, cả một bộ sưu tập vũ khí mạng của Cục Tình báo trung ương Mỹ (CIA), được cho là bị rò rỉ bởi một nhân viên trong cơ quan, đã rò rỉ trên trang WikiLeaks.

Tình hình thật sự xấu đến mức khiến cho Eric Chien, giám đốc an ninh Symantec, bình luận: “Chúng tôi biết rằng bạn không thể đảm bảo các công cụ của mình sẽ không bị rò rỉ và sử dụng để chống lại bạn và các đồng minh của bạn”.

2. Trong trường hợp mới nhất, nhóm nhà nghiên cứu Symantec không chắc chắn chính xác làm thế nào người Trung Quốc có được mã độc do người Mỹ phát triển. Nhưng họ biết rằng tình báo Trung Quốc đã tái sử dụng công cụ hack của Mỹ để thực hiện một loạt cuộc tấn công mạng nhắm vào ít nhất 4 quốc gia: Bỉ, Luxembourg, Philippines và Hongkong.

Shadow Brokers, nhóm hacker bí ẩn thu hút sự chú ý của thế giới khi công bố hàng trăm công cụ hack của NSA hồi tháng 8-2016.

Các mục tiêu bao gồm các tổ chức nghiên cứu khoa học, các tổ chức giáo dục và mạng máy tính của ít nhất một đồng minh của chính phủ Mỹ. Symantec nhận định cuộc tấn công vào một mạng viễn thông lớn có thể cho phép các sĩ quan tình báo Trung Quốc truy cập vào hàng trăm nghìn hoặc hàng triệu thông tin liên lạc riêng tư. Symantec không nêu rõ tên Trung Quốc trong nghiên cứu của công ty.

Thay vào đó, Symantec chỉ xác định những kẻ tấn công là nhóm Buckeye - thuật ngữ riêng của Symantec dành cho nhóm hacker mà Bộ Tư pháp Mỹ (DOJ) và một số công ty an ninh mạng khác xác định là cánh tay đắc lực của Bộ An ninh Nhà nước Trung Quốc (MSS) hoạt động bên ngoài Quảng Châu.

Do các công ty an ninh mạng hoạt động trên toàn cầu thường tự đặt biệt danh cho các cơ quan tình báo chính phủ để tránh xúc phạm bất kỳ chính phủ nào; Symantec và các hãng khác đề cập đến hacker của NSA là nhóm Equation.

Năm 2017, DOJ công bố cáo trạng kết tội 3 hacker Trung Quốc trong nhóm mà Symantec gọi là Buckeye. Trong khi các công tố viên không khẳng định 3 hacker này làm việc cho chính phủ Trung Quốc, các nhà nghiên cứu độc lập và NSA cho rằng rõ ràng nhóm đã ký hợp đồng với MSS và đã thực hiện nhiều cuộc tấn công tinh vi vào nước Mỹ.

Một báo cáo của Lầu Năm Góc về cạnh tranh quân sự Trung Quốc công bố trong tháng 5-2019 mô tả Bắc Kinh là một trong những tay chơi lành nghề và bền bỉ nhất trong các hoạt động quân sự, tình báo và thương mại, luôn tìm mọi cách để làm giảm lợi thế hoạt động và công nghệ cốt lõi của Mỹ.

Tuy nhiên, người Trung Quốc dường như chỉ tình cờ phát hiện ra một vụ xâm nhập tấn công mạng của Mỹ và đánh cắp mã độc - thường được phát triển với chi phí rất lớn từ người nộp thuế ở Mỹ.

Trụ sở Symantec tại Mountain View, California (Mỹ).

Symantec phát hiện vào đầu tháng 3-2016, hacker Trung Quốc sử dụng các phiên bản tinh chỉnh 2 công cụ của NSA, được gọi là Eternal Synergy và Double Pulsar, trong các cuộc tấn công của họ.

Nhiều tháng sau, tức vào tháng 8-2016, Shadow Brokers công bố những mẫu đầu tiên mà nhóm đánh cắp được từ NSA, tiếp theo là tung lên Internet toàn bộ bộ sưu tập công cụ hack của NSA vào tháng 4-2017.

Các nhà nghiên cứu Symantec lưu ý rằng có nhiều trường hợp trước đó phần mềm độc hại được phát hiện bởi các nhà nghiên cứu an ninh mạng được phát hành công khai trên Internet và sau đó bị các cơ quan gián điệp hoặc tội phạm thu thập và sử dụng để tấn công.

3. Các nhà nghiên cứu Symantec cho biết người Trung Quốc dường như không quay ngược lại vũ khí chống lại Mỹ vì 2 lý do có thể chấp nhận được. Trung Quốc có thể cho rằng người Mỹ đã phát triển hệ thống phòng thủ chống lại vũ khí của chính họ đồng thời cũng có thể không muốn tiết lộ với Washington rằng họ đã đánh cắp các công cụ của Mỹ.

Công cụ DoublePulsar của NSA.

Đối với cộng đồng tình báo Mỹ, phát hiện Symantec phơi bày một loại tình huống xấu nhất mà các quan chức Mỹ bình luận rằng họ cố gắng tránh sử dụng một chương trình của Nhà Trắng được gọi là Quy trình xử lý các điểm yếu bảo mật (Vulnerabilities Equities Process– VEP) – tức là yêu cầu xem xét các lỗi bảo mật công nghệ và quyết định xem nên công bố những lỗ hổng nào.

Giới quan chức Nhà Trắng nói rằng quy trình VEP nghiêng về việc tiết lộ các lỗ hổng công nghệ, nhưng lại không phải là quy định được lập ra để giải quyết hay tiết lộ những lỗ hổng do các công ty tư nhân phát hiện ra và sở hữu.

Việc Shadow Brokers phát hành các công cụ hack đáng khao khát nhất của NSA trong năm 2016 và 2017 đã buộc cơ quan này phải chuyển kho vũ khí phần mềm của mình cho Microsoft để vá và đóng cửa một số hoạt động chống khủng bố nhạy cảm nhất của NSA – theo tiết lộ từ 2 cựu nhân viên NSA.

Các công cụ của NSA bị hacker Triều Tiên và Nga nhặt được và sử dụng cho các cuộc tấn công làm tê liệt hệ thống chăm sóc sức khỏe của Anh, buộc tập đoàn vận tải Maersk ngừng hoạt động và cắt giảm nguồn cung cấp vaccine do Merck sản xuất.

Tại Ukraina, một loạt cuộc tấn công mạng của Nga đã làm tê liệt các dịch vụ quan trọng của Ukraina - bao gồm sân bay, dịch vụ bưu chính, trạm xăng và hệ thống ATM.

Ngoài cộng đồng tình báo quốc gia, các cơ quan Mỹ như Bộ Y tế và Dịch vụ Nhân sinh (HSS) và Bộ Tài chính (USDT) muốn đảm bảo những lỗ hổng của NSA sẽ không được phát hiện bởi những kẻ thù hoặc tội phạm để rồi chúng quay trở lại tấn công cơ sở hạ tầng chủ chốt của Mỹ - như bệnh viện và ngân hàng, hoặc lợi ích Mỹ ở nước ngoài.

Duy Ân (tổng hợp)
.
.