Mới nhất
Tiêu điểm
Bình luận
Share
Email
Tài liệu bị rò rỉ tiết lộ năng lực và mục tiêu của tin tặc của Trung Quốc
“Có một cuộc chiến không có thuốc súng, và cuộc chiến này đang diễn ra trên không gian mạng,” một chuyên gia cho biết.
Các chuyên gia cho biết rằng, một kho tài liệu lớn bị rò rỉ từ một nhà thầu tin tặc Trung Quốc càng nhấn mạnh thêm các mối đe dọa an ninh mạng toàn cầu do chế độ cộng sản Trung Quốc gây ra.
Các tài liệu này, do những cá nhân không rõ danh tính đăng trên GitHub hôm 16/02, bao gồm tài liệu hướng dẫn sử dụng sản phẩm, tài liệu tiếp thị, danh sách nhân viên, lịch sử trò chuyện, thông tin tài chính, và chi tiết về sự xâm nhập của ngoại quốc.
Trong một bản tin ngày 21/02, hãng thông tấn AP xác nhận rằng các tài liệu này có nguồn gốc từ nhà cung cấp an ninh mạng I-Soon có trụ sở tại Trung Quốc, có tên tiếng Hoa là Anxun (An Tuân) — sau khi nói chuyện với hai nhân viên của công ty này.
Theo các tài liệu này, I-Soon tự hào về dòng sản phẩm bao gồm các công cụ tấn công mạng và hệ thống phần mềm gián điệp. Ngoài ra, trong các tài liệu này còn có một danh sách các hợp đồng mà công ty đã ký từ tháng 07/2016 đến tháng 06/2022, cho thấy hầu hết khách hàng của họ là các cơ quan an ninh khu vực của Trung Quốc. Tiết lộ này cho biết thêm những thông tin được biết từ trang web của công ty, trong đó liệt kê Bộ Công an của ĐCSTQ là một trong những đối tác của họ.
“Vụ việc I-Soon một lần nữa nhắc nhở mọi người rằng an ninh mạng là an ninh quốc gia. Có một cuộc chiến không có thuốc súng, và cuộc chiến đó đang diễn ra trên không gian mạng,” chuyên gia công nghệ Giang Nhã Khởi (Chiang Ya-chi) nói với The Epoch Times hôm 21/02.
Bà Giang là chủ tịch Hiệp hội Luật và Công nghệ Đài Loan, đồng thời là một giáo sư chuyên về công nghệ Internet và luật sở hữu trí tuệ tại Đại học Quốc gia Hải Dương Đài Loan.
Bà Giang cho biết rằng các tài liệu bị rò rỉ này cho thấy I-Soon được Đảng Cộng sản Trung Quốc (ĐCSTQ) tài trợ. Bà cũng lưu ý rằng Bắc Kinh sử dụng các công cụ do các công ty như I-Soon phát triển để xâm nhập vào các chính phủ và tổ chức ngoại quốc.
Một danh sách nạn nhân có trong tài liệu bị rò rỉ này, cho thấy I-Soon đã nhắm mục tiêu vào các công ty viễn thông, bệnh viện, trường đại học, tổ chức, và cơ quan chính phủ từ nhiều quốc gia. Các quốc gia này bao gồm Pháp, Ai Cập, Ấn Độ, Indonesia, Kazakhstan, Malaysia, Mông Cổ, Nepal, Nam Hàn, Đài Loan, Thái Lan, và Philippines.
Phần mềm gián điệp
Kể từ từ khi các tài liệu này được công bố vào tuần trước, nhiều nhà nghiên cứu và các chuyên gia đã công bố những phân tích của họ về các tài liệu được viết bằng tiếng Trung giản thể này.
Hôm 21/02, Malwarebytes, một công ty ở California chuyên cung cấp dịch vụ bảo vệ không gian mạng theo thời gian thực, đã công bố một bản phân tích về dữ liệu bị rò rỉ này, cho biết các tài liệu này “cung cấp cái nhìn sâu sắc hơn về các hoạt động nội bộ đang diễn ra của một nhà cung cấp phần mềm gián điệp hàng đầu và APT-for-hire.” APT nghĩa là mối đe dọa liên tục nâng cao (advanced persistent threat).
Phân tích nêu bật một số sản phẩm của I-Soon được các tài liệu tiết lộ, trong đó có cái mà họ gọi là một “kẻ đánh cắp Twitter.”
“Các tính năng [của kẻ đánh cắp Twitter] bao gồm thu thập thư điện tử và số điện thoại Twitter của người dùng, theo dõi thời gian thực, đọc tin nhắn cá nhân, và đăng tweet thay mặt người dùng,” phân tích cho biết.
Trong một trang tài liệu, I-Soon khoe rằng họ đã nghiên cứu quy định bảo mật của Twitter trong nhiều năm; do đó, sản phẩm của họ bị cáo buộc là có thể bỏ qua các tính năng bảo mật để nhắm mục tiêu vào trương mục người dùng Twitter.
Các tài liệu bị rò rỉ cũng tiết lộ giá thành của sản phẩm “kẻ đánh cắp Twitter.” Chi phí sử dụng sản phẩm trong một năm là 700,000 nhân dân tệ (khoảng 97,000 USD), và thời gian sử dụng ba năm là 1.5 triệu nhân dân tệ (khoảng 208,000 USD).
Phân tích của Malwarebytes cho thấy mô tả sản phẩm như sau: “Trojan Truy cập Từ xa Tùy chỉnh (RAT) dành cho Windows x64/x86: Các tính năng bao gồm quản lý tiến trình/dịch vụ/ghi danh, trình lệnh từ xa, ghi nhớ phím, ghi nhật ký truy cập tệp, thu thập thông tin hệ thống, ngắt kết nối từ xa, và gỡ cài đặt.”
Có các phiên bản RAT cho iOS và Android. Theo phân tích, mô hình iOS tuyên bố sẽ trợ giúp tất cả các phiên bản thiết bị iOS mà không cần bẻ khóa, với các tính năng từ thông tin phần cứng đến dữ liệu GPS, danh bạ, tệp phương tiện, và bản ghi âm thanh thời gian thực dưới dạng tiện ích mở rộng.
Bản phân tích nêu rõ rằng I-Soon cũng có các thiết bị di động để “tấn công mạng từ bên trong.”
Theo các tài liệu bị rò rỉ, các thiết bị di động này có hai kích cỡ khác nhau — một phiên bản tiêu chuẩn có thể được ngụy trang dưới dạng pin điện thoại di động, bảng điện, hoặc bộ chuyển nguồn điện, và một phiên bản mini có thể được ngụy trang dưới dạng bảng mạch in.
Theo phân tích của Malwarebytes, cơ sở dữ liệu tra cứu người dùng, bao gồm số điện thoại, tên và địa chỉ thư điện tử của người dùng, có thể tương quan với các trương mục mạng xã hội.
Rất có thể ĐCSTQ có năng lực sử dụng cơ sở dữ liệu truy vấn người dùng để theo dõi và xác định vị trí của những người bất đồng chính kiến ở Trung Quốc. Theo các tài liệu bị rò rỉ, cơ sở dữ liệu đã được xây dựng cho các nền tảng khác nhau của Trung Quốc, trong đó có Weibo, Baidu, và WeChat.
Các mối đe dọa
Hôm 21/02, ông Tô Tử Vân (Su Tzu-yun), giám đốc Viện Nghiên cứu Quốc phòng và An ninh có trụ sở tại Đài Loan, nói với The Epoch Times rằng các tài liệu I-Soon là bằng chứng mới nhất chứng minh cho tuyên bố của Hoa Kỳ và NATO rằng chính quyền Trung Quốc đang là một mối đe dọa cho an ninh mạng của họ.
Trong khái niệm chiến lược đã đạt được hồi năm 2022, NATO tuyên bố rằng “các hoạt động hỗn hợp độc hại và các hoạt động trên không gian mạng cũng như những phát ngôn đối đầu và thông tin giả của chế độ này nhắm mục tiêu vào Đồng minh và gây tổn hại cho an ninh của Liên minh.”
Đầu tháng này, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng đã đưa ra cảnh báo rằng ĐCSTQ đang cài đặt sẵn phần mềm độc hại trong các hệ thống của Hoa Kỳ để chuẩn bị cho một cuộc xung đột. Cảnh báo này được đưa ra chỉ vài ngày sau khi Giám đốc FBI Christopher Wray nói với các nhà lập pháp rằng một hoạt động đa cơ quan đã phá hủy “Volt Typhoon,” một nhóm tin tặc lớn được nhà nước hậu thuẫn có trụ sở tại Trung Quốc, bắt đầu nhắm mục tiêu vào một loạt mạng lưới trên khắp cơ sở hạ tầng quan trọng của Hoa Kỳ hồi năm 2021.
Năm ngoái, ông Wray cảnh báo rằng số lượng tin tặc Trung Quốc đông hơn các chuyên gia mạng Hoa Kỳ ít nhất là gấp 50 lần.
Dựa trên phân tích của mình về các tài liệu bị rò rỉ này, một số nhà nghiên cứu cho rằng I-Soon có thể có liên hệ với APT41, một nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn.
Hồi năm 2020, năm công dân Trung Quốc thuộc APT41 đã bị truy tố về tội liên quan đến các chiến dịch tấn công mạng nhằm đánh cắp bí mật thương mại và thông tin nhạy cảm từ hơn 100 công ty và tổ chức trên toàn thế giới. Năm cá nhân này hiện đang nằm trong danh sách truy nã của FBI.
Công ty an ninh mạng Mandiant tuyên bố trong một báo cáo năm 2022 rằng APT41 đã khai thác các lỗ hổng trong hệ thống trực tuyến của ít nhất sáu chính quyền tiểu bang của Hoa Kỳ để có quyền truy cập vào các mạng đó.
“Vụ rò rỉ này cung cấp một số chi tiết cụ thể nhất được công bố cho đến nay, tiết lộ bản chất trưởng thành của hệ sinh thái gián điệp mạng của Trung Quốc,” công ty an ninh mạng SentinelLabs có trụ sở tại California cho biết trong phân tích của họ về dữ liệu bị rò rỉ của I-Soon được công bố hôm 21/02.
