Bí ẩn về “đội quân hacker bí ẩn” của Trung Quốc được phát giác lần đầu tiên hồi tháng 2 năm ngoái, khi hãng bảo mật Mandiant (Mỹ) đưa ra một báo cáo dài 60 trang về những bằng chứng cho thấy quân đội Trung Quốc đừng đằng sau một “đội quân hacker” hoạt động bí mật từ năm 2006, nhằm vào các mục tiêu khác nhau trên thế giới, trong đó có Mỹ, Nga và các nước phương Tây…
Tòa nhà được cho là “căn cứ” của “quân đoàn hacker bí ẩn” tại thành phố Thượng Hải
Mandiant đã đưa ra những bằng chứng thuyết phục sau một thời gian dài theo dõi các nhóm hacker tại Trung Quốc, trong đó hãng bảo mật này khẳng định “quân đoàn hacker bí ẩn” của Trung Quốc là một Đơn vị có tên gọi 61398, dưới quyền điều hành và giám sát của quân đội Trung Quốc.
Các cách thức tấn công của 61398 sử dụng chung một loại mã độc, giao thức Internet hay công cụ và kỹ thuật hack, do vậy Mandiant đã dựa vào đây để tìm ra chân tướng của nhóm hacker đứng sau các vụ tấn công.
Theo dõi các địa chỉ Internet và sử dụng bằng biện pháp kỹ thuật số khác nhau, Mandiant thậm chí còn xác định được vị trí đóng quân của Đơn vị 61398, đó là một tòa nhà cao 12 tầng tại quận Phố Đông, thành phố Thượng Hải, thuộc quyền sở hữu của quân đội Trung Quốc. Tòa nhà này được canh gác nghiêm ngặt bởi lính gác, nhưng lại không ghi rõ Đơn vị hay chức năng hoạt động ở bên ngoài.
Tòa nhà được canh gác nghiêm ngặt, nhưng không có biển hiệu thông báo về hoạt động bên trong tòa nhà
Cũng theo Mandiant, thông tin về Đơn vị 61398 không hề tồn tại nào trong các tài liệu của quân đội Trung Quốc. Đây là Đơn vị quy tụ hàng trăm, thậm chí hàng ngàn các chuyên gia máy tính của Trung Quốc, đặc biệt về lĩnh vực bảo mật và mạng.
Sau 7 năm tồn tại và hoạt động, cho đến nay ước tính Đơn vị này đã hack thành công vào hàng loạt trang tập đoàn và trang web lớn tại 20 quốc gia khác nhau, chủ yếu là các quốc gia phát triển. Mandiant cho biết nhóm hacker này có thể đã đánh cắp hàng Terabyte (TB) dữ liệu từ các công ty lớn như Coca-Cola, Google hay nhiều tập đoàn công nghiệp lớn khác, chủ yếu tại Mỹ, Nga và các nước tại thuộc EU…
Ngoài ra, “đội quân hacker bí mật” này còn đánh cắp các bí mật công nghiệp hay thông tin cá nhân của các nhân vật quan trọng trên toàn cầu, thậm chí đánh cắp các bí mật quân sự từ các công ty sản xuất vũ khí tại Mỹ…
Quy mô và mục đích hoạt động
Mandiant cho biết Đơn vị 61398 được cung cấp cơ sở hạ tầng tốt để phục vụ cho các nhiệm vụ của mình. Trụ sở của 61398 được trang bị hệ thống cáp quang tốc độ cao bởi China Telecom, công ty viễn thông thuộc sở hữu chính phủ Trung Quốc.
Mandiant cũng ước tính Đơn vị 61398 đang sử dụng hơn 1.000 máy chủ để phục vụ cho các hoạt động tấn công và gián điệp mạng. Mặc dù số lượng nhân sự của Đơn vị này chưa được khám phá ra, nhưng với quy mô của tòa nhà cao 12 tầng rộng 12.000 mét vuông thì có thể thấy có khoảng 2.000 người đang làm việc tại trụ sở chính của Đơn vị này, chưa kể những nhân sự được cài cắm tại nhiều quốc gia khác.
“Căn cứ” của Đơn vị 61398 trên bản đồ
Mục tiêu chính trong các hoạt động tấn công mạng của 61398 là nhằm đánh cắp các bí mật công nghệ, giúp chính phủ Trung Quốc rút ngắn thời gian đầu tư và phát triển công nghệ riêng của mình. Ví dụ cùng với thời điểm Trung Quốc bắt đầu đầu tư vào công nghệ điều chế dược phẩm sinh học, Đơn vị 61398 sẽ bắt đầu tấn công vào các công ty dược phẩm sinh học của Mỹ để đánh cắp công nghệ tương tự. Điều này giúp rút ngắn thời gian nghiên cứu và kinh phí đầu tư.
5 quan chức Trung Quốc vừa bị phía Mỹ truy nã cũng rất tích cực trong việc tấn công và đánh cắp các bí mật công nghệ. Chẳng hạn Wen Xinyu, một hacker được biết đến với tên gọi “WinXYHappy” đã tấn công vào hệ thống máy tính của SolarWorld, công ty phát triển pin năng lượng mặt trời của Đức, để đánh cắp hàng ngàn file chứa các thông tin về công nghệ, giá thành và chi phí sản xuất các sản phẩm của công ty này.
Hay trường hợp của Wang Dong, hacker được biết đến với biệt danh “UglyGorilla” đã tấn công vào hệ thống máy tính của hãng sản xuất thép U.S. Steel để đánh cắp thông tin khách hàng, giá thành sản xuất, mức giá cung cấp… để từ đó các nhà cung cấp thép của Trung Quốc có thể tiếp cận các khách hàng này để chào mời với mức giá rẻ hơn.
5 quan chức bị Mỹ truy nã của Trung Quốc cũng là các hacker thuộc đơn vị 61398, đã tham gia nhiều cuộc tấn công mạng nhằm vào các công ty tại Mỹ
Những thông tin do Đơn vị 61398 đánh cắp không chỉ giúp các công ty Trung Quốc rút ngắn hơn tốc độ đầu tư và phát triển, mà còn tăng khả năng cạnh tranh so với các đối thủ trên thị trường quốc tế, khi mà các bí mật về công nghệ, giá thành lẫn chiến lược của công ty đều bị đánh cắp.
“Trong khi nhân viên tại các doanh nghiệp Mỹ phải bỏ ra nhiều ngày để đổi mới hoạt động kinh doanh, thì những thành viên của Đơn vị 61398 lại dành những ngài làm việc của họ Thượng Hải để đánh cắp thành quả lao động của chúng ta”, John Carlin, Trợ lý tổng chưởng lý Mỹ về an ninh quốc gia phát biểu về hoạt động của 61398.
Trung Quốc luôn phủ nhận sự tồn tại của 61398
Trước những phát hiện về Đơn vị 61398, phía Trung Quốc luôn phủ nhận sự tồn tại của “đội quân hacker bí ẩn” này mỗi khi được nhắc đến, đồng thời khẳng định quân đội Trung Quốc chưa bao giờ ủng hộ các hình thức tấn công mạng, và xem đó là những hoạt động “vô trách nhiệm và không chuyên nghiệp”.
Tuy nhiên trước những bằng chứng hết sức thuyết phục về các hoạt động ngầm của Đơn vị này, thật khó để tin rằng không có một “đội quân hacker” đang làm việc dưới sự chỉ đạo của quân đội Trung Quốc. Đặc biệt, không chỉ Mỹ còn có nhiều quốc gia khác lên tiếng khẳng định Trung Quốc đứng sau các vụ tấn công nhằm vào những trang web của nước mình, trong đó có thể kể đến các quốc gia lớn như Anh, Ấn Độ hay Úc…
Đáng chú ý, theo hãng bảo mật Mandiant thì Đơn vị 61398 chỉ là một trong số hơn 20 nhóm hacker hoạt động có quy mô tại Trung Quốc, tuy nhiên 61398 là nhóm hacker có quy củ và hoạt động dưới sự chỉ đạo trực tiếp của quân đội Trung Quốc.
Phạm Thế Quang Huy / Dân Trí