Trung Quốc Bí Mật Theo Dõi Cựu Chiến Binh và Quân Nhân Tại Ngũ của Hoa Kỳ

Một cựu chiến binh và cũng là thành viên của Hội Cựu Chiến Binh của Chiến Trận Quốc Tế (VFW) dự một sự kiện ở Reno, Nevada vào tháng bảy năm 2012. Các cựu chiến binh và quân nhân tại ngũ của VFW hiện đang là mục tiêu bị bí mật theo dõi bởi Trung Quốc. (Justin Sullivan/Getty Images)

Trung Quốc đang bí mật giám sát các cựu chiến binh và thành viên tham gia quân dịch (nghĩa vụ quân sự) của Hoa Kỳ thông qua một lỗ hổng hệ thống mạng của tổ chức cựu chiến binh lớn nhất nước Mỹ. Cuộc tấn công này bị phát hiện bởi các chuyên gia an ninh mạng tại FireEye. Họ gọi cuộc tấn công này là “Điệp Vụ Người Tuyết” (Operation Snowman) vì thời điểm tấn công đã được hoạch định rõ ràng, đó là thời điểm mà các nhân viên chính phủ có thể bị sao nhãng bởi các cơn bão tuyết và kì nghỉ lễ quốc gia.

Cuộc tấn công này nhắm vào tất cả những ai truy cập trang web của Hội Cựu Chiến Binh của Chiến Trận Nước Ngoài (Veterans of Foreign Wars – VFW). Tổ chức có đặc quyền Quốc Hội này, với gần 2 triệu thành viên, có nhiệm vụ đảm bảo phúc lợi cho các cựu chiến binh cũng như giúp đỡ các cựu chiến binh tật nguyền gửi các yêu cầu đến Bộ Cựu Chiến Binh.

Cuộc tấn công này cho phép các hacker Trung Quốc giám sát và tiến tới việc điều khiển máy tính của người sử dụng bằng cách bí mật nạp một Chương trình phần mềm Kiểm soát Từ Xa (Remote Access Trojan – RAT).

“Có khả năng, mục đích của cuộc tấn công ‘Người Tuyết’ này là nhắm vào các thành viên đang phục vụ trong quân đội hòng đánh cắp các tin tức tình báo quân sự.” Một bài đăng trên blog của FireEye viết, nó cũng nhấn mạnh rằng “Ngoài các cựu chiến binh ra, các quân nhân tại ngũ cũng dùng trang web này.”

Nó lưu ý rằng cuộc tấn công trùng với Ngày Tổng Thống (Presidents Day), “và phần lớn các cơ quan chính phủ tạm ngừng hoạt động vào Thứ năm vừa rồi, giữa cơn bão tuyết nghiêm trọng đang xảy ra.”

Trong cuộc tấn công này, các Hacker Trung Quốc gắn vào trang mạng của VFW một loại mã code độc hại, và khi một ai đó truy cập trang web này, mã code sẽ tự động nạp vào ứng dụng chạy ngầm trên máy tính của người dùng. Nếu ai đó truy cập trang web bằng trình duyệt Internet Explorer 10 với Adobe Flash đang chạy, mã code độc hại trên trang web sẽ lây nhiễm sang máy tính của người sử dụng. Nếu máy tính được sử dụng theo một cách khác, nó sẽ không bị lây nhiễm.

Trong cuộc họp báo, Báo Đại Kỷ Nguyên không thể tiếp cận bất cứ ai thuộc Tổ Chức Hội Cựu Chiến Binh của Chiến Trận Nước Ngoài để xác nhận lại xem liệu  tổ chức đã xóa bỏ mã code độc hại này  trên trang web của nó hay chưa.

‘Nước chảy chỗ trũng’

Kiểu tấn công này được gọi là “nước chảy chỗ trũng”. Nó giống nhau ở chỗ nạn nhân đến uống nước từ một trũng chứa nước mà không biết rằng cá sấu đã nằm phục kích sẵn ở bên dưới, trong trường hợp này cá sấu chính là các hacker. Phương pháp này thường được sử dụng trong các cuộc tấn công mạng được tài trợ bởi chính phủ hai nước Trung Quốc và Nga.

Các chuyên gia tại FireEye nghi ngờ rằng cuộc tấn công bắt nguồn từ Trung Quốc. Nó mang đặc điểm của một cuộc tấn công được vận hành bởi chính phủ dựa vào bản chất của mục tiêu xâm hại, các dạng thức lỗ hổng an ninh được khai thác trong cuộc đột kích và một số điểm tương quan giữa cuộc tấn công này và các dạng tấn công mạng tinh vi khác từ Trung Quốc.

Sau khi phân tích “Điệp Vụ Người Tuyết” các chuyên gia chỉ ra rằng chương trình này kết nối với nhiều địa chỉ gắn liền với hai cuộc tấn công gần đây của hacker Trung Quốc, lần lượt là “Operation Deputy Dog” và “Operation Ephemeral Hydra.”

“Operation Deputy Dog” được phát hiện vào tháng 09 năm 2013, nhắm vào mạng máy tính ở Nhật Bản. “Operation Ephemeral Hydra”, được phát hiện vào tháng 11 năm 2013. Nó sẽ nạp một hệ thống gián điệp tương tự vào một trang web không tên, mà các trang web này theo cách nói của FireEye thì nó sẽ lôi kéo “các vị khách thật sự hứng thú với chính sách an ninh nội địa và quốc tế”. Cả hai cuộc tấn công đều có dính líu đến các hacker Trung Quốc, những kẻ âm mưu phá hỏng hệ thống an ninh Bit9 vào tháng 02, 2013.

Ngoài sự tương đồng về các địa chỉ Web, ba cuộc tấn công cũng có điểm chung trong phương pháp đột nhập. Chúng đều dùng hình thức khai thác các lỗ hổng “zero-day”, tức là loại lỗ hổng an ninh mà chưa được sửa chữa, để cài RATs vào máy người sử dụng. Ngoài ra cũng còn nhiều điểm chung kỹ thuật khác.

FireEye nhấn mạnh rằng các hacker Trung Quốc đằng sau những vụ tấn công mạng này đã đánh vào các mục tiêu bao gồm chính phủ Mỹ, công ty Nhật Bản, công ty sản xuất thiết bị phòng ngự, công ty khai khoáng, các tổ chức phi chính phủ (NGOs), và các công ty công nghệ thông tin.

Link gốc: http://vietdaikynguyen.com/v3/world/trung-quoc-bi….
Xem bản gốc tiếng Anh tại đây
Nguồn Việt Đại Kỷ Nguyên