Bóng ma trên mây vụ tấn công bí hiểm của Trung quốc

Kéo dài tới hơn 10 năm, những “bóng ma” tấn công vào các đám mây dữ liệu của Mỹ khiến nhà điều tra hoang mang. Chẳng ai khẳng định được các cuộc tấn công đã kết thúc.

Vụ tấn công được ví von như lấy cắp chìa khóa tổng của một tòa nhà.

Nhóm hacker, sau này được xác định là APT10, tấn công hàng loạt nhà cung cấp dịch vụ đám mây. Thời điểm ngay sau vụ tấn công, danh sách nạn nhân chỉ là 14 công ty không được nêu tên.

Sau sự việc, nhiều nhà cung cấp dịch vụ đám mây đã cố gắng che giấu những thông tin từ vụ tấn công. Quy mô thật sự chỉ được tiết lộ sau khi Wall Street Journal điều tra, và cho thấy danh sách nạn nhân lên đến hàng chục công ty, và bao gồm nhiều cái tên đình dám như IBM, CGI Group (nhà cung cấp đám mây lớn nhất Canada) hay Tieto Ojy, doanh nghiệp lớn của Phần Lan.

Hàng nghìn nạn nhân

Theo Wall Street Journal, vụ tấn công của APT10 và những đợt đáp trả sau đó của các công ty bảo mật phương Tây là một trong những vụ tấn công có quy mô lớn nhất. Hàng trăm công ty đã bị tấn công thông qua nhà cung cấp dịch vụ đám mây, trong đó có nhiều công ty lớn như Philips, American Airlines, Deutsche Bank hay GlaxoSmithKline.

Hewlett Packard Enterprise (HPE), một trong những nhà cung cấp dịch vụ đám mây bị tấn công, thậm chí còn bị hacker xâm nhập và tái xâm nhập nhiều lần mà không biết, và vẫn tuyên bố rằng đã loại bỏ hết các nguy cơ. Giám đốc FBI Christopher Wray thì ví vụ tấn công như lấy chìa khóa tổng của một tòa nhà.

Giám đốc FBI Christopher Wray công bố 2 hacker Trung Quốc bị buộc tội trong vụ APT10

Đến nay, vẫn không ai kết luận được rằng nhóm hacker đã hoàn toàn bị loại bỏ khỏi những mạng lưới hay vẫn đang âm thầm lấy cắp dữ liệu. Theo công ty bảo mật SecurityScoreCard, tới giữa tháng 11 vẫn còn hàng nghìn địa chỉ IP liên kết với các mạng lưới của APT10.

Chính phủ Mỹ cho biết APT10 đã lấy cắp được hơn 100.000 dữ liệu cá nhân từ Hải quân Mỹ.

Vụ tấn công này đã cho thấy lỗ hổng của nền kinh tế, khi rất nhiều công ty lưu trữ dữ liệu nhạy cảm của họ trên các máy chủ đám mây, thuộc về số ít nhà cung cấp lớn. Các nhà cung cấp luôn nói về khả năng bảo mật của họ, nhưng sự thật thì không được như vậy.

Tấn công như những bóng ma

Vụ tấn công được đặt tên Cloud Hopper, và đó là một hành động khá lạ của nhóm hacker cao cấp APT10 xuất xứ từ Trung Quốc. Các nhà nghiên cứu bảo mật đã theo dõi APT10 cả thập kỷ, khi họ tấn công vào các tổ chức chính phủ, công ty kỹ thuật và hàng không. Những nhà điều tra của Mỹ cho rằng có vài thành viên người của Bộ An ninh Quốc gia Trung Quốc, nhưng phần lớn thành viên vẫn nằm trong bóng tối.

Những mục tiêu đầu tiên, như công ty khai khoáng Rin Tinto, bị tấn công thông qua nhà cung cấp đám mây CGI năm 2013. Chẳng ai biết hacker đã lấy đi những thông tin gì, nhưng một số nhà điều tra cho rằng thông tin về các địa điểm khai khoáng tiếp theo đã bị lợi dụng để buôn bất động sản.

Video đang HOT

Những ông lớn công nghệ như IBM hay HP cũng không tránh khỏi vụ tấn công này.

“Những đợt tấn công của họ nhìn không khác gì lượt truy cập thông thường. Đó là vấn đề rất nghiêm trọng”, Orin Paliwoda, đặc vụ FBI điều tra vụ Cloud Hopper cho biết.

Trong một đợt kiểm tra an ninh mạng đầu năm 2016, Kris McConkey, chuyên gia an ninh mạng của PricewaterhouseCoopers nhận thấy những dấu hiệu của một đợt tấn công tổng lực. Ban đầu, ông cho rằng đây chỉ là vụ tấn công đơn lẻ, nhưng rồi nhận ra vấn đề nghiêm trọng hơn nhiều khi rất nhiều công ty khác cũng bị tấn công theo cách tương tự.

“Khi bạn nhận thấy có nhiều trường hợp tấn công giống y như nhau, bạn bắt đầu nhận ra tính nghiêm trọng của vấn đề”, McConkey cho biết.

Các hacker hoạt động theo từng nhóm. Nhóm “Thứ ba” sẽ tìm cách trộm mọi tài khoản và mật khẩu có thể, sau đó một nhóm khác sẽ sử dụng những tài khoản này để trộm thông tin vài ngày sau.

Cách thức hoạt động bất thường còn thể hiện khi nhóm hacker sử dụng hạ tầng của nạn nhân này để lưu trữ thông tin đã lấy được từ nạn nhân khác. Sau vài tháng thoắt ẩn thoắt hiện, McConkey mới thực sự nắm bắt được hành vi của những “bóng ma” này.

Một trong những mục tiêu lớn nhất của nhóm hacker là HP Enterprise (HPE), nhà cung cấp dịch vụ đám mây cho hàng nghìn công ty. Philips, một khách hàng của HPE, lưu trữ tới hàng chục nghìn terabyte dữ liệu trên hệ thống của HPE, bao gồm rất nhiều tài liệu lâm sàng và dữ liệu sức khỏe của người dùng.

“Họ vẫn đang hành động, nhưng chúng ta không hề nhận ra”, chuyên gia bảo mật Kris McConkey của PricewaterhouseCoopers chia sẻ.

APT10 đã tấn công HPE từ năm 2014, xâm nhập vào mạng lưới của chính đội ngũ an ninh mạng công ty này. Khi HPE tiến hành loại trừ các thiết bị đã bị cài mã độc, nhóm hacker nắm bắt toàn bộ quá trình, và rồi lại xâm nhập một lần nữa.

Đáp trả

Đợt phản công đầu tiên diễn ra vào đầu năm 2017. Hàng chục thành viên là nhóm nghiên cứu bảo mật của các công ty bị ảnh hưởng đã kết hợp với nhau để bẫy nhóm hacker.

Đầu tiên, các lịch công tác giả được thiết lập để nhóm hacker nghĩ rằng những chuyên gia bảo mật đang không ở gần hệ thống. Đây là cách nhóm chuyên gia khiến cho hacker mất cảnh giác. Ngay sau đó, họ cắt ngang đợt tấn công của hacker để nhanh chóng xác định được các tài khoản đã bị tấn công và những server đã bị nhiễm mã độc.

APT10 tất nhiên không chịu thua cuộc. Họ quay trở lại với những mục tiêu mới như các công ty tài chính và lần này nhắm tới cả IBM, một trong những nhà cung cấp dịch vụ lớn nhất thế giới.

Hacker thậm chí thâm nhập vào mạng lưới của đội ngũ an ninh mạng của HP, nên dễ dàng xâm nhập trở lại sau nỗ lực “quét lỗ hổng” của công ty này.

Theo nhiều quan chức chính phủ Mỹ, những đợt tấn công mới của APT10 vào năm 2017-2018 đã khiến giới quan sát lo ngại. Tháng 10/2018, cơ quan an ninh mạng và nền tảng (CISA) thuộc Bộ An ninh Nội địa Mỹ đã phải phát đi cảnh báo, cho biết hàng loạt cơ sở hạ tầng quan trọng đã bị tấn công.

Sau nhiều tháng điều tra, vào tháng 12/2018 Mỹ chỉ công bố được hai cá nhân liên quan đến vụ tấn công, thay vì nhiều tổ chức liên quan trực tiếp tới Trung Quốc như hi vọng ban đầu. Theo Wall Street Journal, nhiều chuyên gia nhận định chỉ 2 hacker thì không thể tạo ra những đợt tấn công với quy mô lớn như vụ Cloud Hopper.

Zhu Hua và Zhang Shilong, hai cá nhân bị Mỹ nêu tên, nhiều khả năng đang ở Trung Quốc. Hai hacker này có thể lĩnh án tù tới 27 năm vì các cáo buộc âm mưu, lừa đảo và đánh cắp danh tính, tuy nhiên Mỹ không có thỏa thuận dẫn độ với Trung Quốc.

Phó tổng chưởng lý Rod Rosenstein cho biết các bị cáo làm việc cho Công ty Phát triển Khoa học và Công nghệ Huaying Haitai ở Thiên Tân, Trung Quốc và thay mặt cho văn phòng MSS Thiên Tân.

Khác với những vụ tấn công thông thường, mục tiêu của nhóm hacker trong vụ Cloud Hopper khi trộm các thông tin không phải để bán. Đến nay, những vụ điều tra vẫn không thể khẳng định dữ liệu bị trộm đã bị sử dụng như thế nào.

“Tôi sẽ không ngạc nhiên nếu như có hàng chục công ty chẳng biết họ đã bị APT10 tấn công, hay vẫn đang bị xâm nhập”, Luke Dembosky, chuyên gia an ninh nội địa Mỹ chia sẻ.

“Câu hỏi vẫn còn nguyên: họ đã làm gì. Nhóm hacker này chưa hề biến mất. Họ vẫn đang hành động, nhưng chúng ta không hề nhận ra”, ông McConkey nhận xét.

Theo Zing

Microsoft khuyên người dùng khi bị tấn công đòi tiền chuộc: Đừng dại đưa tiền cho hacker! Các cuộc tấn công đòi tiền chuộc (ransomware) đang dần trở nên phổ biến hơn bao giờ hết. Nhưng điều đáng tiếc là ngày càng có nhiều nạn nhân đồng ý trả tiền cho hacker để lấy lại quyền truy cập tài liệu hoặc máy tính. Một cuộc tấn công đòi tiền chuộc thường bắt đầu khi hacker tấn công máy tính của...