Tiết lộ mới về 2 đơn vị quân đội Trung Quốc dính líu tới gián điệp mạng ở Mỹ

Các nhà nghiên cứu tại công ty bảo mật CrowdStrike, Irvine, California cho biết: Gần đây, xuất hiện một email chứa tập tin đính kèm giống như một cuốn sách nhỏ gửi tới trung tâm yoga của cơ quan hàng không vũ trụ châu Âu tại Toulouse, Pháp. Khi mở ra, nó tự động cho phép tải mã độc về máy tính. Từ đó, tin tặc có thể xâm nhập hệ thống và ăn cắp thông tin về công nghệ vệ tinh đang được bảo vệ chặt chẽ. Những tài liệu yoga giả là một trong nhiều phương án thông minh được một đơn vị quân sự giấu mặt của Trung Quốc sử dụng làm công cụ xâm nhập trái phép trong suốt 7 năm qua. Mục tiêu của họ là hệ thống các cơ quan chính phủ, nhà thầu quân sự và các công ty nghiên cứu trong ngành công nghiệp không gian, vệ tinh của các nước châu Âu, Mỹ và Nhật Bản.

Chỉ vài tuần sau khi Bộ Tư pháp buộc tội 5 thành viên của quân đội Trung Quốc có hành vi tấn công các tập đoàn của Mỹ, CrowdStrike đã cung cấp một báo cáo làm bằng chứng thể hiện quy mô, tham vọng của các chiến dịch từ Trung Quốc nhằm ăn cắp các bí mật thương mại và quân sự nước ngoài. Theo đó, hàng chục tổ chức công và tư nhân bị một nhóm tin tặc ở Thượng Hải tấn công. CrowdStrike gọi nhóm là Putter Panda. Cơ quan an ninh quốc gia (NSA) và cộng sự xác định nhóm tin tặc này với cái tên “Đơn vị 61486”. Họ đang theo dõi hơn 20 nhóm hacker của Trung Quốc, hơn một nửa trong số đó thuộc quân đội. Các nhóm thường đột nhập vào các công ty nhà nước và công ty tư nhân khác nhau, từ những nhà sản xuất truyền hình vệ tinh, máy bay không người lái, vũ khí hạt nhân đến các nhóm nghiên cứu các công nghệ và năng lượng.

Theo các nhà nghiên cứu, “Đơn vị 61486” có liên lạc, hợp tác với “Đơn vị 61398” – nhóm tin tặc Trung Quốc đã bị tố cáo trước đây. George Kurtz, đồng sáng lập của CrowdStrike nói: "Nếu xem xét tất cả các nhóm tin tặc của Trung Quốc mà chúng tôi theo dõi, bản cáo trạng đó chỉ là bề nổi của tảng băng"

Căng thẳng giữa Mỹ và Trung Quốc đã âm ỉ trong nhiều năm, nhưng chỉ thật sự lớn hồi năm ngoái, khi công ty an ninh mạng Mandiant của Mỹ cáo buộc “Đơn vị 61398” là nguồn gốc của hàng ngàn cuộc tấn công vào các công ty nước ngoài. Bản cáo trạng của Bộ Tư pháp hồi tháng 5 vừa qua có tên 5 thành viên của nhóm đó, kèm theo cả tên các nạn nhân, bao gồm những tên tuổi lớn như Alcoa, Westinghouse Electric và Tập đoàn Thép Hoa Kỳ. Đáp lại, các quan chức Trung Quốc đã phủ nhận những bản cáo trạng, chối bỏ trách nhiệm, đồng thời tiết lộ rằng Mỹ cũng có những hoạt động gián điệp và công bố các biện pháp trả đũa, trong đó có việc kiểm duyệt chặt chẽ những công nghệ đến từ Mỹ. Tất cả những hành động trên đều làm gia tăng nguy cơ chiến tranh thương mại.

Việc quyết định ban hành bản cáo trạng chống lại các thành viên của “Đơn vị 61398” gây nhiều tranh cãi, ngay cả bên trong chính quyền của Tổng thống Obama. Các thành viên của đơn vị này chắc chắn không bao giờ xuất hiện tại bất kỳ phiên tòa nào của Mỹ, các quan chức lo ngại đó có thể trở thành rào cản trong việc thương lượng các quy định với Trung Quốc.

CrowdStrike tiết lộ rằng, các thành viên của “Đơn vị 61486” đã che giấu nguồn gốc của họ bằng cách sử dụng các trang web nước ngoài để khởi động các cuộc tấn công, nhưng vẫn sơ hở để lại những dấu vết. Công cụ mà tin tặc sử dụng được phát triển trong khoảng thời gian làm việc của Trung Quốc; đồng thời có một trường hợp tin tặc sử dụng cùng địa chỉ IP của “Đơn vị 61398” để khởi động cuộc tấn công, điều này cho thấy có sự hợp tác giữa “61398” và “61486”.

Chỉ bằng những cách khá đơn giản như gửi file giả cho nạn nhân, với 1 cú click chuột, họ đã vô tình tải chương trình độc hại về máy tính, mở đường cho tin tặc tấn công vào hệ thống mạng, ăn cắp bí mật thương mại và sơ đồ thiết kế truyền hình vệ tinh và công nghệ hàng không vũ trụ. Theo CrowdStrike, danh sách các nạn nhân có thể lên tới hàng trăm, thậm chí hàng ngàn.

Từ một địa chỉ email (từng xuất hiện nhiều lần trong hồ sơ của các cuộc tấn công) được sử dụng để đăng ký một blog cá nhân trên Sina.com, cổng thông tin Internet Trung Quốc, CrowdStrike đã tìm ra email đó thuộc về một người đàn ông là sỹ quan quân đội. CrowdStrike còn phát hiện ra ông ta có trao đổi với 2 tin tặc khác với biệt danh ClassicWind và Linxder, những người có liên quan đến các thành viên của “Đơn vị 61389”. Trong album ảnh trên Picasa của ông ta có hình ảnh trong một đơn vị huấn luyện quân sự, sinh nhật thứ 35 được tổ chức với bạn bè trong trang phục quân đội. “Văn phòng làm việc” của ông ta rõ ràng là một tòa nhà lớn màu trắng ở Thượng Hải mà CrowdStrike tin rằng đó là trụ sở của “Đơn vị 61486”.

Tòa nhà 12 tầng ở ngoại ô Thượng Hải được cho là nơi đơn vị 61486 và 61389 hoạt động.

Nguồn: The New York Times

Tòa nhà này nằm ở quận Zhabei, phía bắc trung tâm thành phố Thượng Hải, nơi được biết đến là khu vực quân sự của Trung Quốc. Xung quanh có những bức tường cao với hàng rào bảo vệ, lối vào đều có lính canh nghiêm ngặt, có hào ngụy trang, các chảo vệ tinh quân sự.

Các nhà phân tích quân sự nghi ngờ rằng Đơn vị 61486 được hỗ trợ bởi mạng lưới giám sát không gian của Trung Quốc và có mối quan hệ chặt chẽ với Viện nghiên cứu từ xa Sensing ở Bắc Kinh, một tổ chức được nhà nước tài trợ có nhiệm vụ tạo ra công nghệ hàng đầu trong việc quan sát Trái đất và các cơ chế thu phát thông tin viễn thám. Tuy nhiên, họ chưa tìm được bằng chứng xác đáng nào có nghi ngờ này.

Ông Kurtz nói: "Sau những cảnh báo được đưa ra, mức độ nhận thức của các doanh nghiệp sẽ được cải thiện. Tuy nhiên, Trung Quốc không dừng lại ở đó. Cuộc chiến còn tiếp tục kéo dài".

(Theo The New York Times)