Chân dung đơn vị gián điệp mạng của TQ
Điều gì đã giúp công ty an ninh mạng Mandiant lần ra nguồn gốc của những đợt tấn công vào hơn 140 công ty và tổ chức của Mỹ và một số nước khác? Câu trả lời là Facebook và Twitter.
Báo cáo dài 60 trang của công ty an ninh mạng trụ sở tại Mỹ được công bố gần đây mô tả khá chi tiết về trụ sở, hoạt động và chân dung 3 tin tặc đang làm việc cho đơn vị bí mật bị cáo buộc chịu sự chỉ huy của quân đội Trung Quốc chuyên thực hiện các vụ đánh cắp thông tin nhạy cảm.
Theo báo cáo dài 60 trang của công ty an ninh mạng Mandiant, đơn vị 61398 thuộc Quân giải phóng nhân dân Trung Quốc là một trong nhiều đơn vị chuyên thực hiện các vụ tấn công mạng. Đơn vị 61398 tuyển dụng trực tiếp từ các trường đại học, ưu tiên những kỹ sư máy tính trình độ cao và giỏi tiếng Anh. Một thông báo từ năm 2003 trên mạng Trung Quốc thông báo đơn vị này tuyển các sinh viên trình độ thạc sĩ ngành công nghệ và khoa học máy tính của ĐH Chiết Giang. Họ cấp học bổng có điều kiện cho các sinh viên được chọn làm việc cho đơn vị 61398 sau khi tốt nghiệp.
Mandiant nói rằng họ tìm ra tòa nhà 12 tầng ở quận Pudong, Thượng Hải là nơi làm việc của đơn vị 61398. Tòa nhà trông có vẻ không có gì bí mật này đủ chỗ cho 2.000 người. Mandiant ước tính lượng nhân sự làm việc cho đơn vị có thể khoảng vài trăm hoặc vài nghìn. Bên cạnh tòa nhà là các tiệm trà, cửa hàng, quán karaoke như những nơi khác. Trong tòa nhà vẫn tổ chức nhiều hoạt động cộng đồng như đám cưới cho các sĩ quan, các trận thi đấu cầu lông, khám bệnh…
Báo cáo của Mandiant mô tả bản hợp đồng đặc biệt với công ty viễn thông China Telecom để cung cấp đường dẫn cáp quang cho cho đơn vị 61398 vì đơn vị này cần băng thông rộng và quyền ưu tiên đặc biệt. Hợp đồng giữa China Telecom và đơn vị 61398 thuộc Bộ tổng tham mưu nói rằng China Telecom đồng ý cung cấp với giá do quân đội đưa ra vì đây là vấn đề liên quan đến an ninh quốc gia.
Gián điệp Trung Quốc xâm nhập mạng lưới máy tính của đối tượng thông qua tấn công giả mạo email, nghĩa là quản lý của một công ty nhận được thư giả mạo rồi bị lừa click vào đường link hoặc file đính kèm của tin tặc. Khi đó, tin tặc sẽ đánh cắp dữ liệu suốt 1 – 4 năm. Các công ty công nghệ thông tin dễ trở thành mục tiêu, tiếp theo là các hãng hàng không vì Trung Quốc đang muốn phát triển ngành hàng không và máy bay quân sự.
Mandiant nhận dạng 3 tin tặc thuộc đơn vị 61398 bằng tên của họ trên màn hình. Công ty này nói rằng một trong số đó, mang biệt danh “UglyGorilla”, bị phát hiện lần đầu tiên vào năm 2004 trên một diễn đàn trực tuyến khi nêu câu hỏi với một chuyên gia an ninh mạng rằng liệu Trung Quốc có cần một lực lượng đặc nhiệm để chống lại các hoạt động của Mỹ hay không. Một tin tặc khác mang bí danh “Dota” có vẻ là fan của Harry Potter.
Đơn vị 61398 vẫn được các công ty an ninh mạng gọi là “biệt đội comment” vì họ thường bí mật cài cửa sau vào các hệ thống bằng code gắn trong những comment trên các trang web.
“Vạn lý tường lửa” của Trung Quốc chặn các mạng xã hội có máy chủ tại Mỹ, nhưng các nhân sự của đơn vị 61398 vẫn sử dụng những mạng xã hội này bằng cách tiếp cận trực tiếp từ hệ thống của đơn vị. Mandiant thấy rằng tài khoản Facebook và Twitter của họ được truy cập từ các địa chỉ IP của đơn vị này. Vẫn chưa rõ những tài khoản này được lập để trợ giúp tấn công hay chỉ sử dụng cá nhân.