Tài liệu bị rò rỉ tiết lộ năng lực và mục tiêu của hacker Trung Quốc

Frank Fang

Các chuyên gia cho biết rằng, một kho tài liệu lớn bị rò rỉ từ một nhà thầu Trung Quốc chuyên xâm nhập không gian mạng đã làm nổi rõ mối đe dọa an ninh mạng toàn cầu do chế độ cộng sản Trung Quốc gây ra.

Các tài liệu này – do những cá nhân không rõ danh tính đăng trên GitHub hôm 16/02 – bao gồm tài liệu hướng dẫn sử dụng sản phẩm, tài liệu tiếp thị, danh sách nhân viên, những mẩu trò chuyện, thông tin tài chính, và chi tiết về sự xâm nhập của ngoại quốc.

Trong một bản tin ngày 21/02, hãng thông tấn AP xác nhận rằng các tài liệu này có nguồn gốc từ nhà cung cấp an ninh mạng I-Soon có trụ sở tại Trung Quốc, tên tiếng Hoa là Anxun (An Tuân) – sau khi nói chuyện với hai nhân viên của công ty này. 

Theo các tài liệu này, I-Soon tự hào về dòng sản phẩm bao gồm các công cụ tấn công mạng và hệ thống nhu liệu gián điệp. Ngoài ra, trong các tài liệu này còn có một danh sách các hợp đồng mà công ty đã ký từ tháng 07/2016 đến tháng 06/2022, cho thấy hầu hết khách hàng của họ là các cơ quan an ninh khu vực của Trung Quốc. Tiết lộ này cho biết thêm những thông tin được biết từ trang web của công ty, trong đó liệt kê Bộ Công an của Trung Cộng là một trong những đối tác của họ.

“Sự việc I-Soon một lần nữa nhắc nhở mọi người rằng an ninh mạng là an ninh quốc gia. Có một cuộc chiến không thuốc súng, và cuộc chiến đó đang diễn ra trên không gian mạng,” chuyên gia công nghệ Giang Nhã Khởi (Chiang Ya-chi) nói với The Epoch Times hôm 21/02.

Bà Giang là chủ tịch Hiệp hội Luật và Công nghệ Đài Loan, đồng thời là giáo sư chuyên về công nghệ Internet và luật sở hữu trí tuệ tại Đại học Quốc gia Hải Dương Đài Loan.

Bà Giang cho biết rằng các tài liệu bị rò rỉ này cho thấy I-Soon được Trung Cộng tài trợ. Bà cũng lưu ý rằng Bắc Kinh sử dụng các công cụ do các công ty như I-Soon phát triển để xâm nhập vào các chính phủ và tổ chức ngoại quốc.

Danh sách nạn nhân có trong tài liệu bị rò rỉ này, cho thấy I-Soon đã nhắm mục tiêu vào các công ty viễn thông, bệnh viện, trường đại học, tổ chức, và cơ quan chính phủ từ nhiều quốc gia. Các quốc gia này bao gồm Pháp, Ai Cập, Ấn Độ, Indonesia, Kazakhstan, Malaysia, Mông Cổ, Nepal, Nam Hàn, Đài Loan, Thái Lan, và Philippines.

Nhu liệu gián điệp

Kể từ khi các tài liệu này được công bố hôm 16/02, nhiều nhà nghiên cứu và các chuyên gia đã công bố phân tích của họ về các tài liệu được viết bằng chữ Hoa giản thể này.

Hôm 21/02, Malwarebytes – một công ty ở California chuyên cung cấp dịch vụ bảo vệ không gian mạng theo thời gian thực [báo ngay lập tức nếu tệp đã tải xuống có chứa vi-rút hoặc dạng mã độc hại khác] – đã công bố bản phân tích về dữ liệu bị rò rỉ này. Bản phân tích cho biết các tài liệu này “cung cấp cái nhìn sâu sắc hơn về các hoạt động nội bộ đang diễn ra của một nhà cung cấp nhu liệu gián điệp hàng đầu và APT-for-hire.” APT nghĩa là mối đe dọa liên tục nâng cao (advanced persistent threat).

Phân tích nêu bật một số sản phẩm của I-soon được các tài liệu tiết lộ, trong đó có cái mà họ gọi là một “kẻ đánh cắp Twitter” (Twitter stealer).

“Các tính năng [của kẻ đánh cắp Twitter] bao gồm thu thập thư điện tử và số điện thoại Twitter của người dùng, theo dõi thời gian thực, đọc tin nhắn cá nhân, và đăng tweet thay mặt người dùng,” phân tích cho biết.

Trong một trang tài liệu, I-Soon khoe rằng họ đã nghiên cứu quy định bảo mật của Twitter trong nhiều năm; do đó, sản phẩm của họ bị cáo buộc là có thể vượt qua các tính năng bảo mật để nhắm mục tiêu vào trương mục người dùng Twitter.

Các tài liệu bị rò rỉ cũng tiết lộ giá thành của sản phẩm “kẻ đánh cắp Twitter”. Chi phí sử dụng sản phẩm trong một năm là 700,000 nhân dân tệ (khoảng 97,000 USD), và thời gian sử dụng ba năm là 1.5 triệu nhân dân tệ (khoảng 208,000 USD).

Phân tích của Malwarebytes cho thấy mô tả sản phẩm như sau: “Trojan Truy cập Từ xa Tùy chỉnh (RAT) dành cho Windows x64/x86: Các tính năng bao gồm quản lý tiến trình/dịch vụ/ghi danh, trình lệnh từ xa, ghi nhớ phím, ghi nhật ký truy cập tệp, thu thập thông tin hệ thống, ngắt kết nối từ xa, và gỡ cài đặt.”

Có các phiên bản RAT cho iOS và Android. Theo phân tích, mô hình iOS tuyên bố sẽ trợ giúp tất cả các phiên bản thiết bị iOS mà không cần bẻ khóa, với các tính năng từ thông tin phần cứng đến dữ liệu GPS, danh bạ, tập video hoặc hình ảnh, và bản ghi âm thanh thời gian thực dưới dạng tiện ích mở rộng.

Bản phân tích nêu rõ rằng I-Soon cũng có các thiết bị di động để “tấn công mạng từ bên trong.” 

Theo các tài liệu bị rò rỉ, các thiết bị di động này có hai kích cỡ khác nhau – một phiên bản tiêu chuẩn có thể được ngụy trang dưới dạng pin điện thoại di động, bảng điện, hoặc bộ chuyển nguồn điện, và một phiên bản mini có thể được ngụy trang dưới dạng bảng mạch in.

Theo phân tích của Malwarebytes, cơ sở dữ liệu tra cứu người dùng, bao gồm số điện thoại, tên và địa chỉ thư điện tử của người dùng, có thể tương quan với các trương mục mạng xã hội.

Rất có thể Trung Cộng có năng lực sử dụng cơ sở dữ liệu tra tìm người dùng để theo dõi và xác định vị trí của những người bất đồng chính kiến ​​ở Trung Quốc. Theo các tài liệu bị rò rỉ, cơ sở dữ liệu đã được xây dựng cho các nền tảng khác nhau của Trung Quốc, trong đó có Weibo, Baidu, và WeChat.

Các mối đe dọa

Hôm 21/02, ông Tô Tử Vân (Su Tzu-yun) – giám đốc Viện Nghiên cứu Quốc phòng và An ninh có trụ sở tại Đài Loan – nói với The Epoch Times rằng các tài liệu I-Soon là bằng chứng mới nhất chứng minh cho tuyên bố của Hoa Kỳ và NATO rằng chính quyền Trung Quốc đang là một mối đe dọa cho an ninh mạng của họ.

Trong khái niệm chiến lược đã đạt được hồi năm 2022, NATO tuyên bố rằng “các hoạt động hỗn hợp độc hại và các hoạt động trên không gian mạng cũng như những phát ngôn đối đầu và thông tin giả của chế độ này nhắm mục tiêu vào Đồng minh và gây tổn hại cho an ninh của Liên minh.”

Đầu tháng này, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng đã đưa ra cảnh báo rằng Trung Cộng đang cài đặt sẵn nhu liệu độc hại trong các hệ thống của Hoa Kỳ để chuẩn bị cho một cuộc xung đột. Cảnh báo này được đưa ra chỉ vài ngày sau khi Giám đốc FBI Christopher Wray nói với các nhà lập pháp rằng một hoạt động đa cơ quan đã phá hủy “Volt Typhoon” – một nhóm hacker lớn được nhà nước hậu thuẫn có trụ sở tại Trung Quốc – bắt đầu nhắm mục tiêu vào một loạt mạng lưới trên khắp cơ sở hạ tầng quan trọng của Hoa Kỳ hồi năm 2021.

Năm ngoái, ông Wray cảnh báo rằng số lượng hacker Trung Quốc đông hơn các chuyên gia mạng Hoa Kỳ ít nhất là 50 lần.

Dựa trên phân tích của mình về các tài liệu bị rò rỉ này, một số nhà nghiên cứu cho rằng I-Soon có thể có liên hệ với APT41 – một nhóm hacker do nhà nước Trung Quốc hậu thuẫn.

Hồi năm 2020, năm công dân Trung Quốc thuộc APT41 đã bị truy tố về tội liên quan đến các chiến dịch tấn công mạng nhằm đánh cắp bí mật thương mại và thông tin nhạy cảm từ hơn 100 công ty và tổ chức trên toàn thế giới. Năm cá nhân này hiện đang nằm trong danh sách truy nã của FBI.

Công ty an ninh mạng Mandiant tuyên bố trong một báo cáo năm 2022 rằng APT41 đã khai thác các lỗ hổng trong hệ thống trực tuyến của ít nhất sáu chính quyền tiểu bang của Hoa Kỳ để truy cập vào các mạng đó.

“Vụ rò rỉ này cung cấp một số chi tiết cụ thể nhất được công bố cho đến nay, tiết lộ sự thành thục của hệ sinh thái gián điệp mạng của Trung Quốc,” công ty an ninh mạng SentinelLabs có trụ sở tại California cho biết trong phân tích được công bố hôm 21/02 về dữ liệu bị rò rỉ của I-Soon.

“Điều này cho thấy rõ ràng các yêu cầu nhắm mục tiêu vào chính phủ thúc đẩy một thị trường cạnh tranh cho các hacker ‘tự-làm-chủ’ [lãnh 1099] như thế nào.”