Trung Quốc Dùng Chính Công Cụ Hack Của NSA Để Tấn Công Lại Mỹ

Hồi năm 2016, một loạt các đồng minh và công ty tư nhân của Mỹ ở Châu Âu và Châu Á bị tấn công mạng. Theo công ty an ninh mạng Synmantec, Trung Quốc đứng sau các vụ tấn công. Nhưng điều bất ngờ lớn nhất là các công cụ hack được sử dụng lại chính là tài sản của Cơ quan An ninh Quốc gia Mỹ (NSA), đã bị các nhân viên tình báo Trung Quốc mua lại và tái sử dụng. Điều này cho thấy một thực tế khá phũ phàng là Mỹ đã mất quyền kiểm soát các phần quan trọng trong kho vũ khí an ninh mạng của chính mình.

Dựa trên thời gian của những cuộc tấn công và manh mối trong đoạn mã trên máy tính, các nhà nghiên cứu của Symantec tin rằng người Trung Quốc đã không ăn cắp các công cụ, bởi chúng giống như việc NSA đã tấn công vào chính máy tính của họ. Nó giống như trên chiến trường, một tay súng đã chộp lấy khẩu súng trường của kẻ thù và bắt đầu quay nòng nổ súng vào đối thủ. Hành động cũng cho thấy cuộc chiến vô hình trên mạng Internet hiện nay lại có dấu hiệu chuyển biến, có phần giống như một trận đấu súng trong các các bộ phim Hollywood về miền Tây hoang dã, khi các quy tắc căn bản nhất đã bị bỏ qua và ai cũng có thể bị thương bởi vũ khí của chính mình. Những tổn thất nghiêm trọng sau đó cũng làm dấy lên một cuộc tranh luận trong cộng đồng tình báo về việc liệu Mỹ có nên tiếp tục lén lút phát triển các loại vũ khí công nghệ cao hay không, khi chính bản thân quốc gia cũng không thể nắm giữ chúng một cách cẩn thận.

Theo trang New York Times, nhóm hacker Trung Quốc đã đồng ý chọn các công cụ của NSA sau khi được gợi ý từ các phân tích của một trong những nhà thầu Trung Quốc được đánh giá là nguy hiểm nhất. Nhóm chịu trách nhiệm cho nhiều cuộc tấn công vào một số mục tiêu phòng thủ nhạy cảm nhất bên trong nước Mỹ, bao gồm các nhà sản xuất công nghệ tên lửa đẩy, vệ tinh và hạt nhân.

Trong khi theo phát hiện của Symantec, một số công cụ hack của NSA mà người Trung Quốc mua lại sau đó đã bị một nhóm không xác định, tự xưng là Shadow Brokers - Nhà môi giới bóng tối – và Nga, Triều Tiên để sử dụng trong các cuộc tấn công mạng trên phạm vi toàn cầu. Dù dường như không có mối liên hệ nào giữa Trung Quốc và các cuộc tấn công mạng sau đó, các phát hiện đã cung cấp bằng chứng đầu tiên cho thấy tin tặc được nhà nước Trung Quốc bảo hộ đã mua lại một số công cụ hack vài tháng trước khi Shadow Broker xuất hiện lần đầu tiên trên Internet vào tháng 08/2016.

Liên tiếp nhiều lần trong thập kỷ qua, các cơ quan tình báo Mỹ đã để các công cụ hack và thông tin chi tiết về những chương trình an ninh mạng của mình rơi vào tay các quốc gia đối lập hoặc nhóm tội phạm. Những phần mềm độc hại trên trước đó đã được NSA sử dụng để tấn công Iran và một số các mục tiêu khác trên khắp thế giới. Chi tiết về các chương trình an ninh mạng bí mật của Mỹ đã được tiết lộ bởi các nhân vật như Edward J. Snowden, cựu nhân viên của một nhà thầu cho NSA đang sống lưu vong ở Nga. Một bộ sưu tập mã độc khác của CIA, được cho là bị rò rỉ bởi một nhân viên trong ngành, cũng được đăng trên WikiLeaks.

Eric Chien, giám đốc an ninh của Symantec cho biết: “Chúng tôi đã học được rằng ta không thể đảm bảo các công cụ của mình sẽ không bị rò rỉ và sử dụng để chống lại chính ta và đồng minh. Đã đến lúc quốc gia cần ngồi lại để phân tích về nguy cơ trong việc sử dụng các cuộc tấn công mạng vì rất có khả năng chúng sẽ được tập hợp lại để đáp trả Mỹ hoặc các đồng minh”. Các nhà nghiên cứu của Symantec không chắc chắn một cách chính xác làm thế nào người Trung Quốc có được các công cụ do Mỹ phát triển. Nhưng họ biết rằng các nhà thầu tình báo Trung Quốc đã có được các công cụ hack của Mỹ, sau đó tái sử dụng để thực hiện các cuộc tấn công mạng tại ít nhất năm quốc gia hoặc vùng lãnh thổ là Bỉ, Luxembourg, Việt Nam, Philippines và Hong Kong. Các mục tiêu bao gồm tổ chức nghiên cứu khoa học, tổ chức giáo dục và mạng máy tính. Một cuộc tấn công vào một mạng viễn thông lớn có thể đã cho phép các sĩ quan tình báo Trung Quốc truy cập vào hàng trăm nghìn hoặc hàng triệu thông tin liên lạc riêng tư.

Symantec không nêu rõ tên Trung Quốc trong nghiên cứu của mình. Thay vào đó, họ xác định những kẻ tấn công là nhóm Buckeye, một thuật ngữ riêng dành cho tin tặc mà Bộ Tư Pháp Mỹ và một số công ty an ninh mạng khác đã quy ước là nhà thầu thuộc Bộ An ninh Quốc gia Trung Quốc, hoạt động ở bên ngoài thành phố Quảng Châu. Việc đặt biệt danh khá phổ biến vì nó tránh được việc xúc phạm tới bất kỳ chính phủ nào, ví dụ như NSA cũng được gọi là tổ chức Equation, Buckeye còn có tên khác là APT3….

Đến năm 2017, Bộ Tư Pháp Mỹ đã công bố cáo trạng của 3 tin tặc Trung Quốc trong nhóm Buckeye. Trong khi các công tố viên không khẳng định rằng 3 người đang làm việc thay mặt chính phủ Trung Quốc, các nhà nghiên cứu độc lập và NSA viết trong bản ghi nhớ một cách rõ ràng là nhóm đã ký hợp đồng với Bộ An ninh Quốc gia Trung Quốc để thực hiện các cuộc tấn công tinh vi vào Mỹ.

Một báo cáo của Lầu Năm Góc về cạnh tranh quân sự với Trung Quốc cũng mô tả Bắc Kinh là một trong những đối thủ "lành nghề và bền bỉ nhất" trong các hoạt động quân sự, tình báo và thương mại, luôn tìm kiếm mọi cách để làm giảm lợi thế về các hoạt động và công nghệ cốt lõi của Mỹ.

Đầu tháng 03/2016, các tin tặc Trung Quốc đã sử dụng các phiên bản tinh chỉnh của hai công cụ hack của NSA, được gọi là Eternal Synergy và Double Pulsar, trong các cuộc tấn công của họ. Sau đó vào tháng 08/2016, Shadow Brokers đã phát hành những mẫu đầu tiên của các công cụ được cho là đánh cắp từ NSA. Đến tháng 04/2017, một bộ sưu tập công cụ khác của NSA cũng xuất hiện trên Internet.

Trước đây từng có trường hợp các phần mềm độc hại bị lộ trên mạng Internet và sau đó được các cơ quan gián điệp hoặc tội phạm sử dụng. Nhưng chưa có tiền lệ cho các hành động của gián điệp Trung Quốc trong trường hợp có được các công cụ hack của đối thủ sau đó dùng chính nó để tấn công kẻ thù. Theo các nhà nghiên cứu, đây là lần đầu tiên họ phát hiện Trung Quốc sử dụng phương pháp này. Vì trước đó, có hai lý do khiến hành động khó được triển khai, một là việc Mỹ đã phát triển hệ thống phòng thủ để có thể vô hiệu các vũ khí và hai là Trung Quốc không muốn Mỹ biết họ đã đánh cắp công cụ của đối thủ.

Còn đối với các cơ quan tình báo Mỹ, phát hiện mới đã thuộc vào loại tình huống xấu nhất và có liên quan tới một quy trình của Nhà Trắng có tên gọi Vulnerabilities Equities Process. Nó được khởi động từ chính quyền Obama, nghiêng về việc tiết lộ các lỗ hổng công nghệ, nhưng lại không phải là quy định được lập ra để giải quyết hay tiết lộ những lỗ hổng do các công ty tư nhân phát hiện ra và sở hữu. Việc Shadow Broker phát hành các công cụ hack quan trọng của NSA trong năm 2016 và 2017 đã buộc cơ quan phải chuyển kho vũ khí phần mềm của mình cho Microsoft để vá và đóng cửa một số hoạt động chống khủng bố đầy nhạy cảm, theo chia sẻ từ hai cựu nhân viên NSA.

Theo các báo cáo, công cụ hack của NSA đã được tin tặc của Bắc Triều Tiên và Nga lấy được và sử dụng cho các cuộc tấn công làm tê liệt hệ thống chăm sóc sức khỏe tại Anh, làm ngưng trệ hoạt động của tập đoàn vận tải Maersk và cắt giảm nguồn cung cấp vaccine trong thời gian ngắn do tập đoàn Merck sản xuất. Tại Ukraine, các cuộc tấn công của Nga đã làm tê liệt các dịch vụ quan trọng của Ukraine, bao gồm sân bay, dịch vụ bưu chính, trạm xăng và hệ thống ATM.

Michael Daniel, chủ tịch của Cyber Threat Alliance, người trước đây là điều phối viên an ninh mạng cho chính quyền Obama chia sẻ: “Không có quy trình nào không có rủi ro. Nhưng điều này cho thấy sự cần thiết phải có một quy trình chu đáo, bao gồm rất nhiều quy định khác nhau và được cập nhật thường xuyên”. Ngoài các cơ quan tình báo, những cơ quan khác như Bộ Y tế và Dịch vụ Nhân sinh, Bộ Tài chính cũng lên tiếng muốn đảm bảo lỗ hổng an ninh từ NSA sẽ không được phát hiện vì kẻ thù hoặc nhóm tội phạm, sau đó để chúng quay trở lại tấn công các cơ sở hạ tầng của Mỹ.

Trong khi đó, người phát ngôn của NSA không có bình luận nào về báo cáo của Symantec. Tuy nhiên mọi việc chưa kết thúc ở đó. Một phát hiện khác đang gây nhiều lo ngại là dù Buckeye đã trở nên im hơi lặng tiếng sau khi Bộ Tư Pháp Mỹ đưa ra cáo trạng về 3 thành viên của nhóm vào năm 2017, các công cụ hack của NSA vẫn được tiếp tục được sử dụng trong các cuộc tấn công ở Châu Âu và Châu Á cho đến tận tháng 09/2018.

Liệu đây có phải là nhóm Buckeye hay một tổ chức tội phạm khác? Câu trả lời vẫn là một bí ẩn. Nhưng rõ ràng, những món vũ khí nguy hiểm vẫn đang hoạt động rất tốt.