Kéo dài tới hơn 10 năm, những “bóng ma” tấn công vào các đám mây dữ liệu của Mỹ khiến nhà điều tra hoang mang. Chẳng ai khẳng định được các cuộc tấn công đă kết thúc.
Vụ tấn công được ví von như lấy cắp ch́a khóa chủ của một ṭa nhà.
Nhóm hacker, sau này được xác định là APT10, tấn công hàng loạt nhà cung cấp dịch vụ đám mây. Thời điểm ngay sau vụ tấn công, danh sách nạn nhân chỉ là 14 công ty không được nêu tên.
Sau sự việc, nhiều nhà cung cấp dịch vụ đám mây đă cố gắng che giấu những thông tin từ vụ tấn công. Quy mô thật sự chỉ được tiết lộ sau khi Wall Street Journal điều tra, và cho thấy danh sách nạn nhân lên đến hàng chục công ty, và bao gồm nhiều cái tên đ́nh dám như IBM, CGI Group (nhà cung cấp đám mây lớn nhất Canada) hay Tieto Ojy, doanh nghiệp lớn của Phần Lan.

Hàng ngh́n nạn nhân

Theo Wall Street Journal, vụ tấn công của APT10 và những đợt đáp trả sau đó của các công ty bảo mật phương Tây là một trong những vụ tấn công có quy mô lớn nhất. Hàng trăm công ty đă bị tấn công thông qua nhà cung cấp dịch vụ đám mây, trong đó có nhiều công ty lớn như Philips, American Airlines, Deutsche Bank hay GlaxoSmithKline.
Hewlett Packard Enterprise (HPE), một trong những nhà cung cấp dịch vụ đám mây bị tấn công, thậm chí c̣n bị hacker xâm nhập và tái xâm nhập nhiều lần mà không biết, và vẫn tuyên bố rằng đă loại bỏ hết các nguy cơ. Giám đốc FBI Christopher Wray th́ ví vụ tấn công như lấy ch́a khóa chủ của một ṭa nhà.

Đến nay, vẫn không ai kết luận được rằng nhóm hacker đă hoàn toàn bị loại bỏ khỏi những mạng lưới hay vẫn đang âm thầm lấy cắp dữ liệu. Theo công ty bảo mật SecurityScoreCard, tới giữa tháng 11 vẫn c̣n hàng ngh́n địa chỉ IP liên kết với các mạng lưới của APT10.
Chính phủ Mỹ cho biết APT10 đă lấy cắp được hơn 100.000 dữ liệu cá nhân từ Hải quân Mỹ.
Vụ tấn công này đă cho thấy lỗ hổng của nền kinh tế, khi rất nhiều công ty lưu trữ dữ liệu nhạy cảm của họ trên các máy chủ đám mây, thuộc về số ít nhà cung cấp lớn. Các nhà cung cấp luôn nói về khả năng bảo mật của họ, nhưng sự thật th́ không được như vậy.

Tấn công như những bóng ma

Vụ tấn công được đặt tên Cloud Hopper, và đó là một hành động khá lạ của nhóm hacker cao cấp APT10 xuất xứ từ Trung Quốc. Các nhà nghiên cứu bảo mật đă theo dơi APT10 cả thập kỷ, khi họ tấn công vào các tổ chức chính phủ, công ty kỹ thuật và hàng không. Những nhà điều tra của Mỹ cho rằng có vài thành viên người của Bộ An ninh Quốc gia Trung Quốc, nhưng phần lớn thành viên vẫn nằm trong bóng tối.
Những mục tiêu đầu tiên, như công ty khai khoáng Rin Tinto, bị tấn công thông qua nhà cung cấp đám mây CGI năm 2013. Chẳng ai biết hacker đă lấy đi những thông tin ǵ, nhưng một số nhà điều tra cho rằng thông tin về các địa điểm khai khoáng tiếp theo đă bị lợi dụng để buôn bất động sản.
“Những đợt tấn công của họ nh́n không khác ǵ lượt truy cập thông thường. Đó là vấn đề rất nghiêm trọng”, Orin Paliwoda, đặc vụ FBI điều tra vụ Cloud Hopper cho biết.



Trong một đợt kiểm tra an ninh mạng đầu năm 2016, Kris McConkey, chuyên gia an ninh mạng của PricewaterhouseCoopers nhận thấy những dấu hiệu của một đợt tấn công tổng lực. Ban đầu, ông cho rằng đây chỉ là vụ tấn công đơn lẻ, nhưng rồi nhận ra vấn đề nghiêm trọng hơn nhiều khi rất nhiều công ty khác cũng bị tấn công theo cách tương tự.
“Khi bạn nhận thấy có nhiều trường hợp tấn công giống y như nhau, bạn bắt đầu nhận ra tính nghiêm trọng của vấn đề”, McConkey cho biết.
Các hacker hoạt động theo từng nhóm. Nhóm “Thứ ba” sẽ t́m cách trộm mọi tài khoản và mật khẩu có thể, sau đó một nhóm khác sẽ sử dụng những tài khoản này để trộm thông tin vài ngày sau.
Cách thức hoạt động bất thường c̣n thể hiện khi nhóm hacker sử dụng hạ tầng của nạn nhân này để lưu trữ thông tin đă lấy được từ nạn nhân khác. Sau vài tháng thoắt ẩn thoắt hiện, McConkey mới thực sự nắm bắt được hành vi của những “bóng ma” này.
Một trong những mục tiêu lớn nhất của nhóm hacker là HP Enterprise (HPE), nhà cung cấp dịch vụ đám mây cho hàng ngh́n công ty. Philips, một khách hàng của HPE, lưu trữ tới hàng chục ngh́n terabyte dữ liệu trên hệ thống của HPE, bao gồm rất nhiều tài liệu lâm sàng và dữ liệu sức khỏe của người dùng.
APT10 đă tấn công HPE từ năm 2014, xâm nhập vào mạng lưới của chính đội ngũ an ninh mạng công ty này. Khi HPE tiến hành loại trừ các thiết bị đă bị cài mă độc, nhóm hacker nắm bắt toàn bộ quá tŕnh, và rồi lại xâm nhập một lần nữa.

Đáp trả


Đợt phản công đầu tiên diễn ra vào đầu năm 2017. Hàng chục thành viên là nhóm nghiên cứu bảo mật của các công ty bị ảnh hưởng đă kết hợp với nhau để bẫy nhóm hacker.
Đầu tiên, các lịch công tác giả được thiết lập để nhóm hacker nghĩ rằng những chuyên gia bảo mật đang không ở gần hệ thống. Đây là cách nhóm chuyên gia khiến cho hacker mất cảnh giác. Ngay sau đó, họ cắt ngang đợt tấn công của hacker để nhanh chóng xác định được các tài khoản đă bị tấn công và những server đă bị nhiễm mă độc.
APT10 tất nhiên không chịu thua cuộc. Họ quay trở lại với những mục tiêu mới như các công ty tài chính và lần này nhắm tới cả IBM, một trong những nhà cung cấp dịch vụ lớn nhất thế giới.

Theo nhiều quan chức chính phủ Mỹ, những đợt tấn công mới của APT10 vào năm 2017-2018 đă khiến giới quan sát lo ngại. Tháng 10/2018, cơ quan an ninh mạng và nền tảng (CISA) thuộc Bộ An ninh Nội địa Mỹ đă phải phát đi cảnh báo, cho biết hàng loạt cơ sở hạ tầng quan trọng đă bị tấn công.
Sau nhiều tháng điều tra, vào tháng 12/2018 Mỹ chỉ công bố được hai cá nhân liên quan đến vụ tấn công, thay v́ nhiều tổ chức liên quan trực tiếp tới Trung Quốc như hi vọng ban đầu. Theo Wall Street Journal, nhiều chuyên gia nhận định chỉ 2 hacker th́ không thể tạo ra những đợt tấn công với quy mô lớn như vụ Cloud Hopper.


Giám đốc FBI Christopher Wray vào tháng 12/2018 công bố 2 hacker Trung Quốc Zhu Hua và Zhang Shilong bị buộc tội trong vụ APT10.

Zhu Hua và Zhang Shilong, hai cá nhân bị Mỹ nêu tên, nhiều khả năng đang ở Trung Quốc. Hai hacker này có thể lĩnh án tù tới 27 năm v́ các cáo buộc âm mưu, lừa đảo và đánh cắp danh tính, tuy nhiên Mỹ không có thỏa thuận dẫn độ với Trung Quốc.
Phó tổng chưởng lư Rod Rosenstein cho biết các bị cáo làm việc cho Công ty Phát triển Khoa học và Công nghệ Huaying Haitai ở Thiên Tân, Trung Quốc và thay mặt cho văn pḥng MSS Thiên Tân.
Khác với những vụ tấn công thông thường, mục tiêu của nhóm hacker trong vụ Cloud Hopper khi trộm các thông tin không phải để bán. Đến nay, những vụ điều tra vẫn không thể khẳng định dữ liệu bị trộm đă bị sử dụng như thế nào.
“Tôi sẽ không ngạc nhiên nếu như có hàng chục công ty chẳng biết họ đă bị APT10 tấn công, hay vẫn đang bị xâm nhập”, Luke Dembosky, chuyên gia an ninh nội địa Mỹ chia sẻ.
“Câu hỏi vẫn c̣n nguyên: họ đă làm ǵ. Nhóm hacker này chưa hề biến mất. Họ vẫn đang hành động, nhưng chúng ta không hề nhận ra”, ông McConkey nhận xét.
ZingNews (theo Wall Street Journal )