Hacker gây ra vụ tấn công nhằm vào Văn phòng quản lý nhân sự Mỹ (OPM) được cho rằng có nhiệm vụ cũng như cấu trúc tổ chức hoàn toàn khác biệt so với các nhóm tội phạm mạng 'gốc Trung Quốc' khác.

{keywords}

So với các nhóm hacker 'có yếu tố quân đội' khác từng bị cáo buộc xâm phạm dữ liệu của Mỹ thì nhóm hacker được quy trách nhiệm gây ra vụ đánh cắp thông tin nhạy cảm của hàng triệu nhân viên liên bang đang làm việc cũng như đã nghỉ hưu của chính phủ Mỹ dường như có một mục đích khác, hãng thông tấn Reuters dẫn lời các nguồn thạo tin cho hay. 

Cụ thể, hai trong số các nguồn tin thân cận với các cuộc điều tra của giới chức Mỹ khẳng định, nếu như trước đây, quân đội Trung Quốc (PLA) thường đứng sau các vụ tấn công mạng nhằm tìm kiếm bí mật thương mại và quốc phòng, thì với đợt tấn công nhằm vào OPM, có dấu hiệu cho thấy nhóm hacker đã nhiều lần truy cập các dữ liệu vốn được tin là hữu ích cho cơ quan tình báo Trung Quốc.

Mặc dù tính đến thời điểm hiện tại Washington vẫn chưa chính thức đưa ra cáo buộc Bắc Kinh đứng sau vụ đánh cắp vụ dữ liệu tại OPM, và phía Trung Quốc cũng vài lần tuyên bố mọi sự gán ghép nước này vào vụ tấn công mạng nói trên là vô căn cứ, vô trách nhiệm và thiếu tính khoa học.

Các nguồn tin nói với Reuters rằng, hacker đã sử dụng một công cụ "hiếm thấy" để điều khiển từ xa các máy tính từng biết đến dưới tên gọi Sakula, và các máy tính này cũng từng được sử dụng trong vụ rò rỉ dữ liệu tại hãng bảo hiểm y tế lớn thứ 2 tại Mỹ là Anthem hồi năm ngoái 2014. Trong vụ tấn công mạng xảy ra ở Anthem, các chuyên gia bảo mật từng đưa ra nhận định thủ phạm có ít nhiều liên hệ với Bộ An ninh Trung Quốc, đơn vị chuyên theo dõi sự ổn định chính trị, phản gián và bất đồng chính kiến tại quốc gia này.

Ngoài ra, các nhà điều tra Mỹ cũng tin rằng hacker đã cố tình tạo ra một website giả mạo mang tên OPM-Learning.org hòng cố gắng thu thập mật khẩu và họ tên của các nhân viên liên bang Mỹ, hệt như cách thức mà Anthem - từng được gọi với cái tên Wellpoint - từng hứng chịu bởi website giả mạo mang tên We11point.com. Trong trường hợp này, hacker đã cố tình đổi ký tự "l" thành "1", và người dùng chỉ cần lơ đễnh là ngay lập tức sụp bẫy.

Đặc biệt hơn nữa, cả hai vụ thâm nhập trái phép dữ liệu tại Anthem và OPM đều sử dụng phần mềm độc hại được chứng thực là an toàn thông qua một chứng chỉ bị đánh cắp trước đó của DTOPTOOLZ, một hãnh phần mềm Hàn Quốc.

Phía DTOPTOOLZ cũng đã tuyên bố không liên quan đến các vụ đánh cắp dữ liệu được đề cập.

Nguồn tin gần gũi với với cuộc điều tra đang diễn ra nói với Reuters rằng các máy tính "mã độc" Sakula chỉ được phát hiện sử dụng từ số ít các nhóm hacker nguồn gốc Trung Quốc.

Trong một tuyên bố gần đây, Bộ Ngoại giao Trung Quốc thẳng thừng tuyên bố luật pháp nước này nghiêm cấm tấn công không gian mạng cũng như mọi hành vi khác vốn có thể gây ra sự nguy hại cho tính an toàn Internet, đồng thời khẳng định chính phủ Trung Quốc sẽ có biện pháp mạnh mẽ và kiên quyết để chống lại mọi hành vi tấn công mạng, và nước này cũng kịch liệt phản đối mọi bóng gió, vu cáo vô căn cứ nhằm vào mình liên quan đến hàng loạt vụ tấn công không gian mạng dạo gần đây.

Còn nhiều ẩn số

Hầu hết những vụ tấn công không gian mạng đình đám nhất nhằm vào các mục tiêu của nước Mỹ vốn bị đổ lỗi về phía Trung Quốc đều được cho rằng cho sự tham gia ít nhiều của quân đội Trung Quốc. Trong một căng thẳng hồi năm 2014, Bộ Tư pháp Mỹ đã truy tố 5 sĩ quan PLA với cáo buộc làm gián điệp kinh tế. 

Còn đối với nhóm hacker gây ra vụ tấn công đánh cắp dữ liệu tại OPM, các nhà nghiên cứu bảo mật cho biết họ vẫn đang tìm kiếm thêm thông tin để có được một cái nhìn tổng quan hơn về quy mô của nhóm này, cũng như các vụ tấn công mà nhóm này từng thực hiện.

Mặc dù nguồn tin thân cận với cuộc điều tra vụ OPM cho biết thủ phạm chính là nhóm hacker đứng sau vụ tấn công Anthem, song họ không có cơ sở để chắc chắn rằng có sự liên quan của chính phủ Trung Quốc trong vụ việc lần này.

"Chúng tôi đang theo dõi một nhóm hacker chỉ nhằm vào mục tiêu là thông tin cá nhân", bà Laura Galante - Giám đốc phụ trách các mối đe dọa bảo mật tại công ty an ninh mạng FireEyes (Mỹ) cho biết.

Thậm chí, trang tin Re/code ngày 19/6 còn cho biết FireEye đã khẳng định nhóm hacker Trung Quốc mang tên Deep Panda chính là thủ phạm vụ tấn công OPM. 

Công ty an ninh mạng CrowdStrike (Mỹ) cũng có báo cáo tương tự, theo tường thuật của Reuters, trong khi đó bộ phận an ninh mạng RSA tại hãng EMC gọi nhóm này bằng cái tên Shell Crew.

Thông tin rò rỉ từ OPM cho phép hacker truy cập vào biểu mẫu xin cấp phép an ninh của các ứng viên dự tuyển việc làm, trong đó chứa đựng thông tin chi tiết như lịch sử quá trình sử dụng ma túy, các vấn đề và quan điểm liên quan đến tình cảm, các mối liên hệ tại nước ngoài. Các quan chức Mỹ lo ngoại, các thông tin này có thể được hacker hay bên thứ 3 sử dụng để thực hiện tống tiền hay tuyển dụng trong một số trường hợp.

Ông Dmitri Alperovitch - nhà đồng sáng lập công ty CrowdStrike cho biết, Deep Panda dường như có sự liên quan đến Bộ An ninh Trung Quốc và thông tin về các điệp viên Mỹ đang hoạt động tại Trung Quốc về mặt lý thuyết là mối ưu tiên hàng đầu đối với cơ quan này.

Ngoài ra, ông Dmitri cũng tiết lộ thêm rằng các kỹ thuật và công cụ của Deep Panda từng được sử dụng để giám sát các cuộc biểu tình diễn ra hồi năm ngoái ở Hồng Kông.

Theo PCWVN