Những băng nhóm hacker Trung Quốc “khét tiếng” nhất thế giới

PLA Unit 61398

Năm 2013, hãng bảo mật Mandiant phát hành báo cáo khẳng định có một nhóm hacker làm cho Unit 61398 của quân đội Trung Quốc đã đánh cắp hàng terabyte dữ liệu từ ít nhất 141 quốc gia nói tiếng Anh. Mandiant đưa ra kết luận dựa trên các chứng cứ như địa chỉ IP Thượng Hải, máy tính sử dụng ngôn ngữ tiếng Trung giản thể, những dấu hiệu về nhiều cá nhân đứng sau thay vì các hệ thống tự động.

Trung Quốc đã bác bỏ lời buộc tội và cho rằng báo cáo không dựa trên sự thật và thiếu bằng chứng kỹ thuật. Brad Glosserman, Giám đốc Trung tâm chiến lược và Nghiên cứu quốc tế Diễn đàn Thái Bình Dương lại nói ngược lại khi chỉ ra những bằng chứng không thể chối cãi. Mandiant thậm chí còn biết nơi phần lớn cuộc tấn công là từ một tòa nhà 12 tầng nằm ngoài Thượng Hải nơi các tin tặc truy cập cáp quang tốc độ cao.

Dell SecureWorks tin rằng nhóm này chứa một nhóm tin tặc đứng sau Operation Shady RAT, một chiến dịch gián điệp máy tính quy mô lớn được phát hiện năm 2011, trong đó hơn 70 tổ chức trên khắp thế giới, bao gồm Liên Hợp quốc, chính phủ Mỹ, Canada, Hàn Quốc, Đài Loan và Việt Nam đều là mục tiêu trong thời gian hơn 5 năm.

Trước năm 2015, chính phủ Trung Quốc liên tục bác bỏ có liên quan đến tấn công mạng. Đáp lại báo cáo của Mandiant về Unit 61398, người phát ngôn Bộ ngoại giao Hồng Lỗi cho rằng các cáo buộc là “không chuyên nghiệp”. Song, đến năm 2015, Trung Quốc công khai thừa nhận sở hữu một đội quân chiến binh mạng bí mật trong cả quân đội lẫn dân sự.

Axiom

Một nhóm các công ty bao gồm Bit9, Microsoft, Symantec, ThreatConnect, Volexity… đã nhận diện một tổ chức tin tặc nguy hiểm khác mà họ đặt tên là “Axiom”. Nhóm này chuyên gián điệp doanh nghiệp và có thể là thủ phạm đứng sau vụ tấn công Google năm 2010. Axiom được tin là xuất phát từ Trung Quốc nhưng chưa ai xác minh ra vị trí chính xác. Báo cáo từ liên minh khẳng định hoạt động của Axiom chồng chéo với “phạm vi trách nhiệm” của các cơ quan tình báo Trung Quốc.

Báo cáo còn mô tả Axiom như một nhóm nhỏ của tổ chức lớn hơn chưa rõ tên tuổi đã hoạt động được hơn 6 năm, mục tiêu chủ yếu là các ngành công nghiệp tư nhân có ảnh hưởng đến kinh tế toàn cầu. Chúng sử dụng đủ mọi kỹ thuật từ tấn công mã độc đến các thủ đoạn tinh vi phải mất hàng năm để triển khai.

Hidden Lynx

Hidden Lynx (tên do Symantec đặt) là một trong những nhóm hacker mới nhất. Báo cáo năm 2013 mô tả Hidden Lynx đặc biệt có tổ chức và giàu kinh nghiệm, có khoảng 50 đến 100  người với nguồn lực lớn. Chúng thường sử dụng – nếu không phải tạo ra – các kỹ thuật tấn công hiện đại nhất, trong đó có “watering holes”. Đây là một trong các phương thức được dùng năm 2013 để xâm nhập hãng bảo mật đám mây Bit9 nhằm chiếm quyền truy cập của các khách hàng.

Nhóm không chỉ hạn chế trong đánh cắp thông tin cá nhân mà còn theo đuổi các mục tiêu bảo mật nhất thế giới như công nghiệp quốc phòng, tổ chức cao cấp, chính phủ các nước lớn với các cuộc tấn công tập trung vào Trung Quốc, Đài Loan, Mỹ, Hàn Quốc. Có thể nói, chúng là tổ chức tin tặc đánh thuê “sặc mùi Hollywood”.

Mọi dấu hiệu đều chỉ ra Hidden Lynx là một nhóm hacker hoạt động tại Trung Quốc nhưng chưa rõ có phải do chính phủ nước này tài trợ hay không. Kỹ năng và kỹ thuật tinh vi của họ cũng như thực tế cơ sở hạ tầng và máy chủ C&C đều bắt nguồn từ Trung Quốc khiến chúng ta chắc chắn nhóm này không thể không được chống lưng.

Honker Union

Honker Union là một nhóm hacker hoạt động tại Trung Quốc. Sau khi website Baidu bị Iranian Cyber Army tấn công năm 2010, các tin tặc tự nhận là thành viên của Honker Union bắt đầu loạt tấn công nhằm vào website Iran. Website giáo dục iribu.ir bị hack, ban đầu trang chủ chuyển thành màn hình đen, sau đó dòng chữ “Cộng hòa nhân dân Trung Hoa trường tồn” xuất hiện. Nhiều website của các tổ chức chính phủ Iran khác cũng bị tấn công.

Năm 2011, nhóm này là thủ phạm tấn công hơn 1.000 website Việt Nam, hiển thị cờ Trung Quốc và các khẩu hiệu trên trang chủ. Tháng 4/2014, tranh chấp bãi cạn Scarborough giữa Trung Quốc và Phillipines làm nảy sinh cái gọi là “chiến tranh tin tặc” giữa hai nước. Nhiều website Trung Quốc bị hacker Phillipines tấn công. Nhằm trả đũa, tin tặc Trung Quốc xâm nhập website của Đại học Phillipines, biến nó thành bản đồ bãi cạn Scarborough kèm theo khẩu hiệu “Chúng tôi đến từ Trung Quốc” và “Hoàng Nham là của chúng tôi” (Hoàng Nham là tên tiếng Trung của bãi cạn Scarborough).

Honker Union còn gây chiến với cả Nhật Bản sau khi Nhật Bản thông báo kế hoạch mua đảo Senkaku (đảo Điếu Ngư trong tiếng Trung). Chúng lên danh sách 100 tổ chức tại Nhật để tấn công. Trong 2 tuần sau đó, hàng loạt website chính phủ trung ương và địa phương, ngân hàng, trường đại học và các công ty trải qua nhiều sự cố an ninh mạng.

Deep Panda

Một nhóm hacker dường như được chính phủ Trung Quốc chống lưng có liên quan đến một số cuộc tấn công năm 2014. Hãng bảo mật CrowdStrike đặt cho nhóm này biệt danh Deep Panda. Tác phẩm gần đây nhất của chúng có thể là vụ rò rỉ dữ liệu Anthem khổng lồ, tiết lộ thông tin cá nhân của hơn 80 triệu người đóng bảo hiểm. Cuộc tấn công đặt khách hàng của Anthem vào nguy cơ bị đánh cắp danh tính và tấn công lừa đảo từ khắp nơi trên thế giới.

Deep Panda còn có liên quan đến các cuộc tấn công nhằm vào các tổ chức “think tank”, vạch chính sách của Mỹ và những cá nhân là chuyên gia về Trung Đông cũng như các tờ báo Úc. Một cuộc điều tra năm 2014 của CrowdStrike tố cáo Deep Panda gửi mã đọc đến các tổ chức thuộc Bộ Quốc phòng, y tế và công nghệ Mỹ.

Chúng được xem là một trong những nhóm hacker hoạt động tinh vi nhất hiện nay. Năm 2015, một quan chức FBI cảnh báo Deep Panda đối với cộng đồng bảo mật.

NCPH

Network Crack Program Hacker Group (NCPH Group) là một nhóm hacker hoạt động tại Tứ Xuyên, Trung Quốc. Các cuộc tấn công của nhóm này ngày một tinh vi và thu hút được sự chú ý từ cộng đồng quốc tế từ năm 2007. Năm 2006, nhóm có 4 thành viên chủ chốt là Wicked Rose (thủ lĩnh), KuNgBim, Charles, Rodag, hiện không rõ số lượng thành viên. Wicked Rose chịu trách nhiệm quản lý quan hệ với các nhà tài trợ và thanh toán cho thành viên. Tháng 4/2009, hắn bị bắt giữ sau khi thực hiện tấn công DDOS vào Hackbase, HackerXFiles và 3800hk.

iDefense liên hệ NCPH với nhiều mã được sử dụng trong cuộc tấn công nhằm vào bộ sản phẩm Microsoft Office trong 90 ngày của mùa hè năm 2006 do chúng sử dụng mã độc của Wicked Rose.

1937cn

1937cn là nhóm hacker khá “quen mặt” với Việt Nam. Tháng 5/2014, trang SecurityDaily chỉ mặt nhóm này đã tấn công hàng trăm website Việt Nam, để lại lời nhắn, hình ảnh mang tính khiêu khích. Đây là nhóm hacker nổi tiếng và thuộc loại mạnh nhất Trung Quốc, theo thống kê từ hack-cn.com. Nhóm đứng đầu về số cuộc tấn công đã thực hiện.

1937cn cũng chính là nhóm thực hiện tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com tháng 8/2013 khi chuyển hướng truy cập tới trang web của chúng. Cũng theo SecurityDaily, nhóm đã từng tấn công nhiều website .gov.vn của tổ chức chính phủ Việt Nam.

Mới đây nhất, nhóm này bị tình nghi tấn công chiếm quyền điều khiển hệ thống thông tin của Việt Nam Airlines chiều ngày 29/7. Tuy nhiên, trên website chính thức, 1937cn lên tiếng phủ nhận cáo buộc dù vẫn ngang ngược cho rằng “biển Đông, bãi cạn Scarborough, đảo Điếu Ngư, đảo Thái Bình cùng các đảo khác trên Biển Đông đều thuộc Trung Quốc".