Hacker Trung Quốc chuyển hướng sang tấn công Philippines

Vấn đề tranh chấp biển Đông có vẻ như đang gây ra những "cuộc chiến tranh mạng" giữa hacker Trung Quốc và các quốc gia liên quan như Việt Nam và Philippines… Theo một nghiên cứu mới đây của hãng bảo mật đến từ Phần Lan F-Secure, những tên hacker được cho là đến từ Trung Quốc hiện đang nhắm hướng tấn công vào hàng loạt các tổ chức của quốc gia Đông Nam Á Philippines… Chúng đã sử dụng các malware được thiết kế để ăn cắp những thông tin nhạy cảm từ chính phủ Philippines… cũng như các nạn nhân khác. 

Cụ thể hơn, F-Secure cho rằng hacker Trung Quốc đang muốn tấn công đánh cắp thông tin từ nhân viên của Bộ Tư pháp ( Department of Justice) Philippines cũng như các tổ chức viên của hội nghị APEC (Hợp tác Kinh tế châu Á - Thái Bình Dương). Thêm một mục tiêu khác của hacker là nhân viên của một hãng luật quốc tế lớn đại diện cho một trong số các quốc gia tham dự APEC. 

Cách đây ít ngày, một nhóm hacker được cho là từ Trung Quốc với tên gọi 1937cn cũng đã tấn công thay đổi giao diện của trang web hãng hàng không Việt Nam Airlines. Hệ thống điều khiển thông tin của sân bay này cũng trở thành mục tiêu. Dù vậy, nhóm này sau đó đã phủ nhận toàn bộ các cáo buộc. 

Theo phát biểu trên trang Motherboard của Erka Koivunen, cố vấn an ninh mạng tại F-Secure, nhiều tổ chức khác cũng nằm trong tầm ngắm của hacker Trung Quốc trong thời gian hội nghị diễn ra. Tuy nhiên, tên của các tổ chức không được nêu trong bản nghiên cứu của F-Secure do các thông tin nhạy cảm liên quan đến các tổ chức này. 

Tranh chấp trên biển Đông được cho là nguyên nhân của các vụ tấn công mạng do hacker Trung Quốc khởi xướng.

Sau khi phân tích nhiều mẫu malware khác nhau, các nhà nghiên cứu kết luận rằng, dựa trên các đoạn mã và cơ sở hạ tầng được sử dụng, malware có nguồn gốc từ Trung Quốc. Dù vậy, F-Secure không trực tiếp tố cáo chính phủ Trung Quốc nhúng tay vào các vụ tấn công mạng này. 

"Chúng tôi không thể nói rằng chính chính phủ Trung Quốc đã đạo diễn chiến dịch tấn công, và thậm chí nếu đúng như vậy chúng tôi cũng không thể chỉ đích danh tổ chức nào trong chính phủ Trung Quốc làm việc đó" - Koivunen cho biết. 

Khó khăn của F-Secure cũng là điều dễ hiểu bởi thật không đơn giản để quy kết một tổ chức nào đó là thủ phạm một vụ tấn công mạng. Tuy nhiên, F-Secure nói rằng, các tổ chức bị hacker nhắm tới có liên quan trực tiếp tới các chủ đề được xem là lợi ích quốc gia mà chính phủ Trung Quốc đang xử lý. 

Biển Đông là vùng lãnh thổ đang gây ra những tranh chấp gay gắt giữa các quốc gia liên quan. Trung Quốc tuyên bố rằng nước này có chủ quyền trên các hòn đảo rộng lớn trong biển Đông. Tuy nhiên tuyên bố này bị hàng loạt các quốc gia như Philippines Malaysia, Vietnam, Brunei, và vùng lãnh thổ Taiwan bác bỏ. Dù vậy, Trung Quốc vẫn đang lên kế hoạch để xây dựng một trạm vụ trụ ở độ sâu 3.000 m dưới vùng biển tranh chấp. 

Trong khi đó Tòa án Trọng tài thường trực (Permanent Court of Arbitration) hồi tháng trước đã đưa ra kết luận Trung Quốc không có bất kỳ quyền lịch sử nào ở vùng biển nói trên. Kết luận này sau đó bị Trung Quốc từ chối, không chấp nhận.

Quay trở lại vụ tấn công mạng, F-Secure cho biết phiên bản đầu tiên của malware mà hãng phát hiện được ra đời từ tháng 1/2015 và nhắm vào Bộ Tư pháp Philippines. Thời điểm này là 1 tháng sau khi Tòa Trọng tài thường trực yêu cầu chính phủ Philippines cung cấp thêm thông tin liên quan đến vụ tranh chấp. 

Ở thời điểm đó, malware kết nối tới máy chủ điều khiển được điều hành bởi 1 công ty dịch vụ điện toán mây ở Mỹ. Tuy nhiên, sang tháng 10/2015 tất cả các máy chủ đã trỏ tới 1 địa chỉ IP Trung Quốc. 

Koivunen nói rằng malware họ phát hiện ra được đặt tên là NanHaiShu và là "malware quản trị từ xa" cho phép hacker can thiệp vào dữ liệu trên các máy tính bị nhiễm rồi gửi dữ liệu về máy chủ điều khiển. 

Để lây nhiễm malware lên máy tính của các nạn nhân, hacker đã soạn các email giả mạo gửi cho các nhân viên làm việc tại các tổ chức mục tiêu (như Bộ Tư pháp Philippines), ví dụ như email lừa thông báo nhân viên đó sắp được thưởng. Nếu nhân viên nào đó click vào xem email hoặc mở các tập tin đính kèm, máy tính của họ sẽ dính malware và được hacker dùng để thực hiện những cuộc tấn công . 

"Bất kỳ khi nào có các tranh chấp chính trị cũng như các vấn đề kinh tế, chính trị lớn, tôi cho rằng sẽ luôn xảy ra các hoạt động gián điệp bằng bất kỳ phương tiện nào" - Koivunen nhận định.