Một cuộc tấn công mạng nhằm chiếm đoạt iPhone tại một công ty công nghệ Nga đang bị đổ lỗi cho tin tặc của chính phủ Hoa Kỳ. Liệu cuộc tấn công và phản ứng từ chính phủ Nga có thể viết lại câu chuyện về kẻ tốt và kẻ xấu trong không gian mạng? Camaro Dragon, Fancy Bear, Static Kitten và Stardust Chollima - đây không phải là những siêu anh hùng mới nhất trong phim Marvel mà là những cái tên được đặt cho một số nhóm hack đáng sợ nhất trên thế giới. Trong nhiều năm, các nhóm không gian mạng tinh nhuệ này đã bị theo dõi từ vụ hack này đến vụ hack khác, đánh cắp bí mật và gây ra sự gián đoạn được cho là theo lệnh của chính phủ của họ. Các công ty an ninh mạng thậm chí còn tạo ra những hình ảnh hoạt hình về chúng.
Camaro Dragon - Hình minh họa mới nhất của Checkpoint cho một nhóm người Trung Quốc bị cáo buộc hack các nhân viên ngoại giao châu Âu Với các dấu chấm trên bản đồ thế giới, các nhà tiếp thị tại các công ty này thường xuyên cảnh báo khách hàng về nơi những "mối đe dọa dai dẳng nâng cao" (APT) này đến từ - thường là Nga, Trung Quốc, Triều Tiên và Iran. Nhưng các phần của bản đồ vẫn trống rỗng. Vậy tại sao hiếm khi nghe nói về các nhóm hack và tấn công mạng của phương Tây? Một vụ hack lớn ở Nga, được phát hiện vào đầu tháng này, có thể cung cấp một số manh mối.
Hậu vệ bị tấn công
Từ bàn làm việc nhìn ra Kênh đào Moscow, nhân viên an ninh mạng quan sát những tiếng ping lạ bắt đầu đăng ký trên mạng wi-fi của công ty. Điện thoại di động của hàng chục nhân viên đồng thời gửi thông tin đến các phần lạ của internet. Nhưng đây không phải là một công ty bình thường.
Trụ sở chính của Kaspersky, ở Moscow Đây là công ty mạng lớn nhất của Nga, Kaspersky, đang điều tra một cuộc tấn công tiềm tàng nhằm vào chính nhân viên của mình. Trưởng nhóm nghiên cứu bảo mật Igor Kuznetsov nói: “Rõ ràng tâm trí của chúng tôi hướng thẳng đến phần mềm gián điệp nhưng ban đầu chúng tôi khá hoài nghi. Mọi người đã nghe nói về các công cụ mạng mạnh mẽ có thể biến điện thoại di động thành thiết bị gián điệp nhưng tôi nghĩ đây là một loại huyền thoại xảy ra với người khác, ở một nơi khác". Sau khi phân tích tỉ mỉ "vài tá" iPhone bị nhiễm mã độc, Igor nhận ra rằng linh cảm của họ đã đúng - họ thực sự đã phát hiện ra một chiến dịch hack giám sát tinh vi lớn chống lại chính nhân viên. Kiểu tấn công mà họ đã tìm thấy là cơn ác mộng đối với những người bảo vệ mạng. Các tin tặc đã phát minh ra một cách để lây nhiễm iPhone chỉ bằng cách gửi một iMessage tự động xóa chính nó sau khi phần mềm độc hại được đưa vào thiết bị. "Wham, bạn bị nhiễm bệnh - và bạn thậm chí không nhìn thấy nó", Igor nói.
'Hoạt động trinh sát'
Toàn bộ nội dung điện thoại của nạn nhân hiện đang được gửi lại cho những kẻ tấn công đều đặn. Tin nhắn, email và hình ảnh đã được chia sẻ - thậm chí cả quyền truy cập vào máy ảnh và micrô. Tuân theo quy tắc lâu đời của Kaspersky là không chỉ tay, Igor nói rằng họ không quan tâm đến việc cuộc tấn công gián điệp kỹ thuật số này được phát động từ đâu. "Bites không có quốc tịch - và bất cứ khi nào một cuộc tấn công mạng được đổ lỗi cho một quốc gia nhất định, thì nó được thực hiện với một chương trình nghị sự", ông nói. Nhưng chính phủ Nga ít quan tâm đến điều đó. Cùng ngày Kaspersky công bố phát hiện của mình, các cơ quan an ninh Nga
đã đưa ra một thông báo khẩn cấp nói rằng họ đã "phát hiện ra một hoạt động do thám của các cơ quan tình báo Mỹ được thực hiện bằng thiết bị di động của Apple". Dịch vụ tình báo mạng của Nga không đề cập đến Kaspersky nhưng tuyên bố "vài nghìn bộ điện thoại" của cả người Nga và các nhà ngoại giao nước ngoài đã bị nhiễm virus. Bản tin thậm chí còn cáo buộc Apple đã tích cực giúp đỡ trong chiến dịch hack. Apple phủ nhận nó có liên quan. Thủ phạm bị cáo buộc - Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) - nói rằng họ không có bình luận gì. Igor khẳng định Kaspersky không phối hợp với các dịch vụ bảo mật của Nga và bản tin của chính phủ khiến họ bất ngờ.
NSA có các tin tặc ưu tú làm việc cho Hoa Kỳ Một số người trong giới an ninh mạng sẽ ngạc nhiên về điều này - chính phủ Nga dường như đã đưa ra một thông báo chung với Kaspersky, để có tác động tối đa, loại chiến thuật ngày càng được các nước phương Tây sử dụng để vạch trần các chiến dịch hack và chỉ trích ầm ĩ. Chỉ trong tháng trước, chính phủ Hoa Kỳ đã đưa ra một thông báo chung với Microsoft - tin tặc của chính phủ Trung Quốc đã bị
phát hiện ẩn nấp bên trong các mạng lưới năng lượng trên lãnh thổ Hoa Kỳ. Và thông báo này được theo sau một cách nhanh chóng và có thể đoán trước bởi một dàn hợp xướng đồng ý từ các đồng minh của Mỹ trong không gian mạng - Anh, Úc, Canada và New Zealand - được gọi là Five Eyes. Phản ứng của Trung Quốc là một sự phủ nhận nhanh chóng nói rằng câu chuyện là một phần của "chiến dịch thông tin sai lệch tập thể" từ các quốc gia Five Eyes. Quan chức Bộ Ngoại giao Trung Quốc Mao Ning nói thêm phản ứng thường xuyên của Trung Quốc: "Thực tế là Hoa Kỳ là đế chế của tin tặc". Một số người trong giới an ninh mạng sẽ ngạc nhiên về điều này - chính phủ Nga dường như đã đưa ra một thông báo chung với Kaspersky, để có tác động tối đa, loại chiến thuật ngày càng được các nước phương Tây sử dụng để vạch trần các chiến dịch hack và chỉ trích ầm ĩ. Chỉ trong tháng trước, chính phủ Hoa Kỳ đã đưa ra một thông báo chung với Microsoft - tin tặc của chính phủ Trung Quốc đã bị
phát hiện ẩn nấp bên trong các mạng lưới năng lượng trên lãnh thổ Hoa Kỳ . Và thông báo này được theo sau một cách nhanh chóng và có thể đoán trước bởi một dàn hợp xướng đồng ý từ các đồng minh của Mỹ trong không gian mạng - Anh, Úc, Canada và New Zealand - được gọi là Five Eyes. Phản ứng của Trung Quốc là một sự phủ nhận nhanh chóng nói rằng câu chuyện là một phần của "chiến dịch thông tin sai lệch tập thể" từ các quốc gia Five Eyes. Quan chức Bộ Ngoại giao Trung Quốc Mao Ning nói thêm phản ứng thường xuyên của Trung Quốc: "Thực tế là Hoa Kỳ là đế chế của tin tặc."
'Nhắm vào Trung Quốc'
Nhưng giờ đây, giống như Nga, Trung Quốc dường như đang áp dụng một cách tiếp cận tích cực hơn để chỉ trích phương Tây tấn công mạng. Hãng tin nhà nước China Daily đã cảnh báo các tin tặc do chính phủ nước ngoài hậu thuẫn
hiện là mối đe dọa an ninh mạng lớn nhất của đất nước . Và lời cảnh báo đó được đưa ra cùng với một thống kê từ công ty 360 Security Technology của Trung Quốc - họ đã phát hiện ra "51 tổ chức tin tặc nhắm vào Trung Quốc". Công ty đã không trả lời yêu cầu bình luận. Tháng 9 năm ngoái, Trung Quốc cũng cáo buộc Mỹ tấn công mạng một trường đại học do chính phủ tài trợ chịu trách nhiệm về các chương trình nghiên cứu hàng không và vũ trụ.
'Chơi đẹp'
“Trung Quốc và Nga đã dần dần nhận ra mô hình phương Tây về tiếp xúc trên mạng cực kỳ hiệu quả và tôi nghĩ chúng ta đang chứng kiến sự thay đổi”, người đứng đầu Rubrik Zero Labs và cựu nhân viên tình báo mạng Steve Stone nói. "Tôi cũng sẽ nói rằng tôi nghĩ đó là một điều tốt. Tôi không có vấn đề gì với việc các quốc gia khác tiết lộ những gì các nước phương Tây đang làm. Tôi nghĩ đó là một cuộc chơi công bằng và tôi nghĩ điều đó là phù hợp". Nhiều người bác bỏ cáo buộc của Trung Quốc rằng Hoa Kỳ là đế chế hack là cường điệu - nhưng có một số sự thật trong đó. Theo Viện Nghiên cứu Chiến lược Quốc tế (IISS), Mỹ là cường quốc mạng cấp một duy nhất trên thế giới, dựa trên tấn công, phòng thủ và ảnh hưởng. Bậc hai được tạo thành từ: Trung Quốc Nga nước Anh Châu Úc Pháp Người israel Canada Chỉ số Sức mạnh Mạng Quốc gia, được biên soạn bởi các nhà nghiên cứu tại Trung tâm Khoa học và Quan hệ Quốc tế Belfer, cũng coi
Hoa Kỳ là cường quốc mạng hàng đầu thế giới. Nhà nghiên cứu hàng đầu của tờ báo hàng năm, Julia Voo, cũng đã nhận thấy một sự thay đổi. "Gián điệp là hoạt động thường xuyên của các chính phủ và hiện nay nó thường diễn ra dưới hình thức tấn công mạng - nhưng có một trận chiến tường thuật đang diễn ra và các chính phủ đang đặt câu hỏi ai đang hành xử có trách nhiệm và vô trách nhiệm trong không gian mạng", bà nói. Việc lập một danh sách các nhóm hack APT và giả vờ như không có nhóm nào ở phương Tây không phải là một mô tả trung thực về thực tế. Bà Voo nói: “Đọc các báo cáo tương tự về các cuộc tấn công của tin tặc từ một phía sẽ làm tăng thêm sự thiếu hiểu biết chung. "Việc giáo dục chung cho công chúng là rất quan trọng, bởi vì về cơ bản đây là nơi mà rất nhiều căng thẳng giữa các quốc gia sẽ diễn ra trong tương lai." Và bà Voo ca ngợi chính phủ Vương quốc Anh vì
đã công bố báo cáo minh bạch đầu tiên về các hoạt động của Lực lượng Mạng Quốc gia. "Nó không siêu chi tiết nhưng nhiều hơn các nước khác," cô nói.
'Xu hướng dữ liệu'
Nhưng sự thiếu minh bạch cũng có thể bắt nguồn từ chính các công ty an ninh mạng. Ông Stone gọi đó là "sự thiên vị dữ liệu" - các công ty an ninh mạng phương Tây không nhìn thấy các vụ hack của phương Tây, bởi vì họ không có khách hàng ở các nước đối thủ. Nhưng cũng có thể có một quyết định có ý thức là bỏ ít công sức hơn vào một số cuộc điều tra. Ông Stone nói: “Tôi không nghi ngờ rằng có khả năng một số công ty có thể tung đòn và che giấu những gì họ có thể biết về một cuộc tấn công của phương Tây”. Nhưng ông ấy chưa bao giờ là thành viên của một đội cố tình kìm hãm. Các hợp đồng béo bở từ các chính phủ như Vương quốc Anh hoặc Hoa Kỳ cũng là một nguồn doanh thu chính cho nhiều công ty an ninh mạng. Như một nhà nghiên cứu an ninh mạng ở Trung Đông cho biết: "Lĩnh vực tình báo an ninh mạng được đại diện chủ yếu bởi các nhà cung cấp phương Tây và chịu ảnh hưởng lớn bởi lợi ích và nhu cầu của khách hàng". Chuyên gia yêu cầu giấu tên này là một trong số hơn chục tình nguyện viên thường xuyên đóng góp cho APT Google Sheet - một
bảng tính trực tuyến miễn phí để xem theo dõi tất cả các trường hợp hoạt động của tác nhân đe dọa đã biết, bất kể nguồn gốc của chúng. Nó có một tab dành cho các APT "Nato", với các biệt danh như Longhorn, Snowglobe và Gossip Girl, nhưng chuyên gia thừa nhận rằng nó khá trống so với các tab dành cho các khu vực và quốc gia khác.
'Ít ồn ào'
Ông nói rằng một lý do khác cho việc thiếu thông tin về các cuộc tấn công mạng của phương Tây có thể là do chúng thường lén lút hơn và ít gây ra thiệt hại tài sản thế chấp hơn. "Các quốc gia phương Tây có xu hướng tiến hành các hoạt động không gian mạng của họ một cách chính xác và chiến lược hơn, tương phản với các cuộc tấn công mạnh mẽ và rộng lớn hơn liên quan đến các quốc gia như Iran và Nga", chuyên gia này nói. "Kết quả là, các hoạt động mạng của phương Tây thường ít gây ồn ào hơn". Khía cạnh khác của việc thiếu báo cáo có thể là sự tin tưởng. Thật dễ dàng để bác bỏ các cáo buộc hack của Nga hoặc Trung Quốc vì chúng thường thiếu bằng chứng. Nhưng các chính phủ phương Tây, khi họ lớn tiếng và thường xuyên chỉ tay, hiếm khi đưa ra bất kỳ bằng chứng nào.
Nguồn: BBC