Quảng cáo tìm kiếm người viết báo cáo nghiên cứu, được đặt bởi một công ty khởi nghiệp về bảo mật internet ở tỉnh Hải Nam - đảo nhiệt đới của Trung Quốc.
Thâm nhập lĩnh vực tư
Theo cơ quan thực thi pháp luật Hoa Kỳ, công ty khởi nghiệp đó còn hơn cả những gì tưởng tượng. Hainan Xiandun Technology là một phần của mạng lưới các công ty bình phong do Bộ An ninh nhà nước bí mật của Trung Quốc kiểm soát, theo một cáo trạng liên bang từ tháng 5. Theo các công tố viên, họ đã tấn công các máy tính từ Hoa Kỳ, Campuchia đến Ả Rập Xê-út, tìm kiếm dữ liệu nhạy cảm của chính phủ cũng như các nội dung gián điệp ít rõ ràng hơn, chẳng hạn như chi tiết về hệ thống dập lửa của một công ty ở New Jersey.
Các cáo buộc dường như phản ánh một chiến dịch ngày càng quyết liệt của các tin tặc chính phủ Trung Quốc và sự thay đổi rõ rệt trong chiến thuật của họ: Cơ quan gián điệp hàng đầu của Trung Quốc đang ngày càng vươn xa hơn cấp bậc của chính mình để tuyển dụng từ một lượng lớn nhân tài trong khu vực tư nhân.
Nhóm tin tặc mới này đã làm cho cỗ máy gián điệp mạng của nhà nước Trung Quốc trở nên mạnh mẽ hơn, tinh vi hơn và - đối với loạt mục tiêu ngày càng tăng của chính phủ và khu vực tư nhân - càng trở nên nguy hiểm không thể đoán trước. Được Bắc Kinh tài trợ nhưng không nhất thiết phải được quản lý vi mô, loại tin tặc mới này tấn công các mục tiêu chính phủ cũng như các công ty tư nhân, trộn lẫn hoạt động gián điệp truyền thống với lừa đảo thuần túy và các loại tội phạm khác để thu lợi.
Cách tiếp cận mới của Trung Quốc vay mượn từ các chiến thuật của Nga và Iran, những chiến thuật đã làm khổ các mục tiêu công và thương mại trong nhiều năm.
Tin tặc Trung Quốc có liên kết với an ninh nhà nước yêu cầu tiền chuộc để họ không phát hành mã nguồn máy tính của một công ty bị tấn công, theo một cáo trạng do Bộ Tư pháp Hoa Kỳ công bố năm ngoái. Một nhóm tin tặc khác ở Tây Nam Trung Quốc đã trộn lẫn các cuộc tấn công mạng nhằm vào các nhà hoạt động dân chủ Hồng Kông với gian lận trên các trang web chơi game, một cáo trạng khác khẳng định. Một thành viên của nhóm khoe khoang về việc có sự bảo vệ chính thức, với điều kiện họ phải tránh các mục tiêu ở Trung Quốc.
“Ưu điểm là họ có thể bao phủ nhiều mục tiêu hơn, thúc đẩy sự cạnh tranh. Mặt hạn chế là mức độ kiểm soát”, Robert Potter, người đứng đầu Internet 2.0, một công ty an ninh mạng của Úc, cho biết. “Tôi đã thấy họ làm một số việc thực sự khó hiểu, chẳng hạn như cố gắng ăn cắp 70.000 đô la trong một hoạt động gián điệp”.
Các nhà điều tra tin rằng các nhóm này đã phải chịu trách nhiệm cho một số vụ vi phạm dữ liệu lớn gần đây, bao gồm các vụ tấn công nhắm vào thông tin cá nhân của 500 triệu khách tại chuỗi khách sạn Marriott, thông tin về khoảng 20 triệu nhân viên chính phủ Hoa Kỳ và năm nay là một hệ thống email của Microsoft được nhiều người sử dụng của các công ty và chính phủ lớn nhất thế giới.
Dmitri Alperovitch, Chủ tịch Silverado Policy Accelerator, một tổ chức tư vấn địa chính trị phi lợi nhuận, cho biết vụ xâm phạm Microsoft không giống như chiến lược kỷ luật trước đây của Trung Quốc.
“Họ theo đuổi các tổ chức mà họ không quan tâm và khai thác các tổ chức đó bằng ransomware và các cuộc tấn công khác”, Alperovitch nói.
Chiến thuật của Trung Quốc đã thay đổi sau khi Tập Cận Bình, nhà lãnh đạo hàng đầu của đất nước, chuyển giao trách nhiệm tấn công mạng nhiều hơn cho Bộ An ninh Nhà nước từ Quân đội Giải phóng Nhân dân sau một loạt các cuộc tấn công cẩu thả và tổ chức lại quân đội. Bộ An ninh, một sự kết hợp giữa cơ quan gián điệp và cơ quan điều tra của Đảng Cộng sản TQ, đã sử dụng các công cụ hack tinh vi hơn, như lỗi bảo mật được gọi là zero days, để nhắm mục tiêu vào các công ty, nhà hoạt động và chính phủ.
Trong khi Bộ xây dựng một hình ảnh về lòng trung thành vô hạn đối với Đảng Cộng sản ở Bắc Kinh, các hoạt động hack của bộ này có thể hoạt động giống như nhượng quyền thương mại địa phương. Các nhóm thường hành động theo các chương trình của riêng họ, đôi khi bao gồm các hoạt động bên lề trong tội phạm mạng thương mại, các chuyên gia cho biết.
“Thông điệp là: “Chúng tôi trả tiền cho bạn để làm công việc từ ngày 9 đến ngày 5 vì an ninh quốc gia của Trung Quốc. Những gì bạn làm với thời gian còn lại, với các công cụ và quyền truy cập bạn có, thực sự là công việc kinh doanh của bạn”, Alperovitch nói.
Một bản cáo trạng của bồi thẩm đoàn được công bố vào năm ngoái đã buộc tội rằng hai bạn học cũ từ một trường cao đẳng kỹ thuật điện ở Thành Đô, phía Tây Nam Trung Quốc, đã lừa đảo thông qua các máy chủ máy tính nước ngoài và lấy cắp thông tin từ những người bất đồng chính kiến và sơ đồ kỹ thuật từ một nhà thầu quốc phòng Úc. Về phía mình, cáo trạng cho biết, cả hai đã cố gắng tống tiền: đòi trả tiền để không tiết lộ mã nguồn của một công ty không xác định trên internet.
Ngày càng manh động
Dưới hệ thống này, tin tặc Trung Quốc ngày càng trở nên hung hãn. Tỷ lệ các cuộc tấn công toàn cầu liên quan đến chính phủ Trung Quốc đã tăng gần gấp ba kể từ năm ngoái so với 4 năm trước đó, theo Recorded Future, một công ty ở Somerville, Massachusetts, chuyên nghiên cứu việc sử dụng Internet của các tác nhân có liên kết với nhà nước. Con số đó hiện nay trung bình hơn 1.000 trong khoảng thời gian ba tháng, nó cho biết.
Nicholas Eftimiades, một sĩ quan tình báo Mỹ cấp cao đã nghỉ hưu, người viết về các hoạt động gián điệp của Trung Quốc, cho biết. “Xem xét khối lượng đang diễn ra, bạn không có cách nào có thể bố trí nhân viên để có thể đối phó với kiểu tấn công dữ dội này”.
Mặc dù số lượng của chúng khiến chúng khó ngăn chặn, nhưng không phải lúc nào các hacker cũng cố gắng che đậy dấu vết của chúng. Đôi khi họ để lại manh mối trực tuyến, bao gồm ảnh cưới của các đặc vụ trong bộ đồng phục an ninh nhà nước, quảng cáo việc làm kể chuyện và khoe khoang về chiến công của họ.
Hainan Xiandun được thành lập để tuyển dụng tài năng trẻ và tạo ra một vùng phủ nhận, các công tố viên cho biết. Nó đã đăng quảng cáo việc làm trên bảng tin của các trường đại học Trung Quốc và tài trợ cho một cuộc thi an ninh mạng.
Các hoạt động từ Hải Nam - một hòn đảo nhô ra Biển Đông - đôi khi phản ánh các ưu tiên của địa phương, như đánh cắp nghiên cứu biển của một trường đại học ở California và tấn công chính phủ ở các nước Đông Nam Á gần đó, theo cáo trạng hồi tháng 5. Quảng cáo tuyển dụng những người nói tiếng Campuchia được đặt ba tháng trước cuộc bầu cử ở Campuchia.
Trong khi một số mục tiêu có mục tiêu gián điệp rõ ràng, những mục tiêu khác có vẻ kém tập trung hơn. Các công tố viên cho biết, tin tặc đã cố gắng đánh cắp dữ liệu vắc-xin Ebola từ một tổ chức và bí mật về xe tự lái từ một tổ chức khác.
Lần theo dấu vết
Vào tháng 1 năm 2020, một blog bí ẩn với thành tích vạch trần tin tặc an ninh nhà nước Trung Quốc đã cho biết. Blog “Sự thật xâm nhập” đã nổi tiếng trong giới an ninh mạng ở Washington vì đã nêu đích danh các sĩ quan tình báo Trung Quốc trước khi họ xuất hiện trong các bản cáo trạng của Hoa Kỳ.
Các nhà điều hành của "Sự thật xâm nhập" đã lùng sục các bảng tuyển dụng cho các công ty Hải Nam quảng cáo cho "kỹ sư kiểm tra thâm nhập", những người bảo mật mạng bằng cách khám phá cách họ có thể bị tấn công.
Một bài đăng từ Hainan Xiandun nổi bật. Quảng cáo, trên một hội đồng tuyển dụng khoa học máy tính của Đại học Tứ Xuyên từ năm 2018, khoe rằng Xiandun đã “nhận được một số lượng đáng kể công việc kinh doanh liên quan đến bí mật của chính phủ”.
Công ty có trụ sở tại thủ phủ Haikou của Hải Nam, trả lương hàng tháng từ 1.200 đến 3.000 đô la - mức lương ổn định của tầng lớp trung lưu cho công nhân công nghệ Trung Quốc mới ra trường - với tiền thưởng lên tới 15.000 đô la. Quảng cáo của Xiandun liệt kê một địa chỉ email được sử dụng bởi các công ty khác đang tìm kiếm các chuyên gia an ninh mạng và nhà ngôn ngữ học, cho thấy họ là một phần của mạng lưới đó.
Các nhóm hack của Trung Quốc ngày càng “chia sẻ phần mềm độc hại, khai thác và phối hợp các nỗ lực của họ”, những người điều hành “Sự thật xâm nhập” đã viết trong một email. Các nhà điều hành đã không tiết lộ danh tính của họ, vì tính nhạy cảm trong công việc của họ.
Địa chỉ đăng ký của Xiandun là thư viện của Đại học Hải Nam. Số điện thoại của nó khớp với số điện thoại của một giáo sư khoa học máy tính và cựu chiến binh Quân đội Giải phóng Nhân dân, người điều hành một trang web cung cấp các khoản thanh toán cho sinh viên có ý tưởng mới về việc bẻ khóa mật khẩu. Giáo sư này đã không bị buộc tội.
Các hồ sơ và số điện thoại khác đã dẫn các tác giả blog đến một địa chỉ email và một tài khoản khách hàng thường xuyên thuộc sở hữu của Ding Xiaoyang, một trong những người quản lý của công ty.
Bản cáo trạng khẳng định rằng Ding là một nhân viên an ninh nhà nước, người điều hành nhóm tin tặc làm việc tại Hainan Xiandun. Nó bao gồm các chi tiết mà blog không tìm thấy, như một giải thưởng mà Ding nhận được từ Bộ An ninh Nhà nước cho các lãnh đạo trẻ trong tổ chức.
Japan Times cho biết không thể liên lạc được với Ding và những người khác có tên trong bản cáo trạng.
Matthew Brazil, cựu chuyên gia về Trung Quốc của Văn phòng Thực thi Xuất khẩu của Bộ Thương mại, người đã đồng viết một nghiên cứu về hoạt động gián điệp của Trung Quốc, cho biết mặc dù có thể theo dõi được ngay bây giờ, nhưng bộ máy an ninh nhà nước của Trung Quốc có thể đang học cách che giấu dấu vết của mình tốt hơn.
Ông nói: “Khả năng của các dịch vụ Trung Quốc không đồng đều. Trò chơi của họ đang trở nên tốt hơn và trong 5 hoặc 10 năm nữa, đó sẽ là một câu chuyện khác".