Hacker Trung Quốc - thế lực ngầm bí ẩn

Gần một năm sau khi cuộc biểu tình đường phố đòi dân chủ tại Hong Kong diễn ra, những sinh viên vốn là thành phần khởi xướng lại phải đối diện với một cuộc chiến mới không kém phần khốc liệt. Đó là những đợt tấn công mạng do tin tặc Trung Quốc thực hiện với kỹ thuật “hiếm gặp” và ngày một tinh vi.

 

Trung Quốc được cho là đang tăng cường hoạt động do thám mạng.

Hacker đã mở rộng phạm vi hoạt động bằng cách xâm nhập vào các dịch vụ chia sẻ file phổ biến, bao gồm Dropbox và Google Drive để cài cắm phần mềm gián điệp. Vì đây là những sản phẩm thuộc hai hãng công nghệ hàng đầu hiện nay nên nạn nhân ít đề phòng khi tải file về.

Tin tặc còn sử dụng chiến thuật tinh vi hơn, là chỉ lây nhiễm malware vào một số đối tượng cụ thể được gọi là “white list”. Chỉ những người trong danh sách đó mới bị nhiễm mã độc khi truy cập vào website chúng tấn công.

Các chuyên gia bảo mật tiết lộ, kỹ thuật này vốn chỉ được sử dụng bởi các hacker Trung Quốc và Nga, dùng trong hoạt động theo dõi và đánh cắp thông tin.

Mức độ tấn công mạng cho thấy sự quan tâm đặc biệt của Trung Quốc tới Hong Kong, nơi đã diễn ra cuộc biểu tình kéo dài 79 ngày hồi năm ngoái khiến cho trung tâm tài chính lớn này lâm vào thế bế tắc. Nó cũng phần nào diễn tả tình hình bất ổn chính trị ở khu vực ngoài lục địa Trung Quốc.

Ông Lâm Trác Đình, lãnh đạo Đảng Dân chủ tại Hong Kong tố cáo Bắc Kinh đứng đằng sau các vụ tấn công mạng, trong đó có website của Đảng này và email các thành viên.

Công ty bảo mật FireEye của Mỹ nhận định, Bắc Kinh nhắm tới dịch vụ Dropbox để biết rõ thời gian, địa điểm các cuộc biểu tình sắp diễn ra và thu thập thông tin nhóm lãnh đạo. FireEye cũng ghi nhận nhiều trường hợp khách hàng của họ tại Hong Kong và Đài Loan bị tấn công bởi những hacker chuyên nghiệp, tăng đột biến vào nửa cuối năm ngoái.

Văn phòng liên lạc của Chính phủ Trung ương Trung Quốc tại Hong Kong không đưa ra bất kỳ lời bình luận nào về những nhận định trên. Nhưng trước đó, Trung Quốc đã nhiều lần bác bỏ mọi cáo buộc liên quan tới các vụ tấn công, cho rằng đó đều là những lập luận thiếu căn cứ và họ cũng “chỉ là nạn nhân”.

Cảnh sát Hong Kong cho hay, Cục phòng chống tội phạm công nghệ và an ninh mạng của họ đang phối hợp với các cơ quan thực thi pháp luật khác nhằm đấu tranh chống tội phạm xuyên quốc gia. Mặc dù vậy, giới chức tại đây không trả lời câu hỏi liệu có bao nhiêu thông tin đã được chia sẻ với chính quyền Trung ương Trung Quốc.

Thủ đoạn mới tinh vi hơn

 

Hoạt động đòi dân chủ diễn ra tại Hong Kong hồi tháng 10 năm ngoái.

Hiện tại, có khá nhiều nhóm thách thức sức mạnh của chính quyền Bắc Kinh như người Duy Ngô Nhĩ, người Tây Tạng, một số nhà bất đồng chính kiến ở Đài Loan, các nhà hoạt động ở Hong Kong, các học giả và truyền thông quốc tế. Những người này dần am hiểu chiến thuật và từng bước cảnh giác hơn với hoạt động tin tặc.

Citizeb Lab, tổ chức nghiên cứu tại Canada đã làm việc với người Tây Tạng và nhiều tổ tức khác từng cho biết, khi các nhóm lưu vong Tây Tạng cảnh giác hơn và ngừng click vào file đính kèm qua email để tránh trở thành nạn nhân, tin tặc liền chuyển qua hình thức phát tán phần mềm độc hại bằng Google Drive. Chúng nghĩ nạn nhân sẽ dễ dàng “sập bẫy” bởi luôn yên tâm và tin tưởng những dịch vụ như thế.

Gần đây, hacker cũng sử dụng Dropbox để lây nhiễm mã độc cho các nhà báo có tiếng nói ủng hộ dân chủ ở Hong Kong. Hãng bảo mật FireEye đã ghi nhận nhiều cuộc tấn công như thế.

Thích ứng với tình hình

 

Tờ báo Apple Daily cũng hứng chịu nhiều cuộc tấn công mạng.

Trong nỗ lực nhằm bảo vệ mình trước hoạt động ngày càng tinh vi của tin tặc, các nhà hoạt động dân chủ và nhiều thành phần khác đã chuyển sang dùng smartphone đi kèm với đủ loại SIM. Họ cài đặt thêm ứng dụng tự động xóa tin nhắn, trạng thái cập nhật và dùng hình thức từ khóa để tạo cuộc họp kín. Nếu nhận thấy bất kỳ dấu hiệu khả nghi nào, họ sẽ tự rời cuộc trò chuyện nhóm.

Derek Lam, sinh viên thuộc phong trào Học dân tư triều, nhóm hoạt động tại Hong Kong từng tổ chức các cuộc biểu tình cho biết: “Nếu muốn trao đổi, chúng tôi sẽ dùng một số tín hiệu riêng. Đó là vài từ mà nếu tôi nói một số từ lạ, điều đó ám chỉ rằng chúng tôi cần nói chuyện bí mật”.

Benny Tai, giáo sư luật và cũng là một trong ba người sáng lập phong trào “Chiếm lĩnh Trung tâm” ở Hong Kong đã có cách bảo vệ cho riêng mình. Ông lưu trữ dữ liệu cá nhân như tên tuổi, địa chỉ email hay số điện thoại trên một ổ cứng ngoài và chỉ truy cập máy tính không có Internet.

Hãng truyền thông thiên hướng ủng hộ dân chủ Apple Daily nói rằng, họ là nạn nhân thường xuyên bị tin tặc “ghé thăm” với tần suất khoảng một tuần một lần. Chính vì thế, hãng đang thắt chặt bảo mật an ninh mạng và chuyển sang hình thức giao tiếp truyền thống, như việc dùng người đưa thư để trao đổi với luật sư hoặc gặp trực tiếp, thay vì dùng email.

Năm ngoái, FireEye đã tìm hiểu các cuộc tấn công từ chối dịch vụ (DDoS) nhắm vào Apple Daily và nhận thấy rõ tính chuyên nghiệp cũng như tổ chức chặt chẽ của nhóm tin tặc, qua đó kết luận rằng, phải có cả một đội quân hùng hậu đứng phía sau. Hãng bảo mật này tin đó là chính phủ Trung Quốc với nhiều động cơ chính trị liên quan.

Tình hình ngày một phức tạp

 

Sẽ còn nhiều hoạt động do thám nữa diễn ra trong thời gian tới.

Steven Adair, đồng sáng lập hãng bảo mật Volexity có trụ sở tại Mỹ cho biết, loại mã ẩn được cài cắm trên các website ủng hộ dân chủ tại Hong Kong hồi năm ngoái rất giống với loại từng được một nhóm tin tặc trước đó sử dụng, mà hãng này tin rằng do Trung Quốc hậu thuẫn.

Ông cho biết, chiến thuật như vậy cũng thường được nhìn thấy từ các hacker đến từ Nga nhắm vào mục tiêu cụ thể và thực hiện rất kín kẽ. “Đó là bước tiến thực sự trong hoạt động tấn công nhắm mục tiêu”, Adair nói.

Hong Kong sẽ bước vào kỳ bầu cử Đặc khu trưởng vào năm 2017. Nhưng từ giờ cho tới thời điểm đó, chắc chắn sẽ còn nhiều đợt tấn công mới nhắm vào các đối tượng bất đồng. Theo thông tin từ Đảng Dân chủ và các bản ghi của Google đăng tải trên Reuters, ít nhất 20 tài khoản thuộc sở hữu của các thành viên thuộc đảng này đã bị xâm nhập.

Từ giữa tháng 4 tới tháng 6, nhiều tài khoản bị hack đã chuyển tất cả email về địa chỉ lovechina8964@gmail.com. Theo kiểm tra, chuyên gia công nghệ của đảng Dân chủ Hong Kong đã tìm thấy nhiều dải IP mà hacker sử dụng có nguồn gốc từ Trung Quốc.