Hackers Nga tấn công Bà Clinton và Đảng Dân Chủ
Cũng chẳng đến nỗi phải mất công gì lắm đối với các nhóm hacker người Nga để tấn công phá hoại Bà Hillary Clinton, Ứng viên Tổng Thống của Đảng Dân Chủ, và Đảng Dân Chủ. Thực ra, chuyện đó cũng dễ như là chuyện ăn cắp vài cái passwords.
Cozy Bear là tên của nhóm hacker người Nga lần đầu tiên xâm nhập vô hệ thống điện toán của Ủy ban Quốc gia Đảng Dân Chủ Hoa Kỳ, Democratic National Committee (từ nay xin viết tắt là DNC), vào mùa hè năm 2015.
Hackers của Cozy Bear đã có thể tiến vào được bên trong hệ thống mạng của DNC vì họ đã khai thác được "lỗ hổng" trong hệ thống - một điều vẫn được biết đến trong giới computer là "back door". Cánh cửa hậu back door này thực ra chỉ là một phương cách được dùng bởi viên quản lý hệ thống (administrator), hoặc hacker, để vượt qua các hàng rào an ninh phòng thủ của hệ thống mạng. Có những "back doors" được hữu ý dựng ra, nhưng trong trường hợp này Cozy Bear đã đem "back door" từ bên ngoài cài vô máy chính (server) của DNC.
Một khi đã vào tới bên trong hệ thống mạng của DNC, thì Cozy Bear coi như đã hoàn toàn nắm giữ được trọn vẹn những gì sâu thẳm nhất, tối mật nhất của DNC.
Đến tháng Tư 2016, DNC lại bị đột kích, nhưng lần này bởi một nhóm hacker khác, cũng của người Nga, được biết đến qua tên Fancy Bear. Chiến thuật tấn kích của nhóm này cũng khác với của nhóm Cozy Bear. Thay vì dùng "back door", Fancy Bear sử dụng một malware có tên là "X Agent" để xâm nhập vào máy chính.
X Agents thu thập và chuyển các tin tức đi từ những iPhones và rồi gửi những tin tức này đến hacker qua một cuộc tấn công mang tên "spear phishing attack". Thực ra, spear phishing là một cách gài bẫy rất đơn giản để lừa người khác tiết lộ các tin tức cần bảo mật, (thí dụ như passwords), cách này thông thường được thực hiện qua một email giả mạo xuất phát từ một nguồn gốc đáng tin cậy.
Còn loại malware X Agent được dùng bởi Fancy Bear để bẻ khóa của hệ thống an ninh phòng thủ của DNC thì tinh vi hơn nhiều. Với X Agent này, hackers có thể gửi những mệnh lệnh từ xa đến hệ thống của DNC, ghi nhận được hết những gì được gõ xuống bàn phím và chuyển tất cả những tin tức này ngược về máy chính của Fancy Bear nằm tại nơi xa. Fancy Bear còn gài thêm được một program để xóa bỏ mọi dấu tích của nó trong hệ thống.
Lần đầu tiên nhân viên của DNC tìm ra dấu tích bị xâm nhập là vào tháng Sáu, khoảng cùng thời gian khi những nghiên cứu của DNC về ông Donald Trump, ứng cử viên của Đảng Cộng Hòa, bị lộ ra. Chẳng bao lâu sau DNC khám phá ra là họ đã bị hacked. Nhưng đến lúc đó thì đã quá muộn.
DNC lập tức mướn công ty an ninh mạng (cyber security) tên là Crowdstrike để điều tra. Crowdstrike gửi tới toán Đặc nhiệm (Incident Response) để xem xét các "vũ khí" (tools), chiến thuật và nơi xuất phát của hackers và họ nhanh chóng nhận ra là đang phải đối đầu với kẻ cựu thù.
"Gửi tới toán Đặc nhiệm trang bị các kỹ thuật cao, lập tức chúng tôi đã nhận diện được ngay hai kẻ đối đầu có tầm vóc, đó là Cozy Bear và Fancy Bear," Dmitri Alperovitch cho biết.
Anh chàng Dmitri Alperovitch này là người cùng sáng lập (co-founder) và cũng là CTO (Chief Technology Officer) của công ty Crowdstrike. Anh nói tiếp "Chúng tôi đã có rất nhiều kinh nghiệm đối phó với những nhân sự này vốn đã tấn công nhiều khách hàng của chúng tôi trong quá khứ và chúng tôi biết họ rất rành." [Ghi chú của TT: Dmitri Alperovitch cũng sinh ra tại Nga.]
Nhóm hacker Cozy Bear, còn được biết đến qua tên CozyDuke hay APT 29, trước đây đã từng hacked Tòa Bạch Ốc, Bộ Ngoại Giao Hoa Kỳ và Bộ Tổng Tham Mưu (Joint Chiefs of Staff). Cozy Bear cũng thường xuyên nhắm tới những cơ quan hay tổ chức không trực thuộc chính phủ trong nhiều khu vực, từ kỹ nghệ quốc phòng sang qua tới các đại học. Nhóm hacker này thiện nghệ trong những chiến dịch "spear phishing" để đánh lừa người bị gạt cài xuống (download) máy của họ các malware phức tạp để các hackers có thể xâm nhập computer hay các máy chính.
Công ty Crowdstrike tin là Cozy Bear có những mối liên hệ với Cơ quan An ninh Liên bang Nga (FSB: Russian Federalnaya Sluzhba Bezopasnosti), hậu thân của KGB, nhưng dù vậy Crowdstrike cũng không hoàn toàn chắc chắn về nguồn gốc của Cozy Bear.
Còn nhóm Fancy Bear, cũng được biết đến qua tên Sofacy hay APT 28, đã hoạt động từ giữa thập niên 2000s. Crowdstrike tin là nhóm này có dính tới GRU, tình báo quân đội Nga.
Tuy thế, Fancy Bear hoạt động hoàn toàn biệt lập với Cozy Bear. Thực sự thì theo Alperovitch, nhân viên của Crowdstrike cũng không tìm được bằng chứng là hai nhóm này có những hoạt động phối hợp chung. Xem ra hai nhóm Fancy Bear và Cozy Bear cũng không biết là cả hai đã vào được bên trong hệ thống của DNC cùng một lúc.
Nhìn sơ thì thấy có vẻ là một điều quái lạ khi Nga có hai nhóm hacker hoạt động biệt lập với nhau. Nhưng thực ra đó là một chiến lược được hoạch định theo đúng bài bản (trade craft) của tình báo Nga trong việc song hành sử dụng các cơ quan tình báo chạy đua với nhau.
Trong khi mục tiêu của Fancy Bear cũng tương tự như của Cozy Bear, thì chiến thuật của hai nhóm này khác nhau. Fancy Bear chuyên nhắm vào việc đăng ký ghi danh các tên domain của các website (website domain names) mà các tên này gần gần giống như tên của các website nổi tiếng. Rồi Fancy Bear gửi ra các emails loại "spear phishing" để dẫn dụ người dùng đánh máy vô các tin tức "nhậy cảm" như password vào trong các website giả mạo, để từ đó Fancy Bear đánh cắp được các tin tức này và có thể tiến vào bên trong các trương mục online. Đây cũng chính là cách mà Fancy Bear đưa ra để gài bẫy để lấy được tên người dùng và password của trương mục email của ông John Podesta, Chủ tịch Ủy ban Vận động Tranh cử của Bà Clinton.
Một công ty an ninh mạng khác, tên Threat Connect, cũng theo dõi chiến dịch "spear phishing" của Fancy Bear. Họ đã bắt quả tang nhóm này đang sử dụng phương cách y hệt như đã dùng với ông Podesta để gài bẫy nhắm vào nhóm Bellingcat, gồm toàn các phóng viên chuyên đi điều tra.
Các thành viên của nhóm phóng viên này, Eliot Higgins, Aric Toler and Veli-Peki Kivimaki, là mục tiêu của những emails "spear phishing" từ tháng Hai 2015 đến tháng Bẩy 2016. Đây là nhóm phóng viên nổi tiếng qua việc điều tra của họ đã phanh phui ra những nhóm có liên hệ với Nga trong việc bắn hạ chuyến bay MH17 trên không phận Ukraine. Việc này đã làm cho Nga và những thành phần thân Kremlin nổi giận.
Fancy Bear đã âm mưu ăn cắp tin tức của những trương mục của nhóm phóng viên Bellingcat bằng cách gửi tới họ những emails giả mạo trong đó có những thông báo của Gmail về an ninh của trương mục, và muốn lừa họ để click vào các links do Fancy Bear cung cấp trong email giả mạo.
Email giả mạo mà Fancy Bear đã gửi tới Bellingcat. Source: courtesy of Threat Connect.
Email giả mạo đó trông giống như email thật, nhưng các links kèm theo thì rất khác lạ. Các online links này được dịch vụ của công ty Bitly cắt ngắn để làm gọn lại, một điều mà Google không thường sử dụng trong các thư từ chính thức.
Email giả mạo mà Fancy Bear đã gửi tới Bellingcat. Source: courtesy of Threat Connect.
Nhóm Fancy Bear thường xuyên sử dụng Bitly trong các cuộc tấn công lừa đảo, kể cả trong vụ hacking DNC. Công ty an ninh mạng Secure Works đã điều tra và họ truy từ các links gửi tới nhân viên của DNC mò ngược về hồ sơ lưu giữ tin tức của Bitly. Và họ đã tìm thấy chính nhóm hacker Fancy Bear là chủ của những hồ sơ này.
Trong vụ hacking nhắm vào Bà Clinton và Đảng Dân Chủ, mặc dù những chứng cớ tìm được đều quy về Fancy Bear và Cozy Bear, nhưng lại có một hacker mang danh hiệu Guccifer 2.0 tuyên bố nhận là những chuyện đó là do “anh ta” thực hiện.
Bị chạm tự ái vì sự lượng định của Crowdstrike hoàn toàn nói về Fancy và Cozy Bear, cho nên Guccifer 2.0 tuyên bố là chàng ta là người duy nhất chịu trách nhiệm về việc bẻ khóa len lỏi vào hệ thống của DNC trong tháng Sáu. Rồi "người hùng" này bắt đầu công bố các tài liệu đánh cắp được.
Cuộc tấn công gây tổn hại nhất của Guccifer 2.0 xẩy ra vào ngày 22 tháng Bẩy, khi WikiLeaks công bố gần 22,000 emails của DNC. Trong số các email này có những emails cho thấy có sự thông đồng nhằm chống lại Thượng Nghị Sĩ Bernie Sanders, cựu Úng viên Tổng Thống của Đảng Dân Chủ, và việc này đã khiến Chủ tịch của DNC là Dân Biểu Debbie Wasserman Schultz phải từ chức.
WikiLeaks cho biết là Guccifer 2.0 đã cung cấp các emails đó. Tuy nhiên, có nhiều phần là Guccifer 2.0 cũng không hề hiện hữu.
Thực vậy, công ty an ninh mạng Threat Connect tin rằng "nhân vật" mang tên Guccifer 2.0 không phải là ai khác hơn là cái loa phát ngôn (mouthpiece) của Fancy Bear và được dùng để loan truyền các tin tức đánh cắp được. Công ty Threat Connect đi đến nhận định như trên vì họ căn cứ trên những lời phát biểu bất nhất của Guccifer 2.0 về phần lý lịch.
Công ty an ninh mạng này cũng tin rằng DC Leaks, một website được coi như vùng hoạt động của hackers Mỹ, là nơi đã tiết lộ nội dung các emails của ông Podesta, Chủ tịch Ủy ban Vận động Tranh cử của Bà Clinton, chẳng qua chỉ là tấm bình phong phía trước của nhóm hacker người Nga có tên là Fancy Bear.
Theo Kyle Ehmke, một nhà phân tích (senior analyst) làm việc cho Threat Connect: "Thì địa chỉ domain của DC Leaks website đã được đăng ký tại một văn phòng sổ bộ nhỏ (small registrar) hoạt động bên ngoài Romania. Được biết tới như là THC servers (các máy điện toán chính), nơi đó trước đây cũng được dùng để đăng ký các domains mà Fancy Bear sử dụng."
Ehmke cũng lưu ý là, giống như trường hợp của nhân vật Guccifer 2.0, có những sự mâu thuẫn về DC Leaks qua những gì họ cho biết. Đặc biệt là trong các phần hồ sơ (web profiles) của họ ghi chú về các "mục tiêu", họ đã dùng những ngôn ngữ được trực tiếp trích ra từ Wikipedia, một điều thường thấy nơi các nhóm mà Anh văn không phải là ngôn ngữ chính của họ. Theo Ehmke, căn cứ trên khả năng Anh ngữ của nhóm này và việc sử dụng các công ty bên Âu Châu mà ít có người biết đến, thì việc DC Leaks tự cho là có gốc bên Mỹ là một việc đáng nghi ngờ.
Những nhóm hacker này và các thành phần "phát ngôn nhân" xuất đầu lộ diện để phát tán các tin đánh cắp này hoạt động cũng giống như phương pháp dây chuyền. Theo đó Fancy Bear và Cozy Bear đứng phía sau chuyên lo việc hacking và các thành phần "phát ngôn" khác lo phân phối "kết quả". Trong các "phát ngôn nhân" này, có thành phần trực tiếp làm việc cho các nhóm hacker này, như Guccifer 2.0 và DC Leaks, trong khi các thành phần khác như WikiLeaks thì lại là đồng minh tiện lợi mà họ có thể lợi dụng được.
Ngay lúc bài báo này được viết (bởi phóng viên Russ Read, ngày 30/10/2016), DC Leaks đã công bố 21 loạt (batch) emails của ông Podesta, và không có dấu hiệu nào cho thấy việc này sẽ chậm lại trong thời gian sắp tới. Trước sự tinh vi phức tạp của các nhóm hacker người Nga này và mối liên hệ Nga-Mỹ càng ngày càng trở nên tồi tệ, thì triển vọng của việc hacking này sẽ là: Vẫn cứ được tiếp tục.
Post a Comment