01/11/201611:36:00
(Meet
The Russian Hacking Groups That Fooled Clinton And The Democrats)
Tác
giả: Russ Read - Pentagon/Foreign Policy Reporter; The Daily Caller News
Foundation
Thy
Trang chuyển ngữ
Cũng
chẳng đến nỗi phải mất công gì lắm đối với các nhóm hacker người Nga để tấn
công phá hoại Bà Hillary Clinton, Ứng viên Tổng Thống của Đảng Dân Chủ, và Đảng
Dân Chủ. Thực ra, chuyện đó cũng dễ như là chuyện ăn cắp vài cái passwords.
Cozy
Bear là tên của nhóm hacker người Nga lần đầu tiên xâm nhập vô hệ thống điện
toán của Ủy ban Quốc gia Đảng Dân Chủ Hoa Kỳ, Democratic National Committee (từ
nay xin viết tắt là DNC), vào mùa hè năm 2015.
Hackers
của Cozy Bear đã có thể tiến vào được bên trong hệ thống mạng của DNC vì họ đã
khai thác được "lỗ hổng" trong hệ thống - một điều vẫn được biết đến
trong giới computer là "back door". Cánh cửa hậu back door này
thực ra chỉ là một phương cách được dùng bởi viên quản lý hệ thống
(administrator), hoặc hacker, để vượt qua các hàng rào an ninh phòng thủ của hệ
thống mạng. Có những "back doors" được hữu ý dựng ra, nhưng
trong trường hợp này Cozy Bear đã đem "back door" từ bên ngoài cài vô
máy chính (server) của DNC.
Một
khi đã vào tới bên trong hệ thống mạng của DNC, thì Cozy Bear coi như đã hoàn
toàn nắm giữ được trọn vẹn những gì sâu thẳm nhất, tối mật nhất của DNC.
Đến
tháng Tư 2016, DNC lại bị đột kích, nhưng lần này bởi một nhóm hacker khác,
cũng của người Nga, được biết đến qua tên Fancy Bear. Chiến thuật tấn
kích của nhóm này cũng khác với của nhóm Cozy Bear. Thay vì dùng "back
door", Fancy Bear sử dụng một malware có tên là "X Agent" để xâm
nhập vào máy chính.
X
Agents thu thập và chuyển các tin tức đi từ những iPhones và rồi gửi những tin
tức này đến hacker qua một cuộc tấn công mang tên "spear phishing
attack". Thực ra, spear phishing là một cách gài bẫy rất đơn giản để
lừa người khác tiết lộ các tin tức cần bảo mật, (thí dụ như passwords), cách
này thông thường được thực hiện qua một email giả mạo xuất phát từ một nguồn gốc
đáng tin cậy.
Còn
loại malware X Agent được dùng bởi Fancy Bear để bẻ khóa của hệ thống an ninh
phòng thủ của DNC thì tinh vi hơn nhiều. Với X Agent này, hackers có thể
gửi những mệnh lệnh từ xa đến hệ thống của DNC, ghi nhận được hết những gì được
gõ xuống bàn phím và chuyển tất cả những tin tức này ngược về máy chính của
Fancy Bear nằm tại nơi xa. Fancy Bear còn gài thêm được một program để xóa bỏ mọi
dấu tích của nó trong hệ thống.
Lần
đầu tiên nhân viên của DNC tìm ra dấu tích bị xâm nhập là vào tháng Sáu, khoảng
cùng thời gian khi những nghiên cứu của DNC về ông Donald Trump, Ứng cử viên của
Đảng Cộng Hòa, bị lộ ra. Chẳng bao lâu sau DNC khám phá ra là họ đã bị
hacked. Nhưng đến lúc đó thì đã quá muộn.
DNC
lập tức mướn công ty an ninh mạng (cyber security) tên là Crowdstrike để điều
tra. Crowdstrike gửi tới toán Đặc nhiệm (Incident Response) để xem xét các
"vũ khí" (tools), chiến thuật và nơi xuất phát của hackers và họ
nhanh chóng nhận ra là đang phải đối đầu với kẻ cựu thù.
"Gửi
tới toán Đặc nhiệm trang bị các kỹ thuật cao, lập tức chúng tôi đã nhận diện được
ngay hai kẻ đối đầu có tầm vóc, đó là Cozy Bear và Fancy Bear," Dmitri
Alperovitch cho biết.
Anh
chàng Dmitri Alperovitch này là người cùng sáng lập (co-founder) và cũng là CTO
(Chief Technology Officer) của công ty Crowdstrike. Anh nói tiếp
"Chúng tôi đã có rất nhiều kinh nghiệm đối phó với những nhân sự này vốn
đã tấn công nhiều khách hàng của chúng tôi trong quá khứ và chúng tôi biết họ rất
rành." [Ghi chú của TT: Dmitri Alperovitch cũng sinh ra tại
Nga.]
Nhóm
hacker Cozy Bear, còn được biết đến qua tên CozyDuke hay APT 29, trước đây đã từng
hacked Tòa Bạch Ốc, Bộ Ngoại Giao Hoa Kỳ và Bộ Tổng Tham Mưu (Joint Chiefs of
Staff). Cozy Bear cũng thường xuyên nhắm tới những cơ quan hay tổ chức không trực
thuộc chính phủ trong nhiều khu vực, từ kỹ nghệ quốc phòng sang qua tới các đại
học. Nhóm hacker này thiện nghệ trong những chiến dịch "spear
phishing" để đánh lừa người bị gạt cài xuống (download) máy của họ các
malware phức tạp để các hackers có thể xâm nhập computer hay các máy chính.
Công
ty Crowdstrike tin là Cozy Bear có những mối liên hệ với Cơ quan An ninh Liên
bang Nga (FSB: Russian Federalnaya Sluzhba Bezopasnosti), hậu thân của KGB,
nhưng dù vậy Crowdstrike cũng không hoàn toàn chắc chắn về nguồn gốc của Cozy
Bear.
Còn
nhóm Fancy Bear, cũng được biết đến qua tên Sofacy hay APT 28, đã hoạt động từ
giữa thập niên 2000s. Crowdstrike tin là nhóm này có dính tới GRU, tình báo
quân đội Nga.
Tuy
thế, Fancy Bear hoạt động hoàn toàn biệt lập với Cozy Bear. Thực sự thì theo
Alperovitch, nhân viên của Crowdstrike cũng không tìm được bằng chứng là hai
nhóm này có những hoạt động phối hợp chung. Xem ra hai nhóm Fancy Bear và Cozy
Bear cũng không biết là cả hai đã vào được bên trong hệ thống của DNC cùng một
lúc.
Nhìn
sơ thì thấy có vẻ là một điều quái lạ khi Nga có hai nhóm hacker hoạt động biệt
lập với nhau. Nhưng thực ra đó là một chiến lược được hoạch định theo đúng bài
bản (trade craft) của tình báo Nga trong việc song hành sử dụng các cơ quan
tình báo chạy đua với nhau.
Trong
khi mục tiêu của Fancy Bear cũng tương tự như của Cozy Bear, thì chiến thuật của
hai nhóm này khác nhau. Fancy Bear chuyên nhắm vào việc đăng ký ghi danh các
tên domain của các website (website domain names) mà các tên này gần gần giống
như tên của các website nổi tiếng. Rồi Fancy Bear gửi ra các emails loại
"spear phishing" để dẫn dụ người dùng đánh máy vô các tin tức
"nhậy cảm" như password vào trong các website giả mạo, để từ đó Fancy
Bear đánh cắp được các tin tức này và có thể tiến vào bên trong các trương mục
online. Đây cũng chính là cách mà Fancy Bear đưa ra để gài bẫy để lấy được
tên người dùng và password của trương mục email của ông John Podesta, Chủ tịch Ủy
ban Vận động Tranh cử của Bà Clinton.
Một
công ty an ninh mạng khác, tên Threat Connect, cũng theo dõi chiến dịch
"spear phishing" của Fancy Bear. Họ đã bắt quả tang nhóm này
đang sử dụng phương cách y hệt như đã dùng với ông Podesta để gài bẫy nhắm vào
nhóm Bellingcat, gồm toàn các phóng viên chuyên đi điều tra.
Các
thành viên của nhóm phóng viên này, Eliot Higgins, Aric Toler and Veli-Peki
Kivimaki, là mục tiêu của những emails "spear phishing" từ
tháng Hai 2015 đến tháng Bẩy 2016. Đây là nhóm phóng viên nổi tiếng qua việc điều
tra của họ đã phanh phui ra những nhóm có liên hệ với Nga trong việc bắn hạ
chuyến bay MH17 trên không phận Ukraine. Việc này đã làm cho Nga và những thành
phần thân Kremlin nổi giận.
Fancy
Bear đã âm mưu ăn cắp tin tức của những trương mục của nhóm phóng viên
Bellingcat bằng cách gửi tới họ những emails giả mạo trong đó có những thông
báo của Gmail về an ninh của trương mục, và muốn lừa họ để click vào các links
do Fancy Bear cung cấp trong email giả mạo.
Email
giả mạo đó trông giống như email thật, nhưng các links kèm theo thì rất khác lạ.
Các online links này được dịch vụ của công ty Bitly cắt ngắn để làm gọn lại, một
điều mà Google không thường sử dụng trong các thư từ chính thức.
Nhóm
Fancy Bear thường xuyên sử dụng Bitly trong các cuộc tấn công lừa đảo, kể cả
trong vụ hacking DNC. Công ty an ninh mạng Secure Works đã điều tra và họ truy
từ các links gửi tới nhân viên của DNC mò ngược về hồ sơ lưu giữ tin tức của
Bitly. Và họ đã tìm thấy chính nhóm hacker Fancy Bear là chủ của những hồ sơ này.
Trong
vụ hacking nhắm vào Bà Clinton và Đảng Dân Chủ, mặc dù những chứng cớ tìm được
đều quy về Fancy Bear và Cozy Bear, nhưng lại có một hacker mang danh hiệu
Guccifer 2.0 tuyên bố nhận là những chuyện đó là do “anh ta” thực hiện.
Bị
chạm tự ái vì sự lượng định của Crowdstrike hoàn toàn nói về Fancy và Cozy
Bear, cho nên Guccifer 2.0 tuyên bố là chàng ta là người duy nhất chịu trách
nhiệm về việc bẻ khóa len lỏi vào hệ thống của DNC trong tháng Sáu. Rồi
"người hùng" này bắt đầu công bố các tài liệu đánh cắp được.
Cuộc
tấn công gây tổn hại nhất của Guccifer 2.0 xẩy ra vào ngày 22 tháng Bẩy, khi
WikiLeaks công bố gần 22,000 emails của DNC. Trong số các email này có những
emails cho thấy có sự thông đồng nhằm chống lại Thượng Nghị Sĩ Bernie Sanders,
cựu Úng viên Tổng Thống của Đảng Dân Chủ, và việc này đã khiến Chủ tịch của DNC
là Dân Biểu Debbie Wasserman Schultz phải từ chức.
WikiLeaks
cho biết là Guccifer 2.0 đã cung cấp các emails đó. Tuy nhiên, có nhiều phần là
Guccifer 2.0 cũng không hề hiện hữu.
Thực
vậy, công ty an ninh mạng Threat Connect tin rằng "nhân vật" mang tên
Guccifer 2.0 không phải là ai khác hơn là cái loa phát ngôn (mouthpiece) của
Fancy Bear và được dùng để loan truyền các tin tức đánh cắp được. Công ty
Threat Connect đi đến nhận định như trên vì họ căn cứ trên những lời phát biểu
bất nhất của Guccifer 2.0 về phần lý lịch.
Công
ty an ninh mạng này cũng tin rằng DC Leaks, một website được coi như vùng hoạt
động của hackers Mỹ, là nơi đã tiết lộ nội dung các emails của ông Podesta, Chủ
tịch Ủy ban Vận động Tranh cử của Bà Clinton, chẳng qua chỉ là tấm bình phong
phía trước của nhóm hacker người Nga có tên là Fancy Bear.
Theo
Kyle Ehmke, một nhà phân tích (senior analyst) làm việc cho Threat Connect:
"Thì địa chỉ domain của DC Leaks website đã được đăng ký tại một văn phòng
sổ bộ nhỏ (small registrar) hoạt động bên ngoài Romania. Được biết tới như là
THC servers (các máy điện toán chính), nơi đó trước đây cũng được dùng để đăng
ký các domains mà Fancy Bear sử dụng."
Ehmke
cũng lưu ý là, giống như trường hợp của nhân vật Guccifer 2.0, có những sự mâu
thuẫn về DC Leaks qua những gì họ cho biết. Đặc biệt là trong
các phần hồ sơ (web profiles) của họ ghi chú về các "mục tiêu", họ đã
dùng những ngôn ngữ được trực tiếp trích ra từ Wikipedia, một điều thường thấy
nơi các nhóm mà Anh văn không phải là ngôn ngữ chính của họ. Theo Ehmke, căn cứ
trên khả năng Anh ngữ của nhóm này và việc sử dụng các công ty bên Âu Châu mà
ít có người biết đến, thì việc DC Leaks tự cho là có gốc bên Mỹ là một việc
đáng nghi ngờ.
Những
nhóm hacker này và các thành phần "phát ngôn nhân" xuất đầu lộ diện để
phát tán các tin đánh cắp này hoạt động cũng giống như phương pháp dây chuyền.
Theo đó Fancy Bear và Cozy Bear đứng phía sau chuyên lo việc hacking và các
thành phần "phát ngôn" khác lo phân phối "kết quả".
Trong các "phát ngôn nhân" này, có thành phần trực tiếp làm việc cho
các nhóm hacker này, như Guccifer 2.0 và DC Leaks, trong khi các thành phần
khác như WikiLeaks thì lại là đồng minh tiện lợi mà họ có thể lợi dụng được.
Ngay
lúc bài báo này được viết (bởi phóng viên Russ Read, ngày 30/10/2016), DC Leaks
đã công bố 21 loạt (batch) emails của ông Podesta, và không có dấu hiệu nào cho
thấy việc này sẽ chậm lại trong thời gian sắp tới. Trước sự tinh vi phức
tạp của các nhóm hacker người Nga này và mối liên hệ Nga-Mỹ càng ngày càng trở
nên tồi tệ, thì triển vọng của việc hacking này sẽ là: Vẫn cứ được tiếp tục.
Thy
Trang chuyển ngữ
Oct
31, 2016
NOTE: Tác giả bản dịch,
Thy Trang, là cộng sự viên thường trực của đặc san Lâm Viên online tại www.dslamvien.com.
No comments:
Post a Comment