Cách 4 Tin Tặc Trung Quốc Được Cho Là Tấn Công Equifax

Tháng 9 năm 2017, công ty báo cáo tín dụng lớn Equifax thú nhận: Nó đã bị tấn công mạng, và thông tin cá nhân nhạy cảm của 143 triệu công dân Mỹ đã bị chiếm đoạt—số mà sau đó công ty đã điều chỉnh lên 147,9 triệu. Tên, ngày sinh, số An Sinh Xã Hội, tất cả biến mất trong một cuộc trộm chưa từng có. Thứ Hai, Bộ Tư pháp xác định nghi can được cho là Trung Quốc.

Trong một cáo trạng bao quát gồm chín tội, Bộ Tư pháp cáo buộc bốn thành viên của Quân đội Nhân dân Trung Quốc đứng sau vụ hack Equifax, điểm cao điểm của một cuộc điều tra kéo dài nhiều năm. Về số lượng công dân Mỹ bị ảnh hưởng, đây là một trong những vụ ăn cắp thông tin cá nhân do nhà nước tài trợ lớn nhất được ghi lại. Nó cũng làm leo thang thêm mức căng thẳng đã có với Trung Quốc ở nhiều mặt.

“Cuộc tấn công như thế này vào ngành công nghiệp Mỹ là một phần của việc chiếm đoạt bất hợp pháp thông tin cá nhân nhạy cảm khác của Trung Quốc,” bộ trưởng Tư pháp Hoa Kỳ William Barr nói tại một cuộc họp báo thông báo các cáo buộc. “Trong nhiều năm, chúng ta đã chứng kiến sự thèm khát không ngừng của Trung Quốc đối với dữ liệu cá nhân của người Mỹ.”

Sự hung dữ này có nguồn gốc từ vụ hack vào Văn phòng Quản lý Nhân sự, được tiết lộ vào năm 2015, trong đó tin đồn cho rằng tin tặc Trung Quốc đã đánh cắp một lượng lớn dữ liệu cực kỳ nhạy cảm liên quan đến người làm việc trong chính phủ, lên đến các vụ vi phạm thông tin của chuỗi khách sạn Marriott và bảo hiểm y tế Anthem được tiết lộ gần đây.

Ngay cả trong nhóm tấn công ảnh hưởng đến lớn, Equifax đứng ra với cả về số lượng người bị ảnh hưởng và loại thông tin mà tin tặc thu được. Trong khi một số người trước đó đã nghi ngờ về sự tham gia của Trung Quốc—việc không có thông tin nào xuất hiện trên web tối thiểu cho thấy hành động của một đối tượng nhà nước thay vì một kẻ trộm thông thường—cáo trạng của Bộ Tư pháp Hoa Kỳ vào thứ Hai đã nêu rõ một trường hợp cẩn thận.

Vụ Hack Lớn

Vào ngày 7 tháng 3, 2017, Hiệp hội Phần mềm Apache thông báo rằng một số phiên bản của phần mềm Apache Struts của mình có một lỗ hổng có thể cho phép tin tặc thực hiện mã từ xa trên một ứng dụng web được nhắm mục. Đó là một loại lỗi nghiêm trọng, vì nó tạo cơ hội cho tin tặc can thiệp vào một hệ thống từ mọi nơi trên thế giới. Như một phần của việc tiết lộ, Apache cũng cung cấp một bản vá và hướng dẫn cách sửa vấn đề.

Equifax, sử dụng Framework Apache Struts trong hệ thống giải quyết tranh chấp của mình, đã phớt lờ cả hai. Trong vòng vài tuần, theo Bộ Tư pháp, tin tặc Trung Quốc đã xâm nhập vào hệ thống của Equifax.

Lỗ hổng của Apache Struts đã tạo nên một điểm chân. Từ đó, bốn tin tặc được cho là Wu Zhiyong, Wang Qian, Xu Ke, và Liu Lei—tiến hành tuần tra, chạy các truy vấn để có cái nhìn rõ ràng hơn về cấu trúc cơ sở dữ liệu của Equifax và bao nhiêu bản ghi nó chứa. Ví dụ, theo cáo buộc, vào ngày 13 tháng 5, một trong những tin tặc đã chạy một lệnh ngôn ngữ truy vấn có cấu trúc để xác định thông tin chung về một bảng dữ liệu của Equifax, sau đó chọn mẫu một số bản ghi từ cơ sở dữ liệu.

Cuối cùng, họ tiến hành tải lên những 'vỏ ốc web' để có quyền truy cập vào máy chủ web của Equifax. Họ sử dụng vị trí này để thu thập thông tin xác thực, mang lại cho họ quyền truy cập không ràng buộc vào các cơ sở dữ liệu backend. Hãy tưởng tượng như đang đột nhập vào một tòa nhà: điều đó dễ dàng hơn nếu cư dân để cửa sổ tầng trệt mở khóa và bạn có thể đánh cắp ID nhân viên.

Từ đó, họ đã 'dùng bữa'. Cáo trạng cáo buộc rằng những tin tặc đầu tiên chạy một loạt các lệnh SQL để tìm dữ liệu đặc biệt có giá trị. Cuối cùng, họ đã định vị một kho dữ liệu về tên, địa chỉ, số An Sinh Xã Hội, và ngày sinh. Bộ Tư pháp nói rằng những người xâm phạm chạy 9,000 truy vấn trong tổng số, không dừng lại cho đến cuối tháng 7.

Việc tích luỹ lượng dữ liệu lớn như vậy là một điều; lấy ra mà không bị phát hiện là một điều khác. Tin tặc Trung Quốc được cho là đã sử dụng một số kỹ thuật để duy trì quyền truy cập vào kho dữ liệu khổng lồ.

Theo Bộ Tư pháp, họ lưu trữ dữ liệu đã đánh cắp trong các tệp tạm thời; đặc biệt là các tệp lớn mà họ nén và chia thành kích thước quản lý hơn. (Theo cáo buộc, tại một thời điểm, họ chia một bản lưu trữ chứa 49 thư mục thành các phần 600 megabyte.) Điều này giữ cho các truyền thông của họ đủ nhỏ để tránh sự nghi ngờ. Sau khi họ đã di chuyển dữ liệu, họ xóa các tệp nén để giảm thiểu dấu vết. Nó cũng giúp rằng họ đã sâu bên trong mạng lưới của Equifax đến nỗi họ có thể sử dụng các kênh truyền thông được mã hóa hiện tại của công ty để gửi các truy vấn và lệnh của họ. Tất cả đều trông giống như hoạt động mạng bình thường.

Cáo trạng cũng mô tả cách đội nhóm PLA được cho là đã thiết lập 34 máy chủ ở 20 quốc gia để xâm nhập vào Equifax, làm cho việc xác định họ là vấn đề tiềm ẩn trở nên khó khăn. Họ sử dụng các giao thức đăng nhập được mã hóa để che giấu sự tham gia của họ trong những máy chủ đó, và ít nhất một lần xóa các tệp nhật ký của máy chủ mỗi ngày. Họ hiệu quả như những hồn ma.

Hãy xem một sự kiện chi tiết bởi Bộ Tư pháp: Vào ngày 6 tháng 7, 2017, một trong những tin tặc truy cập vào mạng lưới Equifax từ một địa chỉ IP Thụy Sĩ. Sau đó, họ sử dụng một tên người dùng và mật khẩu bị đánh cắp cho một tài khoản dịch vụ để vào một cơ sở dữ liệu của Equifax. Từ đó, họ truy vấn cơ sở dữ liệu để lấy số An Sinh Xã Hội, tên đầy đủ và địa chỉ, và lưu chúng trong các tệp kết quả. Họ tạo ra một lưu trữ tệp nén của kết quả, sao chép nó vào một thư mục khác, và tải xuống. Dữ liệu an toàn trong tay, họ sau đó xóa bản lưu trữ.

Lặp lại qua nhiều tuần, và bạn sẽ có thông tin của 147,9 triệu người theo cáo buộc nằm trong tay một chính phủ nước ngoài.

Mặc dù chiến dịch này có một mức độ phức tạp nhất định, nhưng chính Equifax đã làm công việc của họ trở nên dễ dàng hơn nhiều so với nên có. Đầu tiên, công ty nên đã vá lỗ hổng Apache Struts ban đầu đó. Và một khiếu nại từ FTC mùa hè trước cũng phát hiện ra rằng công ty đã lưu trữ các thông tin xác nhận quản trị trong một tệp không an toàn dưới dạng văn bản thô. Nó giữ 145 triệu số An Sinh Xã Hội và dữ liệu người tiêu dùng khác dưới dạng văn bản thô, thay vì mã hóa chúng. Nó không phân đoạn cơ sở dữ liệu, điều này đã giảm thiểu hậu quả. Nó thiếu theo dõi tính toàn vẹn tệp tin thích hợp và sử dụng chứng chỉ bảo mật đã hết hạn từ lâu. Danh sách còn dài. Equifax không chỉ để tin tặc Trung Quốc đến với ngăn đựng; nó để chìa khóa xương số cho mọi hộp đựng tài sản trên tầng trên trước mặt.

“Chúng tôi biết ơn Bộ Tư pháp và FBI vì nỗ lực không ngừng của họ trong việc xác định rằng quân đội Trung Quốc chịu trách nhiệm về cuộc tấn công mạng vào Equifax vào năm 2017,” Giám đốc điều hành Equifax Mark Begor nói trong một tuyên bố. “Điều đó làm tâm hồn chúng tôi yên bình vì các cơ quan thực thi pháp luật liên bang của chúng ta xem xét tội phạm mạng—đặc biệt là tội phạm được tài trợ bởi nhà nước—với sự nghiêm túc mà nó xứng đáng.”

"Mục tiêu của chúng tôi ở đây, ngoài việc đảm bảo rằng điều này sẽ không xảy ra với chúng tôi nữa, thực sự là giúp đỡ tối đa để giảm khả năng nó sẽ xảy ra với các tổ chức khác," Jamil Farshchi, Giám đốc An ninh thông tin chính tại Equifax, nói với MYTOUR.

Trò Chơi Tên

Một số yếu tố của vụ hack Equifax—đặc biệt là vai trò của lỗ hổng Apache Struts—đã được công bố từ một khoảng thời gian dài. Nhưng đổ tội cho Trung Quốc lại thêm vào một chiều sâu mới quan trọng, cả về sự cố Equifax chính và quan hệ quốc tế.

Hai nước Mỹ và Trung Quốc đã trải qua một vài năm đầy biến động trên mặt trận an ninh mạng. Năm 2014, Bộ Tư pháp buộc tội năm thành viên của Đội quân Giải phóng Nhân dân về tội phạm hack vào các công ty Mỹ. Năm sau, hai nước ký một hiệp ước sống ảo, cái mà coi như giữ chặt suốt thời kỳ còn lại của chính quyền Obama.

Những năm gần đây, tuy nhiên, đã có những dấu hiệu rằng thời kỳ hòa giải đang giải thể. Cả hai vụ hack của Marriott và Anthem đều bắt đầu từ năm 2014, trước thời kỳ hòa bình của Obama. Nhưng Trung Quốc gần đây đã tập trung ngày càng nhiều vào các cuộc tấn công mạng để thực hiện gián điệp doanh nghiệp. Điều này bao gồm việc nắm bắt công cụ bảo mật CCleaner để tạo một cửa sau vào mạng lưới doanh nghiệp, và sử dụng nhóm hacker APT10 của mình để xâm nhập vào những Nhà Cung cấp Dịch vụ Quản lý, làm nơi trampolines để đến hàng chục công ty dễ tấn công.

Sự hung dữ đó, kết hợp với cáo buộc về việc trộm cắp tài sản trí tuệ tràn lan và một cuộc chiến thương mại đang diễn ra, đã làm căng thẳng thêm quan hệ Mỹ-Trung. Thêm Equifax vào danh sách làm tăng thêm nỗi lo.

“Dữ liệu này có giá trị kinh tế, và những vụ trộm này có thể phục vụ cho việc phát triển các công cụ trí tuệ nhân tạo của Trung Quốc cũng như sự tạo ra các gói thông tin tình báo,” Barr nói. “Các vụ án của chúng tôi đã tiết lộ một mô hình xâm nhập máy tính được tài trợ bởi nhà nước và những vụ trộm của Trung Quốc nhắm vào bí mật thương mại và thông tin kinh doanh bí mật.”

Thông báo của Thứ Hai chỉ là lần thứ hai Mỹ buộc tội các hacker quân đội Trung Quốc bằng tên. (Kết nối với Bộ An ninh Nhà nước của Trung Quốc, APT10 được coi là không thuộc quân đội.) Lần đầu tiên là vào năm 2014. Như lúc đó, và như đã ngày càng trở nên phổ biến với các hacker Nga có tên trong các cáo buộc của Bộ Tư pháp, bước tiến này có nhược điểm tiềm ẩn.

“Tôi lo lắng rằng Trung Quốc sẽ tham gia vào hành vi đánh đổi đối quốc gia,” nhận xét của cựu nhân viên Phòng An ninh Quốc gia Dave Aitel. “Việc có một tín hiệu rõ ràng về quy tắc sẽ là điều tốt.”

Cũng có vấn đề thực tế về việc đưa bị cáo ra trước mặt công lý, khi họ là công dân Trung Quốc làm việc dưới sự phục vụ của chính phủ đó. “Một số người có thể tự hỏi điều gì là tốt khi những hacker này dường như nằm ngoài tầm tay chúng ta,” David Bowdich, Phó Giám đốc Cảnh sát Liên bang, nói tại cuộc họp báo vào thứ Hai. “Chúng tôi sẽ sử dụng các quyền đặc biệt của mình, kinh nghiệm và khả năng, với sự giúp đỡ của đối tác của chúng tôi cả trong nước và quốc tế, để chiến đấu chống lại mối đe dọa này mỗi ngày, và sẽ tiếp tục làm như vậy.”

Đối với nạn nhân của vụ hack Equifax—gần một nửa số công dân Mỹ—việc phát hiện ra rằng Trung Quốc đứng sau nó dường như không thay đổi nhiều, trừ khi bạn là người mà nước này có thể nhắm đến vì mục đích thu thập thông tin tình báo. Thông tin cá nhân có giá trị, sau tất cả. Nhưng đối với hầu hết mọi người, kịch bản vẫn giữ nguyên: Hãy theo dõi tài khoản của bạn và nhận tiền bồi thường của bạn.

Mối lo ngại thực sự là vấn đề tồn tại. Không rõ độ phức tạp của vấn đề này sẽ làm tăng cường mối quan hệ đã rối bời giữa hai quốc gia lớn. Bất kể như thế nào, điều đáng báo động là cách mà một vụ ăn cắp dữ liệu có quy mô chưa từng có lại diễn ra một cách dễ dàng như vậy.

“Có nhiều điều thú vị, làm người ta phải nghĩ suy nhiều ở đây,” Aitel nói. “Như là chỉ cần bốn người để thu thập thông tin riêng của nửa dân số Hoa Kỳ.”

Báo cáo bổ sung của Lily Hay Newman

Những điều tuyệt vời khác trên MYTOUR

• Đội quân hỗn tạp đã cứu 38,000 trò chơi Flash thoát khỏi lãng quên trên internet
• Những tế bào não nhỏ li ti kết nối tâm lý và sức khỏe vật lý của chúng ta
• Làm thế nào để tận dụng tối đa tính năng mã hóa trên điện thoại thông minh của bạn
• Vancouver muốn tránh những sai lầm của các thành phố khác với Uber và Lyft
• Sự tái dân số kỳ lạ của khu vực cấm dự trữ Fukushima
• 👁 Lịch sử bí mật của công nghệ nhận diện khuôn mặt. Ngoài ra, tin tức mới nhất về trí tuệ nhân tạo
• ✨ Tối ưu hóa cuộc sống gia đình của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến nệm giá rẻ đến loa thông minh