Các chuyên gia bảo mật của CrowdStrike bắt đầu phát hiện dấu vết và tiến hành điều tra về Đơn vị 61486 từ năm 2012. Dựa vào quá trình điều tra và những thông tin phát hiện được, CrowdStrike khẳng định có thể xác định được 61486 là một đơn vị đặc biệt thuộc quân đội Trung Quốc. Danh tính của một trong các hacker thuộc đơn vị này cũng như vị trí khởi nguồn của những vụ tấn công cũng đã bị hãng bảo mật này phát hiện ra.
Hình ảnh được cho là chụp tại trụ sở của 61486 đóng tại Thượng Hải
Báo cáo cho thấy các chuyên gia bảo mật của CrowdStrike phát hiện ra dấu vết của Đơn vị 61486 thông qua một trang web được sử dụng bởi các hacker, mà thông tin tên miền của trang web này lại được đăng ký trực tiếp tại địa chỉ văn phòng của Bộ Tổng thâm mưu Quân đội Trung Quốc đóng tại thành phố Thượng Hải.
Tên miền này được đăng ký bởi một người có biệt danh “cpyy”. Dựa vào chi tiết này, các chuyên gia bảo mật đã phát hiện ra tên thật của tin tặc này là Chen Ping. CrowdStrike thậm chí còn tìm thấy và công bố một loạt các hình ảnh của hacker bị cáo buộc này.
CrowdStrike cho biết trên trang blog cá nhân của Chen Ping cho thấy người này đang làm việc trong quân đội hoặc công an ở Trung Quốc. Thậm chí, trong một bài viết trên trang blog cá nhân, Ping cho biết “nhiệm vụ của người lính là bảo vệ đất nước, miễn là đất nước chúng tôi an toàn, quân đội của chúng tôi thật tuyệt vời”.
Ping cũng cho đăng tải một loạt hình ảnh lên tài khoản Picasa (dịch vụ lưu trữ hình ảnh của Google), trong đó có những hình ảnh cho thấy Ping có mối quan hệ với quân đội. Thậm chí, trong các hình ảnh được Ping cho thấy hình ảnh văn phòng làm việc của Đơn vị 61486 và phòng chứa mũ của quân đội Trung Quốc.
Chân dung của Chen Ping, được biết đến với biệt danh “cpyy”, một thành viên của nhóm hacker Trung Quốc mới bị “vạch mặt”
CrowdStrike cũng phát hiện ra Đơn vị 61486 sử dụng chung dãi địa chỉ IP với Đơn vị 61398, đơn vị hacker của quân đội Trung Quốc đã bị các chuyên gia bảo mật phát hiện ra trước đó, chịu trách nhiệm cho những vụ tấn công nhằm vào các công ty lớn tại nhiều quốc gia khác nhau.
“Những phát hiện chỉ là đỉnh của một tảng băng chìm rất lớn”, George Kurtz, CEO và đồng sáng lập của hãng bảo mật CrowdStrike cho biết trong báo cáo. “Chiến dịch gián điệp kinh tế kéo dài hàng thập kỷ qua của Trung Quốc là rất lớn và liên tục”.
Kurtz cũng cho biết mặc dù các hacker có nhiều biệt pháp khác nhau để che giấu tung tích thực của mình, tuy nhiên chỉ sai lầm của một trong những thành viên trong đó cũng đủ để khiến cho danh tính thực sự của cả đơn vị bị phát giác.
“Ít nhất trong một tập thể, một người nào đó thường phạm phải sai lầm. Tất cả họ đều đang khá bận rộn nên có thể sẽ có vài người cẩu thả trong công việc”, Kurtz nhận xét.
Mặc dù có nhiều người không thực sự tin vào báo cáo của CrowdStrike vì cho rằng chưa có những bằng chứng thuyết phục, bản thân George Kurtz cũng thừa nhận rằng việc lần theo dấu vết của tội phạm mạng là “một phần nghệ thuật và một phần khoa học”, đồng thời luôn có những khả năng nhận diện sai, tuy nhiên Kurtz khẳng định rằng những phát hiện của công ty mình là hoàn toàn chính xác và “có rất nhiều bằng chứng để khẳng định điều này”.
Sau khi báo cáo của CrowdStrike được công bố, phát ngôn viên của Bộ Ngọa giao Trung Quốc bà Hoa Xuân Oánh cho biết “Trung Quốc cực lực phủ nhận những hành động của phía Mỹ và đặt ra những nghi vấn đề báo cáo của CrowdStrike”.
Như vậy đây là nhóm hacker thứ 2 được cho là có liên quan đến quân đội Trung Quốc bị phát giác. Vào tháng trước chính phủ Mỹ cũng đã phát lệnh truy nã đối với 5 quan chức của Trung Quốc vì liên quan đến Đơn vị 61398, thực hiện những vụ tấn công mạng để đánh cắp thông tin và bí mật kinh tế các công ty của Mỹ.
T.Thủy
Theo Mashable/Washington Post
Nguồn: Dantri.com.vn