Các nhà nghiên cứu bảo mật mới đây vừa lên tiếng tố cáo Trung Quốc chính là thủ phạm tấn công và ăn cắp dữ liệu khách hàng của công ty bảo hiểm Anthem hồi đầu tháng 2/2015 vừa qua. Cụ thể, theo hãng an ninh mạng ThreatConnect hôm 27/02, các phân tích tình báo mã nguồn mở đã củng cố giả thuyết vụ ăn cắp dữ liệu người dùng bảo hiểm Mỹ vừa qua gắn với một chương trình gián điệp quy mô lớn của Trung Quốc.

Trong báo cáo của mình, ThreatConnect cũng như các công ty khác đã tìm thấy các bằng chứng về mặt kĩ thuật các phần mềm độc hại được dùng trong vụ Anthem có nguồn gốc từ một nhóm gián điệp Trung Quốc và một giáo sư của trường đại học Đông Nam làm việc cho một nhà thầu chính phủ có tên Beijing Topsec Technology.

Sự vụ bắt đầu từ hồi tháng 2/2015, khi công ty bảo hiểm Anthem tuyên bố tin tặc đã truy cập được các thông tin cá nhân của hơn 80 triệu khách hàng của họ (bao gồm tên, ngày sinh, số thẻ an sinh xã hội, số thẻ bảo hiểm y tế, địa chỉ nhà, địa chỉ email và nghề nghiệp). Anthem là một trong những công ty bảo hiểm nhân thọ lớn nhất tại Mỹ, phục vụ gần 69 triệu khách hàng thông qua các công ty con.

Một loạt các bằng chứng bao gồm email, tên miền được đăng kí cho các máy chủ ra lệnh và kiểm soát (command-and-control), các chứng thực (certificate) dùng để kí (sign) mã độc, đều chứng minh rằng nhóm gián điệp Trung Quốc, giáo sư trường đại học Đông Nam, và nhà thầu chính phủ có tên Beijing Topsec Technology, chính là những kẻ đứng đằng sau vụ tấn công, mặc dù theo ThreatConnect, thủ phạm đã cố tình che dấu danh tính.

Báo cáo của ThreatConnect là một trong những nỗ lực của giới chức trách Mỹ trong việc truy tìm thủ phạm vụ tấn công vào Anthem - công ty bảo hiểm y tế lớn nhất trong số 37 công ty lập nên chương trình bảo hiểm Blue Cross Blue Shield. Thông thường, các thông tin mà ăn cắp được từ Anthem sẽ được hacker mang đem bán để kiếm tiền, tuy nhiên theo ThreatConnect, cho đến nay vẫn chưa có manh mối nào cho thấy những thông tin này đã bị chúng đem bán.

Các phân tích cho biết loại malware gián điệp được dùng trong vụ Anthem có tên gọi Derusbi, có nguồn gốc từ nhóm gián điệp Trung Quốc, và được kí bằng chứng thư hợp lệ của DETOPTOOLZ - một công ty phần mềm của Hàn Quốc. Chứng thư của DTOPTOOLZ được tìm thấy trong các mã độc Derusbi, Sakula, và HttpBrowser/HttpDump; Và theo phân tích của ThreatConnect, các mã độc này đều liên quan đến nhóm tin tặc APT của Trung Quốc.

Các cuộc tấn công tương tự kết nối chủ tên miền với một địa chỉ email có liên quan đến cuộc thi về bảo mật thông tin được tổ chức bởi đại học Đông Nam Trung Quốc, công ty Topsec Information Security, và Trung tâm Nghiên cứu Công nghệ Internet di động Trung Quốc thực hiện. Năm 2009, một tài liệu do WikiLeaks tiết lộ, từng cho biết rằng, Topsec là công ty được đầu tư bởi Quân đội Giải phóng Nhân dân Trung Quốc.

Xét về tổng thể, vụ tấn công cho thấy "Trung Quốc đang muốn thu thập các thông tin cá nhân của công dân Mỹ" - Rich Barger, Giám đốc của ThreatConnect nhận định. Hiệp hội bảo hiểm Blue Cross Blue Shield phục vụ một lượng người rất lớn, lên tới 1/3 dân số Mỹ và 5,3 triệu nhân viên liên bang, người về hưu và người thân của họ, có thể chính là "động lực" để hacker thực hiện cuộc tấn công hồi tháng 2 vừa qua.

Theo ICTnews.




Bình luận

  • TTCN (0)