Tình báo Israel tấn công Kaspersky, cung cấp dữ liệu cho NSA

Các kỹ sư của Kaspersky đã làm việc miệt mài để phát hiện vụ tấn công.

Cách đây hơn hai năm, tình báo Israel đã xâm nhập vào mạng máy tính của Công ty an ninh mạng hàng đầu của Nga Kaspersky và phát hiện trong đó có nhiều tài liệu mật và các công cụ tình báo mạng quan trọng của tình báo Mỹ, sau đó mật báo cho Cơ quan An ninh quốc gia (NSA) của Mỹ biết để điều tra.

Theo báo Washington Post, vào năm 2015, các hacker thuộc đơn vị tình báo mạng của Israel trong lúc “săn mồi” trên mạng đã tình cờ phát hiện một số dấu hiệu khả nghi trong mạng máy tính của Kaspersky, nên đã thực hiện bẻ khóa xâm nhập vào để xem đó là gì. Sau khi phát hiện những tài liệu, công cụ tình báo mạng của NSA trên đó, các điệp viên mạng Israel đã mật báo cho NSA xử lý.

Ngay lập tức, NSA đã tổ chức điều tra để tìm hiểu bằng cách nào các hacker Nga đã đột nhập được vào mạng máy tính của mình. Công tác điều tra dần dần thu hẹp diện đối tượng tình nghi và phát hiện ra một nhân viên trong bộ phận tình báo cao cấp Phòng xâm nhập mục tiêu theo yêu cầu (TAO).

Nhà sáng lập Eugene Kaspersky khẳng định công ty của ông là nạn nhân của các cơ quan an ninh Mỹ và Israel. Tình báo Israel tấn công Kaspersky, cung cấp dữ liệu cho NSA
Nhà sáng lập Eugene Kaspersky khẳng định công ty của ông là nạn nhân của các cơ quan an ninh Mỹ và Israel.

Bộ phận này bao gồm các hacker chuyên tấn công các mục tiêu nước ngoài để thu thập thông tin tình báo. Sau khi kiểm tra, NSA phát hiện nhân viên này (giấu tên) sử dụng phần mềm diệt virus máy tính rất phổ biến của công ty an ninh mạng Kaspersky. Cho đến nay, nhân viên NSA này vẫn đang bị các công tố viên điều tra.

Khi kiểm tra phương thức hoạt động trên máy tính, NSA phát hiện nhân viên này không cố ý thực hiện việc thu thập dữ liệu máy tính của NSA để chuyển ra nước ngoài. NSA còn phát hiện ra rằng phần mềm diệt virus của Kaspersky chính là thủ phạm tuồn dữ liệu của NSA cho các máy tính trong mạng nội bộ của Kaspersky.

Các chuyên gia công nghệ của NSA cho rằng, phần mềm Kaspersky không chỉ thực hiện việc diệt virus máy tính, mà nó còn có một chức năng quan trọng nữa là thu thập dữ liệu trên máy tính được cài đặt để quét virus và truyền dữ liệu về trung tâm điều hành của Kaspersky. Có thể Công ty Kaspersky không chủ động thực hiện việc thu thập dữ liệu này, mà là các “điệp viên mạng” của các cơ quan tình báo có thể lợi dụng phần mềm này để lấy dữ liệu máy tính mục tiêu.

Theo các chuyên gia NSA, từ nhiều năm qua, Kaspersky thỉnh thoảng có sử dụng một tiêu chuẩn kỹ thuật công nghiệp để dò tìm virus máy tính, nhưng tiêu chuẩn kỹ thuật này cũng có thể nhận dạng một số loại thông tin khác ngoài virus máy tính hay phần mềm mã độc khác.

Giao diện diệt virus Kaspersky. Tình báo Israel tấn công Kaspersky, cung cấp dữ liệu cho NSA
Giao diện diệt virus Kaspersky.

Công cụ này thường được gọi là “chữ ký thầm lặng” – bao gồm các chuỗi mã kỹ thuật số hoạt động một cách âm thầm nhằm tìm kiếm và phát hiện các phần mềm mã độc, nhưng nó cũng có thể được viết lại để lục soát máy tính tìm các tài liệu mật dựa theo từ khóa hay ký tự viết tắt.

Trên cơ sở báo cáo của NSA về nguy cơ gián điệp mạng lợi dụng phần mềm diệt virus Kaspersky, tháng 9-2017, Bộ An ninh nội địa Mỹ đã chỉ thị cho các cơ quan dân sự rà soát, kiểm tra việc sử dụng phần mềm diệt virus Kaspersky trên các hệ thống máy tính toàn nước Mỹ và gỡ bỏ phần mềm đó ra khỏi hệ thống máy tính.

Bộ An ninh nội địa cho rằng, các cơ quan tình báo của Chính phủ Nga có thể lợi dụng kẽ hở như phân tích ở trên của phần mềm diệt virus Kaspersky để xâm nhập vào hệ thống máy tính nội bộ và từ đó vào mạng máy tính liên bang lấy trộm dữ liệu quan trọng gây ảnh hưởng đến an ninh quốc gia. Động thái này của Bộ An ninh nội địa Mỹ đã gây nên ảnh hưởng nhất đến uy tín và hoạt động kinh doanh của Kaspersky trên thị trường Mỹ.

Kaspersky cũng là công ty diệt virus duy nhất phải chấp nhận để cho các nhà cung cấp dịch vụ mạng giám sát nội dung dữ liệu giao dịch theo một hệ thống giám sát có tên gọi là Hệ thống các giải pháp kiểm tra hoạt động (SORM). Công ty Kaspersky khẳng định các dữ liệu máy tính của khách hàng truyền vào hệ thống máy tính của công ty luôn được mã hóa và công ty không giải mã các dữ liệu đó cho bất kỳ ai, do đó không thể có chuyện các đơn vị, cơ sở bên ngoài xem được dữ liệu trong mạng máy tính của công ty.

Các kỹ sư của Kaspersky đã làm việc miệt mài để phát hiện vụ tấn công. Tình báo Israel tấn công Kaspersky, cung cấp dữ liệu cho NSA
Các kỹ sư của Kaspersky đã làm việc miệt mài để phát hiện vụ tấn công.

Tuy nhiên, Andrei Soldatov, một chuyên gia tình báo mạng Nga cho rằng, ông không tin các cơ quan tình báo của nhà nước Nga không thể giải mã dữ liệu trong mạng máy tính của Kaspersky. Lý do được Soldatov đưa ra là vì Kaspersky bắt buộc phải xin giấy phép của cơ quan tình báo đối ngoại FSB, có nghĩa là công ty phải “minh bạch hoàn toàn” với FSB.

Về phần mình, Công ty Kaspersky phát hiện vụ tấn công của hacker Israel vào khoảng giữa năm 2015, khi các kỹ sư của công ty kiểm tra một công cụ dò tìm mới và phát hiện thấy hoạt động bất thường trong mạng máy tính của công ty. Ngay lập tức, công ty đã tiến hành điều tra và có báo cáo chi tiết được công bố vào tháng 6-2015.

Báo cáo của Kaspersky không nêu đích danh người Israel, nhưng lưu ý rằng vụ tấn công có cùng phương thức như một vụ tấn công trước đó, có tên gọi là “Duqu” mà các nhà nghiên cứu xác định là xuất xứ từ cùng một quốc gia với virus Stuxnet, và ai cũng biết Stuxnet là sản phẩm của liên minh Mỹ – Israel tạo nên nhằm tấn công các nhà máy hạt nhân của Iran vào năm 2010.

Báo cáo cho biết những kẻ tấn công có vẻ tập trung tìm kiếm dữ liệu liên quan đến hoạt động tấn công mạng, đặc biệt là hoạt động của Kaspersky đối với NSA, tên thương trường là “Equation Group”.

Trong báo cáo, Kaspersky cũng cho biết, những kẻ tấn công mạng máy tính của công ty đã sử dụng cùng loại thuật toán và cùng mã nguồn như Duqu, nhưng có phần phức tạp hơn. Vì thế các nhà nghiên cứu của công ty đặt tên cho vụ tấn công này là “Duqu 2.0”. Đặc biệt, Kaspersky còn lưu ý công ty đã phát hiện thêm những nạn nhân khác của vụ tấn công, trong đó có nhiều khách sạn, trung tâm tổ chức hội nghị sử dụng cho các cuộc hội họp kín, bí mật của Hội đồng Bảo an Liên Hiệp Quốc.

Các kỹ sư của Kaspersky còn phát hiện các hacker Israle đã cố tìm cách xâm nhập sâu vào hệ thống máy tính của công ty và đã cấy vào đó nhiều “cửa sau” sử dụng các công cụ mạng phức tạp để lấy cắp mật khẩu, trộm email và tài liệu điện tử.

Để minh bạch hoạt động của mình, Kaspersky khẳng định công ty không có bất kỳ mối liên kết nào với bất cứ chính phủ quốc gia nào, trong đó có Nga. Trong một tuyên bố, Kaspersky khẳng định mình là nạn nhân của những tranh chấp địa chính trị giữa các cường quốc, cụ thể là giữa Mỹ và Nga. Việc các cơ quan an ninh Mỹ cáo buộc Kaspersky có liên hệ với tình báo Nga là không có cơ sở, là một sự “thổi phồng” quá mức dựa trên sự suy đoán chủ quan.

Nhà sáng lập Eugene Kaspersky đã viết trên blog cá nhân hồi đầu tháng 10-2017 rằng, phần mềm diệt virus của công ty ông có chức năng tìm và diệt virus cho các hệ thống máy tính trên toàn thế giới chứ không riêng gì Mỹ.

Phần mềm thực hiện thao tác tìm diệt triệt để virus và các phần mềm mã độc khác, không phân biệt xuất phát từ nguồn nào. Sau đó, phần mềm diệt virus Kaspersky truyền thông tin về các phần mềm mã độc này về trung tâm điều khiển của công ty để làm dữ liệu cập nhật tính năng diệt virus mới cho công ty.

Chính vì lẽ đó, ông Kaspersky cho rằng rất có thể các công cụ mạng của NSA đã được phần mềm diệt virus của công ty Kaspersky nhận dạng như “phần mềm mã độc”, cho nên đã sao chép dữ liệu của các công cụ này truyền về cho công ty. Việc sao chép dữ liệu truyền về công ty được thực hiện bởi phần mềm Kaspersky phát hành trên toàn thế giới.

Các từ khóa tìm kiếm:

  • an ninh mạng
  • an ninh thế giới
  • kaspersky
  • nsa