Mỹ giáng đòn mạnh vào tin tặc Trung Quốc

Chính phủ Hoa Kỳ hôm thứ Tư (5/3) đã công bố một loạt chiến dịch trấn áp tin tặc (hacker) Trung Quốc, bao gồm truy tố 12 công dân Trung Quốc bị nghi ngờ tham gia vào các cuộc tấn công hack, trừng phạt một công ty công nghệ Trung Quốc và treo thưởng 10 triệu USD, để ứng phó với hoạt động gián điệp mạng kéo dài nhiều năm được cho là do Chính phủ Trung Quốc hỗ trợ.

Theo Reuters và trang web chính thức của Chính phủ Mỹ, Bộ Tư pháp, FBI, Cơ quan Điều tra Hình sự Hải quân, Bộ Ngoại giao và Bộ Tài chính cùng tuyên bố rằng họ đã thực hiện các hành động phối hợp để trấn áp các hoạt động ác ý của 12 công dân Trung Quốc. Những người này bao gồm các quan chức của Bộ Công an Trung Quốc và nhân viên của các công ty tư nhân.

Quận Nam New York truy tố 10 bị cáo

Một bản cáo trạng được công bố tại Tòa án Liên bang Manhattan buộc tội 10 người âm mưu đánh cắp dữ liệu từ các tổ chức mục tiêu. 8 người trong số họ là nhân viên của Công ty TNHH Công nghệ Thông tin i-Soon và 2 người chịu sự quản lý của Bộ Công an Trung Quốc. Những người bị truy tố bao gồm:

Ngô Hải Ba (Wu Haibo), CEO của i-Soon;
Trần Thành (Chen Cheng), Giám đốc điều hành của i-Soon;
Vương Yển (Wang Yan), trưởng nhóm thử nghiệm thâm nhập i-Soon;
Vương Triết (Wang Zhe), Giám đốc bán hàng i-Soon;
Lương Quốc Đông (Liang Guodong), nhân viên kỹ thuật;
Mã Lệ (Ma Li), nhân viên kỹ thuật;
Từ Lương (Xu Liang), nhân viên kỹ thuật;
Chu Vĩ Vĩ (Zhou Weiwei), Giám đốc Trung tâm R&D Công nghệ i-Soon;
Vương Lập Vũ (Wang Liyu), quan chức Bộ Công an tại Thành Đô, Trung Quốc;
Thịnh Tinh (Sheng Jing), quan chức Bộ Công an ở Thâm Quyến, Trung Quốc.

Hiện cả 10 người này vẫn đang chạy trốn.

Đặc khu Columbia truy tố các thành viên APT27

Tòa án liên bang cũng đưa ra 2 cáo trạng, cáo buộc các thành viên APT27 là Doãn Khắc Thần (Yin Kechen) và Chu Soái (Zhu Shuai) tham gia vào các hoạt động xâm nhập máy tính kiếm lợi bất chính trong nhiều năm, trong đó vụ án của Doãn Khắc Thần có thể tra ngược lại từ năm 2013. Bộ Ngoại giao Mỹ công bố phần treo thưởng lên tới 2 triệu USD/người cho việc bắt giữ và kết án 2 người này (số tiền treo thưởng để bắt và kết án mỗi người là 1 triệu USD).

Theo bản cáo trạng được công bố hôm thứ Tư, i-Soon được mô tả là “bên tham gia chủ chốt trong hệ thống hacker cho thuê của ĐCSTQ”. Từ năm 2016 đến 2023, công ty và các nhân viên của công ty, dưới sự chỉ đạo của Bộ An ninh Nhà nước và Bộ Công an của ĐCSTQ, đã xâm phạm trên diện rộng các tài khoản email, điện thoại di động, máy chủ và trang web. i-Soon đã tạo ra doanh thu hàng chục triệu đô la thông qua các hoạt động này và tuyển dụng hơn 100 nhân viên vào thời kỳ đỉnh cao.

• Vụ rò rỉ tài liệu i-Soon tiết lộ cách ĐCSTQ tấn công trực tuyến phương Tây
• FBI: Vụ i-Soon cho thấy hoạt động gián điệp mạng của TQ lớn nhất thế giới

Theo cáo trạng, nạn nhân của vụ hack i-Soon bao gồm:

Một tờ báo ở New York chuyên đưa tin về Trung Quốc và phản đối ĐCSTQ;
Một tờ báo khác ở New York;
Cơ quan Tình báo Quốc phòng Mỹ (Defense Intelligence Agency);
Bộ Thương mại Mỹ và Cục Quản lý Thương mại Quốc tế;
Một tổ chức tôn giáo lớn có trụ sở tại Mỹ;
Một tổ chức có trụ sở tại Texas, được thành lập bởi một nhân vật nổi tiếng chỉ trích ĐCSTQ;
Một cơ quan tin tức được Chính phủ Mỹ tài trợ, có trụ sở tại Washington, D.C;
Một trường đại học nghiên cứu công lập ở Mỹ;
Nghị viện tiểu bang  New York;
Một tờ báo có trụ sở tại Hồng Kông;
Bộ Ngoại giao Đài Loan;
Bộ Ngoại giao Ấn Độ;
Bộ Ngoại giao Hàn Quốc:
Bộ Ngoại giao Indonesia.

Những mục tiêu này được chọn chủ yếu vì họ đã chỉ trích Chính phủ Trung Quốc hoặc có quan hệ với Chính phủ Mỹ.

Bản cáo trạng cho thấy i-Soon tính phí cơ quan tình báo Trung Quốc dựa trên kết quả, với mức giá từ 10.000 đến 75.000 USD cho mỗi lần xâm nhập thành công vào một hộp thư điện tử, và tính thêm phí tùy theo mức độ phân tích email. Công ty này đã từng hợp tác với ít nhất 43 chi nhánh khác nhau của Bộ An ninh Quốc gia hoặc Bộ Công an.

Trong một số trường hợp, i-Soon hành động trực tiếp theo lệnh của Bộ An ninh Quốc gia hoặc Bộ Công an ĐCSTQ, khi trong các trường hợp khác, công ty chủ động thực hiện vụ hack và cố gắng bán dữ liệu bị đánh cắp cho các chi nhánh khác nhau của Bộ An ninh Quốc gia hoặc Bộ Công an. Ngoài ra, i-Soon còn đào tạo các quan chức Bộ Công an ĐCSTQ để họ có thể tiến hành các cuộc tấn công hack một cách độc lập.

Các công cụ hack của i-Soon bao gồm:

“Nền tảng kiểm tra thâm nhập tự động” (Automated Penetration Testing Platform): có thể gửi email lừa đảo, tạo tệp độc hại và sao chép trang web của nạn nhân;

“Nền tảng bẻ khóa mật khẩu thiên tài” (Divine Mathematician Password Cracking Platform): Cho phép truy cập bất hợp pháp vào tài khoản trực tuyến hoặc hệ thống máy tính thông qua mật khẩu được giải mã;

Phần mềm chuyên dụng cho nền tảng X: Có thể gửi các liên kết lừa đảo để giành quyền kiểm soát tài khoản nạn nhân mà không yêu cầu mật khẩu hoặc xác thực nhiều yếu tố. Nó được gọi là “Nền tảng kiểm soát và dẫn dắt dư luận (ở nước ngoài)”.

Shanghai Heiying và người sáng lập bị trừng phạt

Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Mỹ đã công bố các biện pháp trừng phạt đối với Công ty Shanghai Heiying Information Technology và người sáng lập Chu Soái (Zhou Shuai) vì “bán dữ liệu bị đánh cắp bất hợp pháp và cung cấp quyền truy cập vào các mạng máy tính bị xâm nhập”.

Một tuyên bố của Bộ Tài chính Mỹ cho biết, một số dữ liệu sau đó đã được Doãn Khắc Thần (Yin Kechen), một hacker Trung Quốc bị trừng phạt trước đây (người bị cáo buộc tham gia đánh cắp dữ liệu của Bộ Tài chính Mỹ), lấy được.

Chu Soái thành lập Shanghai Heiying Information Technology vào năm 2010 và nắm giữ phần lớn cổ phần. Công ty đã thuê một số kẻ tấn công mạng được Chính phủ Trung Quốc hậu thuẫn, bao gồm cả Doãn Khắc Thần. Theo Sắc lệnh hành pháp 13694 và mệnh lệnh sửa đổi, Shanghai Heiying Information Technology bị đưa vào danh sách trừng phạt vì chịu sự kiểm soát của Chu Soái hoặc cung cấp hỗ trợ cho Chu Soái.

Kể từ năm 2018, Chu Soái đã hoạt động như một nhà môi giới dữ liệu, bán dữ liệu thu được bất hợp pháp và truy cập vào các mạng bị xâm nhập. Doãn Khắc Thần, cựu nhân viên của Shanghai Heiying Information Technology, đã bị OFAC xử phạt vào ngày 17/1/2025 và bị buộc tội hack vào mạng của Bộ Tài chính Hoa Kỳ vào năm 2024.

Mục tiêu tấn công của họ bao gồm:

Nhiều công ty công nghệ Mỹ;
Một nhà thầu công nghiệp quốc phòng Mỹ;
Một nhà cung cấp dịch vụ truyền thông;
Hệ thống học thuật y tế trực thuộc một trường đại học;
Một cơ quan chính quyền địa phương;

Vào năm 2020, các mục tiêu tấn công của Chu Soái bao gồm Mỹ, Nga và Tây Âu. Dữ liệu mà họ thu được bao gồm dữ liệu viễn thông, hồ sơ xuất nhập cảnh biên giới, thông tin của các nhà nghiên cứu tôn giáo, dữ liệu của các học viên truyền thông và thông tin của các quan chức chính phủ. Đầu năm 2021, Chu Soái còn thực hiện một giao dịch về việc đánh cắp tài liệu của một nhà thầu quốc phòng Mỹ.

Tác động của lệnh trừng phạt

Theo quyết định trừng phạt, của cải và tài sản của những người bị trừng phạt này, nếu nằm trong lãnh thổ Mỹ hoặc do công dân Mỹ sở hữu, kiểm soát, đều bị đóng băng và phải báo cáo với OFAC. Bất kỳ doanh nghiệp nào mà người bị trừng phạt sở hữu trực tiếp hoặc gián tiếp từ 50% cổ phần trở lên cũng sẽ tự động bị trừng phạt.

Trừ phi được OFAC cho phép cụ thể, luật pháp Mỹ nghiêm cấm tất cả công dân Mỹ và các giao dịch trong hoặc qua Mỹ liên quan đến tài sản hoặc lợi ích của các bên bị trừng phạt. Vi phạm quy định này có thể dẫn đến hình phạt dân sự hoặc hình sự.

Quan chức Mỹ phản ứng

Quyền Công tố viên Liên bang Matthew Podolsky tuyên bố: “Các cuộc tấn công mạng do nhà nước hậu thuẫn gây ra mối đe dọa nghiêm trọng đối với cộng đồng và an ninh quốc gia của chúng ta. Những cáo buộc này sẽ giúp ngăn chặn các cuộc tấn công mạng do nhà nước hậu thuẫn và bảo vệ an ninh quốc gia của chúng ta.”

Bà Sue J. Bai, người đứng đầu Bộ phận An ninh Quốc gia, nhấn mạnh: “Bộ Tư pháp Mỹ sẽ không ngừng truy bắt những tin tặc đe dọa an ninh mạng của đất nước chúng ta bằng cách đánh cắp dữ liệu của chính phủ và công dân. Hôm nay, chúng tôi đã vạch trần các hoạt động tấn công mạng toàn cầu do Chính phủ Cộng sản Trung Quốc chỉ đạo và hỗ trợ”.

Bà Leslie R. Backschies, quyền trợ lý giám đốc Văn phòng FBI tại New York, cho biết: “Chính phủ Trung Quốc đã cố gắng che giấu các hoạt động hack của mình thông qua một công ty tư nhân, nhưng trên thực tế, các hoạt động này đã diễn ra trong nhiều năm, nhắm vào các tổ chức tôn giáo và truyền thông, các cơ quan chính phủ ở nhiều quốc gia và những người bất đồng chính kiến ​​​​trên khắp thế giới dám chỉ trích chế độ Cộng sản Trung Quốc”.

Ông Bradley T. Smith, Quyền Thứ trưởng Tài chính phụ trách Khủng bố và Tình báo Tài chính, cho biết: “Các hành động ngày hôm nay thể hiện cam kết vững chắc của chúng tôi trong việc buộc những tin ác ý tiếp tục tấn công các hệ thống và dữ liệu của Mỹ phải chịu trách nhiệm. Mỹ sẽ sử dụng tất cả các công cụ có sẵn để phá vỡ hệ sinh thái tội phạm này.”

Cuộc trấn áp gần đây của Mỹ đối với tin tặc Trung Quốc

Các biện pháp trừng phạt là một trong loạt các hành động gần đây của Bộ Tài chính Mỹ nhắm vào tội phạm mạng Trung Quốc:

Ngày 17/1/2025: Trừng phạt Doãn Khắc Thần và Sichuan Juxinhe Network Technology, bị cáo buộc xâm nhập vào mạng của Bộ Tài chính Mỹ và tham gia tổ chức hacker “Salt Typhoon”;

Ngày 3/1/2025: Các biện pháp trừng phạt đối với Integrity Technology Group, cáo buộc công ty này tham gia vụ hack “Flax Typhoon”;

Ngày 10/12/2024: Các lệnh trừng phạt đối với Công ty Sichuan Silence Information Technology và một trong các nhân viên của công ty này tên là Quản Thiên Phong (Guan Tianfeng) với cáo phá hoại an ninh tường lửa.

Bất kỳ ai có thông tin liên quan đến danh tính hoặc vị trí của bị cáo đều có thể liên hệ với Bộ Ngoại giao Mỹ tại rewardsforjustice.net. FBI cũng nhắc nhở công chúng rằng nếu nghi ngờ mình là nạn nhân của các hoạt động mạng độc hại do các tổ chức liên quan đến Chính phủ Trung Quốc thực hiện, thì nên báo cáo các hoạt động đáng ngờ đó cho Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI càng sớm càng tốt tại www.IC3.gov.