Trừng phạt nhóm hacker đánh cắp dữ liệu chính phủ

Một nhóm tin tặc nước ngoài đã bị tuyên án tại Singapore vì đứng sau chiến dịch tấn công mạng tinh vi, xâm nhập hàng loạt hệ thống chứa thông tin của chính phủ nhiều quốc gia.

Các thiết bị điện tử và tiền mặt bị thu giữ trong các cuộc đột kích đồng thời tại nhiều địa điểm vào ngày 9/9 dẫn đến việc bắt giữ các tin tặc. Ảnh: Lực lượng cảnh sát Singapore

Straits Times đưa tin cảnh sát Singapore bắt giữ Yan Peijian, Liu Yuqi và Huang Qin Zheng vào tháng 9/2024, xác định họ là một phần của tổ chức tội phạm quốc tế. Máy tính của Yan chứa nhiều tin nhắn bàn về các tên miền dễ bị tấn công, trong đó có 5 trang web thuộc chính phủ Australia, Argentina,....

Trong khi đó, laptop của Liu lại chứa email mật giữa các quan chức Bộ Ngoại giao và Bộ Công nghiệp - Phát triển Hạ tầng của Kazakhstan.

Theo cơ quan công tố, người đứng sau vụ việc là Xu Liangbiao (38 tuổi, quốc tịch Vanuatu) - kẻ đã thuê nhóm hacker này. Xu rời Singapore ngày 14/8/2023, chỉ một ngày trước khi giới chức nước này mở chiến dịch truy quét vụ rửa tiền trị giá 3 tỷ USD. Hiện nơi ở của hắn chưa được xác định. Ngày 5/11, tòa tuyên án Liu 2 năm 4 tháng 4 tuần tù, trong khi Huang và Yan mỗi người 2 năm 4 tháng 1 tuần tù, sau khi cả ba nhận tội 4 cáo buộc, gồm sử dụng trái phép hệ thống máy tính và tham gia tổ chức tội phạm. Các công tố viên Hon Yi, Cheah Wenjie và Shaun Lim nêu trong hồ sơ rằng nhóm tội phạm không trực tiếp tấn công Singapore. Luật sư Lee Teck Leng biện hộ rằng các bị cáo “chưa từng có kinh nghiệm hack trước đó” và “thiếu kỹ năng kỹ thuật để thực hiện các vụ tấn công thực sự”, khẳng định họ không đạt được “thành công nào đáng kể”. Tuy nhiên, theo cảnh sát Singapore, ba người bị bắt giữ sở hữu nhiều công cụ tấn công mạng tinh vi và phần mềm độc hại PlugX, cùng hàng trăm mã độc điều khiển từ xa (RATs) và nhiều máy ảo dùng để thực hiện các cuộc tấn công mạng. PlugX được xác định là một RAT phức tạp, thường được các nhóm tin tặc có liên hệ với chính phủ sử dụng. Các công tố viên cho biết Yan có nền tảng về công nghệ thông tin, trong khi Liu tự học thiết kế web. Cả ba quen biết Xu và đồng ý đến Singapore làm việc cho hắn. Tháng 7/2022, Xu làm hồ sơ xin giấy phép lao động giả cho họ, trong đó Yan được đăng ký là nhân viên kinh doanh, còn Huang và Liu là công nhân xây dựng. Ba người đến Singapore trước ngày 7/9/2022, trở về Trung Quốc ăn Tết năm 2023 rồi quay lại Singapore vào tháng 5/2023. Sau đó, Xu cho thuê một căn nhà ở khu Mount Sinai (gần Holland Road) để họ làm “trụ sở hoạt động”.

Ban đầu, Xu tập trung vào các trang web cờ bạc trực tuyến, muốn thu thập dữ liệu người dùng để quảng cáo và lôi kéo khách hàng. Về sau, hắn chuyển hướng sang xâm nhập các công ty cung cấp dịch vụ SMS, nhằm chiếm quyền truy cập vào hệ thống xác thực tài khoản. Một trong những mục tiêu của hắn là công ty Yi Mei (Trung Quốc) - đơn vị cung cấp dịch vụ cho hai trang cá cược lớn.

Công tố mô tả: “Xu giao cho ba hacker nhiệm vụ thăm dò các trang quan trọng, tìm lỗ hổng hệ thống, tấn công thâm nhập và đánh cắp thông tin cá nhân, nhằm mang lại lợi ích tài chính cho hắn”.

Nhóm hacker thu thập dữ liệu tên miền và phân tích lỗ hổng, sau đó dùng công cụ mã nguồn mở để phân loại theo mức độ nghiêm trọng và giá trị khai thác. Khi phát hiện lỗ hổng, họ tiến hành xâm nhập, cài RAT hoặc trích xuất dữ liệu trực tiếp, rồi báo cáo kết quả cho Xu.

Họ từng đánh cắp tên, địa chỉ, số điện thoại, thông tin thanh toán của người dùng từ một công ty điện lực khu vực ở Philippines, và tải xuống dữ liệu lưu lượng tin nhắn SMS của Yi Mei.

Tài liệu tòa án cho thấy cả ba biết hành vi của mình là phạm pháp, nên tránh tấn công các trang web tại Singapore hoặc các trang chính phủ để không gây chú ý.

Từ đầu năm 2024, nhóm này trả khoảng 2.000 USD/tháng để duy trì vỏ bọc là lao động hợp pháp. Ngày 5/9/2024, Xu chuyển cho Liu 3 triệu USD tiền điện tử, là thù lao cho hoạt động hack từ tháng 5/2023. Số tiền này được chia đều cho ba người. Bốn ngày sau, cảnh sát Singapore đột kích căn nhà ở Mount Sinai, bắt giữ cả nhóm. Cơ quan điều tra phát hiện nhiều RAT liên quan đến nhóm tin tặc quốc tế Shadow Brokers - tổ chức từng rò rỉ các lỗ hổng an ninh của Cơ quan An ninh Quốc gia Mỹ (NSA) từ năm 2016.