Trung Quốc đang sử dụng BGP hijack và tạo đường đi mới cho traffic mạng ở các nước phía Tây qua một trong những công ty viễn thông lớn nhất của họ. Ít nhất thì các vụ tấn công này cũng bắt đầu từ khi họ kí với Mỹ thỏa thuận ngừng viện trợ cho tội phạm mạng. Các điểm hiện diện được phát hiện nằm tại Mỹ và Canada.
Theo một nghiên cứu của Đại học hải quân Mỹ và Đại học Tel Aviv, Trung Quốc đã hijack vào xương sống mạng Internet của các nước phương Tây từ năm 2015. Nghiên cứu này được phát hành trên tạp chí khoa học Military Cyber Affairs.
Chine Telecom, một trong những nhà mạng và công ty điện thoại hàng đầu tại Trung Quốc đã khai thác các điểm hiện diện (PoP - points-of-presence) để thực hiện can thiệp trung gian (man-in-the-middle). CNET giải thích rằng PoP chỉ đơn thuần là một trung tâm dữ liệu giúp định hướng traffic giữa các mạng nhỏ làm nên mạng Internet.
Lưu lượng Internet đi qua các hệ thống tự động (AS - autonomous system) thông qua giao thức BGP (border gateway protocol). Nhưng BGP lại không có tính năng bảo mật nên việc can thiệp vào dữ liệu là không khó. Việc này được gọi là BGP hijack và diễn ra khá thường xuyên. Tuy vậy, trong hầu hết trường hợp, hijack thường xảy ra cho cấu hình sai chứ không phải cố ý gây nhiễm độc, nên sẽ được khắc phục trong khoảng vài phút tới vài giờ.
Theo các nhà nghiên cứu, Trung Quốc đã cố ý dùng China Telecom để thực hiện BGP hijack. Họ bắt đầu thực hiện từ năm 2015, không lâu sau khi kí thỏa thuận với Mỹ dưới thời tổng thống Obama rằng sẽ ngừng hỗ trợ cho tội phạm mạng đánh cắp tài sản trí tuệ. “Đây là cách mới để lấy thông tin trong khi vẫn tuân thủ theo thỏa thuận”, trong đoạn nghiên cứu có viết “vì thỏa thuận chỉ có hiệu lực trong hoạt động quân sự”.
Các điểm CTG IP tại Mỹ và Canada
Nghiên cứu đã theo dõi việc lạm dụng BGP bằng cách xây dựng một hệ thống theo dõi, giám sát BGP. Qua đó, họ có thể xác định mẫu hành vi tương tự có thể muốn thực hiện hijack có chủ đích. Họ đã tìm ra 10 điểm PoP được dùng để tấn công - 8 điểm ở Mỹ và 2 điểm ở Canada. Những điểm này được âm thầm xây dựng từ đầu những năm 2000.
“Dùng các điểm PoP này, [China Telecom] đã hijack vào lưu lượng mạng tại Mỹ và chuyển hướng sang Trung Quốc trong nhiều ngày, tuần, tháng”. “Dù có thể thể giải thích bằng hành vi BGP thông thường nhưng kiểu tấn công này có chủ đích gây hại, chính xác là vì việc chuyển đổi bất thường, như làm đường đi của traffic dài hơn hoặc khoảng thời gian bất thường.
“Việc dễ dàng chuyển hướng, sao chép dữ liệu bằng cách kiểm soát các điểm trung chuyển quan trọng trên kiến trúc mạng của một quốc gia là hành vi cần phải có phản hồi nhanh chóng”.
Xem thêm: