China hacks US government

Washington (CNN) Four million current and former federal employees may have had their personal information hacked, the Office of Personnel Management said on Thursday.

The agency, which is conducts background checks, warned it was urging potential victims to monitor their financial statements and obtain new credit reports.

U.S. officials believe this could be the biggest breach ever of the government’s computer networks.

The breach is beyond the Office of Personnel Management and Department of Interior, with nearly every federal government agency hit by the hackers, government officials said.

An assessment continues and it is possible millions more government employees may be impacted.

American investigators believe they can trace the breach to the Chinese government. Hackers working for the Chinese military are believed to be compiling a massive database of Americans, intelligence officials told CNN on Thursday night.

It is not clear what the purpose of the database is.

Employees of the legislative and judicial branches, and uniformed military personnel, were not affected.

There are currently 2.7 million federal executive branch employees — it’s unclear if this affected every single one (plus former employees), or only a portion.

The federal personnel office learned of the data breach after it began to toughen its cybersecurity defense system. When it discovered malicious activity, authorities used a detection system called EINSTEIN to eventually unearth the information breach in April 2015, the Department of Homeland Security said. A month later, the federal agency learned sensitive data had been compromised.

The federal agency learned of the breach in April 2015, the Department of Homeland Security said in a statement Thursday. A month later, the federal agency learned data had been compromised.

The FBI is now investigating what exactly led to the breach.

“We take all potential threats to public and private sector systems seriously, and will continue to investigate and hold accountable those who pose a threat in cyberspace,” the FBI said in a statement.

The federal personnel office said “personally identifiable information” had been breached, though didn’t name who might be responsible.

The Washington Post and Wall Street Journal first reported Thursday that Chinese hackers were responsible for the breach.

Senate Homeland Security and Governmental Affairs Chairman Ron Johnson, R-Wisconsin, called the breach “disturbing” and said the Office of Personnel Management needs to do a better job securing its information.

“It is disturbing to learn that hackers could have sensitive personal information on a huge number of current and former federal employees — and, if media reports are correct, that information could be in the hands of China,” Johnson said in a statement. “(The office) says it ‘has undertaken an aggressive effort to update its cybersecurity posture.’ Plainly, it must do a better job, especially given the sensitive nature of the information it holds.”

California Rep. Adam Schiff, the top Democrat on the House Intelligence Committee, said hackers are one of the “greatest challenges we face on a daily bases.”

“It’s clear that a substantial improvement in our cyber databases and defenses is perilously overdue,” Schiff said in a statement. “That’s why the House moved forward on cybersecurity legislation earlier this year, and it’s my hope that this latest incident will spur the Senate to action.”

Russia is believed to have been responsible for a separate data breach earlier this week that made 100,000 Americans’ tax returns vulnerable to criminals, when the Internal Revenue Service was attacked.

CNN’s Evan Perez and Jim Sciutto contributed to this report.

2 thoughts on “China hacks US government

    1. Em gửi anh và cả nhà thông tin này ạ:

      Website VN trước đòn tấn công ồ ạt của hacker Trung Quốc
      04/06/2015 08:30
      Tin tức
      11 Bình luận

      Nhiều website của các cá nhân, tổ chức tại VN hiện nay chưa thực sự quan tâm đến bảo mật, an toàn thông tin; còn quá nhiều lỗ hổng cơ bản… Đây thực sự là miếng mồi ngon cho các cuộc tấn công dồn dập của hacker Trung Quốc thời gian qua.


      Hacker Trung Quốc dồn dập tấn công mạng VN – Ảnh: chụp từ trang chủ của nhóm hacker 1937cn

      Như Thanh Niên hôm qua đã thông tin, website 1937cn.net cho biết trong 2 ngày 30 và 31.5.2015 đã có hơn 1.200 website của VN và Philippines bị tấn công, trong đó có khoảng 1.000 website của VN.

      Theo ông Trần Quang Chiến, Giám đốc Công ty CP VNIST (VNIST Corp), phụ trách website an ninh mạng securitydaily.net, thì 1937cn.net là trang web chính thức của nhóm hacker 1937cn nổi tiếng và mạnh nhất Trung Quốc (TQ). Đây là trang mạng được lập ra với mục đích kích động hacker TQ tấn công các website của VN và các quốc gia ở khu vực Biển Đông.

      “Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của VN trong năm 2014”, ông Chiến nói.

      ‘Cướp vào nhà mới lo bảo vệ’

      Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng Athena (TP.HCM), nhận định: “Tầm quan trọng của cổng thông tin điện tử ngày càng nâng lên nhưng khả năng bảo mật thì lại rất kém, hầu như không có gì để phòng thủ. Điều này lý giải vì sao mỗi khi có đợt hacker tấn công là chúng ta bị thiệt hại hàng loạt”.

      Theo ông Thắng, gần đây một số địa phương đã ký hợp đồng bảo mật, rà soát nguy cơ từ các lỗ hổng trên website để phát hiện những nguy cơ mất ATTT nhưng các tỉnh, thành thực hiện điều này còn rất ít vì không đủ kinh phí. Trong khi đó, “việc bảo mật cần phải làm thường xuyên, định kỳ chứ không phải khi nào gặp cướp vào nhà mới lo thuê nhân viên bảo vệ”.

      Theo dõi sát các cuộc tấn công

      Trao đổi với Thanh Niên chiều qua, ông Nguyễn Huy Dũng, Cục phó Cục An toàn thông tin (ATTT), Bộ Thông tin – Truyền thông (TT-TT), cho biết các đơn vị chức năng của Cục vẫn đang theo dõi sát các cuộc tấn công này. Con số chính thức các cuộc tấn công hiện nay, mỗi nơi thống kê một khác do cách tính toán.

      Tuy nhiên, theo ông Dũng, có thể không đến 1.000 website, nhưng điều đó vào lúc này không quá quan trọng, bởi những lỗ hổng và thiệt hại của vụ việc mới là điều đáng quan tâm.

      Đánh giá riêng về các vụ tấn công của 1937cn, ông Dũng cho biết mục tiêu của nhóm này đã được xác định nhằm vào website chứa nhiều thông tin quan trọng, đặc biệt các tên miền .gov.vn.

      Trong hệ thống tên miền này bao gồm: Một là của các bộ, ngành và UBND các tỉnh cung cấp thông tin, dịch vụ công tới người dân và doanh nghiệp. Thời gian qua mức độ bảo mật, an toàn thông tin của hệ thống webstie này được quan tâm ở mức độ nhất định nên không đáng ngại lắm. Nhưng đối với nhóm website thứ hai, vẫn mang tên miền .gov.vn của các tổ chức chính trị – xã hội, theo ông Dũng có nhiều rủi ro, đáng ngại hơn.

      “Phần lớn hệ thống bị tấn công vừa qua của nhóm 1973cn rơi vào các đối tượng này. Bản thân các tổ chức, đơn vị này không chuyên về công nghệ thông tin (CNTT) nên công tác bảo mật gặp nhiều khó khăn”, ông Dũng nói.

      Lật lại hồ sơ, theo ông Dũng, các cuộc tấn công của hacker TQ thường diễn ra vào các đợt cao điểm sự kiện chính trị lớn, đặc biệt là khi tình hình căng thẳng trên Biển Đông. Hồi đầu tháng 5.2014, thời điểm TQ hạ đặt trái phép giàn khoan HD-981 vào vùng biển VN, nhóm hacker 1937cn đã tấn công hàng trăm website của VN. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của VN trong đợt nghỉ lễ Quốc khánh 2.9.2014.

      Nên hạn chế các giao dịch nhạy cảm qua mạng

      Trước khi hacker TQ tấn công ồ ạt vào website VN, một lỗ hổng an ninh nghiêm trọng vừa được phát hiện liên quan đến thuật toán tạo khóa chia sẻ an toàn, khiến người dùng khi truy cập các trang HTTPS, thường là các dịch vụ quan trọng như giao dịch ngân hàng, chứng khoán, mua sắm trực tuyến có thể bị tấn công, nghe lén.

      Lỗ hổng Logjam tồn tại trong thuật toán trao đổi khóa sử dụng mã hóa Diffie-Hellman dùng để tạo khóa chia sẻ an toàn trong các giao thức bảo mật HTTPS, SSH, IPsec, SMTPS và các giao thức dựa trên TLS khác. Hacker có thể lợi dụng lỗ hổng để hạ cấp mã hóa kết nối từ 1024-bit xuống 512-bit, từ đó tấn công nghe lén Man-in-the-Middle.

      Ước tính có khoảng 8,4% trong số 1 triệu tên miền HTTPS phổ biến chịu ảnh hưởng từ lỗ hổng. Các trình duyệt Safari, Firefox và Google Chrome – không bao gồm Internet Explorer – hiện chưa nhận được bản vá cho lỗ hổng. Ông Nguyễn Hồng Sơn, chuyên gia phụ trách mảng an ninh hệ thống của Bkav, cảnh báo: “Cho đến khi các nhà cung cấp đưa ra bản vá, người dùng nên hạn chế các giao dịch nhạy cảm qua mạng. Quản trị server cũng cần hủy tính năng hỗ trợ mã hóa DHE_EXPORT, cho phép hạ cấp mã hóa Diffie-Hellman”.

      Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Trần Quang Chiến cho biết FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt internet và được sử dụng rất rộng rãi. Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thực mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên website nhằm chiếm quyền điều khiển website.

      Theo ông Nguyễn Huy Dũng, trước mắt hacker chỉ tập trung vào các lỗ hổng cơ bản, do đó Cục ATTT khuyến cáo các tổ chức, cá nhân cần phải thường xuyên cập nhật phần mềm máy chủ, ứng dụng web, các bản vá của các hãng bảo mật uy tín. Bởi nếu để lỗ hổng cũ, hacker sẽ rất dễ dàng xâm nhập. Về mặt lâu dài, Bộ TT-TT đang xây dựng dự thảo luật ATTT và một số thông tư hướng dẫn phân định cấp độ ATTT.

      Một số vụ tấn công điển hình

      – Ngày 5.3.2013: Đại tá Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), bị hacker TQ tấn công thông qua email, nhằm âm thầm đánh cắp dữ liệu. Cuộc tấn công bị phát hiện và ngăn chặn kịp thời.

      – Từ 30.4 – 1.5.2014: Có khoảng gần 150 website của VN bị tấn công, nhiều trang không thể truy cập được. Một số website còn nguyên các dòng chữ do hacker TQ để lại ngay trên trang chủ.

      – Ngày 2.9.2014: Trang tin về bảo mật securitydaily.net (thuộc công ty chuyên về bảo mật, an ninh mạng MVS) cho biết trong dịp nghỉ lễ 2.9 đã có tổng cộng 745 website bao gồm cả tên miền phụ (subdomain) của VN bị hacker TQ tấn công.

      – Ngày 20.5.2015: Hãng bảo mật Kaspersky phát hiện một nhóm người TQ tham gia hoạt động gián điệp mạng với mục tiêu là VN và nhiều nước quanh Biển Đông. Kaspersky vừa lập biểu đồ 5 năm hoạt động của một nhóm gián điệp mạng có tên Naikon. Nhóm này được Kaspersky phát hiện là người TQ, hoạt động gián điệp mạng nhắm đến các quốc gia xung quanh Biển Đông.

      – Ngày 25.5.2015, Fire Eye – công ty bảo mật hàng đầu chuyên ngăn chặn các cuộc tấn công trình độ cao trên không gian mạng của Mỹ – công bố nhóm tin tặc APT 30 có trụ sở đặt tại TQ tấn công mạng VN suốt 10 năm.

      Anh Vũ – Quang Thuần

      >> Hai ngày, hacker Trung Quốc tấn công 1.000 website của Việt Nam
      >> ‘Đại pháo’, vũ khí tấn công mạng mới của Trung Quốc
      >> Gần 20.000 sự cố tấn công trên hệ thống mạng internet VN
      >> Trang FAM bị tấn công: Hacker ‘bên thứ ba’ ra tay để gây rối?
      >> Hơn 700 website Việt Nam bị tin tặc Trung Quốc tấn công
      >> Không loại trừ hacker Trung Quốc tấn công mạng Bộ Tài nguyên – Môi trường

      Số lượt thích

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s