Kế hoạch tấn công mạng quy mô lớn tên mã "Red October" đã bị gã khổng lồ bảo mật của Nga - Kaspersky Lab - khám phá hôm 14/1.

Tuy nhiên, bằng chứng để lại không thể cho thấy ai là người đứng sau vụ tấn công. Mã độc trong cuộc tấn công nhằm vào gần như mọi mạng lưới chính phủ, các tổ chức nghiên cứu, ngoại giao, cơ sở hạ tầng quan trọng nằm tại mọi châu lục.

Claudio Guarnieri - chuyên gia bảo mật tại công ty an ninh mạng Rapid7 cho rằng từ các mục tiêu kể trên, mục đích của cuộc tấn công "hoàn toàn mang động cơ chính trị". Đây cũng là ý kiến chung của các chuyên gia Kaspersky, những người viết trong báo cáo "mục đích chính của kế hoạch dường như là thu thập thông tin tình báo chính trị, dù phạm vi thu thập thông tin là khá rộng".

Theo Kaspersky, Nga và các quốc gia Xô-viết là các nước bị tấn công mạnh nhất. Trong các trường hợp như thế này, Markus Jakobsson - Giám đốc CNTT hãng bảo mật di động FatSkunk nhấn mạnh phải xem ai không phải là nạn nhân. Có một thế lực lớn trong thế giới gián điệp mạng dường như không bị tổn hại gì từ cuộc tấn công toàn cầu mà Kaspersky ước tính đã diễn ra từ năm 2007: Trung Quốc. Chi tiết này cùng động cơ chính trị khiến Jakobsson tin rằng Trung Quốc là thủ phạm đứng sau vụ tấn công.

Cả Guarnieri và Jakobsson cũng như Adam Segal - nhà nghiên cứu thuộc Hội đồng Quan hệ đối ngoại - đều chung quan điểm thông tin bị Red October đánh cắp không phải là thứ dễ bán hoặc thương mại hóa - tức là loại trừ động cơ hình sự.

Theo Jakobsson, tổ chức tội phạm sử dụng mã độc, thông thường nhắm vào nhiều máy tính và cố gắng đánh cắp dữ liệu để bán giá cao tại "chợ đen". Trường hợp "Red October" không phải như vậy. Tất nhiên, không phải ai cũng dám chắc Trung Quốc đứng sau vụ này.

Segal lưu ý Anh cũng là nước không phải nạn nhân và có thể là quốc gia quan tâm tới thông tin tình báo liên quan tới Nga. Ông ước tính có từ 8 tới 10 nước có động cơ gián điệp nhằm vào Nga và từ 3 tới 5 nước có đủ năng lực kĩ thuật để thực hiện vụ tấn công phức tạp như "Red October". "Có thể là người Trung Quốc, có thể là người Anh, ai biết được", ông nói.

Theo Kaspersky, thông tin công ty thu thập tới thời điểm này không chỉ rõ một nơi chốn cụ thể. Tuy nhiên, một số lỗ hổng "dường như do hacker Trung Quốc tạo ra" và "mô-đun mã độc lại do người nói tiếng Nga tạo ra".

Thực tế, mã độc từ Trung Quốc khó có thể là bằng chứng thuyết phục. Theo Segal, đoạn mã Trung Quốc thường xuất hiện rộng rãi trên website chợ đen nơi tin tặc bán và trao đổi mã. Tuy nhiên, cũng có thể đây là trường hợp nhóm hacker tự do đánh cắp thông tin tình báo với mục đích bán lại cho Chính phủ.

Tất nhiên, tất cả những manh mối này có thể chỉ là mồi nhử để đánh lạc hướng điều tra. Guarnieri - người "đánh hơi" thấy "Red Octorber" từ tháng 2/2012 - nghiêng nhiều hơn về giả thuyết Nga đứng sau vụ tấn công, xét tới một số tên miền dùng tiếng Nga và một số dấu hiệu chỉ ra hacker nói tiếng Nga. Ngoài ra, ông lưu ý Trung Quốc không có lịch sử hoạt động gián điệp mạng kéo dài. Dù vậy, "khó loại trừ Trung Quốc vì đây vẫn là người chơi lớn và gần như luôn liên quan tới các sự việc như thế này".

Red October chỉ là vụ mới nhất trong hàng loạt cuộc tấn công mạng cấp cao bị Kaspersky và các công ty khác khám phá vài tháng qua. Năm 2012, công ty bảo mật Nga phát hiện sự tồn tại của Flame và Gauss (đều được tin rằng do Mỹ và Israel phát triển), trong khi Symantec phát hiện DuQu.

Red October hay "Rocca" tồn tại và thu thập được nhiều loại tài liệu, bao gồm cả những tài liệu mã hóa do EU và NATO sử dụng. Cuộc tấn công nhằm vào máy tính, smartphone, thiết bị lưu trữ như USB. Kaspersky xác định được hàng trăm nạn nhân và hơn 1.000 mô-đun nhiễm độc. Phần lớn mô-đun mã độc được thiết kế để thực hiện các nhiệm vụ khác nhau như thu thập tất cả tài liệu, ghi lại keystroke, chụp ảnh màn hình, lấy tin nhắn Outlook, mật khẩu đã lưu hay đánh cắp dữ liệu từ điện thoại.