Theo tiết lộ của chính Community Health Systems (CHS) thì các vụ tấn công diễn ra trong khoảng thời gian từ tháng 4 đến tháng 6 vừa qua. Nhóm hacker này được nhận định là có xuất xứ từ Trung Quốc và đã qua mặt được hệ thống an ninh của CHS, từ đó truy xuất được thông tin cá nhân của hàng triệu bệnh nhân đến thăm khám tại các bệnh viện thuộc CHS.

Dù bản thân quy mô của vụ việc đã đủ để gây chấn động, nhưng thắc mắc lớn nhất của dư luận lúc này lại tập trung vào việc vì sao, động cơ nào đã khiến cho nhóm tin tặc nói trên đánh cắp 4,5 triệu bệnh án? Mọi chuyện càng trở nên bí ẩn hơn khi Charles Carmakal, Giám đốc điều hành hãng bảo mật Mandiant nhận định thủ phạm chính là nhóm hacker khét tiếng APT 18, chuyên nhằm vào những mục tiêu như các doanh nghiệp trong lĩnh vực quốc phòng, không gian, xây dựng, kỹ sư, công nghệ, dịch vụ tài chính và chăm sóc y tế.

Tại sao mà một nhóm tin tặc chuyên đánh cắp các công thức bí mật, những công nghệ độc quyền, trọng yếu như APT 18 lại có hứng thú với bệnh án của người dân Mỹ, vốn là lãnh địa truyền thống của dân "trộm danh tính" mà thôi?

Carmakal nhấn mạnh rằng việc những tin tặc khét tiếng, chuyên đánh cắp bí mật doanh nghiệp bỗng dưng chuyển hướng sang ăn cắp dữ liệu cá nhân là rất bất thường.

Có thể là nhóm hacker này chủ định lấy cắp toàn bộ dữ liệu bên trong hệ thống của CHS nên vô tình cuỗm được hồ sơ bệnh án chứ không hề có ý định bán lại hay sử dụng những dữ liệu này. Hoặc thủ phạm đánh cắp thông tin nhằm mục đích định vị các mục tiêu mới, hay bổ sung thêm dữ liệu cá nhân vào hồ sơ của các mục tiêu hiện hành, Mandiant nêu giả thiết.

Tuy nhiên, khả năng cao nhất là APT 18 đã bị hấp dẫn bởi số tiền mà chúng có thể kiếm được khi bán dữ liệu cá nhân trên thị trường chợ đen nên ra tay, một nguồn tin thân cận với vụ điều tra cho biết.

Với dân trộm danh tính chuyên nghiệp thì hồ sơ bệnh án luôn là tài sản cực kỳ giá trị, bởi chúng chứa đựng tất cả các thông tin cá nhân cần thiết để có thể lấy được dữ liệu tín dụng/dịch vụ do nạn nhân đứng tên. Điều trớ trêu là những thông tin cá nhân này lại chẳng liên quan gì đến y tế cả.

Thời gian gần đây, tin tặc ngày càng hứng thú hơn với khu vực y tế và bệnh viện. Bộ phận SecureWorks của Dell cho biết họ đã ứng phó với nhiều vụ xâm nhập nhằm vào các công ty y tế và dược phẩm chỉ trong vòng 12 tháng qua. Thủ đoạn chủ yếu của tin tặc là sử dụng email phishing (thư lừa đảo) nhưng cũng có trường hợp chúng đã truy cập được vào máy tính nhân viên để lây nhiễm mã độc cho toàn bộ hệ thống doanh nghiệp.

Các chuyên gia bảo mật và cơ quan điều tra Mỹ đã theo vết APT 18 từ nhiều năm nay nhưng đây là lần đầu tiên băng đảng này bị phát hiện có dính líu đến một chiến dịch tấn công bên ngoài lĩnh vực công nghiệp. Tháng 5 vừa qua, Bộ Tư Pháp Mỹ đã buộc tội 5 thành viên của APT 18 về tội ăn cắp bí mật thương mại từ những gã khổng lồ công nghiệp Mỹ như United States Steel và Alcoa.

"Trong quá trình điều tra, thường thì xác định động cơ của tin tặc bao giờ cũng dễ nhưng lần ra danh tính của chúng mới khó. Riêng trong trường hợp này mọi chuyện lại diễn biến ngược hẳn. Chúng ta biết chúng là ai nhưng lại không hiểu chúng hành động như vậy để làm gì", ông Carmakal kết luận.