Nhóm hacker APT30 theo dõi các nhà báo như thế nào

Nhóm này phát tán cá꧒c e-mail được cá nhân hóa, viết bằng ngôn ngữ địa phương để tấn công cá♑c mục tiêu.

Công ty FireEye (Mỹ) cho biết họ phát hiện ra một nhóm tin tặc꧟ nhắm đến các cơ quan chính phủ và tổ💦 chức nắm giữ những thông tin quân sự, kinh tế chính trị qu🥃an trọng tại các nước Đông Nam Á từ năm 2005 đến nay.👍 Nhóm được FireEye đặt tên là APT30 này cũng đã thực hiện một số cuộc tấn công nhằm vào các cơ quan, tổ chức tại Việt Nam.

"Rất hiếm khi chúng tôi phát hiện một nhóm nào có sự quan tâm đặc biệt đến tình hình khu vực như APT30. Để có thể tiếp cận thông tin, nhóm đã hướng đến hệ thống, thiết bị của các quan chức chính phủ, nhà ngoại giao, doanh nhân và nhà báo. N𒁏hóm này phát tán e-mail được cá nhân hóa, viết bằng ngôn ngữ địa phương để tấn công các mục tiêu", FireEye cho hay.

Đáng chú ý, APT30 khai thác những chủ đề liên quan đến di🐼ễ𓆏n biến chính trị để dụ những người mà nhóm định tấn công mở file đính kèm chứa mã độc. "Chúng tôi không ngạc nhiên khi họ cũng tận dụng diễn biến chính trị l🍬iên quan ở Việt Nam để làm chủ đề của các e-mail tấn công", ông Wias Issa, Giám đốc cấp cao của FireEye, chia sẻ.

Các nước là mục tiêu tấn công của APT30.

Cuốiℱ hè 2014, FireEye phát hiện một chiến dịch tấ𒀰n công quan trọng của APT30 sau khi nhóm này gửi thư tới hơn 30 địa chỉ e-mail mà người nhận làm trong các lĩnh vực khác nhau với ngôn ngữ bản địa của quốc gia đó. Tiêu đề thư là "Phản ứng của báo chí nước ngoài đối với những chuyển giao chính trị" - vốn là mối quan tâm của những ꦚngười nắm giữ các vị trí lãnh đạo, đang làm nhiệm vụ quốc phòng, công tác ngoại giao, báo chí. E-mail bẫy này được gửi từ m🦩ột địa chỉ thư điện tử đã bị tấn công của một cơ quan chính phủ ở đất nước đó, hoặc được ngụy tạo nhằm đánh lừa người nhận như thể e-mail đó là từ một nguồn tin cậy.

Trong khi đó, từ năm 2012, khoảng 50 nhᩚᩚᩚᩚᩚᩚ⁤⁤⁤⁤ᩚ⁤⁤⁤⁤ᩚ⁤⁤⁤⁤ᩚ𒀱ᩚᩚᩚà báo và cơ quan truyền thông theo dõi mảng tin tế g꧟iới nhận được một thư điện tử bẫy với ch൲ủ đề "Họp báo ngày 29ꦛ/10 Trung Quốc MFA - Toàn văn".

FireEye khuyến cáo, công nghệ b🐲ảo mật thông thường được trang bị trên máy tính của người dùng không thể phát hiệ🦩n những vụ tấn công kiểu này. "Những cơ quan truyền thông báo chí là mục tiêu quan trọng của nhóm APT30. Đối với tin tặc, biết được thông tin từ trước và nắm được nguồn tin mà báo chí có được sẽ là những dữ liệu quý giá đối với họ. Các nhà b𒉰áo có thể nhận rất nhiều e-mail hàng ngày từ những người mà họ không biết với các tập tin đính kèm có chứa thông tin giúp họ tác nghiệp. Đây là một cơ hội tốt để tin tặc lợi dụng và tấn công", đại diện FireEye cho hay.

Ông Issa cho rằng nhà báo cần cẩn trọng với file đính kèm từ người lạ, sử dụng mật khẩu có tính an toàn cao và có thói quen bảo mật 🐭thông tin tiêu chuẩn. "Tuy nhiên, thậm chí những nhà báo có ý thức bảo mật cao nhất cũng sẽ có lúc phạm lỗi. Đó là một thử thách không nhỏ. Một kẻ tấn công chỉ cần đúng lúc một lần thôi để có thể thâm nhập vào một cơ quan truyền thông. Nhưng hệ thống an ninh mạng của cơ quan báo chí đó thì phải thực hiện tốt nhiệm vụ của mình mọi l🐻úc. Có thể thấy tầm quan trọng của việc có công nghệ phát hiện được cài đặt vào mạng máy tính của tờ báo", ông Issa nhấn mạnh.

APT30 ra đời không phải để ăn༺ cắp các thông tin tài chính để kiếm lời, mà có nhi♛ệm vụ thu thập dữ liệu nhạy cảm từ nhiều mục꧒ tiêu, gồm cả những mạng máy tính bí mật của chính phủ và 🦂những mạng máy tính bảo mật tối ưu - mạng máy tính không kết 🍷nối với Internet thông thường và thường lưu trữ nhiều thông tin nhạy cảm, như các mạng máy tính bảo mật của chính phủ.

Tại Việt Nam, cũng giống như ở các nước Đဣông Nam Á khác, APT30 phát triển một bộ công cụ tích hợp, bao gồm những phần mềm độc hại (downloader), các Trojan điều khiển cổng hậu từ xa, các phần mềm điều khiển trung tâm và một𒁏 vài phần mềm độc hại khác được thiết kế để lây nhiễm trên thiết bị lưu trữ di động và xâm nhập vào các mạng nội bộ bảo mật tuyệt đối để đánh cắp dữ liệu.

Công cụ chínhꩲ của nhóm được sử dụng khá nhất quán trong suốt một thời gian dài là các mã độc backdoor có tên là BackSpace và Neteagle và một bộ công cụ (Shipshape, Spaceship và Flashflood) được thiết kế để lây nhiễm và đánh cắp dữ li𝓀ệu từ những mạng nội bộ bảo mật tuyệt ♒đối thông qua các thiết bị lưu trữ di động bị nhiễm virus. Công cụ này cho phép tin tặc thao túng các tệp dữ liệu trên máy tính của nạn nhân như đọc, chép các file, tìm kiếm file có tên đặc biệt hoặc có ký hiệu đặc biệt, xóaဣ file và tả𒁃i những file được chọn lên bộ điều khiển.

"APT30 chắc chắn không phải là nhóm duy nhất xây dựng tính năng lây nhiễm mã độc vào các mạng nội bộ bảo mật tuyệt đối trong các cuộc tấn công của mình, nhưng có lẽ họ đã có chủ trươ✃ng này ngay từ ban đầu vào năm 2005, sớm hơn rất 🌄nhiều so với nhiều nhóm tin tặc trình độ cao khác mà chúng tôi đã theo dõi. Những nỗ lực dai dẳng, phát triển có kế hoạch, đi đôi với những mục tiêu và nhiệm vụ trong khu vực của nhóm, khiến chúng tôi tin rằng hoạt động này được tài trợ bởi một chính phủ, rất có thể là chính phủ Trung Quốc", FireEye viết trong bản báo cáo về APT30.

Châu An

Trở lại Số hóaTrở lại Số hóa