Phát hiện nhóm tin tặc tấn công Đông Nam Á suốt 10 năm

Hãng bảo mật Mỹ FireEye mới đây cho biết một nhóm tin tặc đã tấn công các chính phủ và tập đoàn trong khu vực Đông Nam Á trong suốt một thập kỷ và đây là một trong những hoạt động tấn công mạng lâu nhất và hiệu quả nhất từng bị phát hiện.

Nhóm tin tặc được đặt tên là APT30 này thường tăng cường hoạt động trước các cuộc họp ngoại giao của các nước trong khu vực, đồng thời nhắm đến ít nhất 15 công ty trong các ngành truyền thông, công nghệ, tài chính và hàng không trong khu vực, Bloomberg dẫn báo cáo của công ty an ninh mạng Mỹ cho biết.

Ngoài ra, Mỹ và một số đơn vị quân đội của Ấn Độ cũng là mục tiêu tấn công của nhóm tin tặc trên.

FireEye thường dựa vào mã phần mềm và ngôn ngữ để xác định nguồn gốc các cuộc tấn công mạng. Năm 2013, một nhánh trực thuộc FireEye là Mandiant đã tuyên bố một đơn vị quân đội Trung Quốc đứng sau các vụ tấn công mạng nhằm vào Mỹ, và sau đó chính phủ Mỹ chính thức cáo buộc các thành viên của đơn vị này.

Nhóm tin tặc APT30 đã bắt đầu tấn công mạng các quốc gia Đông Nam Á ít nhất từ năm 2005 bằng cách phân tán phần mềm độc hại, còn gọi là malware. Phần mềm này cho phép các hacker truy cập vào máy tính trong ASEAN và Ấn Độ, FireEye cho biết.

Việc nhóm tin tặc nhắm đến những máy tính không được nối mạng trực tiếp cho thấy những kẻ này đang tìm kiếm những dạng thông tin nhạy cảm nhất, ông Bryce Boland, giám đốc công nghệ của FireEye tại khu vực châu Á - Thái Bình Dương cho biết.

Hoạt động nhắm đến các hệ thống không nối mạng trực tiếp của nhóm này từ năm 2005 là một trong những trường hợp sớm nhất sử dụng chiến thuật này từng được phát hiện, FireEye cho biết.

Bằng cách sử dụng một gói phần mềm có tên là Backspace và Neteagle, và các công cụ liên quan được gọi là Shipshape, Spaceship và Flashflood, nhóm tin tặc theo dõi các tập tin của các đối tượng tấn công liên quan đến các vấn đề chính trị, quân sự và kinh tế. Các tổ chức truyền thông và nhà báo cũng là mục tiêu của nhóm này, FireEye cho biết.

"Các cuộc tấn công trong ngành công nghệ cao tập trung vào việc truy cập vào sơ đồ và thông tin thiết kế của sản phẩm," ông Boland nói, và từ chối cho biết tên các doanh nghiệp bị tấn công.

Bằng cách gửi email giả danh, bao gồm dùng ngôn ngữ các nước như Thái Lan, các tin tặc lừa mục tiêu mở tài liệu bị nhiễm phần mềm độc hại được cài đặt sẵn. Ví dụ, tin tặc gửi một email trông như là có nguồn gốc đáng tin cậy tới hơn 50 nhà báo với dòng tiêu đề “Họp báo Bộ Ngoại giao Trung Quốc”.

Nhóm tin tặc thường xuyên cập nhật các phần mềm độc hại và lưu giữ chi tiết phần mềm cho thấy đây là một nhóm lớn, hoạt động có hiệu quả và chặt chẽ, FireEye cho biết.

"Nhóm này đặc biệt quan tâm đến các tổ chức có liên quan đến ASEAN và các chính phủ trong khối, nhất là trong khoảng thời gian diễn ra các cuộc họp chính thức của ASEAN," báo cáo cho biết.