Nhóm hacker APT30 theo dõi các nhà báo như thế nào

Công ty FireEye (Mỹ) cho biết họ phát hiện ra một nhóm tin tặc nhắm đến các cơ quan chính phủ và tổ chức nắm giữ những thông tin quân sự, kinh tế chính trị quan trọng tại các nước Đông Nam Á từ năm 2005 đến nay. Nhóm được FireEye đặt tên là APT30 này cũng đã thực hiện một số cuộc tấn công nhằm vào các cơ quan, tổ chức tại Việt Nam.

"Rất hiếm khi chúng tôi phát hiện một nhóm nào có sự quan tâm đặc biệt đến tình hình khu vực như APT30. Để có thể tiếp cận thông tin, nhóm đã hướng đến hệ thống, thiết bị của các quan chức chính phủ, nhà ngoại giao, doanh nhân và nhà báo. Nhóm này phát tán e-mail được cá nhân hóa, viết bằng ngôn ngữ địa phương để tấn công các mục tiêu", FireEye cho hay. 

Đáng chú ý, APT30 khai thác những chủ đề liên quan đến diễn biến chính trị để dụ những người mà nhóm định tấn công mở file đính kèm chứa mã độc. "Chúng tôi không ngạc nhiên khi họ cũng tận dụng diễn biến chính trị liên quan ở Việt Nam để làm chủ đề của các e-mail tấn công", ông Wias Issa, Giám đốc cấp cao của FireEye, chia sẻ.

Các nước là mục tiêu tấn công của APT30.

Cuối hè 2014, FireEye phát hiện một chiến dịch tấn công quan trọng của APT30 sau khi nhóm này gửi thư tới hơn 30 địa chỉ e-mail mà người nhận làm trong các lĩnh vực khác nhau với ngôn ngữ bản địa của quốc gia đó. Tiêu đề thư là "Phản ứng của báo chí nước ngoài đối với những chuyển giao chính trị" - vốn là mối quan tâm của những người nắm giữ các vị trí lãnh đạo, đang làm nhiệm vụ quốc phòng, công tác ngoại giao, báo chí. E-mail bẫy này được gửi từ một địa chỉ thư điện tử đã bị tấn công của một cơ quan chính phủ ở đất nước đó, hoặc được ngụy tạo nhằm đánh lừa người nhận như thể e-mail đó là từ một nguồn tin cậy.

Trong khi đó, từ năm 2012, khoảng 50 nhà báo và cơ quan truyền thông theo dõi mảng tin tế giới nhận được một thư điện tử bẫy với chủ đề "Họp báo ngày 29/10 Trung Quốc MFA - Toàn văn". 

FireEye khuyến cáo, công nghệ bảo mật thông thường được trang bị trên máy tính của người dùng không thể phát hiện những vụ tấn công kiểu này. "Những cơ quan truyền thông báo chí là mục tiêu quan trọng của nhóm APT30. Đối với tin tặc, biết được thông tin từ trước và nắm được nguồn tin mà báo chí có được sẽ là những dữ liệu quý giá đối với họ. Các nhà báo có thể nhận rất nhiều e-mail hàng ngày từ những người mà họ không biết với các tập tin đính kèm có chứa thông tin  giúp họ tác nghiệp. Đây là một cơ hội tốt để tin tặc lợi dụng và tấn công", đại diện FireEye cho hay. 

Ông Issa cho rằng nhà báo cần cẩn trọng với file đính kèm từ người lạ, sử dụng mật khẩu có tính an toàn cao và có thói quen bảo mật thông tin tiêu chuẩn. "Tuy nhiên, thậm chí những nhà báo có ý thức bảo mật cao nhất cũng sẽ có lúc phạm lỗi. Đó là một thử thách không nhỏ. Một kẻ tấn công chỉ cần đúng lúc một lần thôi để có thể thâm nhập vào một cơ quan truyền thông. Nhưng hệ thống an ninh mạng của cơ quan báo chí đó thì phải thực hiện tốt nhiệm vụ của mình mọi lúc. Có thể thấy tầm quan trọng của việc có công nghệ phát hiện được cài đặt vào mạng máy tính của tờ báo", ông Issa nhấn mạnh.

APT30 ra đời không phải để ăn cắp các thông tin tài chính để kiếm lời, mà có nhiệm vụ thu thập dữ liệu nhạy cảm từ nhiều mục tiêu, gồm cả những mạng máy tính bí mật của chính phủ và những mạng máy tính bảo mật tối ưu - mạng máy tính không kết nối với Internet thông thường và thường lưu trữ nhiều thông tin nhạy cảm, như các mạng máy tính bảo mật của chính phủ. 

Tại Việt Nam, cũng giống như ở các nước Đông Nam Á khác, APT30 phát triển một bộ công cụ tích hợp, bao gồm những phần mềm độc hại (downloader), các Trojan điều khiển cổng hậu từ xa, các phần mềm điều khiển trung tâm và một vài phần mềm độc hại khác được thiết kế để lây nhiễm trên thiết bị lưu trữ di động và xâm nhập vào các mạng nội bộ bảo mật tuyệt đối để đánh cắp dữ liệu. 

Công cụ chính của nhóm được sử dụng khá nhất quán trong suốt một thời gian dài là các mã độc backdoor có tên là BackSpace và Neteagle và một bộ công cụ (Shipshape, Spaceship và Flashflood) được thiết kế để lây nhiễm và đánh cắp dữ liệu từ những mạng nội bộ bảo mật tuyệt đối thông qua các thiết bị lưu trữ di động bị nhiễm virus. Công cụ này cho phép tin tặc thao túng các tệp dữ liệu trên máy tính của nạn nhân như đọc, chép các file, tìm kiếm file có tên đặc biệt hoặc có ký hiệu đặc biệt, xóa file và tải những file được chọn lên bộ điều khiển. 

"APT30 chắc chắn không phải là nhóm duy nhất xây dựng tính năng lây nhiễm mã độc vào các mạng nội bộ bảo mật tuyệt đối trong các cuộc tấn công của mình, nhưng có lẽ họ đã có chủ trương này ngay từ ban đầu vào năm 2005, sớm hơn rất nhiều so với nhiều nhóm tin tặc trình độ cao khác mà chúng tôi đã theo dõi. Những nỗ lực dai dẳng, phát triển có kế hoạch, đi đôi với những mục tiêu và nhiệm vụ trong khu vực của nhóm, khiến chúng tôi tin rằng hoạt động này được tài trợ bởi một chính phủ, rất có thể là chính phủ Trung Quốc", FireEye viết trong bản báo cáo về APT30.

Châu An