Nhóm tin tặc có liên hệ với Trung Quốc nhắm mục tiêu vào các quốc gia ở Biển Đông

Giúp NTDVN sửa lỗi

Theo công ty an ninh mạng Bitdefender của Romania, một nhóm tin tặc mới có liên hệ với Trung Quốc, được đặt tên là ‘Unfading Sea Haze’, đã hoạt động từ năm 2018, nhắm mục tiêu vào các tổ chức quân sự và chính phủ tại các quốc gia Biển Đông.

Báo cáo của Bitdefender công bố ngày 22/5 chỉ ra rằng hoạt động của nhóm này phù hợp với lợi ích địa chính trị của Trung Quốc, tập trung chủ yếu vào các cuộc tấn công tình báo. "Các mục tiêu và bản chất của các cuộc tấn công cho thấy sự liên kết với lợi ích của Trung Quốc", báo cáo nhấn mạnh.

Các nhà nghiên cứu cũng nhấn mạnh rằng nhóm này đã tạo ra "một kho vũ khí tinh vi gồm phần mềm độc hại và các công cụ tùy chỉnh". Đáng chú ý, một trong những kỹ thuật của họ được phát hiện trùng lặp với kỹ thuật của nhóm gián điệp APT41, vốn được biết đến là có sự hậu thuẫn của Trung Quốc.

Báo cáo chỉ ra rằng, "Không phát hiện thấy sự trùng lặp nào khác với các công cụ đã biết của APT41. Điểm tương đồng duy nhất này có thể là một dấu hiệu khác cho thấy sự chia sẻ các phương thức lập trình trong giới tin tặc Trung Quốc".

APT41 là một trong nhiều nhóm tác nhân đe dọa liên tục nâng cao (APT) của Trung Quốc được biết đến đã thực hiện các hoạt động mạng độc hại nhắm vào các tổ chức, công ty và chính phủ phương Tây.

Các nhóm khác bao gồm APT10 và APT40. Hiện tại, 5 công dân Trung Quốc từ nhóm APT41 đã nằm trong danh sách truy nã của Cục Điều tra Liên bang Mỹ (FBI). Vào năm 2020, 5 thành viên của nhóm APT41 đã bị truy tố về các tội danh liên quan đến các chiến dịch tấn công mạng nhằm đánh cắp bí mật thương mại và thông tin nhạy cảm từ hơn 100 công ty và tổ chức trên toàn thế giới.

Theo báo cáo, nhóm Unfading Sea Haze đã nhắm mục tiêu vào ít nhất 8 nạn nhân, chủ yếu là các mục tiêu quân sự và chính phủ từ năm 2018, và nhóm này "liên tục giành lại quyền truy cập vào các hệ thống đã bị xâm nhập".

Theo báo cáo, nhóm tin tặc Unfading Sea Haze đã sử dụng nhiều phương thức tinh vi để xâm nhập và thu thập dữ liệu từ các hệ thống mục tiêu. Một trong số đó là gửi email lừa đảo (spear-phishing) chứa tệp ZIP độc hại. Các tệp ZIP này chứa các tệp LNK được ngụy trang dưới dạng tài liệu thông thường, khi được nhấp vào sẽ thực thi các lệnh độc hại.

Một số tên tệp ZIP được sử dụng bao gồm "Data", "Doc" và "Startechup_fINAL". Đáng chú ý, từ tháng 3 năm 2024, nhóm này bắt đầu sử dụng các tên tệp ZIP mới như "Assange_Labeled_an_‘Enemy’_of_the_US_in_Secret_Pentagon_Documents102" và "Presidency of Barack Obama", hoặc các tên gây hiểu nhầm như trình cài đặt, cập nhật và tài liệu của Microsoft Windows Defender.

Sau khi xâm nhập thành công vào các hệ thống mục tiêu, nhóm tin tặc này đã triển khai nhiều công cụ, cả tùy chỉnh lẫn có sẵn, để thu thập dữ liệu.

Một trong số đó là một phần mềm có tên là "xkeylog". Đây là một công cụ tùy chỉnh có khả năng ghi lại toàn bộ thao tác gõ phím trên máy nạn nhân. Bên cạnh đó, nhóm này còn sử dụng một trình niêm phong dữ liệu trình duyệt nhằm thu thập thông tin được lưu trữ trong các trình duyệt phổ biến như Google Chrome, Firefox, Microsoft Edge và Internet Explorer.

Ngoài ra, Unfading Sea Haze còn phát triển một công cụ tùy chỉnh thứ ba cho phép họ giám sát sự hiện diện của các thiết bị di động trên hệ thống bị xâm nhập. Theo báo cáo, công cụ này liên tục kiểm tra các thiết bị di động cứ sau 10 giây. Nếu phát hiện thiết bị WPD hoặc USB được kết nối, công cụ này sẽ thu thập thông tin chi tiết về thiết bị và gửi về máy chủ điều khiển bởi nhóm tin tặc thông qua yêu cầu HTTP GET.

Theo báo cáo, Unfading Sea Haze còn thu thập dữ liệu từ các ứng dụng nhắn tin như Telegram và Viber, đồng thời sử dụng công cụ nén RAR để thực hiện việc trích xuất dữ liệu thủ công.

Báo cáo nhấn mạnh: "Sự kết hợp giữa các công cụ thủ công và có sẵn, cùng với việc trích xuất dữ liệu thủ công, cho thấy đây là một chiến dịch gián điệp có mục tiêu rõ ràng, tập trung vào việc thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập".

Nhóm tin tặc này đã hoạt động bí mật trong hơn 5 năm, một hiện tượng mà báo cáo đánh giá là "đặc biệt đáng lo ngại", cho thấy "những kẻ tấn công đã thể hiện phương thức tiếp cận hết sức tinh vi đối với các cuộc tấn công mạng".

Các nhà nghiên cứu cho biết họ công bố phát hiện này với mong muốn "hỗ trợ cộng đồng an ninh mạng trong việc nhận diện và ngăn chặn các nỗ lực gián điệp của Unfading Sea Haze".

Báo cáo kết luận bằng một số khuyến nghị nhằm giảm thiểu rủi ro từ Unfading Sea Haze và các nhóm tin tặc tương tự. Các nhà nghiên cứu Bitdefender đề xuất ưu tiên quản lý bản vá, thực thi chính sách mật khẩu mạnh, giám sát chặt chẽ lưu lượng mạng và hợp tác với cộng đồng an ninh mạng.

Trung Quốc hiện đang có tranh chấp chủ quyền với Brunei, Malaysia, Philippines, Việt Nam và Đài Loan đối với các rạn san hô, đảo và đảo san hô ở Biển Đông. Phán quyết của Tòa Trọng tài Thường trực (PCA) năm 2016 đã bác bỏ yêu sách "đường chín đoạn" của Bắc Kinh đối với khoảng 85% diện tích 2,2 triệu dặm vuông (khoảng 5,7 triệu km vuông) của Biển Đông.

Hồi tháng 2, Philippines thông báo các tin tặc có trụ sở tại Trung Quốc đã cố gắng xâm nhập vào trang web và hệ thống thư điện tử của tổng thống cùng các cơ quan chính phủ nước này, nhưng không thành công.

Theo The Epoch Times

Huyền Anh biên dịch



BÀI CHỌN LỌC

Nhóm tin tặc có liên hệ với Trung Quốc nhắm mục tiêu vào các quốc gia ở Biển Đông