Cảnh báo chiến dịch tấn công mạng nhằm vào Việt Nam

ANTĐ - Nhóm tin tặc được mô tả chi tiết trong một báo cáo có tựa đề “APT30 và Cơ chế hoạt động của cuộc tấn công thời gian dài trên không gian mạng”.

Các quốc gia đã bị APT 30 tấn công mạng (Nguồn: FireEye)

Hôm nay (25-5), FireEye, Inc. (NASDAQ: FEYE), công ty bảo mật chuyên ngăn chặn các cuộc tấn công trình độ cao trên không gian mạng đã có buổi thuyết trình, đưa ra báo cáo về hoạt động của một chiến dịch tấn công trên không gian mạng nhằm vào khu vực Đông Nam Á, trong đó có Việt Nam. 

Báo cáo này cung cấp thông tin chuyên sâu về hoạt động của APT 30, một nhóm tin tặc trình độ cao, hoạt động bền bỉ và có khả năng được bảo trợ bởi một chính phủ.

Bắt đầu các cuộc tấn công trên không gian mạng ít nhất từ năm 2005, APT30 là một trong những nhóm có thời gian hoạt động lâu năm. Nhóm này duy trì một cách nhất quán hầu hết các mục tiêu ở Đông Nam Á và Ấn Độ. Công cụ tấn công, chiến thuật và cách thức hành động của nhóm APT30 cũng được duy trì không thay đổi kể từ ngày đầu – Một điều rất hiếm thấy vì hầu hết các nhóm tấn công trình độ cao có chủ đích thường thay đổi đều đặn công cụ tấn công, chiến thuật và cách thức hành động để tránh bị phát hiện.

 “Điều này rất bất thường! Nhóm này sử dụng duy nhất một cơ sở hạ tầng trong suốt hơn một thập niên. Một giải thích thỏa đáng là nhóm APT30 thấy rằng chẳng có lý do gì họ phải thay đổi sang cơ sở hạng tầng mới, vì họ chưa bị phát hiện. Từ đó cho thấy nhiều tổ chức không hề hay biết về các cuộc tấn công trình độ cao này”- ông Wias Issa, Giám đốc Cấp cao của FireEye cho biết.

APT 30 triển khai các mã độc (malware) thiết kế riêng, sử dụng trong các chiến dịch nhằm vào các nước thành viên ASEAN và các quốc gia khác. Đến nay, đã có tới 200 mẫu mã độc của nhóm APT30 được phát hiện trong quá trình theo dõi đã và đang tấn công vào các tổ chức quan trọng ở Việt Nam.

Phân tích các mã độc của nhóm APT30 sử dụng cho thấy, phương pháp phát triển mã độc một cách bài bản, chuyên nghiệp giống như phương pháp vận hành của các công ty kinh doanh công nghệ - thiết kế riêng để tiếp cận trực tiếp các lĩnh vực như: ngoại giao, chính trị, báo chí và khu vực kinh tế tư nhân mà nhóm này nhắm tới. 

Từ ngày 7-12-2014, các sản phẩm của FireEye đã phát hiện các malware mà các nhóm APT hay những nhóm khác sử dụng nhằm vào những mạng nội bộ của 29% khách hàng của mình tại Đông Nam Á. Nếu tính trên quy mô toàn cầu, FireEye đã phát hiện những cuộc tấn công nhằm vào khoảng 27% số khách hàng của mình.

Theo tính toán của FireEye, thời gian để nhóm tin tặc xâm nhập hệ thống và lấy cắp thành công thông tin ít nhất là 10 phút và tồn tại đến 205 ngày trong một hệ thống hoặc máy tính. Khi các quốc gia Đông Nam Á có sự kiện quan trọng thì nhiều cuộc tấn công mạng cũng diễn ra trùng hợp. Ví dụ, có 35 mẫu được biên dịch vào ngày 31-12-2012, ngày 4-1 và 5-1-2013, trùng hợp với sự kiện ngày 1-12013, ông Lê Lương Minh nhậm chức Tổng thư ký ASEAN với nhiệm kỳ 5 năm.
Với những "dấu vết" của nhóm tin tặc để lại, FireEye cho rằng, tổ chức này có thể được đặt tại Trung Quốc và được tài trợ bởi một chính phủ.
FireEye cũng cho biết thêm, mục đích công bố báo cáo này là nhằm nâng cao nhận thức cho cộng đồng về an ninh mạng; Khuyến cáo khách hàng không nên mở những email, tài liệu "lạ". Đồng thời, việc công bố báo cáo có thể làm gián đoạn các cuộc tấn công dai dẳng trong hàng chục năm qua.