Phát hiện nhóm tin tặc tấn công dai dẳng Việt Nam trong suốt 1 thập kỷ

Tấn công dai dẳng

Nhóm tin tặc được mô tả chi tiết trong một báo cáo có tựa đề “APT30 và Cơ chế hoạt động của cuộc tấn công thời gian dài trên không gian mạng”. Báo cáo này cung cấp thông tin chuyên sâu về hoạt động của APT 30, một nhóm tin tặc trình độ cao, hoạt động bền bỉ và có khả năng được bảo trợ bởi một chính phủ.

“Những nhóm tin tặc trình độ cao như APT 30 cho thấy rằng những cuộc tấn công trên không gian mạng có thể được một quốc gia nào đó tài trợ gây ảnh hưởng lớn đến các cơ quan chính phủ và các tổ chức khu vực Đông Nam Á và cả Việt Nam”, ông Wias Issa- Giám đốc Cấp cao của FireEye cho biết. 

Theo ông, nhóm APT30 là nhóm đầu tiên có thể tấn công vào các mạng bảo mật tuyệt đối, gồm những thông tin chính trị, hạ tầng rất quan trọng. 

“Các cơ quan chính phủ và các tổ chức tại Việt Nam sẽ phải đối mặt với những nhóm tin tặc được trang bị tốt với chiến thuật dai dẳng, đeo bám đến khi thành công”.

Bắt đầu tiến hành các cuộc tấn công trên không gian mạng ít nhất từ năm 2005, APT30 là một trong những nhóm có thời gian hoạt động lâu năm nhất mà FireEye theo dõi. Nhóm này duy trì một cách nhất quán hầu hết các mục tiêu ở Đông Nam Á và Ấn Độ.

Công cụ tấn công, chiến thuật và cách thức hành động của nhóm APT30 cũng được duy trì không thay đổi kể từ ngày đầu – Một điều rất hiếm thấy vì hầu hết các nhóm tấn công trình độ cao có chủ đích thường thay đổi đều đặn công cụ tấn công, chiến thuật và cách thức hành động để tránh bị phát hiện.

Năm 2014, FireEye đã dành hàng trăm nghìn giờ để nghiên cứu về các cuộc tấn công và họ đưa ra kết luận, dường như đây là tổ chức có thể được một chính phủ tài trợ.

Tin tặc trình độ cao

“Điều này rất bất thường! Nhóm này sử dụng duy nhất một cơ sở hạ tầng trong suốt hơn một thập kỷ. Một giải thích thỏa đáng là nhóm APT30 thấy rằng chẳng có lý do gì họ phải thay đổi sang cơ sở hạng tầng mới, vì họ chưa bị phát hiện. Từ đó cho thấy nhiều tổ chức không hề hay biết về các cuộc tấn công trình độ cao này.”, ông Issa cho biết thêm.

“Những hiểu biết chuyên sâu về nhóm APT30 mà chúng tôi đang chia sẻ giúp các tổ chức ở Việt Nam nhanh chóng phát hiện, ngăn ngừa, phân tích và đối phó với những cuộc tấn công mà nhóm này đang tiến hành”.

Theo ông Wias Issa, APT 30 triển khai các mã độc (malware) thiết kế riêng, sử dụng trong các chiến dịch nhằm vào các nước thành viên ASEAN và các quốc gia khác. Đến nay, đã có tới 200 mẫu mã độc của nhóm APT30 được phát hiện trong quá trình theo dõi đã và đang tấn công vào các tổ chức quan trọng ở Việt Nam.

Phân tích các mã độc của nhóm APT30 sử dụng cho thấy phương pháp phát triển mã độc một cách bài bản, chuyên nghiệp giống như phương pháp vận hành của các công ty kinh doanh công nghệ - thiết kế riêng để tiếp cận trực tiếp các lĩnh vực như ngoại giao, chính trị, báo chí và khu vực kinh tế tư nhân mà nhóm này nhắm tới.

Một trong những chiến thuật, APT30 hướng tới các cá nhân có thể có thông tin nhạy cảm như việc chuyển giao chính trị, quốc phòng, hay tranh chấp biên giới. Các nhà báo cũng là đối tượng bị tấn công thường xuyên.

FireEye đưa ra khuyến cáo, có khoảng 50 quốc gia chịu ảnh hưởng của các đợt tấn công trên mạng. Người dùng cần đưa ra câu hỏi liệu tổ chức của mình có đang bị tấn công hay không và mình bị tấn công tới mức nào? Tất cả người dùng cần nâng cao nhận thức tự phòng vệ dữ liệu của mình. 

Bảo Khánh