Trường Sa Hoàng Sa » Không gian mạng » Phát hiện mạng lưới chung của các nhóm gián điệp mạng Trung Quốc

(Không gian mạng) - Ngày 03/05, nhóm bảo mật 401TRG thuộc hãng ProtectWise (Mỹ) công bố báo cáo tiết lộ mối liên quan giữa những nhóm gián điệp mạng được cho là do Chính phủ Trung Quốc bảo trợ, và ít nhất là vài nhóm trong số đó có thể đang hoạt động ở quận Xicheng (Bắc Kinh).

1610mang

Báo cáo chỉ ra mối quan hệ của nhiều chiến dịch diễn ra trong vòng 10 năm qua. Các nhà nghiên cứu cho biết, nhiều nhóm tin tặc nói tiếng Trung được phát hiện trước đây đều được kết nối với bộ máy tình báo quốc gia Trung Quốc, hay còn được gọi với cái tên “Winnti umbrella”.

Những nhóm như Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, và ShadowPad đều được cho là một phần của bộ máy “Winnti umbrella” dựa vào phương thức, kỹ thuật và quy trình tấn công (TTP) tương đồng, nhiều chiến dịch còn chồng chéo lên nhau và cơ sở hạ tầng tương tự. Các chuyên gia tin rằng, những chiến dịch này là “tác phẩm của các nhóm riêng lẻ, bao gồm các nhà thầu không liên quan đến chính phủ Trung Quốc ở nhiều cấp độ chuyên nghiệp khác nhau, hợp tác theo một lịch trình đặc biệt”.

Những nhóm tin tặc này hoạt động ít nhất từ năm 2009, có thể sớm hơn – năm 2007, mục tiêu ban đầu của chúng thường là các hãng bài bạc và công ty công nghệ cao ở những nước như Mỹ, Nhật, Hàn và Trung Quốc. Mục đích chính là thu thập thông tin đăng nhập mã code và thao tác phần mềm, mục đích thứ 2 là tài chính.

Theo các chuyên gia, mục tiêu chính của Winnti umbrella là chính trị, như các nhà hoạt động Ngô Duy Nhĩ và Tây Tạng, người Tây Tạng, phóng viên Trung Quốc, Chính phủ Thái Lan (chiến dịch Bookworm), và nhiều công ty công nghệ quốc tế lớn.

Những nhóm này vẫn tiếp tục các chiến dịch của mình, mới đây nhất là vào cuối tháng 03/2018. Các cuộc tấn công diễn ra vào năm nay cho thấy, tin tặc đang tập trung vào phương thức tấn công bằng email giả mạo (phishing) – cụ thể là nhắm vào ứng dụng Office 365 và tài khoản Gmail – nhiều hơn là lây nhiễm mã độc và khai thác lỗ hổng.

Các nhóm gián điệp này thường nhắm mục tiêu những tài khoản lưu trữ đám mây với hy vọng qua đó sẽ lấy được chứng thực đăng nhập bằng mã code. Trong một vài trường hợp, tin tặc cũng tìm kiếm tập tin và tài liệu để có thể giúp chúng tính toán các đặc quyền di chuyển sâu hơn mà không cần sự kết nối của nạn nhân.

Trong khi thực hiện các bước ẩn mình, tin tặc đã mắc phải một vài sai sót, giúp cho các nhà điều tra tìm ra những gợi ý quan trọng về vị trí của chúng.

“Trong tình huống lý tưởng của tin tặc, mọi truy cập từ xa đều diễn ra qua cơ sở hạ tầng máy chủ C&C của chúng, được ngụy trang như một máy chủ proxy và che dấu vị trí thật của mình”, nhóm bảo mật 401TRG cho biết. “Tuy nhiên, chúng tôi đã phát hiện một vài trường hợp tin tặc “vô tình” truy cập vào máy nạn nhân mà không qua proxy, từ đó tìm ra vị trí của tin tặc đang thực hiện session đó. Và trong tất cả các trường hợp, địa chỉ IP xác định được là 221.216.0.0/13, nằm tại tòa nhà China Unicom Beijing Network, quận Xicheng”.

(Nguồn: Security Week)

Ngày 03/05, nhóm bảo mật 401TRG thuộc hãng ProtectWise (Mỹ) công bố báo cáo tiết lộ mối liên quan giữa những nhóm gián điệp mạng được cho là do Chính phủ Trung Quốc bảo trợ, và ít nhất là vài nhóm trong số đó có thể đang hoạt động ở quận Xicheng (Bắc Kinh).

Báo cáo chỉ ra mối quan hệ của nhiều chiến dịch diễn ra trong vòng 10 năm qua. Các nhà nghiên cứu cho biết, nhiều nhóm tin tặc nói tiếng Trung được phát hiện trước đây đều được kết nối với bộ máy tình báo quốc gia Trung Quốc, hay còn được gọi với cái tên “Winnti umbrella”.

Những nhóm như Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, và ShadowPad đều được cho là một phần của bộ máy “Winnti umbrella” dựa vào phương thức, kỹ thuật và quy trình tấn công (TTP) tương đồng, nhiều chiến dịch còn chồng chéo lên nhau và cơ sở hạ tầng tương tự. Các chuyên gia tin rằng, những chiến dịch này là “tác phẩm của các nhóm riêng lẻ, bao gồm các nhà thầu không liên quan đến chính phủ Trung Quốc ở nhiều cấp độ chuyên nghiệp khác nhau, hợp tác theo một lịch trình đặc biệt”.

Những nhóm tin tặc này hoạt động ít nhất từ năm 2009, có thể sớm hơn – năm 2007, mục tiêu ban đầu của chúng thường là các hãng bài bạc và công ty công nghệ cao ở những nước như Mỹ, Nhật, Hàn và Trung Quốc. Mục đích chính là thu thập thông tin đăng nhập mã code và thao tác phần mềm, mục đích thứ 2 là tài chính.

Theo các chuyên gia, mục tiêu chính của Winnti umbrella là chính trị, như các nhà hoạt động Ngô Duy Nhĩ và Tây Tạng, người Tây Tạng, phóng viên Trung Quốc, Chính phủ Thái Lan (chiến dịch Bookworm), và nhiều công ty công nghệ quốc tế lớn.

Những nhóm này vẫn tiếp tục các chiến dịch của mình, mới đây nhất là vào cuối tháng 03/2018. Các cuộc tấn công diễn ra vào năm nay cho thấy, tin tặc đang tập trung vào phương thức tấn công bằng email giả mạo (phishing) – cụ thể là nhắm vào ứng dụng Office 365 và tài khoản Gmail – nhiều hơn là lây nhiễm mã độc và khai thác lỗ hổng.

Các nhóm gián điệp này thường nhắm mục tiêu những tài khoản lưu trữ đám mây với hy vọng qua đó sẽ lấy được chứng thực đăng nhập bằng mã code. Trong một vài trường hợp, tin tặc cũng tìm kiếm tập tin và tài liệu để có thể giúp chúng tính toán các đặc quyền di chuyển sâu hơn mà không cần sự kết nối của nạn nhân.

Trong khi thực hiện các bước ẩn mình, tin tặc đã mắc phải một vài sai sót, giúp cho các nhà điều tra tìm ra những gợi ý quan trọng về vị trí của chúng.

“Trong tình huống lý tưởng của tin tặc, mọi truy cập từ xa đều diễn ra qua cơ sở hạ tầng máy chủ C&C của chúng, được ngụy trang như một máy chủ proxy và che dấu vị trí thật của mình”, nhóm bảo mật 401TRG cho biết. “Tuy nhiên, chúng tôi đã phát hiện một vài trường hợp tin tặc “vô tình” truy cập vào máy nạn nhân mà không qua proxy, từ đó tìm ra vị trí của tin tặc đang thực hiện session đó. Và trong tất cả các trường hợp, địa chỉ IP xác định được là 221.216.0.0/13, nằm tại tòa nhà China Unicom Beijing Network, quận Xicheng”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@truongsahoangsa.info
Xem thêm: