Lần đầu tiên Facebook ra thông báo công khai về một hoạt động tấn công mạng và nếu được xác nhận, đây sẽ là một trường hợp hiếm hoi về việc gián điệp mạng nghi ngờ do nhà nước hậu thuẫn bị truy tìm đến một tổ chức cụ thể.
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus hay APT32 và một công ty Việt Nam có tên là CyberOne Group có trụ sở ở thành phố Hồ Chí Minh.
CyberOne Group còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
Trưởng ban chính sách an ninh mạng của Facebook, Nathaniel Gleicher cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công của OceanLotus khác.
CyberOne Group phủ nhận có liên hệ với tin tặc. Một người điều hành trang Facebook hiện đã bị đình chỉ của công ty cho biết khi được Reuters liên hệ rằng ở đây có sự nhầm lẫn và rằng: “Chúng tôi không phải là Sen Biển”.
Facebook cho biết các tin tặc đã sử dụng các nền tảng của Facebook để thực hiện một loạt các cuộc tấn công mạng như sử dụng các tài khoản giả để lừa các mục tiêu bằng cách đóng giả là các nhà hoạt động, các doanh nghiệp hoặc thậm chí là lừa tình để sau đó phát tán các phần mềm độc hại.
Tin tặc lừa nạn nhân tải xuống các ứng dụng Android giả mạo thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của người sử dụng.
Các nhà nghiên cứu của Facebook cho biết: “Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm này và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu”.
Bộ Ngoại giao Việt Nam đã không trả lời ngay lập tức yêu cầu bình luận. Bộ này trước đó đã phủ nhận các liên quan đến các cuộc tấn công của OceanLotus.
“Thành tích” hoạt động của Sen Biển – APT32
Vài tháng trước Volexity tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo tới người dùng hồ sơ, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.
Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox để đánh cắp thông tin nhạy cảm.
Năm ngoái, nhóm Sen Biển OceanLotus đã nhắm mục tiêu vào các công ty ô tô đa quốc gia nhằm hỗ trợ các mục tiêu sản xuất xe của Việt Nam. Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện các chiến dịch xâm nhập nhằm vào Bộ Quản lý Khẩn cấp ở Trung Quốc với mục đích thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.
Tháng trước, Trend Micro đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.
Các tên miền của nhóm tin tặc sử dụng làm mồi nhử:
tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org
https://vietnamthoibao.org
Tin tặc Việt Nam Sen Biển – APT23 vẫn tích cực hoạt động
6/12/2020
Ngọc Lan
Họ sẽ “có khả năng” trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.
Microsoft: Sen Biển tung mã độc trong khai thác tiền ảo
Microsoft đã tiết lộ rằng nhóm tin tặc được chính phủ Việt Nam hậu thuẫn đang triển khai phần mềm độc hại khai thác tiền điện tử cùng với các hoạt động gián điệp mạng thông thường của họ.
Báo cáo nêu bật xu hướng ngày càng tăng trong ngành công nghiệp an ninh mạng khi ngày càng có nhiều nhóm hack do nhà nước hậu thuẫn cũng đang nhúng chân vào các hoạt động tội phạm mạng thông thường, khiến việc phân biệt tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo trở nên khó khăn hơn.
Nhóm Bảo vệ Đe dọa Tình báo của Bộ phận bảo vệ Microsoft 365 từ tên BISMUTH đã truy tìm ra nhóm tin tặc Việt Nam hoạt động từ năm 2012 và được biết đến với tên APT32 và Sen Biển – OceanLotus.
“BISMUTH đã tiến hành các cuộc tấn công gián điệp mạng ngày càng phức tạp kể từ năm 2012, sử dụng cả công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền”, Microsoft cho biết trong một bài đăng trên blog cuối ngày thứ Hai.
Trong các chiến dịch từ tháng 7 đến tháng 8 năm 2020, nhóm tin tặc này đã phát triển các máy đào tiền ảo Monero trong các cuộc tấn công nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.
Microsoft thông báo: “Các chiến dịch của BISMUTH, một công cụ của nhà nước, tận dụng các cảnh báo có mức độ ưu tiên thấp mà các máy đào tiến ảo gây ra để thử xâm nhập mà không bị phát hiện và tồn tại vĩnh viễn,” nhóm Microsoft thông báo.
Đầu tiên là BISMUTH đang sử dụng phần mềm độc hại khai thác tiền ảo, thường được kết hợp với các hoạt động tội phạm mạng, để ngụy trang một số cuộc tấn công của họ từ những người ứng phó sự cố và lừa họ tin rằng các cuộc tấn công của họ là các cuộc xâm nhập ngẫu nhiên có mức độ ưu tiên thấp.
BISMUTH cố gắng giành quyền truy cập căn bản bằng cách gửi các email độc hại được chế tạo đặc biệt từ tài khoản Gmail dường như được tạo riêng cho chiến dịch xâm nhập.
BISMUTH cũng đang thử nghiệm những cách thức mới để tạo ra doanh thu từ các hệ thống mà họ đã xâm nhập trong các hoạt động gián điệp mạng thông thường của họ. Trong những năm gần đây, các nhóm tin tặc do nhà nước Trung Quốc, Nga, Iran và Triều Tiên bảo trợ cũng đã tấn công các mục tiêu với mục đích duy nhất là kiếm tiền vì lợi ích cá nhân hơn là gián điệp mạng.
Các nhóm này thường hoạt động dưới sự bảo vệ trực tiếp của chính quyền quốc gia của họ, hoặc là nhà thầu hoặc là nhân viên tình báo, và họ cũng hoạt động từ bên trong các quốc gia không có hiệp ước dẫn độ với Hoa Kỳ, cho phép họ thực hiện bất kỳ cuộc tấn công nào họ muốn và biết rằng họ hầu như không phải gánh chịu hậu quả.
Với việc Việt Nam cũng đang thiếu hiệp ước dẫn độ với Mỹ, việc BISMUTH bành trướng sang lĩnh vực tội phạm mạng được coi là có họ sẽ “có khả năng” trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.
Xâm nhập macOS để lấy cắp thông tin
Trend Micro đã báo cáo một loạt các cuộc tấn công phần mềm độc hại nhắm mục tiêu vào macOS gần đây nhằm cài đặt các cửa hậu để lấy cắp thông tin cá nhân nhạy cảm. Công ty bảo mật đã phát hiện ra rằng một biến thể phần mềm độc hại mới đang được sử dụng trực tuyến và được hỗ trợ bởi một nhóm tin tặc nhà nước có tên là Sen Biển, hay AKTP2 và có trụ sở tại Việt Nam.
Theo báo cáo của ZDNet, Trend Micro cho biết phần mềm độc hại mới do Sen Biển – OceanLotus tạo ra do “sự tương đồng về hành vi động và mã” từ phần mềm độc hại trước đó được kết nối với nhóm tin tặc có trụ sở tại Việt Nam.
Gần đây, họ đã phát hiện ra một cửa sau mới mà tin rằng có liên quan đến nhóm OceanLotus. Một số cập nhật của biến thể mới này (do Trend Micro phát hiện là Backdoor.MacOS.OCEANLOTUS.F) bao gồm hành vi và tên miền mới. Được biết mẫu này vẫn không bị phát hiện bởi các giải pháp chống phần mềm độc hại khác.
Do sự tương đồng về hành vi động và mã với các mẫu OceanLotus trước đó, mẫu mã độc mới đã được xác nhận là một biến thể của phần mềm độc hại nói trên.
OceanLotus chịu trách nhiệm về các cuộc tấn công có chủ đích chống lại các tổ chức từ các ngành như truyền thông, nghiên cứu và xây dựng. Gần đây, họ cũng đã được các nhà nghiên cứu từ Volexity phát hiện đang sử dụng các trang web độc hại để tuyên truyền phần mềm độc hại.
Những kẻ tấn công đằng sau mẫu này có thể nhắm mục tiêu vào người dùng từ Việt Nam vì tên của tài liệu bằng tiếng Việt và các mẫu cũ hơn đã nhắm mục tiêu cùng một khu vực trước đó.
Các nhóm nguy hiểm như OceanLotus đang tích cực cập nhật các biến thể phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ. Các phương pháp hay nhất sau đây có thể được áp dụng để bảo vệ khỏi phần mềm độc hại:
– Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ
– Thường xuyên vá và cập nhật phần mềm và ứng dụng
– Sử dụng các giải pháp bảo mật phù hợp với hệ điều hành của bạn
https://vietnamthoibao.org
Không có nhận xét nào