Friday, October 19, 2018

ĐIỀU TRA MỚI KHÁM PHÁ NHỮNG DỤNG CỤ TẤN CÔNG "CỬA HẬU" CỦA ĐỘI TIN TẶC CSVN (Viễn Đông Daily)




Viễn Đông Daily
Thursday, 18/10/2018 - 09:16:24

Một nhóm nghiên cứu về an ninh tin học toàn cầu đã tìm ra những dụng cụ truy cập từ xa (backdoors-cửa hậu), có liên quan tới một nhóm tin tặc Việt Nam khét tiếng. Nhóm này bị nghi ngờ được cộng sản Hà Nội bí mật hỗ trợ, trước đây từng đột nhập qua “cửa hậu” để vào mạng của các tổ chức chính phủ, các công ty giàu tài sản trí tuệ, và các công ty có hợp đồng kinh doanh với Việt Nam.

Đội APT32, còn có tên là Nhóm OceanLotus, là một trong các nhóm tin tặc tiến bộ nhất hiện nay, và đã phục vụ cho quyền lợi của nhà cầm quyền Việt Nam ít nhất kể từ năm 2012. (Security Affairs)

Theo các phân tích gia của Cylance, một công ty an ninh tin học đặt trụ sở tại Irvine, Nam California, cho biết, trong khi điều tra về một vụ an ninh mạng điện toán vào năm ngoái, họ tìm thấy nhiều cửa hậu tùy chỉnh được dùng bởi nhóm gián điệp trên mạng, tên là APT32 hoặc OceanLotus Group. Các tin tặc đã sử dụng những giao thức chỉ huy và kiểm soát được điều chỉnh theo những mục tiêu của họ, và hỗ trợ cho nhiều phương pháp truyền thông liên lạc trên mạng.

Cuộc nghiên cứu do Cylane thực hiện được công bố ngày thứ Tư, 17 tháng 10, cho biết, “Thiết kế tổng thể và sự phát triển của những mối đe dọa này cho thấy chúng phát xuất từ một nhóm phát triển được tài trợ khá nhiều. Nhóm OceanLotus dùng một số lượng lớn của mã thư viện tùy chỉnh. Những mã này có thể dễ dàng được sửa lại mục đích, để đạt hiệu quả tối đa trong việc tấn công mục tiêu kế tiếp.”

Ông Tom Bonner, giám đốc ban nghiên cứu về mối đe dọa của Cylance, nói với CyberScoop rằng “mã nền tảng cho backdoor APT32 có tính cách module ở mức cao,” tức là nó có thể được thay đổi mục đích bằng cách điều chỉnh các giao thức chỉ huy và kiểm soát.

Các nhà nghiên cứu nói rằng hoạt động của APT32 đã phù hợp với việc phục vụ cho quyền lợi và mục tiêu của nhà cầm quyền Việt Nam. Trong năm ngoái, nhóm này gây chú ý đối với những kẻ săn lùng nhu liệu độc hại. Khi đó APT32 đã đột nhập phá hoại hàng loạt công ty có quyền lợi kinh doanh tại Việt Nam.

Nhóm tin tặc do CSVN hậu thuẫn này đã có 18 tháng bận rộn, từ việc nghiên cứu một dụng cụ tin tặc bị tiết lộ của Cơ Quan An Ninh Quốc Gia, cho tới việc đánh cắp một bản chuyển ra chữ viết của một cuộc hội thoại giữa Tổng Thống Donald Trump và Tổng Thống Rodrigo Duterte của Phi Luật Tân.

Ông Nick Carr, một quản đốc cao cấp tại FireEye, người đã theo dõi sát nút nhóm APT32, nói rằng sau “một thời gian ngắn tạm ngưng hoạt động” sau bản phúc trình của FireEye về nhóm này trong tháng Năm 2017, APT32 đã “hoạt động năng nổ nhắm mục tiêu vào nhiều khách hàng của FireEye thuộc chính phủ và khu vực tư nhân.

Ông Carr nói với CyberScoop, “Sau một sự thay đổi vào cuối năm 2017 sang ngành kỹ nghệ điện tử và xe để hỗ trợ các mục tiêu của nhà nước Việt Nam, trong năm 2018 nhóm này tập trung việc nhắm mục tiêu nhiều hơn vào các định chế tài chánh, thay vì vào chính các đại công ty toàn cầu, có lẽ lấy được những dữ liệu về đầu tư ở nước ngoài và hoạt động trên quy mô lớn.”

Ông Carr cho biết, APT32 tiếp tục “phát triển kỹ thuật chuyên nghiệp gián điệp từ trong nước, với phong cách hoàn toàn riêng biệt của họ,” trong số đó, có việc sử dụng phương pháp xâm nhập web tầm rộng, để “nhắm mục tiêu riêng và phân phối các tải trọng cho những nạn nhân cụ thể.” Nhóm đó đang đổi mới một cách nhanh chóng, “cách mấy tuần một lần, họ thử dùng những kỹ thuật mới trong các chiến dịch tấn công,” ông Carr nói thêm.

Cylance nói rằng các dụng cụ xâm nhập cửa hậu mà công ty này phát giác, đều có chung những nét tương đồng về bộ mã với những backdoor được tìm thấy bởi FireEye và Kaspersky Lab.

Cuộc nghiên cứu mới này lưu ý đến những bước mà nhóm APT32 đã làm để tránh bị phát hiện. Nhóm đã dùng những dụng cụ gây xáo trộn, cho phép “phần lớn nhu liệu độc hại hoạt động trong bộ nhớ, không để lại dấu vết trên đĩa,” cùng với một dịch vụ nặc danh hóa, được gọi là PrivacyGuardian, để ghi danh tên miền của nhóm, theo Cylance cho biết.

Một trong những dụng cụ truy cập từ xa của APT32, gây chú ý đến nhóm nghiên cứu Cylane, đã được thiết kế một cách đặc biệt để bắt chước các thư viện nhu liệu được phát bởi tổ chức mục tiêu – một động thái phù hợp với những chiến thuật bí mật của nhóm này.







No comments: