Phương Thảo tổng hợp
Ngày 14 -05-2017, FireEye đã tuyên bố nhóm hackers có tên APT32 (OceanLotus Group) đang tiến hành xâm nhập mạng máy tính của các công ty tư nhân thuộc nhiều ngành nghề cũng như các công ty nước ngoài, các nhà báo, các nhà bất đồng chính kiến tại Việt Nam. FireEye cho rằng nhóm hacker này đã tạo ra một phầm mềm độc hại (malware) độc đáo kết hợp với các công cụ giao dịch có sẵn để tạo ra các hoạt động phù hợp với lợi ích của Nhà nước Việt Nam.
Phản hồi của cộng đồng APT32 và FireEye
Trong quá trình điều tra các vụ xâm nhập tại một số công ty có lợi ích kinh doanh tại Việt Nam, chuyên gia tư vấn phản ứng sự cố của FireEye đã phát hiện ra hoạt động và cơ sở hạ tầng được kiểm soát do kẻ tấn công nhằm biểu thị cho một chiến dịch xâm nhập đáng kể. Vào tháng 3 năm 2017, nhằm đáp ứng mục tiêu tích cực của khách hàng, FireEye đã phát động Sự kiện Bảo vệ Cộng đồng (Community Protection Event – CPE) – một nỗ lực phối hợp giữa các nhân viên phản ứng của Mandiant (bao gồm FireEye as Service (FaaS), FireEye iSight Intelligence và kỹ thuật sản phẩm FireEye) nhằm bảo vệ tất cả các khách hàng khỏi sự tấn công của APT32.
Trong những tuần tiếp theo FireEye đã đưa ra các sản phẩm thông tin xâm nhập và cập nhật các phần mềm độc hại cho khách hàng trong khi phát triển các kỹ thuật phát hiện mới đối với các công cụ và mồi nhử của APT32. Sự tập trung nỗ lực phát hiện phần mềm gián điệp này đã dẫn tới việc nhận dạng nạn nhân mới từ bên ngoài cũng như cung cấp các bằng chứng kỹ thuật đầy đủ để kết nối 12 lần xâm nhập trước đó, hợp nhất bốn nhóm hoạt động không liên quan trước đó vào nhóm đe doạ cao cấp mới nhất của FireEye: APT32.
APT 32 nhắm vào các công ty tư nhân hoạt động ở Đông nam Á. Ít nhất từ năm 2014, FireEye đã phát hiện tổ chức APT32 tấn công các công ty nước ngoài đầu tư tại Việt Nam trong các lĩnh vực sản xuất, sản phẩm tiêu dùng và khách sạn. Hơn nữa, có dấu hiệu cho thấy APT32 tập trung vào các cơ sở hạ tầng công nghệ, an ninh mạng cũng như các công ty tư vấn có thể có mối liên hệ với các nhà đầu tư nước ngoài.
Các vụ tấn công của APT32 do FireEye điều tra:
Năm 2014, một tập đoàn châu Âu bị tấn công trước khi xây dựng một cơ sở sản xuất tại Việt Nam.
Năm 2016, các tập đoàn Việt Nam và nước ngoài làm việc trong lĩnh vực an ninh mạng, cơ sở hạ tầng công nghệ, ngân hàng, và các ngành công nghiệp truyền thông đã bị nhắm tới.
Vào giữa năm 2016, phần mềm độc hại mà FireEye tin là đặc biệt của APT32 đã được phát hiện trên mạng lưới của một nhà phát triển ngành khách sạn toàn cầu với kế hoạch mở rộng hoạt động ở Việt Nam.
Từ năm 2016 đến năm 2017, hai công ty con của các tập đoàn sản xuất hàng tiêu dùng Mỹ và Philippine ở Việt Nam trở thành mục tiêu của APT32.
Vào năm 2017, APT32 đã xâm nhập vào các văn phòng của một công ty tư vấn toàn cầu.
APT32 quan tâm đến sự ảnh hưởng chính trị và chính phủ nước ngoài.
Bên cạnh mục tiêu là tấn công vào các công ty tư nhân có quan hệ với Việt Nam APT32 còn nhắm vào các chính phủ nước ngoài cũng như những người Việt bất đồng chính kiến và các nhà báo kể từ năm 2013 trở đi. Sau đây là một số các hoạt động đánh phá của APT32:
Năm 2013, một bài viết của Tổ chức Nền tảng Biên giới Điện tử cho rằng các nhà báo, nhà hoạt động, và blogger là mục tiêu của các phầm mềm độc hại – Malware – và thủ thuật tấn công của APT23.
Năm 2014, APT23 đã sử dụng một tài liệu nhử đính kèm có tên “Kế hoạch tấn công những người biểu tình ở Đại sứ quán Việt Nam.exe” để tấn công các hoạt động bất đồng trong cộng đồng người Việt ở Đông Nam Á. Cũng trong năm 2014, APT23 tiến hành xâm nhập vào cơ quan lập pháp quốc gia của một nước phương tây.
Năm 2015 SkyEye Labs, bộ phận nghiên cứu an ninh của công ty Trung Quốc Qihoo 360 đã đưa báo cáo chi tiết về các đối tượng đe dọa nhắm đến các cơ quan nhà nước và tư nhân Trung Quốc bao gồm các cơ quan chính phủ, viện nghiên cứu, các cơ quan hàng hải, xây dựng hàng hải và các doanh nghiệp vận tải. Thông tin trong báo cáo chỉ ra rằng các thủ phạm đã sử dụng cùng một phần mềm độc hại, cơ sở hạ tầng chồng chéo và các mục tiêu tương tự như APT32.
Vào năm 2015 và 2016, hai cơ quan truyền thông Việt Nam đã bị phần mềm độc hại mà FireEye đánh giá là đặc biệt của APT32 nhắm tới.
Năm 2017, nội dung kỹ thuật xã hội trong các mồi nhử của nhóm này cho thấy húng có thể được sử dụng để nhắm mục tiêu vào các thành viên của cộng đồng người Việt tại Úc cũng như nhân viên chính phủ ở Philippines.
Nick Carr, Quản lý cao cấp của Đội phản ứng FireEye, cho hay với một số các trường hợp, tin tặc đã tìm kiếm thông tin về hoạt động của công ty và việc tuân thủ các quy định của địa phương, điều mà ông hiếm khi gặp các nhóm hacker khác.
Ông nói trong hầu hết các trường hợp các công ty đăng ký tên hộ gia đình tuy nhiên ông từ chối xác nhận danh tình để giữ bí mật khách hàng. Các chuyên gia, nhân viên nhân sự và nhân viên tài chính là mục tiêu được nhắm tới. Tuy không thể xác định hay định vị được những hackers này có làm việc cho Chính phủ Việt Nam hay không, nhưng thông tin mà nhóm APT32 thu thập được chẳng có lợi gì cho ai khác cả.
Trong một cuộc phỏng vấn qua điện thoại trước khi cho đăng bản báo cáo ngày thứ Hai, Carr cho biết: “Tất cả các hoạt động mà chúng tôi tìm thấy được đều nhằm phục vụ cho Nhà nước Việt Nam”.
P.T.
VNTB gửi BVN.