Nhóm tin tặc APT đến từ Trung Quốc đã và đang thực hiện một vụ tấn công gián điệp có quy mô phức tạp vào bộ máy chính quyền các nước Đông Nam Á.
Theo một công bố của các nhà nghiên cứu an ninh mạng, đây là một cuộc tấn công phức tạp của hacker Trung Quốc, sử dụng nhiều trình tấn công như dropper, backdoor và các phương pháp “cửa hậu” Chinoxy, PcShare RAT và FunnyDream.
Trước đây, chiến dịch FunnyDream đã nhắm vào các tổ chức chính phủ cấp cao ở Malaysia, Đài Loan, Philippines và với phần lớn là nạn nhân ở Việt Nam.
Sau khi đã hoàn thành bước đầu xâm nhập, hacker sẽ sử dụng các phương pháp tấn công hệ thống bị nhiễm như: Chinoxy backdoor và Trojan truy cập từ xa (RAT) của Trung Quốc với tên gọi PcShare.
Bên cạnh việc sử dụng các dòng lệnh như tasklist.exe, ipconfig.exe, systeminfo.exe và netstat để thu thập thông tin hệ thống, thì tin tặc còn cài đặt một số tiện ích khác như ccf32, FilePak, FilePakMonitor, ScreenCap, Keyrecord và TcpBridge.
Các tiện ích này sẽ thu thập thông tin, chụp ảnh màn hình, ghi lại hoạt động gõ phím máy tính. Sau đó chuyển toàn bộ dữ liệu thu thập được đến các máy chủ do hacker Trung Quốc kiểm soát.
Theo điều tra của các chuyên gia, thì nhóm tin tặc này đã sử dụng FunnyDream để tạo backdoor từ tháng 5/2019. Đi kèm với nhiều khả năng tích lũy dữ liệu người dùng, xóa dấu vết, triển khai phần mềm độc hại, cản trở việc phát hiện và thực hiện các lệnh độc hại.
Kết quả sau đó, chúng sẽ được truyền trở lại vào các máy chủ điều khiển (C&C) có server đặt tại Hồng Kông, Trung Quốc, Hàn Quốc và Việt Nam.
“Việc xác định cuộc tấn công APT thuộc về một nhóm hoặc quốc gia cụ thể nào là điều khó khăn. Những chứng cứ điều tra đôi khi được cố ý tạo giả, cơ sở hạ tầng C&C có thể nằm ở bất kỳ đâu trên thế giới. Các công cụ sử dụng trong cuộc tấn công có thể đến từ các nhóm tin tặc APT khác.”
APT là gì?
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ một tập hợp các quá trình tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc một nhóm người nhắm vào một thực thể cá biệt.
Tấn công APT thường nhắm tới các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị. Các quy trình APT đòi hỏi mức độ bí mật cao trong một thời gian dài. Quy trình cao cấp biểu thị các kỹ thuật tinh vi sử dụng phần mềm độc hại để khai thác lỗ hổng trong hệ thống máy tính.
Quá trình “liên tục” cho thấy rằng một hệ thống bên ngoài liên tục điều khiển và theo dõi và lấy cắp dữ liệu từ một mục tiêu cụ thể. Quá trình “đe dọa” cho thấy sự tham gia của con người trong việc dàn xếp cuộc tấn công.
Trong quá trình điều tra nói trên, có những manh mối gợi ý đến một nhóm tin tặc APT sử dụng tiếng Trung Quốc. Vì một số tài nguyên được tìm thấy trong một số mã nhị phân có ngôn ngữ được đặt thành tiếng Trung Quốc và Chinoxy backdoor được sử dụng trong chiến dịch là một Trojan được biết là đã được sử dụng bởi những nhóm tin tặc của Trung Quốc.
Tham khảo: Wikipedia, TheHackerNews