Lật mặt nhóm tin tặc nguy hiểm APT30

Đặc biệt, công cụ tấn công, chiến thuật và cách thức của nhóm tin tặc này cũng được duy trì không thay đổi kể từ ngày đầu. Đây là điều rất hiếm thấy vì hầu hết các nhóm tấn công trình độ cao có chủ đích thường thay đổi công cụ tấn công, chiến thuật và cách thức hành động để tránh bị phát hiện.

Theo báo cáo của FireEye, có thể bắt đầu từ năm 2005, APT30 đã thực hiện chiến dịch tấn công trên không gian mạng Internet với mục tiêu là khu vực Đông Nam Á và Ấn Độ, trong đó có Việt Nam. Khi phân tích mã độc (malware) của APT30, các chuyên gia FireEye phát hiện phương pháp phát triển mã độc của nhóm tin tặc này một cách bài bản, chuyên nghiệp. 

Mã độc được thiết kế riêng để tiếp cận trực tiếp các lĩnh vực như ngoại giao, chính trị, báo chí và khu vực kinh tế tư nhân mà APT 30 nhắm tới. Tới nay, đã có tới 200 mẫu mã độc của nhóm tin tặc này được phát hiện trong quá trình theo dõi của FireEye đã và đang tấn công vào các tổ chức quan trọng ở Việt Nam. 

FireEye phỏng đoán nhóm tin tặc APT30 xuất phát từ Trung Quốc.

Báo cáo của FireEye cũng chỉ ra rằng, một vài tính năng của các công cụ mà APT30 sử dụng có khả năng tấn công các mạng nội bộ bảo mật tuyệt đối, cho thấy mức độ lên kế hoạch và mức độ quan tâm đến các dữ liệu nhạy cảm có trong các mạng nội bộ bảo mật của các chính phủ. 

Ông Wias Issa, Giám đốc cấp cao khu vực châu Á - Thái Bình Dương, Nhật Bản của FireEye cho biết, các thông tin mà APT 30 đánh cắp là những thông tin chính trị, kinh tế, quân sự, các vùng đất tranh chấp. Bên cạnh đó, APT30 dường như không tập trung vào việc đánh cắp các tài sản trí tuệ có giá trị hoặc công nghệ tiên tiến của các doanh nghiệp mà quan tâm đến những thông tin nhạy cảm về khu vực Đông Nam Á, tiềm ẩn những nguy cơ đe dọa ảnh hưởng và tính chính thống của Đảng Cộng sản Trung Quốc. 

Giải thích về việc APT30 chưa từng thay đổi công cụ tấn công, chiến thuật hay cách thức kể từ ngày đầu, ông Issa cho rằng, khả năng cao nhất là vì nhóm này chưa bị phát hiện. Từ đó cho thấy, nhiều tổ chức không hề hay biết về các cuộc tấn công trình độ cao này. 

Ông Issa cảnh báo: “Các cơ quan chính phủ và các tổ chức tại Việt Nam sẽ phải đối mặt với những nhóm tin tặc được trang bị tốt với chiến thuật dai dẳng, đeo bám đến khi thành công”. Ông cũng cho biết thêm rằng: “Những hiểu biết chuyên sâu về nhóm APT30 mà chúng tôi đang chia sẻ giúp các tổ chức ở Việt Nam nhanh chóng phát hiện, ngăn ngừa, phân tích và đối phó với những cuộc tấn công mà nhóm này đang tiến hành”.

Bản báo cáo của FireEye kết luận: “APT30 phục vụ các yêu cầu tình báo của một chính phủ về các cơ quan doanh nghiệp và chính phủ quan trọng ở Đông Nam Á và Ấn Độ (…) Nỗ lực phát triển đã được lên kế hoạch cùng với các mục tiêu và nhiệm vụ tấn công đã khiến chúng ta tin rằng, hoạt động này nhận được sự tài trợ của chính phủ, mà nhiều khả năng là Trung Quốc”. 

Phản ứng trước “cáo buộc này”, người phát ngôn Bộ Ngoại giao Trung Quốc, Hồng Lỗi cho biết: “Tôi muốn nhấn mạnh rằng, chính phủ Trung Quốc kiên quyết chống lại bất cứ hành động tấn công nào. Lập trường này là rõ ràng và nhất quán. Các vụ tấn công của tin tặc là vấn đề chung mà cả đồng quốc tế đang phải đối mặt và chúng ta cần cùng nhau hợp tác để giải quyết chứ không phải là chỉ trích lẫn nhau”.

Theo nhận định của giới chuyên gia an ninh mạng, bản báo cáo của FireEye là một bản báo cáo rất chi tiết về chiến lược, cách thức tấn công và mô hình tấn công để thu thập, đánh cắp thông tin của APT30. Bản báo cáo cũng cho thấy qui mô giám sát của FireEye là rất lớn. Tuy chiến lược và cách thức tấn công của APT30 không phải là mới, nhưng APT30 đã  được chuẩn bị rất kỹ càng về mặt công cụ, điều kiện, công nghệ và cơ sở vật chất để thực hiện việc lây lan, phát tán, quản lý, điều khiển các hệ thống mã độc. 

Trước đây, nhiều nhóm tin tặc của Trung Quốc từng bị FireEye phanh phui. Điển hình là đội quân 61398 được cho là của Quân đội Trung Quốc và APT 30 cũng chỉ là một trong rất nhiều nhóm như vậy. Cũng có ý kiến cho rằng, tấn công có chủ đích (APT) là một loại hình tấn công phức tạp, rất khó để phát hiện ra do kẻ tấn công ẩn nấp, sử dụng các kỹ thuật mới, không lường trước được. 

Việc APT30 bị phát hiện gần đây là điều hoàn toàn bình thường, khi mà công nghệ, kỹ thuật ẩn mình của APT30 không còn mới, và các công cụ phân tích sự kiện an toàn thông tin (events) ngày càng sâu. Theo đó, việc một hãng bảo mật như FireEye công bố APT30 là điều hết sức bình thường. Không chỉ Việt Nam, theo báo cáo của FireEye, những nước có mức độ ứng dụng và phát triển CNTT rất cao như Mỹ, Hàn Quốc, Ấn Độ... cũng là đối tượng của APT30.

Nhiều sự kiện bảo mật xảy ra thời gian gần đây đã cho thấy những cuộc tấn công mạng, phát tán, lây lan mã độc, lừa đảo… không chỉ là câu chuyện ở đâu đó hay của thế giới nữa. Tấn công mạng hay chiến tranh mạng giờ không phải chỉ là trò chơi của các hacker, mà đã trở thành những cuộc chiến tranh thông tin thật sự, là những cuộc tấn công có chủ đích và có chuẩn bị, gây ra ảnh hưởng trực tiếp tới sự nghiệp, chủ quyền, sự phát triển của mỗi quốc gia, mỗi doanh nghiệp.