Theo trang tin về bảo mật CyberRisk Alliance, nhóm Calypso hoạt động từ năm 2016 và bị Positive Technologies phát hiện đã nhắm mục tiêu vào các tổ chức nhà nước ở Ấn Độ, Brazil, Kazakhstan, Nga, Thái Lan và Thổ Nhĩ Kỳ - trong đó Ấn Độ bị tấn công nặng nề nhất.

Chuyên gia bảo mật Denis Kuvshinov của Positive Technologies cho hay, các cuộc tấn công hoạt động bằng cách hack hệ thống của tổ chức, sau đó sử dụng các tiện ích và phần mềm độc hại đặc biệt để có quyền truy cập vào mạng nội bộ. Khi vào bên trong, tin tặc có thể di chuyển qua hệ thống theo một trong hai cách: bằng cách khai thác lỗ hổng thực thi mã từ xa MS17-010 (Remote Code Execution) hoặc sử dụng thông tin đăng nhập bị đánh cắp.

Minh họa máy tính bị hacker Trung Quốc chiếm quyền điều khiển.

Với phương pháp này, nhóm tấn công đã có thể thành công khi gây thiệt hại cho các tổ chức nhà nước ở mọi quốc gia mà họ nhắm tới. Positive Technologies cho rằng sự thành công của nhóm này đó là vì chúng sử dụng các công cụ phổ biến rộng rãi được các chuyên gia khắp mọi nơi dùng để quản trị mạng. Nhóm này đã sử dụng các tiện ích công bố rộng rãi và các công cụ khai thác lỗ hổng như SysIternals, Mimikatz, EternalBlue và EternalRomance.

Positive Technologies tin rằng nhóm hacker Calypso người Trung Quốc này sử dụng phần mềm độc hại PlugX - một công cụ yêu thích của các nhóm hack Trung Quốc, cũng như trojan Bywards trong chiến dịch có tên SongXY 2017.

Ngoài ra, Positive Technologies cũng phát hiện ra một số địa chỉ IP thực sự của các tin tặc được liên kết với các nhà cung cấp Trung Quốc.

K.Hiền (theo SCMagazine)