Tấn công có chủ đích APT30: Gián điệp âm thầm hơn một thập kỉ

APT30 được ghi nhận là một cuộc tấn công lâu dài, thành công nhất với một số công cụ, chiến thuật và tận dụng cơ sở hạ tầng kể từ những năm 2005.

Các quốc gia bị ảnh hưởng bởi APT30 do FireEye theo dõi từ năm 2012 - 2014.Các quốc gia bị ảnh hưởng bởi APT30 do FireEye theo dõi từ năm 2012 - 2014.

Ngay sau khi phòng Lab của FireEye được thành lập tại Singapore, FireEye đã khám phá ra rằng: Các phần mềm độc hại đã được thiết kế dưới dạng phần mềm gián điệp, mục tiêu xâm nhập tập trung vào hệ thống khu vực Đông Nam Á và Ấn Độ. Các phần mềm gián điệp này thực hiện trộm cắp thông tin về chính trị, kinh tế, quân sự và thương mại, đặc biệt đối tượng bị tấn công chủ yếu là những người đứng đầu ngành trong khối Chính phủ của các quốc gia nằm trong khu vực trên.

Nhóm thực hiện cuộc tấn công APT30 không chỉ thành công ở việc đánh cắp được các thông dữ liệu nhạy cảm từ khối Chính phủ và thương mại trong khu vực kể trên mà chúng còn thành công hơn khi chỉ cần sử dụng một loại công cụ được phát triển từ nguồn gốc “BACKSPACE”, duy trì và tận dụng nền tảng cơ sở hạ tầng được xây dựng kể từ năm 2005.

Dựa trên các nghiên cứu về mã độc được sử dụng trong APT30, FireEye  một lần nữa kết luận rằng, nhóm thực hiện cuộc tấn công APT30 thực sự có liên quan và được bảo trợ bởi tổ chức Chính phủ Trung Quốc.

Các phân tích về hành vi mã độc và các công cụ được sử dụng trong APT30 cũng cho thấy, mục tiêu chính của APT30 không hề nhắm vào lợi ích tài chính. Thay vì tiếp cận các thông tin như dữ liệu thẻ tín dụng, thông tin người dùng, các thông tin chuyển khoản ngân hàng… thì các đối tượng tấn công lại nhắm vào việc kiểm soát máy tính của nạn nhân để đánh cắp các tài liệu văn bản, bao gồm rất nhiều các dự thảo chiến lược kinh tế chính trị.

Hai công cụ Backdoor “BACKSPACE” và “NETEAGLE” được sử dụng trong APT30 đều hỗ trợ khả năng cho phép thực hiện toàn quyền điều khiển máy tính của nạn nhân, cho phép thao tác ghi và chỉnh sửa nội dung, thuộc tính tệp tin và các tài liệu. Điều này tạo điều kiện cho nhóm tổ chức tấn công APT30 dễ dàng kiểm soát, chỉnh sửa được nội dung tài liệu quan trọng liên quan tới các bài phát biểu, bài tham luận chính trị cũng như các dự thảo chiến lược chính trị, kinh tế xã hội trên các máy tính nạn nhân. 

Tấn công có chủ đích APT30: Gián điệp âm thầm hơn một thập kỉ ảnh 1
Công cụ điều khiển BACKSPACE được sử dụng để điều khiển máy tính.

Theo quan sát của FireEye Mandiant từ năm 2012 đến 2014 các quốc gia thuộc khu vực Đông Nam Á và Ấn Độ thường xuyên rơi vào tầm ngắm chính của APT30. Cụ thể bằng việc dựa trên các thông tin được công bố bởi các tập đoàn lớn trong 10 ngành công nghiệp khác nhau và một số đơn vị truyền thông đưa tin về các vấn đề căng thẳng trong ngoại giao đối với Trung Quốc, và bằng chứng sát nhất từ quá trình phân tích mã độc trên các máy tính của nạn nhân đã cho thấy các quốc gia nằm trong khu vực bị Trung Quốc đưa vào tâm điểm đó là: Thái Lan, Hàn Quốc, Việt Nam, Ấn Độ và Myanma.

Những bằng chứng sắt thép để phơi bày nhóm tội phạm APT30 đó là từ các công cụ do thám đã giúp Chính phủ Trung Quốc thực hiện các hành vi sao chép và chỉnh sửa các dữ liệu của các ngành Chính phủ, các tập đoàn công nghiệp của các quốc gia kể trên. FireEye Mandiant đã thống kê được rằng có tới hơn 200 phiên bản mã độc được phát triển từ BACKSPACE và NETEAGLE để phục vụ cho tấn công APT30, trong đó 96% số lượng này đã được FireEye phơi bày ra công chúng...

Chi tiết về danh sách mã độc và hành vi của tấn công APT30 được thống kê tại: https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf.

(PV)