APT23 và OceanLotus : Tin tặc Việt Nam chọn con đường tà đạo

tháng 12 07, 2020 , ,

Ngọc Lan, VNTB, 06/12/2020

Sen Biển tung mã độc trong khai thác tiền ảo

Microsoft đã tiết lộ rằng nhóm tin tặc được chính phủ Việt Nam hậu thuẫn đang triển khai phần mềm độc hại khai thác tiền điện tử cùng với các hoạt động gián điệp mạng thông thường của họ.

056

Họ sẽ "có khả năng" trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.

Báo cáo nêu bật xu hướng ngày càng tăng trong ngành công nghiệp an ninh mạng khi ngày càng có nhiều nhóm hack do nhà nước hậu thuẫn cũng đang nhúng chân vào các hoạt động tội phạm mạng thông thường, khiến việc phân biệt tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo trở nên khó khăn hơn.

Nhóm Bảo vệ Đe dọa Tình báo của Bộ phận bảo vệ Microsoft 365 từ tên Bismuth đã truy tìm ra nhóm tin tặc Việt Nam hoạt động từ năm 2012 và được biết đến với tên APT32 và Sen Biển – OceanLotus.

tintac02

APT32

tintac05

OceanLotus

"Bismuth đã tiến hành các cuộc tấn công gián điệp mạng ngày càng phức tạp kể từ năm 2012, sử dụng cả công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền", Microsoft cho biết trong một bài đăng trên blog cuối ngày thứ Hai.

Trong các chiến dịch từ tháng 7 đến tháng 8 năm 2020, nhóm tin tặc này đã phát triển các máy đào tiền ảo Monero trong các cuộc tấn công nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.

Microsoft thông báo : "Các chiến dịch của Bismuth, một công cụ của nhà nước, tận dụng các cảnh báo có mức độ ưu tiên thấp mà các máy đào tiến ảo gây ra để thử xâm nhập mà không bị phát hiện và tồn tại vĩnh viễn," nhóm Microsoft thông báo.

Đầu tiên là Bismuth đang sử dụng phần mềm độc hại khai thác tiền ảo, thường được kết hợp với các hoạt động tội phạm mạng, để ngụy trang một số cuộc tấn công của họ từ những người ứng phó sự cố và lừa họ tin rằng các cuộc tấn công của họ là các cuộc xâm nhập ngẫu nhiên có mức độ ưu tiên thấp.

Bismuth cố gắng giành quyền truy cập căn bản bằng cách gửi các email độc hại được chế tạo đặc biệt từ tài khoản Gmail dường như được tạo riêng cho chiến dịch xâm nhập.

Bismuth cũng đang thử nghiệm những cách thức mới để tạo ra doanh thu từ các hệ thống mà họ đã xâm nhập trong các hoạt động gián điệp mạng thông thường của họ. Trong những năm gần đây, các nhóm tin tặc do nhà nước Trung Quốc, Nga, Iran và Triều Tiên bảo trợ cũng đã tấn công các mục tiêu với mục đích duy nhất là kiếm tiền vì lợi ích cá nhân hơn là gián điệp mạng.

Các nhóm này thường hoạt động dưới sự bảo vệ trực tiếp của chính quyền quốc gia của họ, hoặc là nhà thầu hoặc là nhân viên tình báo, và họ cũng hoạt động từ bên trong các quốc gia không có hiệp ước dẫn độ với Hoa Kỳ, cho phép họ thực hiện bất kỳ cuộc tấn công nào họ muốn và biết rằng họ hầu như không phải gánh chịu hậu quả.

Với việc Việt Nam cũng đang thiếu hiệp ước dẫn độ với Mỹ, việc Bismuth bành trướng sang lĩnh vực tội phạm mạng được coi là có họ sẽ "có khả năng" trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.

Xâm nhập macOS để lấy cắp thông tin

Trend Micro đã báo cáo một loạt các cuộc tấn công phần mềm độc hại nhắm mục tiêu vào macOS gần đây nhằm cài đặt các cửa hậu để lấy cắp thông tin cá nhân nhạy cảm. Công ty bảo mật đã phát hiện ra rằng một biến thể phần mềm độc hại mới đang được sử dụng trực tuyến và được hỗ trợ bởi một nhóm tin tặc nhà nước có tên là Sen Biển, hay AKTP2 và có trụ sở tại Việt Nam.

Theo báo cáo của ZDNet, Trend Micro cho biết phần mềm độc hại mới do Sen Biển – OceanLotus tạo ra do "sự tương đồng về hành vi động và mã" từ phần mềm độc hại trước đó được kết nối với nhóm tin tặc có trụ sở tại Việt Nam.

Gần đây, họ đã phát hiện ra một cửa sau mới mà tin rằng có liên quan đến nhóm OceanLotus. Một số cập nhật của biến thể mới này (do Trend Micro phát hiện là Backdoor.MacOS.OCEANLOTUS.F) bao gồm hành vi và tên miền mới. Được biết mẫu này vẫn không bị phát hiện bởi các giải pháp chống phần mềm độc hại khác.

Do sự tương đồng về hành vi động và mã với các mẫu OceanLotus trước đó, mẫu mã độc mới đã được xác nhận là một biến thể của phần mềm độc hại nói trên.

OceanLotus chịu trách nhiệm về các cuộc tấn công có chủ đích chống lại các tổ chức từ các ngành như truyền thông, nghiên cứu và xây dựng. Gần đây, họ cũng đã được các nhà nghiên cứu từ Volexity phát hiện đang sử dụng các trang web độc hại để tuyên truyền phần mềm độc hại.

Những kẻ tấn công đằng sau mẫu này có thể nhắm mục tiêu vào người dùng từ Việt Nam vì tên của tài liệu bằng tiếng Việt và các mẫu cũ hơn đã nhắm mục tiêu cùng một khu vực trước đó.

Các nhóm nguy hiểm như OceanLotus đang tích cực cập nhật các biến thể phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ. Các phương pháp hay nhất sau đây có thể được áp dụng để bảo vệ khỏi phần mềm độc hại :

– Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ

– Thường xuyên vá và cập nhật phần mềm và ứng dụng

– Sử dụng các giải pháp bảo mật phù hợp với hệ điều hành của bạn

Ngọc Lan

Nguồn : VNTB, 06/12/2020

********************

Thanh Vi, SBS, 05/12/2020

Cuộc điều tra của Volexity

Công ty Volexity, công ty tư nhân chuyên về an ninh mạng tại Hoa kỳ, ngày 6/11/2020, đã công bố một phần kết quả của cuộc điều tra kéo dài nhiều năm về hoạt động của nhóm OceanLotus ̣hay Sen Biển, còn được bíết dưới tên APT32.

tintac1

Các hoạt động "tin tặc" của nhóm Sen Biển qua các trang tin giả để theo dõi và lần ra các cá nhân, tổ chức người Việt có lập trường đối kháng đã bị Volexity, công ty tư nhân chuyên về an ninh mạng tại Hoa kỳ, vạch trần.

Theo nguồn tin này, Sen Biển điều hành gân 20 trang tin giả và nhiều trang Facebook trong nỗ lực thu thập tin tức của những người vào đọc các trang này, từ đó nhận diện các thành phần đối kháng với chế độ và tìm cách xâm nhập tài khoản email hoặc facebook của họ.

Khi đã xâm nhập thành công, nhóm tin tặc này sẽ ẩn mình theo dõi những người thường xuyên đối tác với đối tượng đã bị xâm nhập. Cứ vậy, họ phăng dần ra những đường dây hoạt động đối kháng.

Volexity tin rằng OceanLotus làm việc cho nhà nước Việt Nam

Trong một bài báo đăng ngày 7/11/2020 mạng tựa đề : "Tin tặc Việt Nam lập trang web ‘Fake News’ để nhắm mục tiêu vào khách truy cập, tạp chí vice.com cho biết ông Steven Adair, sáng lập viên Volexity đã phát biểu với tạp chí này :

Trước đó công ty an ninh mạng FireEye, trụ sở tại California Hoa kỳ, cũng đã liên hệ OceanLotus với chính phủ Việt Nam.

Trong tài liệu mới được công bố, Volexity khuyến cáo :

"Các cá nhân có nguy cơ cao và có khả năng là mục tiêu của OceanLotus nên đặc biệt cẩn thận đối với các trang mà họ đang truy cập, đặc biệt nếu các trang mạng đó được đề nghị hoặc liên kết với họ qua e-mail, hay các dịch vụ chat, nhắn tin hoặc thậm chí SMS. Ngoài ra, dù là trang mạng nào đi nữa, Volexity cũng khuyến cáo những cá nhân này nên hết sức thận trọng khi trang ấy có hiển thị tài liệu để họ tải xuống hoặc yêu cầu họ đăng nhập."

Những trang tin giả được Volexity nêu rõ gồm :

baodachieu.com, baomoi.com, baomoivietnam.com, ledanvietnam.com, nhansudaihoi13.org, tocaoonline.org, thamcungbisu.org, tinmoivietnam.com.

tintac3

Khi đã xâm nhập thành công, nhóm tin tặc này sẽ ẩn mình theo dõi những người thường xuyên đối tác với đối tượng đã bị xâm nhập.

Volexity cho biết trước đây, khi hai trang tin giả đầu là "Tin không lề" và "Sự thật về Formosa" bị công ty này tố cáo, Sen Biển đã phải cho hai trang này ngưng hoạt động.

BPSOS hợp tác với Volexity trong cuộc điều tra này

BPSOS, tổ chức phi chính phủ tại Hoa kỳ, chuyên tiến hành các hoạt động và chương trình với quy mô quốc tế nhằm vận động cho nhân quyền và dân chủ tại Việt Nam, được cho là một trong những đối tượng chủ yếu mà nhóm này nhắm đến, nhưng đã hoàn toàn thất bại.

Trong phần phỏng vấn đầu trang, Chủ tịch kiêm Giám đốc điều hành BPSOS, Tiến sĩ Nguyễn Đình Thắng cho biết BPSOS đã hợp tác với Veloxity để "gài bẫy và vô hiệu hóa" các hoạt động tin tặc của Sen Biển nhắm vào tổ chức này.

Việt Nam nói gì ? 

Cũng trong năm nay, Phó phát ngôn viên Bộ Ngoại giao Việt Nam Ngô Toàn Thắng gọi các cáo buộc cho rằng Việt Nam dính líu đến hoạt động của OceanLotus là những "thông tin vô căn cứ".

Ông nói : "Việt Nam nghiêm cấm mọi hoạt động tấn công mạng nhằm vào các tổ chức và cá nhân dưới mọi hình thức".

Trong khi đó, Việt Nam bị Tổ chức Phóng viên Không Biên giới xếp hạng  thứ 175/180 quốc gia được tổ chức này đánh giá về mặt tự do báo chí năm 2019.

Thanh Vi

Nguồn : SBS tiếng Việt, 05/12/2020