Fox-IT Hà Lan phát hiện nhóm tin tặc nghi ngờ làm việc cho ĐCSTQ

Ngày 19/12 vừa qua, một công ty an ninh mạng tại Hà Lan đã công bố một báo cáo cho biết, một nhóm tin tặc nghi ngờ có liên quan đến Chính phủ Đảng Cộng sản Trung Quốc (ĐCSTQ) sau nhiều năm im lặng đã quay trở lại và liên tục tấn công các công ty nước ngoài cùng các cơ quan chính phủ, bao gồm Mỹ, Anh, Pháp, Đức và Ý.

Theo Bloomberg News, nhóm tin tặc này có thể thuộc về một tổ chức mà bộ phận an ninh mạng gọi tên là APT20. Công ty an ninh mạng của Hà Lan là Fox-IT cho biết, các công ty bị tấn công liên quan đến các lĩnh vực như hàng không, xây dựng, tài chính, y tế, bảo hiểm, năng lượng. Chuyên viên nghiên cứu của Fox-IT chỉ ra, họ có tin tưởng cao rằng các nhà hoạt động mạng này thuộc về một tổ chức của Trung Quốc và mục đích của các hoạt động là vì lợi ích của ĐCSTQ.

“Rất nhiều người tưởng rằng tổ chức này đã biến mất hoặc không còn tồn tại”, Frank Groenewegen, chuyên gia bảo mật tại công ty an ninh mạng Fox-IT cho biết, “Nhưng chúng tôi phát hiện tổ chức này lại tái xuất hoạt động trộm cắp trên toàn cầu, đã xâm nhập vào nhiều công ty.”

Thông tin cho biết các tổ chức tin tặc này được ĐCSTQ hậu thuẫn để thực hiện hoạt động gián điệp toàn cầu. Chuyên viên của Fox-IT đã phát hiện vào mùa hè năm 2018, APT20 đã phát động ít nhất hàng chục cuộc tấn công mạng trên toàn thế giới liên quan đến các nước Mỹ, Anh, Pháp, Đức, Ý, Brazil, Mexico, Bồ Đào Nha và Tây Ban Nha.

Nguồn tin cho biết phương thức hoạt động của tổ chức tin tặc này là: đánh cắp mật khẩu từ các mạng của các công ty nước ngoài và các cơ quan chính phủ để thu thập dữ liệu.

Fox-IT đã thông báo cho những nơi khả nghi bị tấn công để phối hợp dọn dẹp hệ thống máy tính. Theo thông tin do Frank Groenewegen chia sẻ, tại Trung Quốc Đại Lục phát hiện ít nhất một công ty bán dẫn đã là mục tiêu của tin tặc.

Fox-IT xác nhận danh tính của tin tặc, ít nhất là dựa trên các cơ sở sau:

Trước hết, tin tặc trên mạng thường che giấu hành tung, xóa bỏ các công cụ được sử dụng để hack máy tính nhằm đánh cắp dữ liệu, nhưng tin tặc thỉnh thoảng vẫn mắc sai lầm. Fox-IT đã cài đặt công nghệ giám sát vào mạng của cơ quan bị tấn công để thu thập dữ liệu tin tặc xâm nhập thông qua trình duyệt web với ngôn ngữ Tiếng Trung giản thể.

Thứ hai, với sự giúp đỡ của một cơ quan thực thi pháp luật, Fox-IT đã truy tìm được máy chủ mạng mà APT20 đã từng dùng làm điểm khởi đầu cho hoạt động hack. Fox-IT cũng phát hiện ra rằng nhóm tin tặc đã thanh toán bằng Bitcoin và cung cấp địa chỉ giả ở Mỹ. Trong cột “địa danh”, tin tặc đã ghi là “bang Louisiana” bằng tiếng Trung giản thể.

Thứ ba, các chuyên gia bảo mật của Fox-IT phát hiện về thời gian hoạt động của tin tặc là từ 10 giờ sáng đến 10 giờ tối theo giờ Bắc Kinh, cho thấy họ hoạt động theo múi giờ của Trung Quốc.

Cuối cùng, nhân viên an ninh mạng của Fox-IT cho biết sau khi họ gỡ bỏ được cửa hậu độc hại khỏi máy chủ bị tấn công thì tin tặc phát hiện ra hành tung bị bại lộ, đã gửi mã lệnh nhiều lần nhưng không thể đột vào máy chủ nên tức giận dùng lệnh “wocao”. Fox-IT cho biết “wocao” là từ chửi thề phổ biến trong tiếng Trung.

Tuyết Mai

Xem thêm: