Kỳ 2: Theo dấu APT32 và danh sách các Tên miền mà APT32 thường dùng

December 14, 2020

Tiếp theo chuyên mục về việc Facebook cảnh báo đích danh nhóm APT32 đang sử dụng nền tảng của mình để phát tán Malware thông qua việc giả dạng người dùng và thâm nhập vào các nhóm đối tượng mục tiêu. Đây không phải là lần đầu tiên cộng động Bảo mật góp ý với Facebook về vấn đề hoạt động của nhóm APT32 tuy nhiên Facebook cần có các bằng chứng cụ thể trước khi họ tiến hành đợt truy quét của mình.

Trong cuộc điều tra về việc các nhóm tin tặc đang lợi dụng lỗ hổng trong chính sách bảo mật của mình, Facebook tiến hành xử lý các nhóm tin tặc gồm: Nhóm DON và CRAF (Bangladesh – Ấn Độ) và APT32 (Việt Nam).

Nhóm DON và CRAF – Bangladesh

Cả hai nhóm tin tặc này đều hoạt động tại Bangladesh và mục tiêu họ cùng nhắm dến là các Nhà hoạt động địa phương, Nhà báo, Giáo dân của các tôn giáo thiểu số và cả người nước ngoài. Cách thức hoạt động của cả hai nhóm này là tạo ra các báo cáo giả mạo để vô hiệu hóa các tài khoản Facebook nạn nhân.

Tùy theo mỗi quốc gia, chính sách riêng tư cũng như cách dịch vụ chăm sóc khách hàng của Facebook sẽ có sự khác biệt. Cả hai nhóm đều dựa vào sự khác biệt này mà tạo ra các report giả nhằm vô hiệu hóa trang cá nhân hoặc chiếm quyền trang Page của nạn nhân.

Facebook cũng truy ra được rằng ngoài việc lạm dụng lổ hổng trong chính sách riêng tư của hãng, các nhóm tin tặc này cũng thực hiện các hành vi xâm phạm ngoài nền tảng của họ như chiếm quyền email và/hoặc quyền thiết bị để thực hiện hành vi tấn công tài khoản facebook của người khác.

Nhóm APT32 – Việt Nam

Trong cuộc điều tra này, APT32 là một nhóm tin tặc được Facebook đánh giá là “rất dai dẵng” và “tiên tiến”. Sở dĩ cần phải nhấn mạnh hai điểm này vì bản thân APT32 đang được cho là có sự liên kết với công ty thực sự hoạt động trong mảng Bảo mật nên nhóm có đủ kiến thức và kỹ năng để thay đổi hoạt động của mình sao cho phù hợp nhất với sự thay đổi liên tục của công nghệ cũng như quy trình xử lý của Facebook. Cách thức APT32 hoạt động cực kỳ khôn khéo khi chúng chỉ sử dụng Facebook như là nền tảng điều hướng nạn nhân đến các ứng dụng độc hại của chúng trên Google Play Store hoặc các trang Web độc hại.

Các trang Web độc hại mà APT32 hướng người dùng đến đều có chứa mã độc tự kích hoạt để APT32 có thể xâm nhập vào thiết bị người dùng. Và đây là danh sách các tên miền mà Facebook đã xác định là có liên quan trực tiếp tới nhóm APT32:

tocaoonline[.]com

qh2020[.]org

tinmoivietnam[.]com

nhansudaihoi13[.]org

chatluongvacuocsong[.]vn

tocaoonline[.]org

facebookdeck[.]com

thundernews[.]org

kIỂM TRA LỊCH SỬ TRUY CẬP ĐỂ XEM MÌNH CÓ TỪNG VÀO CÁC TRANG NÀY CHƯA.

Danh sách các ứng dụng trên Google Play Store vẫn chưa được công bố cụ thể nhưng Facebook đã hủy đi các liên kết đi đến các ứng dụng này.

Trước mắt, động thái của Facebook là cắt mọi liên kết từ nền tảng của họ đến các liên kết ngoài liên quan đến các nhóm tin tặc này. Bên cạnh đó, tài khoản Facebook và các dịch vụ liên quan đến các nhóm tin tặc cũng bị xóa và bị vô hiệu hóa. Đồng thời, Facebook cũng công bố các hành động trừng trị của mình đến các cơ quan truyền thông, cộng động bảo mật để mọi người cảnh giác. Các chuyên gia bảo mật của Facebook cũng tin rằng việc này chỉ làm gián đoạn hoạt động của các nhóm tin tặc nói trên chứ không thể nào bị triệt tiêu hoàn toàn.

Một số phản ứng cần thiết nên làm

  1. Xem lại bài viết Kỳ 1: [Tin nóng] Facebook công bố báo cáo về hành vi phát tán Malware từ nhóm tin tặc Việt Nam để tránh các dịch vụ được cung cấp bởi công ty trong bài viết cho đến khi có câu trả lời thỏa đáng từ người phát ngôn của họ.
  2. Với người dùng Android nếu có tải các ứng dụng được phát hành bởi công ty đã nêu thì nhanh chóng gỡ ra. Hãy chờ đợi câu trả lời thỏa đáng trước khi quyết định xem có nên dùng lại không?
  3. Trong trường hợp nếu đã vào các trang web được liệt kê ở trên thì tốt nhất người dùng nên sao lưu các tài liệu cần thiết lên Google Drive và chuyển đổi sang dạng tương ứng để tiếp tục công việc nếu cần, ví dụ: Tập tin Excel khi tải lên Drive thì nên chuyển sang dùng bản Google Sheets để không gián đoạn công việc. NHÁNH CHÓNG CÀI ĐẶT LẠI THIẾT BỊ!
  4. Bổ sung đầy đủ thông tin Email và SĐT cho Facebook cũng như là SĐT cho tài khoản Email để có thể nhanh chóng lấy lại quyền truy cập khi cần thiết.

Tổng hợp từ nhiều nguồn

BTV DSH