[Tin nóng] Facebook công bố báo cáo về hành vi phát tán Malware từ nhóm tin tặc Việt Nam

December 12, 2020

Ngày 11/12 vừa qua, nhiều trang báo nước ngoài đưa tin về việc Đội an ninh của Facebook (Facebook security team) đã thông cáo báo cáo của họ về các hành vi phát tán Malware đến nhiều nhóm đối tượng cụ thể ở Việt Nam thông qua nền tảng Facebook của họ. Cụ thể, Natahniel Gleicher, Trưởng ban Chính sách Bảo mật của Facebook và Mike Dvilyanski, Quản trị An toàn mạng đã cùng xác nhận “Các tra cứu của chúng tôi đã tìm được mối liên hệ trong các hoạt động phát tán malware có liên quan đến CyberOne Group, công ty IT tại Việt Nam (còn được biết đến với các tên gọi: CyberOne Security, CyberOne Technologies, CTY TNHH Hành Tinh, Planet and Diacauso”.

Trước các cáo buộc này, người phát ngôn của CyberOne lại tắt toàn bộ các số liên lạc từ trước đến nay và từ chôi nhận email thông báo từ Facebook.

APT32 phát tán Malware như thế nào?

Theo Gleicher và Dvilyanski, hành động mà APT32 thường làm là tạo các tài khoản Facebook giả với vai trò Nhà hoạt động và/hoặc Công ty, Tổ chức thương mại, mậu dịch. Các tài khoản giả danh này sẽ len lỏi vào các các nhóm đối tượng cụ thể để dẫn dụ nạn nhân về:

  1. Các trang Web mà nhóm này quản lý với nhiều tên miền khác nhau để phá tán Malware
  2. Các ứng dụng chính thức trên Google Playstore. Các ứng dụng này đỏi hỏi rất nhiều quyền truy cập vào hệ thống của điện thoại Android từ đó giúp APT32 có thể theo dõi nạn nhân của họ và thậm chí là truy xuất thông tin nạn nhân để phục vụ mục đích riêng của mình.

Các nhóm đối tượng mà APT32 nhắm tới?

Theo báo cáo trên, APT32 nhắm tới những đối tượng vô cùng cụ thể như sau:

  1. Nhà hoạt động phi chính phủ người bản sứ hoặc người nước ngoài;
  2. Nhà ngoại giao nước ngoài cấp chính phủ (Foreign Governments – dịch sát nghĩa sẽ không đúng với ngữ cảnh), bao gồm cả Lào và Cam-pu-chia;
  3. Các tổ chức phi chính phủ;
  4. Các cơ quan, tổ chức thương mại, dịch vụ, mậu dịch, phi chính phủ mới được thành lập tại Việ Nam;
  5. Các doanh nghiệp liên quan đến Công nghệ thông tin, Y tế, Nông nghiệp và Hàng hóa, Khách sạn, Ngành bán lẻ, Công nghiệp Ô tô và các dịch vụ di động viễn thông.

Ngay tại thời điểm này, một ngày sau khi thông cáo các phát hiện của mình, Facebook đã triệt tiêu các tài khoản và Page giả mạo của APT32. Kèm theo đó là chặn các liên kết từ Facebook đến các tên miền mà nhóm tin tặc đã sử dụng để tránh việc bành trướng của nhóm APT32. Phòng Bảo mật công nghệ của Facebook vẫn đang tiếp tục rà soát cập nhật liên tục các tài khoản cũng như tên miền có liên quan đến hoạt động của nhóm APT32.

Không chỉ là người dùng Việt Nam mà các quốc gia trong khu vực cũng nằm trong tầm ngấm của nhóm tin tặc này

Một vài truy dấu về nhóm APT32

Các nhà nghiên cứu cho rằng APT32 bắt đầu hoạt động từ năm 2014 với tên gọi là OceanLotus. Hoạt động của nhóm tin tặc này liên quan trực tiếp đến các vấn đề nóng mà chính phủ sở tại quan tâm trên nhiều lĩnh vực: các hoạt động của các nước trong khu vực, đến hoạt động của các Tổ chức Phi chính phủ trong và ngoài nước, thậm chí các doanh nghiệp tư nhân cũng nằm trong tầm ngấm của nhóm tin tặc này vì họ tin rằng chính quyền sở tại có sự quan tâm gián tiếp và/hoặc trực tiếp đến.

Một trong các ví dụ điển hình, có thể nói là tiêu biểu, khi nhóm tấn công vào cơ sở dữ liệu của các công ty sản xuất Ô tô vào năm 2019. Mục tiêu của chiến dịch này là cố gắng đánh cắp tài sản trí tuệ, cụ thể là công nghệ của các hãng Ô tô nổi tiếng đã và đang hoạt động ở Việt Nam như BMW, Hyundai, Toyota Úc – Nhật – Việt Nam… Theo báo cáo là hoạt động của nhóm tin tặc này được cho là để hỗ trợ cho một doanh-nghiệp-cùng-ngành-bản-địa tuy nhiên các báo cáo sau này đã rút lại việc hoạt động của nhóm là để trực tiếp hỗ trợ doanh nghiệp này vì không có đủ bằng chứng xác thực.

Vào cuối năm 2019 đến nay, khi Đại dịch Corona bùng phát, nhiều báo cáo về việc nhóm tin tặc này liên tục tấn công và thu thập dữ liệu COVID-19 tại tâm dịch, Vũ Hán cũng như nhiều cơ quan chính phủ khác. Vẫn chưa rõ mục đích về việc tìm kiếm và thu thập thông tin này nên các cơ quan Bảo mật vẫn chưa gán mác gián điệp cho hành đồng này của nhóm.

Vì các hoạt động của nhóm dai dẳng từ năm 2014 tới nay và có ít nhiều liên quan đến chính quyền sở tại nên các cơ quan, tổ chức Bảo mật thế giới buộc phải đặt giả thuyết rằng đây là hành vi cố ý và có mối liên hệ tới chính quyền sở tại của nhóm tin tặc này.

Điều cuối cùng, Facebook đặc biệt nhấn mạnh đến sự phát triển của APT32 lại có liên quan trực tiếp đến một công ty An ninh mạng thực sự. Các hoạt động của nhóm tin tặc sẽ có thể bị gián đoạn chứ không thể bị triệt tiêu do đó các đối tượng được nêu trong bản báo cáo cần phải nâng cao tính bảo mật trong hoạt động của mình để tránh việc trở thành nạn nhân tiếp theo của APT32.

Kỳ 2: Theo dấu APT32 và danh sách các Tên miền và ứng dụng mà nhóm thường dùng.

(Tổng hợp từ nhiều nguồn báo quốc tế)

BTV DSH