Nhóm tin tặc có liên hệ với Trung Quốc tiến hành hoạt động gián điệp nhắm vào các quốc gia ở Biển Đông
Theo cơ quan an ninh mạng Romania, nhóm ‘Unfading Haze Sea’ đã và đang nhắm mục tiêu vào các tổ chức quân sự và chính phủ ở các quốc gia Biển Đông kể từ năm 2018.
Theo công ty an ninh mạng Bitdefender của Rumani, một phần tử đe dọa mạng mới, bị nghi ngờ là có liên hệ với Trung Quốc, đã và đang nhắm mục tiêu vào các tổ chức quân sự và chính phủ ở các quốc gia Biển Đông kể từ năm 2018.
Theo báo cáo được công bố hôm 22/05, các nhà nghiên cứu của Bitdefender đã đặt tên cho phần tử đe dọa này là “Unfading Haze Sea” và lưu ý rằng các hoạt động của nhóm này có liên kết với lợi ích địa chính trị của Trung Quốc, với các cuộc tấn công tập trung vào hoạt động gián điệp. “Các mục tiêu và tính chất của các cuộc tấn công cho thấy sự liên kết với những lợi ích của Trung Quốc,” báo cáo viết.
Các nhà nghiên cứu lưu ý rằng nhóm này đã tạo ra “một kho vũ khí tinh vi gồm các phần mềm độc hại và các công cụ tùy chỉnh,” trong đó một trong những kỹ thuật của nhóm này được phát hiện có sự trùng lặp với kỹ thuật của nhóm gián điệp nổi tiếng do Trung Quốc hậu thuẫn APT41.
“Không nhận thấy có sự trùng lặp nào khác với kỹ thuật đã biết của APT41. Sự giống nhau duy nhất này có thể là một dấu hiệu khác cho thấy các hoạt động mã hóa được chia sẻ trong bối cảnh mối đe dọa mạng từ Trung Quốc,” báo cáo nêu rõ.
ATP41 là một trong nhiều mối đe dọa liên tục được nâng cao (APT) của Trung Quốc đã được biết đến, đã thực hiện các hoạt động mạng độc hại nhắm vào các tổ chức, công ty, và chính phủ phương Tây. Còn có những nhóm khác như APT10 và APT40. Hiện tại, 5 công dân Trung Quốc thuộc nhóm APT41 đang nằm trong danh sách truy nã của FBI, sau khi họ bị truy tố vào năm 2020 với các cáo buộc liên quan đến chiến dịch xâm nhập vào hệ thống máy điện toán nhằm đánh cắp bí mật thương mại và thông tin nhạy cảm từ hơn 100 công ty và tổ chức trên toàn thế giới.
Báo cáo cho biết, Unfading Sea Haze đã nhắm mục tiêu vào ít nhất tám nạn nhân, bao gồm hầu hết các mục tiêu quân sự và chính phủ kể từ năm 2018, và “liên tục đoạt lấy quyền truy cập vào các hệ thống bị xâm nhập.”
Một phương pháp mà nhóm này sử dụng để xâm nhập vào các hệ thống mục tiêu là gửi các thư điện tử lừa đảo có chứa các tập tin lưu trữ dạng nén (ZIP) độc hại. “Những tập tin lưu trữ này chứa các tập tin LNK được ngụy trang dưới dạng tài liệu thông thường. Khi được nhấp vào, các tập tin LNK này sẽ thực thi các lệnh độc hại,” báo cáo viết.
Theo báo cáo, một số tên tập tin lưu trữ ZIP gồm có “Data,” “Doc,” và “Startechup_fINAL.”
Những kẻ tấn công của nhóm đe dọa này bắt đầu sử dụng tên lưu trữ ZIP mới vào tháng 3/2024, bao gồm: “Assange_Labeled_an_‘Enemy’_of_the_US_in_Secret_Pentagon_Documents102“ và “Presidency of Barack Obama.” Các tập tin lưu trữ ZIP khác được đặt tên gây nhầm lẫn là trình cài đặt, trình cập nhật, và tài liệu của Microsoft Windows Defender.
Sau khi đoạt được quyền truy cập vào các hệ thống mục tiêu, Unfading Sea Haze đã sử dụng “sự kết hợp giữa các công cụ tùy chỉnh và có sẵn” để thu thập dữ liệu.
Một công cụ tùy chỉnh là keylogger có tên “xkeylog” để ghi lại các thao tác gõ phím trên máy của nạn nhân. Một công cụ tùy chỉnh khác là niêm phong dữ liệu trình duyệt, để nhắm mục tiêu dữ liệu được lưu trữ trong Google Chrome, Firefox, Microsoft Edge, hoặc Internet Explorer.
Một công cụ tùy chỉnh thứ ba cho phép Unfading Sea Haze giám sát sự hiện diện của thiết bị di động trên các hệ thống bị xâm nhập. “Công cụ này kiểm tra các thiết bị di động cứ mỗi 10 giây. Nếu WPD hoặc USB được gắn, công cụ này sẽ thu thập thông tin chi tiết về thiết bị đó, và sử dụng trình ứng dụng HTTP GET gửi chúng đến máy chủ do kẻ tấn công kiểm soát,” báo cáo giải thích.
Theo báo cáo, Unfading Sea Haze cũng thu thập dữ liệu từ các ứng dụng nhắn tin bao gồm Telegram và Viber. Ngoài ra, nhóm còn sử dụng công cụ nén RAR để thu thập dữ liệu theo cách thủ công.
Báo cáo cho biết: “Sự kết hợp giữa các công cụ tùy chỉnh và các công cụ có sẵn này, cùng với việc trích xuất dữ liệu thủ công, vẽ nên bức tranh về một chiến dịch gián điệp có mục tiêu tập trung vào việc thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập.”
Trong hơn 5 năm qua nhóm đe dọa này đã không bị phát hiện, một hiện tượng mà báo cáo cho rằng “đặc biệt đáng lo ngại” và những kẻ tấn công “đã thể hiện một phương thức tinh vi để tấn công mạng.”
Các nhà nghiên cứu cho biết họ công bố phát hiện của mình vì họ “muốn giúp cộng đồng an ninh bằng kiến thức để phát hiện và ngăn chặn các nỗ lực gián điệp của các nhóm này.”
Báo cáo kết thúc với một số khuyến nghị về cách giảm thiểu rủi ro do Unfading Sea Haze và các phần tử đe dọa tương tự khác gây ra. Một trong những lời khuyên được các nhà nghiên cứu Bitdefender đưa ra là: ưu tiên quản lý bản vá, thực hiện các chính sách mật khẩu mạnh, giám sát lưu lượng mạng, và cộng tác với cộng đồng an ninh mạng.
Trung Quốc hiện đang tranh chấp với Brunei, Malaysia, Philippines, Việt Nam, và Đài Loan, về vấn đề lãnh thổ đối với các rạn san hô, đảo, và đảo san hô ở Biển Đông. Một phán quyết quốc tế năm 2016 đã bác bỏ yêu sách “đường chín đoạn” của Bắc Kinh đối với khoảng 85% trong tổng số 2.2 triệu dặm vuông của Biển Đông.
Yến Nhi biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times
