Nhóm hacker Trung Quốc nhắm hướng tấn công vào Đông Nam Á

Làn sóng tấn công mới có khả năng nhắm vào các cơ sở y tế ở Malaysia trong khoảng từ tháng 10 đến tháng 12-2018 và Việt Nam từ tháng 2 đến tháng 5-2019. Loại mã độc được sử dụng lần này khác với các thủ thuật APT10 từng dùng nhưng mục đích vẫn là đánh cắp thông tin riêng tư từ các máy bị nhiễm.

APT10 - còn được gọi là MenuPass, StonePanda, ChessMaster, Cloud Hopper và Red Apollo  - được biết đến với một số cuộc tấn công chống lại các ngành công nghiệp, học thuật, y tế... kể từ năm 2009.

Báo cáo  của PwC vào tháng 12-2018 cho biết nhóm hacker này đã lây nhiễm thành công vào các công ty MSP (nhà cung cấp dịch vụ quản lý) như Hewlett Packard Enterprise Co và IBM. Thông qua tấn công, tội phạm mạng đã đánh cắp dữ liệu cá nhân khách hàng của công ty. Các tập đoàn Úc cũng nằm trong số những mục tiêu này. Báo cáo mới nhất còn cho thấy tấn công APT10 xuất hiện ở Philippines cũng như chống lại các công ty viễn thông  ở châu Âu, châu Phi, Trung Đông và châu Á.

Nhóm hacker này được biết là nhóm tội phạm mạng mang quốc tịch Trung Quốc. Mục tiêu của APT10 là đánh cắp thông tin quan trọng, bao gồm dữ liệu bí mật, thông tin quốc phòng và bí mật của công ty.

Trước đây, APT10 được biết đến với việc sử dụng nhiều loại RAT hoặc Trojans truy cập từ xa, bao gồm Poison Ivy, PlugX, ChChes, Redleaves...

Năm 2017, Kaspersky đã phát hiện mã độc PlugX trong các công ty dược tại Việt Nam để đánh cắp các công thức thuốc quý và thông tin kinh doanh. Mã độc này được phát tán thông qua hoạt động lừa đảo.

Ông Suguru Ishimaru, nhà nghiên cứu bảo mật tại Kaspersky

Tại Nhật Bản, APT10 đã sử dụng Redleaves, một phần mềm độc hại chỉ chạy trong bộ nhớ và các biến thể của nó, từ tháng 10-2016 đến tháng 4-2018. Các nhà nghiên cứu của Kaspersky đã phát hiện hơn 120 mô-đun độc hại của Redleaves và các biến thể của nó như Himawari và Lavender.

Trong mẫu của Himawari, các nhà nghiên cứu đã tìm thấy thuật ngữ y tế cũng như tài liệu giải mã liên quan đến những tổ chức y tế, chăm sóc sức khỏe và dược phẩm. Tất cả các mẫu nhắm đến mục tiêu ngành y tế được bảo vệ bằng mật khẩu, làm cản trở các nhà nghiên cứu khi tiến hành phân tích sâu hơn.

Ishimaru cho biết: "Vào tháng 4-2018, chúng tôi đã quan sát thấy một thủ thuật mới đang được APT10 – Zark20rk sử dụng. Nó là một biến thể của Redleaves nhưng các tin tặc đứng sau nhóm này đã cập nhật một số thuật toán mật mã, cấu trúc dữ liệu và các tính năng phần mềm độc hại cũng như thêm một số chuỗi khóa liên quan đến Nga. Dựa trên mô hình hành vi của chúng, có thể nói đây là tín hiệu giả để gây nhầm lẫn cho các nhà nghiên cứu trong quá trình theo dõi hoạt động của chúng".

"Với các tệp đính kèm được bảo vệ bằng mật khẩu, các mã ẩn phức tạp, các thủ thuật ẩn tiên tiến và mô-đun được mã hóa bằng nhiều thuật toán, APT10 chắc chắn đang đầu tư rất nhiều vào cách tiến hành tấn công. Thông qua phương pháp thử và sai, chúng đang tìm kiếm kỹ thuật tốt nhất để lây nhiễm các mục tiêu. Dựa trên kết quả điều tra của chúng tôi và mô hình hành vi tấn công của APT10, ngành y tế và chăm sóc sức khỏe chắc chắn đang nằm trong mục tiêu tấn công của nhóm này" - ông nói thêm.