Diễm My
(VNTB) – Lần đầu tiên Facebook ra thông báo công khai về một hoạt động tấn công mạng và nếu được xác nhận, đây sẽ là một trường hợp hiếm hoi về việc gián điệp mạng nghi ngờ do nhà nước hậu thuẫn bị truy tìm đến một tổ chức cụ thể.
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus hay APT32 và một công ty Việt Nam có tên là CyberOne Group có trụ sở ở thành phố Hồ Chí Minh.
CyberOne Group còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
Trưởng ban chính sách an ninh mạng của Facebook, Nathaniel Gleicher cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công của OceanLotus khác.
CyberOne Group phủ nhận có liên hệ với tin tặc. Một người điều hành trang Facebook hiện đã bị đình chỉ của công ty cho biết khi được Reuters liên hệ rằng ở đây có sự nhầm lẫn và rằng: “Chúng tôi không phải là Sen Biển”.
Facebook cho biết các tin tặc đã sử dụng các nền tảng của Facebook để thực hiện một loạt các cuộc tấn công mạng như sử dụng các tài khoản giả để lừa các mục tiêu bằng cách đóng giả là các nhà hoạt động, các doanh nghiệp hoặc thậm chí là lừa tình để sau đó phát tán các phần mềm độc hại.
Tin tặc lừa nạn nhân tải xuống các ứng dụng Android giả mạo thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của người sử dụng.
Các nhà nghiên cứu của Facebook cho biết: “Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm này và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu”.
Bộ Ngoại giao Việt Nam đã không trả lời ngay lập tức yêu cầu bình luận. Bộ này trước đó đã phủ nhận các liên quan đến các cuộc tấn công của OceanLotus.
“Thành tích” hoạt động của Sen Biển – APT32
Vài tháng trước Volexity tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo tới người dùng hồ sơ, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.
Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox để đánh cắp thông tin nhạy cảm.
Năm ngoái, nhóm Sen Biển OceanLotus đã nhắm mục tiêu vào các công ty ô tô đa quốc gia nhằm hỗ trợ các mục tiêu sản xuất xe của Việt Nam. Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện các chiến dịch xâm nhập nhằm vào Bộ Quản lý Khẩn cấp ở Trung Quốc với mục đích thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.
Tháng trước, Trend Micro đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.
Các tên miền của nhóm tin tặc sử dụng làm mồi nhử:
tocaoonline[.]com qh2020[.]org tinmoivietnam[.]com nhansudaihoi13[.]org chatluongvacuocsong[.]vn tocaoonline[.]org facebookdeck[.]com thundernews[.]org