Điểm mặt 6 nhóm tin tặc "khét tiếng" đang hoành hành ở Đông Nam Á

Trong đó có những nhóm tin tặc đã tạo ra mã độc nghe lén cuộc gọi, đọc lén tin nhắc hay thậm chí là điều khiển chiếc điện thoại của nạn nhân từ xa.

Các chiến dịch liên quan đến địa chính trị ngày càng gia tăng đã thúc đẩy nhu cầu cấp thiết về hoạt động tình báo mối đe dọa mạng trong khu vực Đông Nam Á. Mới đây, Kaspersky tiết lộ một số nhóm tin tặc đã và vẫn đang hoạt động ở Đông Nam Á chủ yếu theo hình thức APT (tấn công có chủ đích).

Điểm mặt 6 nhóm tin tặc "khét tiếng" đang hoành hành ở Đông Nam Á - 1

"Với cơn “khát” thông tin và dữ liệu, năm 2019 là năm bận rộn của tội phạm mạng khi chúng tung ra nhiều công cụ tấn công mới, trong đó có công cụ gián điệp thông qua mã độc di động nhằm đánh cắp thông tin từ các tổ chức và chính phủ trong khu vực", Kaspersky nhận định và cho biết họ đang theo dõi hơn 100 nhóm tin tặc APT đang hoạt động trên toàn cầu.

Theo giải thích của hãng bảo mật Nga, Đông Nam Á là khu vực có tính đa dạng về dân tộc, quan điểm chính trị, cũng như tình hình phát triển kinh tế. Điều này thúc đẩy sự đa dạng của các cuộc tấn công mạng và chạy đua vũ trang ở nhiều quốc gia trong khu vực. Những nhóm tấn công APT lâu năm đã và đang phát triển các công cụ tốt hơn, trở nên thận trọng hơn, cải tiến kỹ thuật cao hơn với mong muốn đạt được nhiều mục tiêu lớn hơn trong thời gian tới.

FunnyDream

Đầu năm 2020, Kaspersky đã công bố báo cáo dựa trên điều tra về một chiến dịch tấn công mạng đang diễn ra có tên “FunnyDream”. Nhóm tin tặc mang quốc tịch Trung Quốc này đã hoạt động ít nhất vài năm và có nhiều khả năng tấn công khác nhau.

Kể từ giữa năm 2018, các nhà nghiên cứu tại Kaspersky đã nhận thấy các hoạt động liên tục từ nhóm tin tặc này. Trong số các mục tiêu của chúng có các tổ chức chính phủ cấp cao và đảng chính trị từ nhiều quốc gia châu Á, bao gồm Philippines, Thái Lan, Việt Nam và Malaysia.

Chiến dịch này bao gồm một số công cụ gián điệp mạng với nhiều khả năng tấn công khác nhau. Theo dõi mới nhất của Kaspersky cho thấy các cuộc tấn công gián điệp của FunnyDream vẫn đang tiếp diễn.

Platinum

Platinum là một trong những nhóm tin tặc APT sở hữu công nghệ tiên tiến nhất với trọng tâm tấn công là khu vực châu Á - Thái Bình Dương (APAC). Vào năm 2019, các nhà nghiên cứu của Kaspersky đã phát hiện Platinum sử dụng một cửa hậu mới gọi là Titanium, được đặt theo mật khẩu của một trong những tài liệu lưu trữ được nhóm hacker tự thực hiện.

Titanium là kết quả của một chuỗi các giai đoạn thả, tải xuống và cài đặt mã độc. Phần mềm độc hại ẩn nấp bằng cách bắt chước những phần mềm bảo vệ, phần mềm điều khiển âm thanh, hay công cụ tạo video DVD phổ biến.

Các thực thể ngoại giao và chính phủ của Indonesia, Malaysia và Việt Nam được xác định là nạn nhân của Platinum.

Điểm mặt 6 nhóm tin tặc "khét tiếng" đang hoành hành ở Đông Nam Á - 2

Chỉ cần thiết bị có kết nối internet, dữ liệu sẽ không bao giờ là an toàn tuyệt đối.

Cycldek

Một nhóm APT khác nhắm vào các nước Đông Nam Á vào năm 2019 là nhóm tin tặc quốc tịch Trung Quốc có tên “Cycldek”. Mặc dù mục tiêu chính của Cycldek là mạng lưới chính phủ ở Việt Nam và Lào, nhưng Kaspersky cũng đã nhận thấy 3% mục tiêu của nhóm là ở Thái Lan. Kaspersky cũng đã xác định được một mục tiêu ở Philippines trong làn sóng tấn công 2018 - 2019.

Cycldeck còn được gọi là Goblin Panda, nổi tiếng với các hành vi trộm thông tin và hoạt động gián điệp trên nhiều lĩnh vực của chính phủ, quốc phòng và năng lượng trong khu vực bằng cách sử dụng các biến thể phần mềm độc hại PlugX và HttpTunnel.

HoneyMyte 

Năm 2019, Kaspersky đã công bố một số báo cáo liên quan đến các cuộc tấn công của nhóm tin tặc HoneyMyte. Nhóm đã bắt đầu một chiến dịch spearphishing mới vào giữa năm 2018, tiếp đến năm 2019 nhắm vào các tổ chức chính phủ khác nhau từ các quốc gia Trung Á và Đông Nam Á. Trong số các nạn nhân, Kaspersky đã phát hiện những thực thể có trụ sở tại Singapore bị nhắm đến trong làn sóng tấn công này.

Các tổ chức chính phủ của Myanmar và Việt Nam cũng là những mục tiêu chính của HoneyMyte, bởi các mẫu độc hại Lnk, PlugX, powershell và .Net.

Finspy

FinSpy là phần mềm gián điệp trên Windows, macOS và Linux. Nó có thể được cài đặt trên cả iOSAndroid với cùng một bộ chức năng có sẵn cho mỗi nền tảng. Ứng dụng này cho phép kẻ tấn công gần như toàn quyền kiểm soát dữ liệu trên thiết bị nhiễm mã độc.

Mã độc có thể được cấu hình riêng cho từng nạn nhân và cung cấp cho kẻ tấn công thông tin chi tiết về người dùng, bao gồm danh bạ, lịch sử cuộc gọi, định vị địa lý, văn bản, sự kiện lịch,... Mã độc cũng có thể ghi âm giọng nói và cuộc gọi VoIP cũng như đánh chặn tin nhắn tức thời.

Mã độc có khả năng nghe lén nhiều công cụ liên lạc như WhatsApp, WeChat, Viber, Skype, Line, Telegram, cũng như Signal và Threema. Bên cạnh các tin nhắn, FinSpy trích xuất các tệp được gửi và nhận bởi các nạn nhân trong các ứng dụng nhắn tin, cũng như dữ liệu về các nhóm và danh bạ.

Đầu năm 2019, Kaspersky đã báo cáo về phiên bản mới của FinSpy trên iOS và sau đó đã phát hiện ra phiên bản trên Android. Theo Kaspersky, người dùng tại Indonesia, Myanmar và Việt Nam nằm trong số các mục tiêu của hai loại phần mềm độc hại này.

PhantomLance

Một mã độc di động khác ảnh hưởng đến một số quốc gia ở Đông Nam Á có tên PhantomLance - một chiến dịch gián điệp dài hạn với trojans trên Android được triển khai ở các ứng dụng khác nhau, trong đó có Google Play. Sau khi phát hiện ra các mẫu tấn công, Kaspersky đã thông báo kịp thời cho Google.

RCS (hệ thống điều khiển từ xa) được phát triển bởi một công ty cung cấp các giải pháp không gian mạng đã được tìm thấy nhắm mục tiêu đến các thực thể tại Indonesia, Malaysia và Việt Nam.