Facebook chỉ đích danh công ty đằng sau nhóm tin tặc bị nghi liên hệ nhà nước Việt Nam
VOA, 11/12/2020
Các nhà điều tra an ninh mạng tại Facebook vừa lần ra một nhóm hacker từ lâu bị nghi làm gián điệp cho chính phủ Việt Nam, nêu đích danh một công ty công nghệ tại Thành phố Hồ Chí Minh. Reuters dẫn thông báo hôm 12/12 của trang mạng xã hội có trụ sở tại Mỹ cho hay, đồng thời nói rằng nếu thông tin được xác nhận, đây sẽ là lần đầu tiên Facebook công khai hoạt động tấn công của nhóm hacker, và cũng là trường hợp hiếm hoi một nhóm hacker bị cáo buộc do nhà nước hậu thuẫn bị một tổ chức cụ thể theo dõi.
Nhóm tin tặc APT32 (OceanLotus) từng bị cáo buộc theo dõi các nhà bất đồng chính kiến, doanh nghiệp và quan chức nước ngoài trong nhiều năm qua.
Nhóm tin tặc được biết tiếng APT32, hay còn có tên OceanLotus, từng bị cáo buộc trong nhiều năm qua về các hoạt động theo dõi các nhà bất đồng chính kiến, các doanh nghiệp và quan chức nước ngoài.
Hồi đầu năm nay, Reuters đưa tin rằng nhóm tin tặc đã nỗ lực đột nhập vào Bộ Quản lý Khẩn cấp của Trung Quốc và chính quyền tại Vũ Hán khi đợt bùng phát Covid-19 đầu tiên lan rộng. Sự kiện này được cho là có thể liên hệ với việc tại sao Việt Nam phản ứng nhanh và hiệu quả trong việc phòng ngừa bùng phát dịch ngay từ đầu.
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus và một công ty Việt Nam có tên CyberOne Group, hay còn gọi là Công ty Hành Tinh.
"Chúng tôi KHÔNG PHẢI là OceanLotus", một người điều hành trang Facebook (hiện đã bị đình chỉ) của công ty tại Việt Nam nói với Reuters. "Đó là nhầm lẫn thôi".
Bộ Ngoại giao Việt Nam hiện chưa trả lời yêu cầu bình luận của hãng thông tấn Anh. Bộ này trước đó từng phủ nhận có liên quan đến các cuộc tấn công của OceanLotus.
Facebook cho biết các tin tặc đã sử dụng các nền tảng của họ để thực hiện một loạt các cuộc tấn công mạng. Một số trong đó sử dụng các tài khoản giả để đánh lừa mục tiêu bằng cách đóng giả là các nhà hoạt động, doanh nghiệp và có thể là những người đang tìm kiếm tình yêu.
Nathaniel Gleicher, người đứng đầu chính sách an ninh mạng của Facebook, cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công khác của OceanLotus.
Ông Gleicher từ chối nêu chi tiết các bằng chứng vì lý do sẽ gây khó khăn hơn cho nhóm trong việc theo dõi tin tặc trong tương lai, nhưng cho biết các kỹ thuật liên quan đến cơ sở hạ tầng trực tuyến, mã độc, các công cụ và kỹ thuật tấn công khác.
OceanLotus được cho là không "nổi tiếng" ở phương Tây bằng các nhóm hacker do Trung Quốc và Nga hậu thuẫn, nhưng lại được biết đến nhiều vì các hoạt động mạnh mẽ ở khu vực Đông Nam Á.
Một số chuyên gia tin rằng nhóm này bắt đầu hoạt động ít nhất từ năm 2013 và có "tất cả các dấu hiệu của một tổ chức được nhà nước hậu thuẫn hoạt động hỗ trợ cho chính phủ Việt Nam".
***********************
Diễm My, VNTB, 11/12/2022
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus hay APT32 và một công ty Việt Nam có tên là CyberOne Group có trụ sở ở thành phố Hồ Chí Minh.
CyberOne Group còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
Trưởng ban chính sách an ninh mạng của Facebook , Nathaniel Gleicher cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công của OceanLotus khác.
CyberOne Group phủ nhận có liên hệ với tin tặc. Một người điều hành trang Facebook hiện đã bị đình chỉ của công ty cho biết khi được Reuters liên hệ rằng ở đây có sự nhầm lẫn và rằng : "Chúng tôi không phải là Sen Biển".
Facebook cho biết các tin tặc đã sử dụng các nền tảng của Facebook để thực hiện một loạt các cuộc tấn công mạng như sử dụng các tài khoản giả để lừa các mục tiêu bằng cách đóng giả là các nhà hoạt động, các doanh nghiệp hoặc thậm chí là lừa tình để sau đó phát tán các phần mềm độc hại.
Tin tặc lừa nạn nhân tải xuống các ứng dụng Android giả mạo thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của người sử dụng.
Các nhà nghiên cứu của Facebook cho biết : "Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm này và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu".
Bộ Ngoại giao Việt Nam đã không trả lời ngay lập tức yêu cầu bình luận. Bộ này trước đó đã phủ nhận các liên quan đến các cuộc tấn công của OceanLotus.
Vài tháng trước Volexity tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo tới người dùng hồ sơ, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.
Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox để đánh cắp thông tin nhạy cảm.
Năm ngoái, nhóm Sen Biển OceanLotus đã nhắm mục tiêu vào các công ty ô tô đa quốc gia nhằm hỗ trợ các mục tiêu sản xuất xe của Việt Nam. Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện các chiến dịch xâm nhập nhằm vào Bộ Quản lý Khẩn cấp ở Trung Quốc với mục đích thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.
Tháng trước, Trend Micro đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.
Các tên miền của nhóm tin tặc sử dụng làm mồi nhử :
tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org
Diễm My
Nguồn : VNTB, 11/12/2020
************************
Facebook cáo buộc nhóm tin tặc APT32 do Chính phủ Việt Nam hậu thuẫn lan truyền mã độc
RFA, 11/12/2020
Nhóm bảo mật của Facebook hôm 10/12 cho biết nhóm hacker APT32 do chính phủ Việt Nam hậu thuẫn đã lan truyền mã độc nhắm vào các nhà hoạt động Việt Nam, các chính phủ nước ngoài, các cơ quan báo chí, cùng các tổ chức phi chính phủ, doanh nghiệp.
Facebook cáo buộc nhóm tin tặc APT32 lan truyền mã độc
Chính sách An ninh của Facebook và Mike Dvilyansky, quản lý bộ phận thông tin tình báo về đe dọa trên mạng của Facebook cho biết các nghiên cứu của hãng cho thấy CyberOne Group - một công ty IT của Việt Nam có liên quan đến hoạt động lan truyền mã độc. Công ty này còn được biết đến với những cái tên như CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
CyberOne Group phủ nhận có liên hệ với tin tặc và cho báo cáo này là một sai lầm.
"Chúng tôi KHÔNG PHẢI là Ocean Lotus", một người điều hành Fanpage của công ty CNTT hiện đã bị Facebook đình chỉ cho biết khi được Reuters liên hệ.
Theo điều tra của Facebook, nhóm hacker APT32 hoạt động trên Facebook bằng cách tạo các tài khoản, trang giả, thường lấy tên là các nhà hoạt động hoặc doanh nghiệp.
Nhóm này chia sẻ các đường dẫn với những nạn nhân của mình tới những trang mà nhóm này hoặc đã hack được hoặc được nhóm lập nên. Các đường dẫn này thường là mã độc hoặc phishing hoặc có các đường dẫn đến các ứng dụng Android mà nhóm này đã tải lên Play Store, cho phép nhóm có thể giám sát đối tượng của mình.
Facebook cho biết hãng này đã gỡ các tài khoản và trang của nhóm hacker này, đồng thời chặn các trang của nhóm này.
APT32 được cho biết bắt đầu hoạt động từ năm 2014 và thường được biết đến với cái tên OceanLotus. Các hoạt động tấn công của nhóm thường có liên quan đến các mối quan tâm của chính quyền Việt Nam.
Hồi năm ngoái, nhóm này bị các hãng an ninh mạng quốc tế cáo buộc đã tấn công vào các trang của các nhà sản xuất ô tô hàng đầu thế giới như BMW, Hyundai, Toyota Australia, Toyota Nhật Bản, thậm chí cả Toyota Vietnam để đánh cắp thông tin công nghiệp.
Nhóm APT32 cũng bị cáo buộc đứng đằng sau các vụ tấn công nhắm vào giới chức chính phủ thuộc thành phố Vũ Hán, Trung Quốc trong năm nay để lấy thông tin về bệnh dịch Covid-19.
RFA, 11/12/2020
FireEye : 'Tin tặc Việt Nam tấn công chính phủ Trung Quốc để lấy thông tin có lợi cho Việt Nam'
Công ty an ninh mạng FireEye khẳng định tin tặc từ Việt Nam đã tấn công các cơ quan phụ trách chống dịch Covid-19 của chính phủ Trung Quốc và Vũ Hán "để lấy thông tin có lợi cho chính phủ Việt Nam".
FireEye khẳng định tin tặc từ Việt Nam đã tấn công các cơ quan phụ trách chống dịch Covid-19 của chính phủ Trung Quốc và Vũ Hán "để lấy thông tin có lợi cho chính phủ Việt Nam".
Trao đổi với BBC News tiếng Việt hôm 25/4, ông Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye, cho biết nhóm của ông đã theo dõi hoạt động của APT32 từ khoảng 5 năm qua.
Ben Read là một trong những người báo cáo về hoạt động mới nhất của nhóm tin tặc APT32, chứng minh nhóm này đã nhắm vào chính phủ Trung Quốc để lấy thông tin liên quan đến Covid-19.
Công ty FireEye, chuyên về an ninh mạng, hoạt động tại Mỹ, trước đó cho biết nhóm tin tặc APT32 ủng hộ chính phủ Việt Nam đã tìm cách đột nhập email cá nhân và công việc của nhân sự thuộc Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc và chính quyền TP Vũ Hán để lấy tin về chiến dịch phòng chống virus corona.
"Chúng tôi có một loạt bằng chứng, bao gồm cả bằng chứng về mục tiêu tấn công lẫn một số dấu hiệu mã ngôn ngữ cho thấy nhóm này làm việc có mục đích là ủng hộ chính phủ Việt Nam", ông Ben Read nói trong cuộc phỏng vấn bằng video.
"Tôi không có dữ liệu cụ thể về việc cơ quan bộ nào phụ trách việc lấy cắp thông tin. Nhưng theo sự đánh giá của chúng tôi, các thông tin mà nhóm này thu thập có thể được chính phủ Việt Nam sử dụng".
Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye
Chỉ lấy thông tin "phục vụ chính phủ"
Theo chuyên gia Ben Read, mục tiêu mà APT32 nhằm vào là các cơ quan phụ trách chống dịch Covid-19 của chính quyền trung ương Trung Quốc và thành phố Vũ Hán.
Về cách thức tấn công, ông cho biết :
"Có một e-mail lừa đảo đã được gửi đến chinasafety.gov.cn, tức là Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc, trong đó có chứa đoạn mã theo dõi (tracking pixel). Khi một ai đó mở email, lập tức nó sẽ tìm nạp hình ảnh từ xa. Đây là thủ thuật mà người làm marketing cũng thường sử dụng. Những kẻ tấn công sẽ biết được lúc nào người ta mở email".
"Chúng tôi tìm được địa chỉ URL nơi chứa các hình ảnh đó. Đó là một số mã theo dõi nhằm vào cơ quan bộ nói trên và chính quyền Vũ Hán. Hạ tầng kỹ thuật chứa các mã theo dõi đó, chúng tôi nghĩ là do APT32 vận hành", ông giải thích.
FireEye không khẳng định chắc chắn là nhóm tin tặc APT32 được chính phủ Việt Nam chống lưng, nhưng có "một số dấu hiệu" có thể liên hệ hoạt động của nhóm với chính phủ Việt Nam.
Reuters: Tin tặc Việt Nam tấn công Trung Quốc để lấy tin về virus corona?
Đội tin tặc APT32 tung hoành ở VN?
"Chúng tôi không có bằng chứng về việc đó", ông nói. "Nhưng có vài điều cần lưu ý ở đây. Loại thông tin mà nhóm theo đuổi không phải là thông tin dễ kiếm tiền. Nó không có giá trị thương mại. Đó không phải là số thẻ tín dụng. Khi họ đột nhập, họ đã không tìm tài khoản ngân hàng".
Chuyên gia Ben Read cho biết APT32 chỉ nhằm vào các các thông tin khác mà các tổ chức này có và "mục tiêu mà họ tấn công phù hợp với những điều mà chính phủ Việt Nam quan tâm".
"Tôi không thể nói với bạn rằng họ đang ở một địa chỉ đường phố cụ thể nào ở Việt Nam. Chúng tôi không có mức độ chi tiết đó. Nhưng đó là lý do tại sao đánh giá của chúng tôi là họ đang làm việc để hỗ trợ chính phủ Việt Nam. Điều này trông nhất quán với hoạt động của họ", ông khẳng định.
Tại sao cần đánh cắp thông tin ?
Báo cáo về việc nhóm tin tặc APT32 tấn công các cơ quan phụ trách chống dịch Covid-19 tại Trung Quốc được FireEye công bố lần đầu hôm 22/4 trong bối cảnh chiến dịch chống Covid-19 của Việt Nam được đánh giá là thành công.
Điều này làm dấy lên đồn đoán cho rằng nhờ các thông tin tình báo có được từ rất sớm, chính phủ Việt Nam đã đánh giá đúng quy mô dịch bệnh nên chủ động triển khai phương án phòng chống ngay từ đầu.
Liên quan đến đề tài này, trong bài báo viết cho Đài Á châu Tự do, giáo sư Carl Thayer (Đại học New South Wales, Úc) phân tích:
"Không có lý do rõ ràng nào lý giải việc tại sao chính phủ Hà Nội không thể phát hiện ra căn bệnh lây lan này vào tháng 11-12/2019 thông qua các nguồn tin tình báo do con người thu thập và tình báo tín hiệu qua theo dõi mạng internet tiếng Trung. Nếu phát hiện, phản ứng đầu tiên của Việt Nam sẽ là thử và xác định COVID-19 gây chết người như thế nào. Đồng thời tìm hiểu càng nhiều càng tốt về căn bệnh mới cũng như khả năng ảnh hưởng của nó đối với Việt Nam. Các nhà ngoại giao Việt Nam tại Trung Quốc nên được giao nhiệm vụ lấy thông tin này từ các những viên chức tương nhiệm Trung Quốc".
Từ đó, ông Thayer nhận định :
"Do Trung Quốc thiếu minh bạch về sự lây lan của virus corona đến tháng 1/2020, nhiều khả năng các quan chức Bắc Kinh đã không đáp ứng yêu cầu cung cấp thông tin từ phía các đồng sự Hà Nội. Sự thiếu minh bạch của Trung Quốc sẽ khiến các nhà lãnh đạo Việt Nam đưa ra chỉ thị, hoặc giao nhiệm vụ cho các cơ quan tình báo và quan chức khác nhau của Hà Nội ở Trung Quốc ưu tiên thu thập tất cả thông tin nguồn về virus corona. Điều này sẽ bao gồm các nguồn mở như internet, Weibo - một dạng Facebook của Trung Quốc, các trang blog và các ấn phẩm điện tử".
Cuối bài viết, ông Thayer cho rằng "cũng có lý khi APT32 là một đơn vị của Bộ Thông tin và truyền thông, hay một bộ khác, hoặc một đơn vị độc lập báo cáo thẳng cho các nhà lãnh đạo cao nhất của đảng và nhà nước Việt Nam".
Về điều này, chuyên gia Ben Read nhận định với BBC News tiếng Việt :
"Thật khó để nói. Theo tôi, việc thu thập thông tin từ ngày 6/1 cho thấy sự quan tâm sớm đến chủ đề này. Đó là những gì diễn ra vào thời điểm đó. Vì vậy, điều đó chắc chắn cho thấy rằng họ [Việt Nam] quan tâm đến vấn đề này từ sớm. Tôi không biết về quá trình ra quyết định của chính phủ Việt Nam như thế nào để có thể nhận xét một cách đầy đủ".
Ben Read cũng nói rằng những bằng chứng tìm thấy không cho biết liệu nhóm tin tặc đã lấy được thông tin giá trị nào hay chưa.
"Chúng tôi còn phát hiện các mã độc liên quan tới các domain được sử dụng mà chúng tôi gọi là METAJACK vốn được APT32 sử dụng vài năm qua. Đây là các bằng chứng nhất quán. Nhưng chúng tôi không biết được điều gì diễn ra sau đó, họ đã thành công hay chưa, liệu họ đã lấy cắp được dữ liệu quý giá hay chưa", ông chia sẻ.
Việt Nam phủ nhận
Sau khi FireEye công bố phát hiện của mình trên website của ông ty, ngày 23/4, Phó Phát ngôn Bộ Ngoại giao Ngô Toàn Thắng đưa ra phản ứng chính thức của phía Việt Nam:
"Đây là những thông tin không có cơ sở. Việt Nam nghiêm cấm các hành vi tấn công mạng nhằm vào các tổ chức, cá nhân dưới bất cứ hình thức nào. Các hành vi tấn công, đe dọa an ninh mạng cần phải bị lên án và trừng trị nghiêm khắc theo quy định của pháp luật.
Năm 2018, Quốc hội Việt Nam đã thông qua Luật An ninh mạng và hiện đang hoàn thiện các văn bản pháp quy để thực thi luật, ngăn chặn các hành vi tấn công mạng.
Việt Nam sẵn sàng hợp tác với cộng đồng quốc tế trong đấu tranh phòng và chống các hành vi tấn công mạng dưới mọi hình thức".
Về phản ứng này của phía Việt Nam, ông Ben Read nói với BBC News tiếng Việt :
"Chúng tôi không muốn tranh cãi với chính phủ. Chúng tôi chỉ công bố phân tích của mình và sẽ bảo vệ các phát hiện đó. Việc tranh cãi với chính phủ là điều chúng tôi không muốn".
APT32 đứng sau nhiều vụ tấn công
Trả lời trên Bloomberg, ông Nick Carr, Giám đốc của FireEye, cho biết đã theo dõi APT32 - còn được gọi là Ocean Lotus và Ocean Buffalo - từ nhiều năm. Năm 2017, nhóm của ông đã điều tra một loạt các vụ tấn công mạng ở Mỹ, Đức và nhiều quốc gia ở Châu Á và thấy rằng APT32 đã dành ít nhất ba năm để tấn công các chính phủ nước ngoài, nhà báo, nhà bất đồng chính kiến và các tập đoàn nước ngoài có lợi ích trong các lĩnh vực sản xuất, hàng tiêu dùng và khách sạn ở Việt Nam.
Trao đổi với BBC News tiếng Việt về thông tin APT32 từng tấn công các hãng xe hơi lớn trên thế giới, ông Ben Read nói : "Đúng, chúng tôi đã phát hiện một số hoạt động có điểm nhất quán cho thấy APT32 đã làm việc đó".
"Có vẻ như họ nhằm vào ngành công nghiệp ô tô. Tôi không thể nói hết từng vụ việc mà báo chí đề cập, nhưng chúng tôi luôn thấy một nhóm các hoạt động như vậy", ông cho biết thêm.
"Có sự tương đồng giữa hoạt động này và các hoạt động khác của APT32 trong quá khứ. Mã độc liên kết với các tên miền này, gọi là METAJACK, chúng tôi đã thấy được sử dụng trong các hoạt động khác của nhóm và chúng tôi cũng từng thấy họ sử dụng mã theo dõi. Nhưng như tôi đã nói, cách này cũng thường được dân marketing thực hiện".
Về năng lực và quy mô của APT32, chuyên gia Ben Read cho biết :
"Qua vài năm theo dõi, chúng tôi thấy họ luôn luôn hoạt động tích cực. Họ cũng phát triển các mã độc mới, tức là họ có một vài dạng nghiên cứu và phát triển. Tuy nhiên, họ không có quy mô lớn như các nhóm của Nga và Trung Quốc".
Bùi Thư
Nguồn : BBC, 05/05/2020