Facebook chỉ đích danh công ty đằng sau nhóm tin tặc bị nghi liên hệ nhà nước Việt Nam
VOA, 11/12/2020
Các nhà điều tra an ninh mạng tại Facebook vừa lần ra một nhóm hacker từ lâu bị nghi làm gián điệp cho chính phủ Việt Nam, nêu đích danh một công ty công nghệ tại Thành phố Hồ Chí Minh. Reuters dẫn thông báo hôm 12/12 của trang mạng xã hội có trụ sở tại Mỹ cho hay, đồng thời nói rằng nếu thông tin được xác nhận, đây sẽ là lần đầu tiên Facebook công khai hoạt động tấn công của nhóm hacker, và cũng là trường hợp hiếm hoi một nhóm hacker bị cáo buộc do nhà nước hậu thuẫn bị một tổ chức cụ thể theo dõi.
Nhóm tin tặc APT32 (OceanLotus) từng bị cáo buộc theo dõi các nhà bất đồng chính kiến, doanh nghiệp và quan chức nước ngoài trong nhiều năm qua.
Nhóm tin tặc được biết tiếng APT32, hay còn có tên OceanLotus, từng bị cáo buộc trong nhiều năm qua về các hoạt động theo dõi các nhà bất đồng chính kiến, các doanh nghiệp và quan chức nước ngoài.
Hồi đầu năm nay, Reuters đưa tin rằng nhóm tin tặc đã nỗ lực đột nhập vào Bộ Quản lý Khẩn cấp của Trung Quốc và chính quyền tại Vũ Hán khi đợt bùng phát Covid-19 đầu tiên lan rộng. Sự kiện này được cho là có thể liên hệ với việc tại sao Việt Nam phản ứng nhanh và hiệu quả trong việc phòng ngừa bùng phát dịch ngay từ đầu.
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus và một công ty Việt Nam có tên CyberOne Group, hay còn gọi là Công ty Hành Tinh.
"Chúng tôi KHÔNG PHẢI là OceanLotus", một người điều hành trang Facebook (hiện đã bị đình chỉ) của công ty tại Việt Nam nói với Reuters. "Đó là nhầm lẫn thôi".
Bộ Ngoại giao Việt Nam hiện chưa trả lời yêu cầu bình luận của hãng thông tấn Anh. Bộ này trước đó từng phủ nhận có liên quan đến các cuộc tấn công của OceanLotus.
Facebook cho biết các tin tặc đã sử dụng các nền tảng của họ để thực hiện một loạt các cuộc tấn công mạng. Một số trong đó sử dụng các tài khoản giả để đánh lừa mục tiêu bằng cách đóng giả là các nhà hoạt động, doanh nghiệp và có thể là những người đang tìm kiếm tình yêu.
Nathaniel Gleicher, người đứng đầu chính sách an ninh mạng của Facebook, cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công khác của OceanLotus.
Ông Gleicher từ chối nêu chi tiết các bằng chứng vì lý do sẽ gây khó khăn hơn cho nhóm trong việc theo dõi tin tặc trong tương lai, nhưng cho biết các kỹ thuật liên quan đến cơ sở hạ tầng trực tuyến, mã độc, các công cụ và kỹ thuật tấn công khác.
OceanLotus được cho là không "nổi tiếng" ở phương Tây bằng các nhóm hacker do Trung Quốc và Nga hậu thuẫn, nhưng lại được biết đến nhiều vì các hoạt động mạnh mẽ ở khu vực Đông Nam Á.
Một số chuyên gia tin rằng nhóm này bắt đầu hoạt động ít nhất từ năm 2013 và có "tất cả các dấu hiệu của một tổ chức được nhà nước hậu thuẫn hoạt động hỗ trợ cho chính phủ Việt Nam".
***********************
Facebook lần ra công ty CNTT ở Việt Nam khi truy vết tin tặc Sen Biển
Diễm My, VNTB, 11/12/2022
Lần đầu tiên Facebook ra thông báo công khai về một hoạt động tấn công mạng và nếu được xác nhận, đây sẽ là một trường hợp hiếm hoi về việc gián điệp mạng nghi ngờ do nhà nước hậu thuẫn bị truy tìm đến một tổ chức cụ thể.
Facebook cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus hay APT32 và một công ty Việt Nam có tên là CyberOne Group có trụ sở ở thành phố Hồ Chí Minh.
CyberOne Group còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
Trưởng ban chính sách an ninh mạng của Facebook , Nathaniel Gleicher cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công của OceanLotus khác.
CyberOne Group phủ nhận có liên hệ với tin tặc. Một người điều hành trang Facebook hiện đã bị đình chỉ của công ty cho biết khi được Reuters liên hệ rằng ở đây có sự nhầm lẫn và rằng : "Chúng tôi không phải là Sen Biển".
Facebook cho biết các tin tặc đã sử dụng các nền tảng của Facebook để thực hiện một loạt các cuộc tấn công mạng như sử dụng các tài khoản giả để lừa các mục tiêu bằng cách đóng giả là các nhà hoạt động, các doanh nghiệp hoặc thậm chí là lừa tình để sau đó phát tán các phần mềm độc hại.
Tin tặc lừa nạn nhân tải xuống các ứng dụng Android giả mạo thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của người sử dụng.
Các nhà nghiên cứu của Facebook cho biết : "Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm này và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu".
Bộ Ngoại giao Việt Nam đã không trả lời ngay lập tức yêu cầu bình luận. Bộ này trước đó đã phủ nhận các liên quan đến các cuộc tấn công của OceanLotus.
"Thành tích" hoạt động của Sen Biển – APT32
Vài tháng trước Volexity tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo tới người dùng hồ sơ, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.
Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox để đánh cắp thông tin nhạy cảm.
Năm ngoái, nhóm Sen Biển OceanLotus đã nhắm mục tiêu vào các công ty ô tô đa quốc gia nhằm hỗ trợ các mục tiêu sản xuất xe của Việt Nam. Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện các chiến dịch xâm nhập nhằm vào Bộ Quản lý Khẩn cấp ở Trung Quốc với mục đích thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.
Tháng trước, Trend Micro đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.
Các tên miền của nhóm tin tặc sử dụng làm mồi nhử :
tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org
Diễm My
Nguồn : VNTB, 11/12/2020
************************
Facebook cáo buộc nhóm tin tặc APT32 do Chính phủ Việt Nam hậu thuẫn lan truyền mã độc
RFA, 11/12/2020
Nhóm bảo mật của Facebook hôm 10/12 cho biết nhóm hacker APT32 do chính phủ Việt Nam hậu thuẫn đã lan truyền mã độc nhắm vào các nhà hoạt động Việt Nam, các chính phủ nước ngoài, các cơ quan báo chí, cùng các tổ chức phi chính phủ, doanh nghiệp.
Facebook cáo buộc nhóm tin tặc APT32 lan truyền mã độc
Chính sách An ninh của Facebook và Mike Dvilyansky, quản lý bộ phận thông tin tình báo về đe dọa trên mạng của Facebook cho biết các nghiên cứu của hãng cho thấy CyberOne Group - một công ty IT của Việt Nam có liên quan đến hoạt động lan truyền mã độc. Công ty này còn được biết đến với những cái tên như CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.
CyberOne Group phủ nhận có liên hệ với tin tặc và cho báo cáo này là một sai lầm.
"Chúng tôi KHÔNG PHẢI là Ocean Lotus", một người điều hành Fanpage của công ty CNTT hiện đã bị Facebook đình chỉ cho biết khi được Reuters liên hệ.
Theo điều tra của Facebook, nhóm hacker APT32 hoạt động trên Facebook bằng cách tạo các tài khoản, trang giả, thường lấy tên là các nhà hoạt động hoặc doanh nghiệp.
Nhóm này chia sẻ các đường dẫn với những nạn nhân của mình tới những trang mà nhóm này hoặc đã hack được hoặc được nhóm lập nên. Các đường dẫn này thường là mã độc hoặc phishing hoặc có các đường dẫn đến các ứng dụng Android mà nhóm này đã tải lên Play Store, cho phép nhóm có thể giám sát đối tượng của mình.
Facebook cho biết hãng này đã gỡ các tài khoản và trang của nhóm hacker này, đồng thời chặn các trang của nhóm này.
APT32 được cho biết bắt đầu hoạt động từ năm 2014 và thường được biết đến với cái tên OceanLotus. Các hoạt động tấn công của nhóm thường có liên quan đến các mối quan tâm của chính quyền Việt Nam.
Hồi năm ngoái, nhóm này bị các hãng an ninh mạng quốc tế cáo buộc đã tấn công vào các trang của các nhà sản xuất ô tô hàng đầu thế giới như BMW, Hyundai, Toyota Australia, Toyota Nhật Bản, thậm chí cả Toyota Vietnam để đánh cắp thông tin công nghiệp.
Nhóm APT32 cũng bị cáo buộc đứng đằng sau các vụ tấn công nhắm vào giới chức chính phủ thuộc thành phố Vũ Hán, Trung Quốc trong năm nay để lấy thông tin về bệnh dịch Covid-19.
RFA, 11/12/2020