Thông Luận

Cơ quan ngôn luận của Tập Hợp Dân Chủ Đa Nguyên

Published in

Việt Nam

11/12/2020

Nhóm tin tặc APT32 lan truyền mã độc trên Facebook

Diễm My - RFA tiếng Việt

Facebook ch đích danh công ty đng sau nhóm tin tc b nghi liên h nhà nước Vit Nam

VOA, 11/12/2020

Các nhà điu tra an ninh mng ti Facebook va ln ra mt nhóm hacker t lâu b nghi làm gián đip cho chính ph Vit Nam, nêu đích danh mt công ty công ngh ti Thành phố Hồ Chí Minh. Reuters dn thông báo hôm 12/12 ca trang mng xã hi có tr s ti M cho hay, đng thi nói rng nếu thông tin được xác nhn, đây s là ln đu tiên Facebook công khai hot đng tn công ca nhóm hacker, và cũng là trường hp hiếm hoi mt nhóm hacker b cáo buc do nhà nước hu thun b mt t chc c th theo dõi.

apt1

Nhóm tin tc APT32 (OceanLotus) tng b cáo buc theo dõi các nhà bt đng chính kiến, doanh nghip và quan chc nước ngoài trong nhiu năm qua.

Nhóm tin tc được biết tiếng APT32, hay còn có tên OceanLotus, tng b cáo buc trong nhiu năm qua v các hot đng theo dõi các nhà bt đng chính kiến, các doanh nghip và quan chc nước ngoài.

Hi đu năm nay, Reuters đưa tin rng nhóm tin tc đã n lc đt nhp vào B Qun lý Khn cp ca Trung Quc và chính quyn ti Vũ Hán khi đt bùng phát Covid-19 đu tiên lan rng. S kin này được cho là có th liên h vi vic ti sao Vit Nam phn ng nhanh và hiu qu trong vic phòng nga bùng phát dch ngay t đu.

Facebook cho biết h đã tìm thy mi liên h gia các cuc tn công mng trước đây được cho là ca OceanLotus và mt công ty Vit Nam có tên CyberOne Group, hay còn gi là Công ty Hành Tinh.

"Chúng tôi KHÔNG PHI là OceanLotus", mt người điu hành trang Facebook (hin đã b đình ch) ca công ty ti Vit Nam nói vi Reuters. "Đó là nhm ln thôi".

B Ngoi giao Vit Nam hin chưa tr li yêu cu bình lun ca hãng thông tn Anh. B này trước đó tng ph nhn có liên quan đến các cuc tn công ca OceanLotus.

Facebook cho biết các tin tc đã s dng các nn tng ca h đ thc hin mt lot các cuc tn công mng. Mt s trong đó s dng các tài khon gi đ đánh la mc tiêu bng cách đóng gi là các nhà hot đng, doanh nghip và có th là nhng người đang tìm kiếm tình yêu.

Nathaniel Gleicher, người đng đu chính sách an ninh mng ca Facebook, cho biết nhóm ca ông đã tìm thy bng chng k thut liên kết trang Facebook ca CyberOne vi các tài khon được s dng trong chiến dch tn công cũng như vi các cuc tn công khác ca OceanLotus.

Ông Gleicher t chi nêu chi tiết các bng chng vì lý do s gây khó khăn hơn cho nhóm trong vic theo dõi tin tc trong tương lai, nhưng cho biết các k thut liên quan đến cơ s h tng trc tuyến, mã đc, các công c và k thut tn công khác.

OceanLotus được cho là không "ni tiếng" phương Tây bng các nhóm hacker do Trung Quc và Nga hu thun, nhưng li được biết đến nhiu vì các hot đng mnh m khu vc Đông Nam Á.

Mt s chuyên gia tin rng nhóm này bt đu hot đng ít nht t năm 2013 và có "tt c các du hiu ca mt t chc được nhà nước hu thun hot đng h tr cho chính ph Vit Nam".

***********************

Facebook lần ra công ty CNTT ở Việt Nam khi truy vết tin tặc Sen Biển

Diễm My, VNTB, 11/12/2022

Lần đầu tiên Facebook ra thông báo công khai về một hoạt động tấn công mạng và nếu được xác nhận, đây sẽ là một trường hợp hiếm hoi về việc gián điệp mạng nghi ngờ do nhà nước hậu thuẫn bị truy tìm đến một tổ chức cụ thể.

face1

Facebook  cho biết họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus hay APT32 và một công ty Việt Nam có tên là CyberOne Group có trụ sở ở thành phố Hồ Chí Minh.

CyberOne Group còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.

Trưởng ban chính sách an ninh mạng của Facebook , Nathaniel Gleicher cho biết nhóm của ông đã tìm thấy bằng chứng kỹ thuật liên kết trang Facebook của CyberOne với các tài khoản được sử dụng trong chiến dịch tấn công cũng như với các cuộc tấn công của OceanLotus khác.

CyberOne Group phủ nhận có liên hệ với tin tặc. Một người điều hành trang Facebook hiện đã bị đình chỉ của công ty cho biết khi được Reuters liên hệ  rằng ở đây có sự nhầm lẫn và rằng : "Chúng tôi không phải là Sen Biển".

Facebook cho biết các tin tặc đã sử dụng các nền tảng của Facebook để thực hiện một loạt các cuộc tấn công mạng như sử dụng các tài khoản giả để lừa các mục tiêu bằng cách đóng giả là các nhà hoạt động, các doanh nghiệp hoặc thậm chí là lừa tình để sau đó phát tán các phần mềm độc hại.

Tin tặc lừa nạn nhân tải xuống các ứng dụng Android giả mạo thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của người sử dụng.

Các nhà nghiên cứu của Facebook cho biết : "Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm này và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu".

Bộ Ngoại giao Việt Nam đã không trả lời ngay lập tức yêu cầu bình luận. Bộ này trước đó đã phủ nhận các liên quan đến các cuộc tấn công của OceanLotus.

"Thành tích" hoạt động của Sen Biển – APT32

Vài tháng trước Volexity  tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo tới người dùng hồ sơ, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.

Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox để đánh cắp thông tin nhạy cảm.

Năm ngoái, nhóm Sen Biển OceanLotus đã nhắm mục tiêu vào các công ty ô tô đa quốc gia  nhằm hỗ trợ các mục tiêu sản xuất xe của Việt Nam. Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện các chiến dịch xâm nhập nhằm vào Bộ Quản lý Khẩn cấp ở Trung Quốc với mục đích thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.

Tháng trước, Trend Micro đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.

Hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.

Các tên miền của nhóm tin tặc sử dụng làm mồi nhử :

tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org

Diễm My

Nguồn : VNTB, 11/12/2020

************************

Facebook cáo buộc nhóm tin tặc APT32 do Chính phủ Việt Nam hậu thuẫn lan truyền mã độc

RFA, 11/12/2020

Nhóm bảo mật của Facebook hôm 10/12 cho biết nhóm hacker APT32 do chính phủ Việt Nam hậu thuẫn đã lan truyền mã độc nhắm vào các nhà hoạt động Việt Nam, các chính phủ nước ngoài, các cơ quan báo chí, cùng các tổ chức phi chính phủ, doanh nghiệp.

face0

Facebook cáo buộc nhóm tin tặc APT32 lan truyền mã độc

Chính sách An ninh của Facebook và Mike Dvilyansky, quản lý bộ phận thông tin tình báo về đe dọa trên mạng của Facebook cho biết các nghiên cứu của hãng cho thấy CyberOne Group - một công ty IT của Việt Nam có liên quan đến hoạt động lan truyền mã độc. Công ty này còn được biết đến với những cái tên như CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso.

CyberOne Group phủ nhận có liên hệ với tin tặc và cho báo cáo này là một sai lầm.

"Chúng tôi KHÔNG PHẢI là Ocean Lotus", một người điều hành Fanpage của công ty CNTT hiện đã bị Facebook đình chỉ cho biết khi được Reuters liên hệ.

Theo điều tra của Facebook, nhóm hacker APT32 hoạt động trên Facebook bằng cách tạo các tài khoản, trang giả, thường lấy tên là các nhà hoạt động hoặc doanh nghiệp.

Nhóm này chia sẻ các đường dẫn với những nạn nhân của mình tới những trang mà nhóm này hoặc đã hack được hoặc được nhóm lập nên. Các đường dẫn này thường là mã độc hoặc phishing hoặc có các đường dẫn đến các ứng dụng Android mà nhóm này đã tải lên Play Store, cho phép nhóm có thể giám sát đối tượng của mình.

Facebook cho biết hãng này đã gỡ các tài khoản và trang của nhóm hacker này, đồng thời chặn các trang của nhóm này.

APT32 được cho biết bắt đầu hoạt động từ năm 2014 và thường được biết đến với cái tên OceanLotus. Các hoạt động tấn công của nhóm thường có liên quan đến các mối quan tâm của chính quyền Việt Nam.

Hồi năm ngoái, nhóm này bị các hãng an ninh mạng quốc tế cáo buộc đã tấn công vào các trang của các nhà sản xuất ô tô hàng đầu thế giới như BMW, Hyundai, Toyota Australia, Toyota Nhật Bản, thậm chí cả Toyota Vietnam để đánh cắp thông tin công nghiệp.

Nhóm APT32 cũng bị cáo buộc đứng đằng sau các vụ tấn công nhắm vào giới chức chính phủ thuộc thành phố Vũ Hán, Trung Quốc trong năm nay để lấy thông tin về bệnh dịch Covid-19.

RFA, 11/12/2020

Quay lại trang chủ

Additional Info

  • Author: Diễm My, RFA tiếng Việt
Read 730 times

Viết bình luận

Phải xác tín nội dung bài viết đáp ứng tất cả những yêu cầu của thông tin được đánh dấu bằng ký hiệu (*)