SecureWorks: hoạt động tình báo mạng nhắm vào Đông nam Á

Nguồn: Biran Prince – SecurityWeek

Diên Vỹ, X-Cafe chuyển ngữ

Dell SecureWorks vừa vạch trần một hoạt động tình báo mạng đã thâm nhập đến 200 máy tính – nhiều máy thuộc về các cơ quan cấp bộ của chính phủ tại Việt Nam, Brunei và Miến Điện.

Công ty này đã thảo luận quá trình điều tra tại Hội nghị RSA ở San Francisco trong tuần này. Bên cạnh các cơ quan cấp bộ của chính phủ, những nạn nhân khác còn là các tờ báo và hơn một công ty dầu khí.

Trong một bản báo cáo dài đăng ở đây, SecureWorks đã tiết lộ rằng kẻ tấn công đã dùng những mẩu phần mềm phá hoại có liên quan đến vụ tấn công chi nhánh bảo mật RSA của công ty EMC vào năm 2011, cũng như vụ án GhostNet nổi tiếng. Bên cạnh những nạn nhân kể trên, cũng có khoảng một chục trường hợp thâm nhập tại châu Âu và Trung Đông. Cũng như những máy tính nhiễm khuẩn khác, những chiếc máy này cũng thuộc về các cơ quan chính phủ, doanh nghiệp và thậm chí của đại sứ quán.

Hai mẩu phần mềm phá hoại trọng tâm của các vụ tấn công được biết là “Enfal” (còn có tên là “Lurid Downloader”) và “RegSubsDat”, vốn lần đầu tiên được phát hiện vào năm 2009. Từ năm 2004 đến 2011, một người nào đấy đã sử dụng địa chỉ jeno_1980@hotmail.com để đăng ký mtộ số tên miền bằng những tên như “Tawnya Grilth” và “Eric Charles”. Tất cả những tên miền thuộc “Tawnya Grilth” cho thấy địa chỉ đăng ký là một hòm thư bưu điện của một thành phố tưởng tượng “Sin Digoo, California”.

Trong năm 2006 và 2007, một số những tên miền do jeno_1980@hotmail.com đăng ký với tên “Tawnya Grilth” đã xuất hiện trong các báo cáo của các hệ thống phân tích vi khuẩn tự động và các trang mạng chống vi khuẩn. Sau một phân tích, SecureWorks đã kết luận rằng các tên miền này đã liên quan đến một khuôn mẫu hoạt động tin tặc lớn hơn.

Joe Stewart, giám đốc nghiên cứu phần mềm phá hoại tại SecureWorks nói với SecurityWeek rằng những mục tiêu cho thấy nhân vật này đang hoạt động cho một cơ quan hoặc chính quyền nào đấy muốn có những thông tin, nhưng không có bằng chứng xác đáng để chứng minh kẻ đứng sau những vụ tấn công này đang hoạt động cho quốc gia nào.
“Rõ ràng là họ không trộm cắp thông tin cho riêng mình,” ông nói.
Lần theo những đầu mối cho thấy những biến chuyển đầy thú vị – tài khoản email sử dụng trong các vụ tấn công cũng được dùng để đăng ký cho một trang mạng có thên socialup.net, chuyên cung cấp các dịch vụ tối ưu hoá hệ thống tìm kiếm (Search Engine Optimization – SEO) theo kiểu “mũ đen”. Bên cạnh đấy, khi theo dõi cái tên Tawnya thì biết được rằng nó đã được ai đấy sử dụng để quảng cáo trang mạng trên trên các trang chuyên đăng thông báo (message boards). Điều này cho thấy là bên cạnh hoạt động gián điệp mạng, nhân vật chủ chốt của hoạt động này còn làm việc phụ trong thế giới mạng ngầm với một dịch vụ “mũ đen” SEO.
Stewart nói rằng các nhà điều tra đã phá thủng các máy chủ điều khiển, làm thiệt hại nặng khả năng kiểm soát các máy nhiễm khuẩn của kẻ tấn công. Đây không phải là lần đầu tiên Việt Nam là mục tiêu của những kẻ tấn công chuyên tìm cách đánh cắp thông tin chính trị. Ví dụ như năm 2010, Google và McAfee đã đưa ra bằng chứng về một chiến dịch tấn công bằng phần mềm phá hoại với động cơ chính trị nhắm vào những người chỉ trích dự án khai thác mỏ do Trung Quốc đầu tư tại Việt Nam.
Tuy thế, Stewart vẫn ngạc nhiên khi nhận diện nhóm nạn nhân này.
“Chúng tôi từng thấy hoạt động tấn công thường trực cao cấp (Advanced Persistent Thread – APT) nhắm vào Nhật Bản… và rõ ràng là cũng có một nhịp độ hoạt động nhắm vào Đài Loan, nhưng những quốc gia nói trên không nằm trong danh sách ưu tiên của tôi.”