Các nhà nghiên cứu an ninh mạng của Facebook hôm nay đã chính thức liên kết các hoạt động của một kẻ đe dọa Việt Nam với một công ty CNTT trong nước sau khi nhóm này bị bắt quả tang lợi dụng nền tảng của mình để xâm nhập vào tài khoản của mọi người và phát tán phần mềm độc hại.
Theo dõi là APT32 (hoặc Bismuth, OceanLotus và Cobalt Kitty), các tổ chức liên kết với nhà nước liên kết với chính phủ Việt Nam được biết đến với việc dàn dựng tinh vi chiến dịch gián điệp ít nhất là kể từ năm 2012 phù hợp với mục tiêu thúc đẩy hơn nữa các lợi ích chiến lược của đất nước.
“Cuộc điều tra của chúng tôi liên kết hoạt động này với CyberOne Group, một công ty CNTT tại Việt Nam (còn được gọi là CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso),” Trưởng bộ phận Chính sách Bảo mật của Facebook, Nathaniel Gleicher và Giám đốc Tình báo Đe dọa Mạng , Mike Dvilyanski, nói.
Việc Facebook tiết lộ APT32 đến vài tháng sau Tính linh hoạt tiết lộ nhiều chiến dịch tấn công được thực hiện thông qua nhiều trang web và trang Facebook giả mạo nhằm vào hồ sơ người dùng, chuyển hướng khách truy cập đến các trang lừa đảo và phát tán phần mềm độc hại cho Windows và macOS.
Ngoài ra, ESET đã báo cáo một hoạt động tương tự lan truyền qua nền tảng truyền thông xã hội vào tháng 12 năm 2019, sử dụng các bài đăng và tin nhắn trực tiếp có chứa liên kết đến một kho lưu trữ độc hại được lưu trữ trên Dropbox.
Nhóm này được biết đến với các bộ công cụ và mồi nhử đang phát triển và việc sử dụng các tài liệu về mồi nhử và các cuộc tấn công lỗ tưới nước để lôi kéo các nạn nhân tiềm năng thực hiện một cửa hậu đầy đủ tính năng có khả năng đánh cắp thông tin nhạy cảm.
OceanLotus nổi tiếng đầu năm ngoái nhằm mục tiêu tích cực các công ty ô tô đa quốc gia trong nỗ lực hỗ trợ các mục tiêu sản xuất xe của đất nước.
Trong thời kỳ cao điểm của đại dịch COVID-19, APT32 đã thực hiện chiến dịch xâm nhập chống lại các mục tiêu của Trung Quốc, bao gồm Bộ Quản lý Khẩn cấp, với ý định thu thập thông tin tình báo về cuộc khủng hoảng COVID-19.
Tháng trước, Xu hướng micro Các nhà nghiên cứu đã phát hiện ra một chiến dịch mới tận dụng một cửa hậu macOS mới cho phép những kẻ tấn công rình mò và đánh cắp thông tin bí mật và tài liệu kinh doanh nhạy cảm từ các máy bị nhiễm.
Sau đó hai tuần trước, Microsoft đã trình bày chi tiết một chiến thuật của OceanLotus liên quan đến việc sử dụng các kỹ thuật khai thác tiền xu để nằm trong tầm ngắm và thiết lập sự bền bỉ trên hệ thống của nạn nhân, do đó khó phân biệt giữa tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo.
Giờ đây, theo Facebook, APT32 đã tạo ra các nhân vật hư cấu, đóng giả là các nhà hoạt động và các thực thể kinh doanh, đồng thời sử dụng những chiêu trò lãng mạn để tiếp cận mục tiêu của họ, cuối cùng lừa họ tải xuống các ứng dụng rogues Android thông qua Cửa hàng Google Play đi kèm với nhiều quyền cho phép giám sát rộng rãi các thiết bị của mọi người.
Các nhà nghiên cứu cho biết: “Hoạt động mới nhất mà chúng tôi đã điều tra và làm gián đoạn có dấu hiệu của một hoạt động có nguồn lực tốt và liên tục tập trung vào nhiều mục tiêu cùng một lúc, đồng thời làm mờ nguồn gốc của chúng”. “Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi, xóa tài khoản của nhóm và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu”.
Trong một diễn biến riêng, Facebook cho biết họ cũng đã phá vỡ một nhóm có trụ sở tại Bangladesh nhắm mục tiêu vào các nhà hoạt động địa phương, nhà báo và các nhóm thiểu số tôn giáo, để xâm phạm tài khoản và khuếch đại nội dung của họ.
“Cuộc điều tra của chúng tôi liên kết hoạt động này với hai tổ chức phi lợi nhuận ở Bangladesh: Don’s Team (còn được gọi là Defense of Nation) và Tổ chức Nghiên cứu và Phân tích Tội phạm (CRAF). Họ dường như đang hoạt động trên một số dịch vụ internet.”
