Chủ đề

(Không gian mạng) - Ngày 20/06, hãng bảo mật Symantec (Mỹ) báo cáo phát hiện nhóm gián điệp mạng Thrip (Trung Quốc) đã tấn công ít nhất 2 công ty vệ tinh có trụ sở tại Mỹ gồm 1 nhà thầu Bộ Quốc phòng và một công ty tư nhân khác chuyên bán công nghệ hình ảnh không gian địa lý vào cuối năm 2017.

united-states-92351 (1)

Chiến dịch này dường như khởi phát vào cùng thời gian diễn ra cuộc đối thoại thương mại Mỹ -Trung – một đề tài nóng vào cuối năm 2017 và hiện vẫn đang tiếp tục. Theo lời Jon DiMaggio – nhân viên phân tích tình báo đe dọa mạng cấp cao của Symantec, người lãnh đạo cuộc điều tra này, Symantec đã phát hiện và trình báo với chính phủ Mỹ về chiến dịch này khoảng 4 tháng trước.

Báo cáo ngày 20/06 cho thấy, nhóm gián điệp mạng Thrip đã quay trở lại sau khi chúng dường như ở ẩn hơn 2 năm. Nhóm này đã tạm ngưng các chiến dịch của mình sau một thỏa thuận chính trị lịch sử giữa Tổng thống Mỹ Barack Obama với Chủ tịch Trung Quốc Tập Cận Bình vào năm 2015. Thỏa thuận đó nhằm tìm cách ngăn chặn các cuộc tấn công gián điệp kinh tế qua mạng, đánh cắp tài sản trí tuệ và nhiều bí mật thương mại khác. Trong đó, những mục tiêu thường thấy trong chiến dịch mạng, như nhà thầu quốc phòng hay các cơ quan liên bang, được xem là đối tượng chính của thỏa thuận.

Chiến dịch mới nhất của nhóm Thrip dựa vào một bộ công cụ gồm cả mã nguồn mở và những khả năng tinh vi được xây dựng dành riêng cho chiến dịch, gồm 3 trojan khác nhau là: Infostealer.Catchamas, Trojan.Rikamanu, Trojan.Mycicil. Những công cụ này cho phép tin tặc đánh cắp thông tin đăng nhập của người dùng, sau đó di chuyển ngang hàng qua hệ thống bị lây nhiễm, và triển khai backdoor truy cập từ xa phụ trợ. Trong nỗ lực tấn công 2 công ty vệ tinh Mỹ, Thrip đã sử dụng cả 3 trojan kể trên.

Trong quá khứ, hầu hết các nhóm gián điệp mạng đều sử dụng công cụ tùy chỉnh của mình, điều này giúp chúng ta dễ dàng hơn trong việc phát hiện sự bất thường trên hệ thống. DiMaggio cho biết: “Vì Thrip và nhiều nhóm khác đang ngày càng sử dụng những công cụ như PsExec, được quản trị viên sử dụng một cách hợp pháp, làm cho chúng ta càng khó kết luận đâu là mã độc”.

Dù Thrip đã chiếm được quyền truy cập vào mạng máy tính của một số công ty, mã độc của nhóm đã được Symantec khóa chặn. Tuy nhiên, hãng bảo mật này không công khai cụ thể công ty nào bị ảnh hưởng.

Quyết định nhanh chóng thông tin đến chính phủ của Symantec được đưa ra bởi sự thật rằng, tin tặc Trung Quốc dường như có ý định truy cập đặc biệt vào công nghệ vận hành (OT), được dùng để kiểm soát vật lý hệ thống vệ tinh trong không gian.

DiMaggio nói với trang tin Cyberscoop: “Chúng ta có thể nhận ra điều đó dựa vào mục tiêu mà chúng dành nhiều thời gian cũng như công sức, để thấy rằng chúng thật sự đang cố gắng theo đuổi công ty vệ tinh này. Chúng đang lên danh sách các hướng, tìm kiếm một cách thủ công những thứ rất đặc biệt như một chương trình phần mềm và dòng lệnh điều khiển vệ tinh… điều cần cẩn thận hơn nhiều so với việc dò quét. Chúng đang tìm kiếm quyền truy cập hoàn toàn, cố gắng xâm nhập vào cơ sở dữ liệu nền của những hệ thống này. Hầu hết máy tính tại công ty đã không động đến vệ tinh, nên khá gây chú ý”.

Mặc dù đã theo sát Thrip từ năm 2013, Symantec cho biết hoạt động mới nhất này là chiến dịch mạnh mẽ nhất mà họ từng thấy ở nhóm gián điệp mạng trên.

Lâm Quang Dũng (Lược dịch từ: Cyberscoop)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên