Phát hiện hai chiến dịch gián điệp không gian mạng của các nhóm tin tặc Trung Quốc

Phát hiện hai chiến dịch tấn công được sắp xếp bởi hai nhóm tin tặc khác nhau của Trung Quốc hoạt động song song vào quốc gia trên Biển Đông, Mỹ, Nhật Bản và Đài Loan.

Các chiến dịch tấn công tập trung vào các mục tiêu khác nhau. Theo một nhóm các nhà nghiên cứu FireEye, nhóm tin tặc thứ nhất có tên gọi là Moafee – có hoạt động xuất phát từ tỉnh Quảng Đông và nhắm tới mục tiêu quân sự cùng chính phủ các quốc gia có lợi ích trên Biển Đông. Bao gồm cả các đối tượng nằm trong ngành công nghiệp quốc phòng Mỹ. Nhóm thứ hai được biết đến với cái tên DragonOK, tập trung vào các công ty công nghệ cao sản xuất tại Nhật Bản và Đài Loan với mục đích hoạt động gián điệp kinh tế.

Cả hai nhóm tuy hoạt động tại địa điểm khác nhau nhưng cùng chung một số đặc điểm

1. Công việc, mục đích công việc
2. Được đào tạo như nhau
3. Sử dụng chung bộ công cụ phổ biến
4. Có một vài sự kết hợp trong các chiến dịch. Họ đang sử dụng kiểu tấn công hàng loạt bắt đầu các cuộc tấn công mạng nhằm tiếp cận các lỗ hổng trong phòng thủ mạng.

Cả hai chiến dịch đều sử dụng công cụ, kĩ thuật và các thủ tục (TTPs) giống nhau – bao gồm cả các công cụ backdoor và điều khiển từ xa (remoste-administration tools – RATs) nhằm xâm nhập vào các hệ thống mạng.

Moafee và DragonOK đều sử dụng HUC Packet Transmit Tool (HTRAN) công cụ proxy để che dấu vị trí địa lý, sử dụng tập tin có mật khẩu, các kích thước lớn để che giấu các cuộc tấn công của họ. Các công cụ này đều đã từng được sử dụng bởi các nhóm tin tặc Mongall, Nflog, PoisonIvy và CT/NewCT/NewCT2.

Cả hai nhóm Moafee và DragonOK đều dùng email lừa đảo như một mồi nhử để đánh lừa nạn nhân, các email được tạo thủ công một cách cẩn thận và có đối tượng cụ thể, thậm chí viết bằng ngôn ngữ bản địa của nạn nhân. Tập tin đính kèm thường được gửi dưới dạng một tập tin thực thi nhúng vào trong một file ZIP hoặc một tài liệu Microsoft Office có mật khẩu bảo vệ. Chúng tôi cũng quan sát thấy cả hai nhóm sử dụng tài liệu mồi nhử có các phần mềm độc hại chạy ở chế độ nền.

Nhóm Moafee  sử dụng proxy HTRAN chạy trên nhiều máy chủ điều khiển C&C hoạt động trên CHINANET và ở tỉnh Quảng Đông. DragonOK cũng sử dụng máy chủ điều khiển C&C trên CHINANET nhưng được tổ chức ở tỉnh Giang Tô.

Các nhà nghiên cứu phát hiện ra một nhóm riêng biệt thứ ba xuất hiện và sử dụng cùng công cụ, kỹ thuật và thủ tục, bao gồm cả các backdoors (đã được tùy biến) và công cụ RAT tương tự. Tuy nhiên, các nhà nghiên cứu nói rằng nhóm thứ ba này không đủ mạnh để thiết lập kết nối với hai nhóm Moafee và DragonOK. FireEye dự định trong tương lai sẽ đăng tải một báo cáo liên quan đến hai chiến dịch trên.

Securityweek