Tập đoàn hack Trung Quốc khởi động lại các cuộc tấn công toàn cầu | VPNoverview.com

Một công ty bảo mật của Hà Lan, được gọi là Fox-IT, hôm nay đã công bố một báo cáo sau cuộc điều tra của họ về gián điệp mạng Trung Quốc. Trong hai năm qua, hệ thống máy tính của hàng chục công ty và tổ chức chính phủ trên toàn thế giới đã bị tấn công. Người Hà Lan kết luận với mức độ chắc chắn cao rằng một nhóm hack Trung Quốc đứng đằng sau các cuộc tấn công.


Phát hiện chiến dịch gián điệp toàn cầu

Cuộc điều tra có tên là Cuộc hành quân Wocao Cảnh (我 “, Cách Wǒ cāo ‘trong tiếng Trung, tiếng lóng cho Tiếng shit Hồi hay Chuyện chết tiệt) đã diễn ra trong khoảng gần hai năm. Các nhà nghiên cứu bảo mật Hà Lan cho biết tất cả các điểm bằng chứng tại một nhóm hack Trung Quốc mờ ám có tên APT20, có khả năng hoạt động vì lợi ích của chính phủ Trung Quốc.

Fox-IT đã phát hiện ra chiến dịch hack nhóm vào mùa hè năm 2018, đồng thời thực hiện phân tích các hệ thống máy tính bị xâm nhập cho một trong những khách hàng của mình. Họ đã có thể lần theo dấu vết và phát hiện ra hàng chục vụ tấn công tương tự đã được thực hiện bởi cùng một nhóm.

Trong một báo cáo dài dòng, người Hà Lan giải thích rằng rất ít được biết đến hoặc xuất bản công khai về diễn viên mà chúng tôi mô tả, nhưng thay vì cho diễn viên này một bí danh của riêng mình, chúng tôi đã chọn tiếp cận với các đối tác trong ngành. Điều này giúp chúng tôi gán một số kỹ thuật và công cụ chưa được công bố trước đây trong báo cáo này, với độ tin cậy trung bình, cho một diễn viên đe dọa Trung Quốc được gọi là APT20. Dựa trên các nạn nhân được quan sát của diễn viên này, chúng tôi cũng đánh giá rằng diễn viên đe dọa này có khả năng làm việc vì lợi ích của chính phủ Trung Quốc.

Mục tiêu không phải là tiền, mà là kiến ​​thức

Các tin tặc không ăn cắp tiền hoặc cài đặt ransomware. Họ hoàn toàn tìm kiếm thông tin và kiến ​​thức nhạy cảm với doanh nghiệp, điều mà chính phủ Trung Quốc nói riêng sẽ quan tâm.

Chính xác có bao nhiêu dữ liệu mà những kẻ tấn công đã thu thập được trong vài năm qua không thể xác định được. Những gì được biết, là từ năm 2009 đến 2014, APT20 (còn được gọi là Panda Panda và th3orms) đã được liên kết với các chiến dịch hack nhắm vào các trường đại học, quân đội, các tổ chức chăm sóc sức khỏe và các công ty viễn thông.

Theo Fox-IT, nhóm hack Trung Quốc đã không hoạt động trong vài năm. Tuy nhiên, gần đây nó đã xuất hiện trở lại và đang âm thầm nhắm mục tiêu vào các công ty và cơ quan chính phủ.

Một số kỹ thuật tiểu thuyết được sử dụng

Báo cáo cung cấp một cái nhìn tổng quan về các kỹ thuật mà các nhà nghiên cứu bảo mật Hà Lan biết sử dụng APT20. Điểm truy cập ban đầu thường là một máy chủ web dễ bị tổn thương hoặc đã bị xâm nhập. Khi vào bên trong, tin tặc di chuyển qua mạng bằng các phương pháp nổi tiếng. Cuối cùng, họ có thể sử dụng thông tin đăng nhập bị đánh cắp để truy cập mạng Nạn nhân thông qua VPN công ty.

Trong một trường hợp, nhóm tin tặc thậm chí có thể phá vỡ một hình thức xác thực hai yếu tố nhằm ngăn chặn các cuộc tấn công như vậy. Để làm như vậy, tin tặc đã phát triển một kỹ thuật để lấy mã 2 yếu tố để kết nối với máy chủ VPN VPN của công ty và cho phép họ đăng nhập. Các công cụ tùy chỉnh khác cũng được phát hiện.

Tiếp theo, tin tặc đã sử dụng một số công cụ mã nguồn mở và cửa sau để xâm nhập sâu hơn vào mạng để nhận dạng và thu thập thông tin theo cách thủ công. Sau khi tải xuống dữ liệu, tất cả các dấu vết đã bị xóa để cản trở một cuộc điều tra pháp y chuyên sâu và cửa sau đã bị đóng.

Vô số nạn nhân trên toàn cầu

Fox-IT không muốn đề cập đến tên của các nạn nhân. Nhưng người Hà Lan đã đưa ra một danh sách các lĩnh vực mà APT20 đang hoạt động.

Trong số các nạn nhân có các công ty hàng không, công ty xây dựng, ngành năng lượng, tổ chức tài chính, tổ chức chăm sóc sức khỏe, công ty kỹ thuật nước ngoài, nhà phát triển phần mềm và công ty vận tải.

Các quốc gia bị ảnh hưởng bao gồm Brazil, Trung Quốc, Pháp, Đức, Ý, Mexico, Bồ Đào Nha, Tây Ban Nha, Mỹ và Anh.

Một số sai lầm mà nhóm hack Trung Quốc thực hiện

Trong quá trình hoạt động gián điệp của mình, tin tặc đã phạm một số sai lầm, để lại dấu vân tay của Cameron.

Ví dụ,

  • Có một số cài đặt ngôn ngữ bị rò rỉ, cho thấy tin tặc đang chạy trình duyệt có cài đặt ngôn ngữ Trung Quốc.
  • Khi đăng ký một máy chủ thuê, tin tặc đã cung cấp một địa chỉ không tồn tại ở Hoa Kỳ, nhưng vô tình viết tên của tiểu bang Louisiana bằng chữ Trung Quốc.
  • Tại một thời điểm, tin tặc đã sử dụng một mã chỉ có thể tìm thấy trên một diễn đàn Trung Quốc.

Sau một thời gian, các nhà nghiên cứu bảo mật Hà Lan cũng bắt đầu nhận thấy rằng các tin tặc tuân thủ nghiêm ngặt giờ làm việc của Trung Quốc.

Tên của cuộc điều tra Fox-IT trên mạng Wocao ‘, một trong những lệnh được thực hiện bởi các tin tặc trong một nỗ lực bực bội để truy cập các webshell đã bị xóa, sau khi Fox-IT đảo ngược việc đột nhập kỹ thuật số.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map