Ngày 21/05/2015, hãng bảo mật Kaspersky đã phát hành báo cáo mang tên "The MsnMM Campaigns" (Các chiến dịch MsnMM), cung cấp thêm thông tin về các chiến dịch đầu tiên của nhóm tin tặc Trung Quốc - Naikon.

Trong hơn nửa thập kỷ, nhóm tin tặc Naikon đã tiến hành nhiều chiến dịch tấn công vào các mục tiêu nhạy cảm tại Đông Nam Á và khu vực xung quanh Biển Đông. Nhóm này chủ yếu nhắm mục tiêu vào các quốc gia như Việt Nam, Myanmar, Singapore, Philippines, Malaysia và Lào.

tin tặc Naikon tấn công vào các mục tiêu nhạy cảm tại Đông Nam Á và khu vực xung quanh Biển Đông

Các nạn nhân của Naikon bao gồm các cơ quan chính phủ, các bộ ngành, các doanh nghiệp đầu tư, tổ chức quân sự, thực thi pháp luật và kiểm soát biên giới, các đại sứ quán, giảng viên đại học cũng nhiều tổ chức khác.

Tài liệu của Kaspersky cung cấp một số thông tin về các cửa hậu mà Naikon đã sử dụng. Ví dụ, các cửa hậu MsnMM bắt đầu với các tên nội bộ như "WinMM" và "SsIMM". Cách đặt tên của chúng là để giả mạo MSN Talk và Msn Gaming Zone. Trong khi đó cửa hậu "naikon" lại xuất phát từ chuỗi tác nhân người dùng "NOKIAN95". Các công cụ giai đoạn 2 của nhóm tin tặc này vẫn chưa được xác định.

Naikon nỗ lực đánh cắp các thông tin chính trị, quân sự và kinh tế nhạy cảm; đánh chặn các thông tin liên lạc và duy trì sự giám sát trên các hệ thống của nạn nhân thông qua các chiến dịch MsnMM. Các kỹ thuật và bộ công cụ của chúng thay đổi nhiều chi tiết nhỏ qua thời gian và dường như được điều hành bởi các cá nhân nói tiếng Trung Quốc.

Cơ sở hạ tầng của nhóm, dựa trên các ứng dụng web định vị chủ yếu qua các tên miền dns động, bị trùng lắp trong các chiến dịch này. Các công nghệ và phương thức tấn công của APT khá đơn giản nhưng đạt hiệu quả cao.

chiến dịch đầu tiên của nhóm tin tặc Trung Quốc

Phần lớn nội dung tài liệu của Naikon, cũng như việc triển khai chúng, trùng với các sự kiện chính trị nhạy cảm. Các chiến dịch đầu tiên của Naikon sử dụng các cửa hậu exe_exchange, winMM và sys10. Các chiến dịch MsnMM được bắt đầu phát động vào đầu năm 2014 sau đó giảm xuống trước khi tăng trở lại vào cuối năm 2014 và đầu năm 2015.

Về tương tác với các nhóm tin tặc khác, có một điểm thú vị cần lưu ý là các nạn nhân của Naikon trùng với các nạn nhân của nhóm tin tặc mang tên Cycdek. Cycdek cũng là một nhóm ATP (tấn công dai dẳng và có chủ đích) nhưng yếu hơn. Bên cạnh đó, nhóm APT30 không chỉ có danh sách nạn nhân giống với Naikon mà bộ công cụ của hai nhóm cũng có những điểm tương đồng nhỏ nhưng đáng chú ý. Và các chiến dịch sau này của NAikon đã dẫn đến một cuộc đụng độ giữa nhóm này với một nhóm APT khác mang tên Hellsing.

Trong khi báo cáo của Kaspersky phân tích về các hoạt động trong quá khứ của Naikon thì nhóm này vẫn đang tiếp tục hoạt động và triển khai thêm một codebase trong thời gian gần đây. Các mục tiêu hàng đầu của Naikon trong năm 2015 là các tổ chức tại Myanmar, Campuchia, Việt Nam, Thái Lan và Lào.

Theo NTD