Trung Quốc bị tố tấn công mạng vào Mỹ từ 2010
Tin tặc Trung Quốc đã tiếp cận hộp thư điện tử cá nhân của các quan chức thương mại và an ninh quốc gia hàng đầu Mỹ từ tháng 4/2010.
Tin tặc Trung Quốc tấn công hộp thư điện tử cá nhân nhiều quan chức Mỹ từ năm 2010. Ảnh minh họa: Carbonated TV.
Tài liệu từ Cơ quan An ninh Quốc gia Mỹ (NSA) năm 2014 cho biết đợt xâm phạm thư điện tử bị phát hiện từ tháng 4/2010. Một quan chức tình báo Mỹ nói hoạt động này vẫn đang diễn ra, NBC News hôm qua đưa tin.
Theo đó, nhóm tin tặc, được cho là từ Trung Quốc, nhằm vào tài khoản thư điện tử toàn bộ quan chức thương mại và an ninh quốc gia hàng đầu. Quan chức chính phủ không bị ảnh hưởng bởi những hộp thư của họ thuộc hệ thống khác có độ bảo mật cao hơn.
Danh sách các quan chức bị tấn công mạng không được công bố.
Video đang HOT
Nhóm tin tặc Trung Quốc còn tập hợp địa chỉ liên lạc trong hộp thư, sắp xếp lại rồi “khai thác mạng lưới xã hội” bằng cách gửi phần mềm độc hại tới bạn bè và đồng nghiệp của họ.
NSA hiện chưa có bình luận nào.
Một tài liệu NSA khác do Edward Snowden công bố cho biết Trung Quốc cuối năm 2010 từng tìm cách theo dõi hộp thư 4 quan chức Mỹ, trong đó có chủ tịch Hội đồng tham mưu trưởng Liên quân Mỹ Mike Mullen, chỉ huy Tác chiến Hải quân Gary Roughead, bằng cách chèn phần mềm độc hại vào máy tính họ sử dụng.
Theo Vnexpress
TG-3390 nhóm gián điệp Trung Quốc tấn công hơn 100 trang web để "bẫy" nạn nhân
Ngày 06/08/2015, tại Hội nghị bảo mật thông tin Black Hat được tổ chức tại Las Vegas, các nhà nghiên cứu đến từ hãng bảo mật Dell SecureWorks đã tiết lộ về một nhóm tin tặc Trung Quốc mới phát hiện mang tên Threat Group 3390 hay Emissary Panda.
Cụ thể, các nhà nghiên cứu cho biết, TG-3390 đã nhắm mục tiêu vào các ngành công nghiệp trên khắp thế giới nhằm đánh cắp một số lượng lớn dữ liệu công nghiệp. Phần lớn các mục tiêu của nhóm này nằm trong các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm. Bên cạnh đó, nhóm tin tặc được cho là đến từ Trung Quốc này cũng tấn công vào các nhà thầu quốc phòng, các trường đại học và cao đẳng, các công ty luật và các tổ chức chính trị, bao gồm cả các tổ chức có liên quan đến các nhóm dân tộc thiểu số tại Trung Quốc.
Phần lớn các mục tiêu của TG-3390, hay Emissary Panda thuộc các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm
Theo báo cáo của Dell SecureWorks, TG-3390 chủ yếu tấn công hệ thống của các mục tiêu thông qua các cuộc tấn công watering-hole nhắm vào hơn 100 trang web hợp pháp. Các trang web này được lựa chọn vì chúng thường được ghé thăm bởi các mục tiêu của nhóm tin tặc này.
Ít nhất 50 tổ chức thuộc các ngành công nghiệp kể tại Mỹ và Anh đã bị TG-3390 đánh cắp dữ liệu. Các trang web bị nhắm mục tiêu bao gồm trang web của đại sứ quán Nga tại Mỹ cũng như các đại sứ quán khác và các tổ chức phi chính phủ; các trang web của các cơ quan chính phủ trên toàn thế giới; các công ty sản xuất, nhiều trong số đó là các nhà cung cấp cho các nhà thầu quốc phòng; và nhà sản xuất quốc phòng Tây Ban Nha - Amper. Một trang web văn hóa dành cho người Duy Ngô Nhĩ của Trung Quốc cũng đã được sử dụng, rõ ràng là để nhắm mục tiêu vào cộng đồng Hồi giáo.
Các nhà nghiên cứu cho biết, không có lỗ hổng zero-day nào được sử dụng để xâm nhập vào các hệ thống mạng mục tiêu, mà thay vào đó "nhóm tin tặc này dựa vào các lỗ hổng cũ như CVE-2011-3544, lỗ hổng bảo mật gần 1 năm tuổi trên Java, và CVE-2010-0738 để tấn công các mục tiêu". TG-3390 sử dụng một số công cụ mà các nhóm tin tặc Trung Quốc khác thường sử dụng, tuy nhiên, chúng cũng có những công cụ độc nhất với giao diện được phát triển cho tiếng Trung giản thể.
Một trong các công cụ này là công cụ truy cập từ xa PlugX, "một mã độc khét tiếng liên quan đến một số cuộc tấn công và một nhóm tin tặc khác mà các nhà nghiên cứu cho rằng cũng có xuất xứ từ Trung Quốc". Dường như nhóm tin tặc này cũng sử dụng bộ máy tìm kiếm Baidu để thực hiện trinh sát các mục tiêu.
Những người ghé thăm các trang web bị khai thác bởi Emissary Panda sẽ bị mã nhúng trong các trang web này điều hướng đến một trang web độc hại, hiển thị địa chỉ IP của họ. Nếu địa chỉ này nằm trong phạm vi những kẻ tấn công quan tâm, trang web độc hại sẽ đợi đến khi các nạn nhân xem trang tiếp theo để cài mã độc vào máy tính của họ. Bên cạnh đó, có ít nhất một nạn nhân đã bị nhắm mục tiêu bởi cuộc tấn công spear-phising. Một loạt các mã độc, bao gồm PlugX, đã được chia sẻ với các nhóm tin tặc Trung Quốc khác.
Tuy nhiên, có 2 công cụ chỉ được sử dụng cho nhóm này là ASPXTool, một "Web shell" Dịch vụ thông tin Internet (IIS) cụ thể được sử dụng để đoạt quyền truy cập vào các máy chủ bên trong hệ thống của mục tiêu; và công cụ đánh cắp thông tin OwaAuth được sử dụng để tấn công các máy chủ Microsoft Exchange chạy giao diện Web Outlook.
Khi xâm nhập vào hệ thống, các tin tặc thường nhắm mục tiêu vào bộ điều khiển miền Windows và các máy chủ Exchange, nhắm mục tiêu vào các thông tin đăng nhập của người dùng, cho phép chúng di chuyển sang các hệ thống khác trên toàn hệ thống bị nhắm mục tiêu. Chúng sử dụng một công cụ khai thác Internet Information Server để cài cửa hậu và mã độc ghi thao tác bàn phím vào máy chủ Exchange.
Việc xâm nhập vào bộ điều khiển miền và các máy chủ Exchange mang lại cho tin tặc cơ hội đánh cắp thông tin quản trị viên cùng các thông tin cấp cao khác và chúng có thể nhanh chóng xác định những mục tiêu được quan tâm cũng như chuyển sang xâm nhập các hệ thống khác trong mạng lưới của nạn nhân - thường chỉ trong 2 giờ sau lần xâm nhập đầu tiên.
Hữu Thiên (dịch từ arstechnica.com)
Theo NTD
Người Mỹ coi Trung Quốc "nguy hiểm chỉ sau IS" Một cuộc khảo sát mới đây cho thấy người dân Mỹ xem Trung Quốc là mối đe dọa thứ hai chỉ sau IS. Điều này được cho là do các động thái của Trung Quốc gây bức xúc dư luận quốc tế suốt thời gian qua. Khảo sát của Fox News cho thấy IS và Trung Quốc là hai mối đe dọa hàng...