Trung Quốc bị tố tấn công mạng vào Mỹ từ 2010

TG-3390 nhóm gián điệp Trung Quốc tấn công hơn 100 trang web để "bẫy" nạn nhân

Ngày 06/08/2015, tại Hội nghị bảo mật thông tin Black Hat được tổ chức tại Las Vegas, các nhà nghiên cứu đến từ hãng bảo mật Dell SecureWorks đã tiết lộ về một nhóm tin tặc Trung Quốc mới phát hiện mang tên Threat Group 3390 hay Emissary Panda.

Cụ thể, các nhà nghiên cứu cho biết, TG-3390 đã nhắm mục tiêu vào các ngành công nghiệp trên khắp thế giới nhằm đánh cắp một số lượng lớn dữ liệu công nghiệp. Phần lớn các mục tiêu của nhóm này nằm trong các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm. Bên cạnh đó, nhóm tin tặc được cho là đến từ Trung Quốc này cũng tấn công vào các nhà thầu quốc phòng, các trường đại học và cao đẳng, các công ty luật và các tổ chức chính trị, bao gồm cả các tổ chức có liên quan đến các nhóm dân tộc thiểu số tại Trung Quốc.

Phần lớn các mục tiêu của TG-3390, hay Emissary Panda thuộc các ngành công nghiệp điện tử, ô tô, hàng không vũ trụ, năng lượng và dược phẩm

Theo báo cáo của Dell SecureWorks, TG-3390 chủ yếu tấn công hệ thống của các mục tiêu thông qua các cuộc tấn công watering-hole nhắm vào hơn 100 trang web hợp pháp. Các trang web này được lựa chọn vì chúng thường được ghé thăm bởi các mục tiêu của nhóm tin tặc này.

Ít nhất 50 tổ chức thuộc các ngành công nghiệp kể tại Mỹ và Anh đã bị TG-3390 đánh cắp dữ liệu. Các trang web bị nhắm mục tiêu bao gồm trang web của đại sứ quán Nga tại Mỹ cũng như các đại sứ quán khác và các tổ chức phi chính phủ; các trang web của các cơ quan chính phủ trên toàn thế giới; các công ty sản xuất, nhiều trong số đó là các nhà cung cấp cho các nhà thầu quốc phòng; và nhà sản xuất quốc phòng Tây Ban Nha - Amper. Một trang web văn hóa dành cho người Duy Ngô Nhĩ của Trung Quốc cũng đã được sử dụng, rõ ràng là để nhắm mục tiêu vào cộng đồng Hồi giáo.

Các nhà nghiên cứu cho biết, không có lỗ hổng zero-day nào được sử dụng để xâm nhập vào các hệ thống mạng mục tiêu, mà thay vào đó "nhóm tin tặc này dựa vào các lỗ hổng cũ như CVE-2011-3544, lỗ hổng bảo mật gần 1 năm tuổi trên Java, và CVE-2010-0738 để tấn công các mục tiêu". TG-3390 sử dụng một số công cụ mà các nhóm tin tặc Trung Quốc khác thường sử dụng, tuy nhiên, chúng cũng có những công cụ độc nhất với giao diện được phát triển cho tiếng Trung giản thể.

Một trong các công cụ này là công cụ truy cập từ xa PlugX, "một mã độc khét tiếng liên quan đến một số cuộc tấn công và một nhóm tin tặc khác mà các nhà nghiên cứu cho rằng cũng có xuất xứ từ Trung Quốc". Dường như nhóm tin tặc này cũng sử dụng bộ máy tìm kiếm Baidu để thực hiện trinh sát các mục tiêu.

Những người ghé thăm các trang web bị khai thác bởi Emissary Panda sẽ bị mã nhúng trong các trang web này điều hướng đến một trang web độc hại, hiển thị địa chỉ IP của họ. Nếu địa chỉ này nằm trong phạm vi những kẻ tấn công quan tâm, trang web độc hại sẽ đợi đến khi các nạn nhân xem trang tiếp theo để cài mã độc vào máy tính của họ. Bên cạnh đó, có ít nhất một nạn nhân đã bị nhắm mục tiêu bởi cuộc tấn công spear-phising. Một loạt các mã độc, bao gồm PlugX, đã được chia sẻ với các nhóm tin tặc Trung Quốc khác.

Tuy nhiên, có 2 công cụ chỉ được sử dụng cho nhóm này là ASPXTool, một "Web shell" Dịch vụ thông tin Internet (IIS) cụ thể được sử dụng để đoạt quyền truy cập vào các máy chủ bên trong hệ thống của mục tiêu; và công cụ đánh cắp thông tin OwaAuth được sử dụng để tấn công các máy chủ Microsoft Exchange chạy giao diện Web Outlook.

Khi xâm nhập vào hệ thống, các tin tặc thường nhắm mục tiêu vào bộ điều khiển miền Windows và các máy chủ Exchange, nhắm mục tiêu vào các thông tin đăng nhập của người dùng, cho phép chúng di chuyển sang các hệ thống khác trên toàn hệ thống bị nhắm mục tiêu. Chúng sử dụng một công cụ khai thác Internet Information Server để cài cửa hậu và mã độc ghi thao tác bàn phím vào máy chủ Exchange.

Việc xâm nhập vào bộ điều khiển miền và các máy chủ Exchange mang lại cho tin tặc cơ hội đánh cắp thông tin quản trị viên cùng các thông tin cấp cao khác và chúng có thể nhanh chóng xác định những mục tiêu được quan tâm cũng như chuyển sang xâm nhập các hệ thống khác trong mạng lưới của nạn nhân - thường chỉ trong 2 giờ sau lần xâm nhập đầu tiên.

Hữu Thiên (dịch từ arstechnica.com)

Theo NTD