Công ty an ninh mạng có trụ sở tại Hoa Kỳ FireEye tiết lộ rằng một nhóm tin tặc Trung Quốc có tên là APT41 đã xâm nhập vào hệ thống của một số công ty viễn thông lớn. Họ đã đánh cắp hồ sơ cuộc gọi từ các khách hàng của nhà mạng mà các tin tặc coi là mục tiêu, và chặn tin nhắn văn bản cũng như hồ sơ cuộc gọi trên toàn thế giới.
Báo cáo đã không nêu tên các công ty viễn thông. Theo các báo cáo, nhóm tin tặc đã tìm kiếm hồ sơ cuộc gọi và tin nhắn văn bản theo các từ khóa cụ thể, bao gồm tên của các mục tiêu “có giá trị cao”, như tên của các chính trị gia, tổ chức tình báo và các phong trào chính trị “mâu thuẫn với chính phủ Trung Quốc”.
Đây không phải là lần đầu tiên tin tặc nhà nước Trung Quốc chặn tin nhắn điện thoại di động quốc tế. Công ty an ninh mạng có trụ sở tại Hoa Kỳ Cybereason đã công bố một báo cáo vào ngày 25 tháng 6, trình bày về cách nhóm tin tặc APT10 thực hiện các cuộc tấn công dai dẳng kể từ năm 2017 đối với các nhà cung cấp viễn thông toàn cầu. Cybereason kết luận rằng APT10 hoạt động “dưới sự chỉ đạo của Bộ An ninh Nhà nước Trung Quốc”, cơ quan tình báo chính của Trung Quốc. Họ đã có được các bản ghi âm chi tiết cuộc gọi (CDR), bao gồm thời gian cuộc gọi, thời lượng, số điện thoại liên quan và định vị địa lý.
MESSAGETAP
FireEye đã công bố nghiên cứu về bảo mật tin nhắn văn bản vào ngày 31 tháng 10, tập trung vào một công cụ mới mà APT41 đang sử dụng: một phần mềm độc hại có tên MESSAGETAP, để chặn tin nhắn văn bản của mọi người trên toàn thế giới.
Tin nhắn văn bản đề cập đến ở đây là các tin nhắn được gửi và nhận thông qua các dịch vụ tin nhắn ngắn (SMS) được cài trên điện thoại di động.
-
- Ảnh minh họa một người dùng đang sử dụng một dịch vụ nhắn tin (Ảnh: Pixabay)
Báo cáo giải thích rằng nhóm tin tặc APT41 đã cài đặt MESSAGETAP trên các máy chủ của Trung tâm dịch vụ tin nhắn ngắn (SMSC) của các nhà mạng viễn thông. Phần mềm độc hại sau đó có thể giám sát tất cả các kết nối mạng đến và đi từ máy chủ.
MESSAGETAP có thể chặn tất cả các chi tiết của tin nhắn SMS, bao gồm nội dung của tin nhắn; số định danh duy nhất của điện thoại di động của họ, được gọi là số định danh thuê bao di động quốc tế (IMSI); và số điện thoại nguồn và đích.
Hơn nữa, tin tặc có thể thiết lập từ khóa trong MESSAGETAP, cho phép phần mềm độc hại lọc nội dung mà tin tặc đang tìm kiếm.
Trong quá trình điều tra, FireEye phát hiện ra rằng các tin tặc đã tìm kiếm các từ khóa như tên của những “nhân vật cấp cao nước ngoài cần để mắt đến đối với các cơ quan tình báo Trung Quốc”, như các nhà lãnh đạo chính trị, quân đội và các tổ chức tình báo, các phong trào chính trị.
FireEye cho biết họ đã thấy có bốn tổ chức viễn thông là mục tiêu của APT41 trong năm 2019.
Mục tiêu của APT41
FireEye đã phát hành một báo cáo đầy đủ về APT41 trong tháng Tám, với tựa đề “Rồng đôi: APT41, gián điệp và tội phạm mạng”.
Từ “đôi” ở đây đề cập đến thực tế rằng: “APT41 là một nhóm gián điệp do nhà nước Trung Quốc tài trợ, đồng thời cũng đang tiến hành thúc đẩy hoạt động tài chính vì lợi ích cá nhân”, kể từ năm 2012. Báo cáo không cung cấp thêm thông tin chi tiết về việc ai đã thuê dịch vụ của APT41.
Một mô hình cụ thể đã xuất hiện: “APT41 nhắm vào các ngành công nghiệp theo cách nói chung phù hợp với kế hoạch phát triển kinh tế 5 năm của Trung Quốc” và kế hoạch mười năm “Made in China 2025” của Bắc Kinh, theo báo cáo.
Nhóm tin tặc cũng thu thập thông tin tình báo trước các sự kiện quan trọng, chẳng hạn như sáp nhập và mua lại (M&A) và các sự kiện chính trị.
“Made in China 2025” lần đầu tiên ra mắt vào năm 2015, là một kế hoạch chi tiết kinh tế đối với Trung Quốc để trở thành quốc gia sản xuất chiếm ưu thế trên thế giới trong 10 ngành dọc công nghệ cao quan trọng, chẳng hạn như dược phẩm, trí tuệ nhân tạo, và robot.
Theo báo cáo, APT41 nhắm mục tiêu về chăm sóc sức khỏe (bao gồm các thiết bị y tế và chẩn đoán), dược phẩm, bán lẻ, công ty phần mềm, viễn thông, dịch vụ du lịch, giáo dục, trò chơi video và tiền ảo.
Từ mục tiêu đề ra ở trên, APT41 đã nhắm vào các công ty trong các lĩnh vực đó ở Hoa Kỳ, Anh, Pháp, Ý, Hà Lan, Thụy Sĩ, Thổ Nhĩ Kỳ, Nhật Bản, Hàn Quốc, Singapore, Ấn Độ, Myanmar, Thái Lan và Nam Phi.
-
- Hình minh họa quá trình ăn cắp công nghệ của Trung Quốc (Ảnh: Youtube)
Mục đích và công cụ
FireEye phát hiện ra rằng APT41 tập trung vào việc đánh cắp tài sản trí tuệ từ các quốc gia mục tiêu đó. Nhưng bắt đầu từ giữa năm 2015, tin tặc “đã chuyển sang thu thập thông tin tình báo chiến lược và thiết lập quyền truy cập và tránh các hành vi trộm cắp tài sản trí tuệ trực tiếp”.
Nhóm tin tặc sử dụng trên “hơn 46 nhóm công cụ phần mềm độc hại khác nhau để thực hiện các nhiệm vụ của mình, bao gồm các tiện ích công khai, phần mềm độc hại được chia sẻ với các hoạt động gián điệp khác của Trung Quốc và các công cụ riêng của nhóm”, báo cáo cho biết.
Để một công ty tự bảo vệ mình khỏi các cuộc tấn công tiềm tàng từ APT41, FireEye cảnh báo các công ty không mở các email lạ: “Nhóm thường dựa vào các email lừa đảo với các tệp đính kèm như tệp HTML (.chm) để hãm hại nạn nhân của họ”.
Thiện Căn (biên dịch)
Theo Epochtimes
