Công ty an ninh mạng Mỹ FireEye tiết lộ nhóm tin tặc Trung Quốc APT41 đã gây thiệt hại cho một số công ty viễn thông lớn, lấy đi dữ liệu cuộc gọi khách hàng mà chúng nhắm làm mục tiêu. Nhóm tin tặc này cũng chặn tin nhắn văn bản và các dữ liệu cuộc gọi trên toàn thế giới.

Báo cáo của FireEye không nêu tên các công ty viễn thông, nhưng cho biết các tin tặc Trung Quốc đã tìm kiếm các dữ liệu cuộc gọi và văn bản, cho các từ khóa cụ thể, bao gồm tên của các mục tiêu “có giá trị”, như tên của các chính trị gia, tổ chức tình báo và các phong trào chính trị, “có mâu thuẫn với chính phủ Trung Quốc”.

Đây không phải là lần đầu tiên các tin tặc, do nhà nước Trung Quốc hậu thuẫn, đã chặn các tin nhắn điện thoại di động quốc tế.

Trước đó, hôm 25/6/2019, Cybereason, một công ty an ninh mạng khác có trụ sở tại Mỹ, đã công bố một báo cáo, trình bày về cách nhóm tin tặc APT10 thực hiện các cuộc tấn công liên tục kể từ năm 2017 đối với các nhà cung cấp viễn thông toàn cầu. Cybereason kết luận rằng nhóm APT10 hoạt động “vì lợi ích của Bộ An ninh Nhà nước Trung Quốc”, một cơ quan tình báo quan trọng bậc nhất của Trung Quốc. Nhóm APT10 đã lấy được các dữ liệu chi tiết các cuộc gọi (CDR), bao gồm thời gian cuộc gọi, thời lượng, số điện thoại liên quan và định vị địa lý.

Đội quân tin tặc của Trung Quốc được huấn luyện bài bản.

Mã độc Messagetap

Hôm 31/10/2019, FireEye đã công bố nghiên cứu của mình về an toàn tin nhắn văn bản, tập trung vào một công cụ mới mà nhóm tin tặc APT41 đang sử dụng. Đó là một phần mềm độc hại, có tên Messagetap, để chặn tin nhắn văn bản của mọi người trên toàn thế giới.

Tin nhắn văn bản cũng được gọi là dịch vụ tin nhắn ngắn (SMS), đề cập đến các tin nhắn văn bản đơn giản, được gửi và nhận bằng điện thoại di động.

Báo cáo của FireEye giải thích rằng nhóm tin tặc APT41 đã cài đặt mã độc Messagetap trên các máy chủ của Trung tâm dịch vụ tin nhắn ngắn (SMSC) của các nhà mạng viễn thông bị nhắm làm mục tiêu. Phần mềm độc hại sau đó có thể giám sát tất cả các kết nối mạng, đến và xuất phát từ máy chủ.

Messagetap có thể chặn tất cả lưu lượng tin nhắn SMS, bao gồm nội dung tin nhắn, số nhận dạng thuê bao di động quốc tế (IMSI), số điện thoại nguồn và đích đến.

Hơn nữa, tin tặc Trung Quốc có thể thiết lập từ khóa trong Messagetap, cho phép phần mềm độc hại lọc nội dung mà các tin tặc đang tìm kiếm.

Trong quá trình điều tra, FireEye phát hiện ra rằng các tin tặc đã tìm kiếm các từ khóa như tên của “những cá nhân cấp cao nước ngoài”, quan tâm đến các cơ quan tình báo Trung Quốc, cũng như các nhà lãnh đạo chính trị, quân đội và tình báo, và các phong trào chính trị.

FireEye cho biết họ đã quan sát 4 tổ chức viễn thông đang bị nhóm tin tặc APT41 nhắm đến trong năm 2019.

Các mục tiêu của nhóm tin tặc APT41

FireEye trước đó đã công bố một báo cáo đầy đủ về APT41 vào tháng 8/2019, với tiêu đề là: “Double Dragon: APT41, a dual espionage and cyber crime operation” [Tạm dịch: “Song Long: APT41, một hoạt động gián điệp và tội phạm mạng kép”].

Báo cáo đề cập đến sự thật rằng “APT41 là một nhóm gián điệp do nhà nước Trung Quốc tài trợ, đang tiến hành các hoạt động thúc đẩy tài chính, vì lợi ích cá nhân”, kể từ năm 2012. Tuy nhiên báo cáo không cung cấp thêm thông tin chi tiết về việc ai đã thuê dịch vụ của nhóm tin tặc APT41.

Theo báo cáo, nhóm tin tặc “APT41 nhắm vào các ngành công nghiệp, nói chung theo cách phù hợp với kế hoạch phát triển kinh tế 5 năm của Trung Quốc, và kế hoạch 10 năm “Made Made in China 2025” của Bắc Kinh.

Nhóm tin tặc APT41 cũng thu thập thông tin tình báo trước các sự kiện quan trọng, chẳng hạn như sáp nhập và mua lại (M&A) các công ty và các sự kiện chính trị.

Lần đầu tiên ra mắt vào năm 2015, “Made in China 2025” là một kế hoạch kinh tế, với tham vọng đưa Trung Quốc trở thành quốc gia sản xuất vượt trội trên thế giới trong 10 ngành công nghệ cao quan trọng như: dược phẩm, trí tuệ nhân tạo và robot.

Theo báo cáo, nhóm APT41 nhắm mục tiêu vào các lĩnh vực chăm sóc sức khỏe (bao gồm các thiết bị y tế và chẩn đoán), dược phẩm, bán lẻ, các công ty phần mềm, viễn thông, dịch vụ du lịch, giáo dục, trò chơi video, và tiền ảo.

Báo cáo của FireEye cho hay nhóm APT41 đã nhắm mục tiêu vào các công ty trong các lĩnh vực này, có trụ sở tại Mỹ, Anh, Pháp, Ý, Hà Lan, Thụy Sĩ, Thổ Nhĩ Kỳ, Nhật Bản, Hàn Quốc, Singapore, Ấn Độ, Myanmar, Thái Lan và Nam Phi.

Mục đích và các công cụ của APT41

FireEye phát hiện ra rằng nhóm tin tặc APT41 ban đầu tập trung vào việc đánh cắp tài sản trí tuệ từ các quốc gia mục tiêu đó.

Nhưng bắt đầu từ giữa năm 2015, các tin tặc đã chuyển sang thu thập thông tin tình báo chiến lược và thiết lập việc truy cập, và từ bỏ hành vi trộm cắp tài sản trí tuệ trực tiếp.

Theo báo cáo, nhóm tin tặc APT41 sử dụng “hơn 46 nhóm và công cụ phần mềm độc hại khác nhau để thực hiện các nhiệm vụ của họ, bao gồm các tiện ích có sẵn công khai, phần mềm độc hại được chia sẻ với các hoạt động gián điệp khác của Trung Quốc, và các công cụ duy nhất của nhóm”..

Để một công ty tự bảo vệ mình khỏi các cuộc tấn công tiềm tàng từ APT41, FireEye cảnh báo các công ty không mở các email lạ. FireEye lưu ý: “Chúng thường dựa vào các email lừa đảo với các tệp đính kèm như tệp HTML (.chm) để làm hại các nạn nhân của họ”.

videoinfo__video3.dkn.tv||41fd9f6bb__