Một nhóm tin tặc (hacker) có liên quan đến chính phủ Trung Quốc, vốn được cho là đã ngừng hoạt động, nhưng trên thực tế nhóm này đã tấn công ngầm vào các công ty và cơ quan chính phủ suốt 2 năm.

Theo các nhà nghiên cứu, những vụ tấn công này thu thập dữ liệu sau khi đánh cắp mật khẩu và phá bỏ một hàng rào bảo mật 2 lớp, vốn được thiết kế nhằm ngăn chặn điều này

Fox-IT, một công ty bảo mật có trụ sở tại Hà Lan trong báo cáo công bố ngày 19/12 cho biết, các đợt tấn công của nhóm này đã lan ra 10 nước, trong đó có Mỹ, Anh, Pháp, Đức, Italy và đã tiến hành cuộc tấn công trên quy mô toàn cầu nhắm vào các ngành công nghiệp như hàng không, xây dựng, tài chính, y tế, bảo hiểm, cờ bạc, năng lượng.

Nhóm tin tặc này nhiều khả năng thuộc về nhóm APT20, và công ty bảo mật Fox-IT tin rằng “nhóm tin tặc này là một nhóm người Trung Quốc và nhiều khả năng là họ làm việc vì quyền lợi của chính phủ Trung Quốc”.

Từ năm 2009 đến năm 2014, nhóm APT20, vốn được biết đến với cái tên Violin Panda và th3bug, được cho là có liên quan đến một số chiến dịch tấn công nhắm đến các trường đại học, quân đội, cơ sở y tế và các công ty viễn thông. Nhóm này đã từng im lặng trong một số năm nhưng gần đây đang quay trở lại, theo Fox-IT.

Trưởng chuyên gia về bảo mật tại Fox-IT, ông Frank Groenewegen cho biết: “Nhiều người tin rằng nhóm đó đã biến mất hoặc không còn tồn tại nữa. Thế nhưng cái chúng tôi nhận ra chính là nhóm này đang hoạt động trở lại trên quy mô toàn cầu và tấn công nhiều doanh nghiệp”.

Fox-IT đã phát hiện ra vụ tấn công của nhóm tin tặc này vào mùa hè năm 2018 khi họ phân tích hệ thống máy tính bị xâm nhập. Ông Groenewegen cho biết, từ các dấu vết phát hiện ban đầu, Fox-IT đã tìm ra hàng loạt các cuộc tấn công tương tự, dường như đã được thực hiện bởi cùng một nhóm đó. Các vụ tấn công đồng thời được thực hiện ở Brazil, Mexico, Bồ Đào Nha và Tây Ban Nha.

Theo Fox-IT, các tin tặc đã che rất kỹ dấu vết của vụ tấn công, chúng thường xuyên xóa bỏ các công cụ ăn cắp dữ liệu từ những máy tính bị nhiễm. Tuy nhiên, không phải phi vụ nào cũng hoàn hảo. Cụ thể, Fox-IT đã cài công nghệ theo dõi lên mạng máy tính của một nạn nhân bị tấn công, qua đó thu thập được các dữ liệu cho thấy rằng, thủ phạm sử dụng trình duyệt web bằng tiếng Trung.

Với sự giúp đỡ của một cơ quan thực thi pháp luật, Fox-IT đã truy tìm các hoạt động của tin tặc trên máy chủ web mà chúng đã mua làm điểm cho các cuộc tấn công. Các tin tặc đã thanh toán bằng Bitcoin và sử dụng thông tin giả mạo, bao gồm một số điện thoại của Anh và địa chỉ của người Mỹ ở Lafayette, Louisiana. Nhưng chúng đã gõ một phần địa chỉ bằng tiếng Trung giản thể.

Thời gian hoạt động cũng là vấn đề được chú ý. Các nhóm tin tặc hoạt động khoảng 3 giờ sáng tại Hà Lan và tiếp tục trong 8 đến 10 tiếng đồng hồ. Từ đó, các chuyên gia đã suy đoán rằng, rất có thể các vụ tấn công được thực hiện theo giờ Trung Quốc – cách Hà Lan 7 múi giờ.

Và dấu hiệu rõ ràng nhất đã xuất hiện sau khi các tin tặc biết về việc mình bị phát hiện. Cụ thể, sau khi Fox-IT loại bỏ chúng khỏi một mạng máy tính, nhóm tin tặc này đã thực hiện một số mệnh lệnh để tái xâm nhập vào các máy tính này. Khi việc tái xâm nhập không thành công, một tin tặc đã đánh “wocao” – một từ chửi thề trong Tiếng Trung. Đây là một dấu hiệu rõ ràng cho việc Trung Quốc là thủ phạm đứng sau các vụ tấn công này.