Cụ thể, công ty an ninh mạng Trung Quốc Qihoo 360 vừa công bố báo cáo cho thấy một hoạt động tấn công rộng rãi nhắm vào Kazakhstan.
Ảnh: Qihoo 360
Các nhà nghiên cứu cho biết, một nhóm tấn công tiên tiến đã sử dụng các công cụ tấn công được phát triển tùy chỉnh, bộ dụng cụ giám sát đắt tiền, phần mềm độc hại di động và phần cứng chặn liên lạc vô tuyến để theo dõi các mục tiêu của Kazakhstan.
Mục tiêu bao gồm các cá nhân và tổ chức liên quan, các tầng lớp nhân dân như cơ quan chính phủ, quân nhân, nhà ngoại giao, nhà nghiên cứu, nhà báo, công ty tư nhân, ngành giáo dục, nhà tôn giáo, nhà ngoại giao nước ngoài…
Chiến dịch, mà Qihoo 360 cho biết, dường như được thực hiện bởi một tác nhân đe dọa với các nguồn lực đáng kể và là người có khả năng phát triển các công cụ tấn công riêng, mua phần mềm gián điệp đắt tiền ngoài thị trường giám sát và thậm chí đầu tư vào phần cứng đánh chặn liên lạc vô tuyến.
Dấu hiệu cho thấy một số cuộc tấn công dựa vào việc gửi các email được nhắm mục tiêu đính kèm các tệp độc hại (spear-phishing), trong khi các cuộc tấn công khác dựa vào việc truy cập vật lý vào các thiết bị.
Các nhà nghiên cứu của Qihoo đã đặt tên cho nhóm đứng sau chiến dịch rộng lớn này là Golden Falcon (hay APT-C-34).
Nhà cung cấp bảo mật Trung Quốc tuyên bố nhóm này là mới, nhưng khi ZDNet liên lạc với Kaspersky thì được cho biết Golden Falcon dường như là một tên gọi khác của DustSquad, một nhóm gián điệp mạng đã hoạt động từ năm 2017.
Báo cáo nêu chi tiết các hoạt động tấn công trước đây của nhóm bắt đầu từ năm 2018 khi phát hiện nhóm sử dụng các email lừa đảo dẫn người dùng đến một phiên bản Telegram có phần mềm độc hại.
Giống như các cuộc tấn công được Qihoo ghi lại trong tuần này, các cuộc tấn công năm 2018 cũng tập trung vào Kazakhstan nhưng đã sử dụng một chủng phần mềm độc hại khác.
Báo cáo mới của Qihoo chủ yếu dựa trên dữ liệu mà công ty Trung Quốc có được sau khi họ truy cập vào một trong các máy chủ chỉ huy và kiểm soát (C&C) của Golden Falcon, từ đó họ lấy dữ liệu về các hoạt động của nhóm.
Tại đây, công ty Trung Quốc đã tìm thấy dữ liệu lấy từ các nạn nhân bị lây nhiễm. Dữ liệu được thu thập liên quan chủ yếu đến các tài liệu văn phòng, lấy từ các máy tính bị tấn công. Tất cả các thông tin bị đánh cắp đã được sắp xếp trong các thư mục theo thành phố, với mỗi thư mục chứa dữ liệu của mỗi máy chủ bị nhiễm. Các nhà nghiên cứu cho biết họ tìm thấy dữ liệu từ các nạn nhân ở 13 thành phố lớn nhất Kazakhstan.
Dữ liệu đã được mã hóa, nhưng các nhà nghiên cứu cho biết họ có thể giải mã nó. Bên trong, họ cũng tìm thấy bằng chứng Golden Falcon cũng đang theo dõi các công dân nước ngoài.
