-
06/07/2013
-
797
-
1.304 bài viết
Hacker Trung Quốc đã "lèo lái" các quyết định kinh tế đáng sợ thế nào?
Giờ đây các nhóm hacker được cho là từ Trung Quốc không chỉ phá hoại hệ thống hay ăn cắp thông tin nữa, hoạt động của họ giờ đã lan sang cả các quyết định về kinh tế.
Trong thế giới của hoạt động gián điệp mạng, người Trung Quốc đang là bá chủ. Ngày càng nhiều các cuộc tấn công cấp quốc gia được cho là do phía Trung Quốc thực hiện, nhiều hơn bất cứ quốc gia nào khác trên thế giới. Cho dù có giả thuyết cho rằng động cơ đằng sau hành vi gián điệp này nhằm giành lợi thế cạnh tranh cho các công ty Trung Quốc, nhưng không có nhiều bằng chứng cho việc đó.
Ít nhất là cho đến gần đây. Một chiến dịch gián điệp mới đây do Trung Quốc thực hiện cho thấy mối tương quan giữa các vụ vi phạm với lợi ích kinh tế của Trung Quốc.
Nhóm hacker này bị phát hiện vào tháng Mười Một năm ngoái bởi hãng bảo mật Fox-IT và đặt cho cái tên Mofang. Cho đến nay nhóm này đã tấn công hơn một chục mục tiêu trong các ngành công nghiệp và các quốc gia khác nhau từ cuối tháng Hai năm 2012, và hiện tại nhóm này vẫn đang hoạt động. Mofang đã nhắm mục tiêu vào các cơ quan chính phủ của Mỹ, các cơ quan quân sự của Ấn Độ và Myanmar, các cơ sở hạ tầng quan trọng ở Singapore, các bộ phận nghiên cứu và phát triển của các công ty ô tô tại Đức, và công nghiệp vũ khí ở Ấn Độ.
Nhưng trong một chiến dịch riêng biệt có liên quan đến các giao dịch kinh doanh tại đặc khu kinh tế Kyaukphyu của Myanmar, chúng ta đã thấy bằng chứng về động cơ của những kẻ tấn công. Trong cuộc tấn công đó, Mofang nhắm mục tiêu vào một liên doanh giám sát các quyết định đầu tư vào đặc khu này, nơi mà Tổng công ty Dầu khí Quốc gia của Trung Quốc đang hy vọng sẽ xây một đường ống dẫn dầu và khí đốt tại đây.
“Đây là một chiến dịch thật sự thú vị để thấy nơi bắt đầu các hoạt động đầu tư của một công ty nhà nước được Trung Quốc ủng hộ.” Ông Yonathan Klijnsma, nhà phân tích cấp cao về mối đe dọa cho Fox-IT cho biết. “Hoặc bọn họ đang sợ thua trong vụ đầu tư này, hoặc họ chỉ muốn nhiều cơ hội kinh doanh hơn nữa.”
Đi tìm Mofang
Fox-IT đã phát hiện ra nhóm hacker này sau khi bóc gỡ một số ứng phần mềm malware của nó trên VirusTotal, một dịch vụ trực tuyến miễn phí thuộc sở hữu của Google, là nơi tập hợp hơn ba chục phần mềm quét virus như Symantec, Kaspersky Lab, F-Secure và các hãng khác. Các nhà nghiên cứu và bất kỳ người nào đó khi tìm thấy một file đáng ngờ trên hệ thống của họ, có thể upload file đó lên trang này để xem liệu có bất kỳ máy quét virus nào cho rằng nó là có hại hay không.
Fox-IT bóc gỡ hai công cụ chủ yếu mà nhóm hacker này sử dụng: ShimRat (một trojan truy cập từ xa) và ShimRatReporter (một công cụ để tiến hành trinh sát). Malware của nhóm này là một công cụ tùy chỉnh cho mỗi nạn nhân, điều này cho phép Fox-IT xác định được mục tiêu trong mỗi trường hợp cụ thể, khi tên của nạn nhân xuất hiện trong email các tài liệu mà những kẻ tấn công sử dụng.
Không giống như các hacker cấp nhà nước được cho có liên hệ với Trung Quốc, nhóm Mofang không khai thác lỗi zero-day để thâm nhập vào hệ thống. Thay vào đó, nhóm này chủ yếu dựa vào các cuộc tấn công lừa đảo hướng các nạn nhân trực tiếp đến các trang web đã bị xâm hại, nơi malware được tải xuống hệ thống của họ bằng cách sử dụng các lỗ hổng đã được biết trước.
Nhóm này cũng tấn công các sản phẩm chống virus để chạy malware của họ, vì vậy nếu một nạn nhân nhìn vào danh sách các process chạy trên hệ thống của mình, malware đó sẽ trông giống như một chương trình chống virus hợp pháp đang chạy.
Điều làm các nhà nghiên cứu cho rằng nhóm này có sự liên quan của Trung Quốc một phần là do một vài dòng code mà những kẻ tấn công sử dụng cũng tương tự như dòng code được sử dụng bởi các nhóm hacker Trung Quốc khác. Thêm vào đó, các tài liệu sử dụng cho việc tấn công lừa đảo được tạo ra trên WPS Office hay Kingsoft Office, một phần mềm Trung Quốc tương tự như Microsoft Office.
Các cuộc tấn công
Cuộc tấn công đầu tiên nhằm vào chính thể ở Myanmar vào tháng Năm 2012. Mofang tấn công máy chủ của Bộ Thương Mại nước này. Cùng tháng đó, họ cũng nhắm đến hai công ty ô tô của Đức, một công ty tham gia phát triển công nghệ cho xe tăng và xe tải bọc thép quân sự, công ty còn lại liên quan đến việc lắp đặt các bệ phóng tên lửa.
Vào tháng Tám và Chín năm 2013, họ tấn công các mục tiêu ở Mỹ. Trong một trường hợp, họ nhắm đến những người làm việc trong các cơ quan quân sự và chính quyền Mỹ bằng cách email cho họ một mẫu đăng ký của Essential of 21th Century Warfare, một khóa đào tạo cho nhân viên chính phủ Mỹ ở Virginia.
Nhóm này cũng nhắm đến một công ty công nghệ của Mỹ làm về nghiên cứu tế bào năng lượng mặt trời cũng như các công ty triển lãm tại hội chợ MSME DEFExpo 2013 ở Ấn Độ - một triển lãm thường niên về quốc phòng, không gian và an ninh nội địa, nơi những công ty bán hàng cho các chính phủ.
Trong năm 2014, nhóm này lại tấn công một tổ chức chưa rõ danh tính của Hàn Quốc, và vào tháng Tư năm đó, họ nhắm đến một cơ quan chính phủ của Myanmar, bằng cách sử dụng một tài liệu về nhân quyền và các biện pháp trừng phạt ở Myanmar.
“Các mục tiêu rất đa dạng, nhưng họ luôn tìm kiếm các công ty công nghệ, nghiên cứu và phát triển.” Ông Klijnsma cho biết.
Nhưng cuộc tấn công đáng chú ý nhất diễn ra vào cuối năm ngoái khi họ nhắm đến một cơ quan của Myanmar và một công ty trụ sở tại Singapore có tên CPG Corporation, cả hai đều tham gia vào việc ra các quyết định về đầu tư nước ngoài tại đặc khu kinh tế Kyaukphyu của Myanmar, nơi thu hút các nhà đầu tư nước ngoài với việc giảm thuế và mở rộng diện tích đất cho thuê.
Đặc khu Kyaukphyu là nơi có lợi ích kinh tế lớn cho Tổng công ty Dầu khí Quốc gia Trung Quốc, đơn vị đã đầu tư vào đây từ 2009. Công ty đã ký một biên bản ghi nhớ để xây dựng một cảng biển và phát triển, vận hành, quản lý các đường ống dẫn dầu và khí đốt kết nối Myanmar với Trung Quốc, nhằm giúp người Trung Quốc không phải đi vòng qua eo biển Malacca, vốn xa xôi và nhiều cướp biển, để vận chuyển khí đốt nữa. Dường như chính phủ Trung Quốc lo sợ rằng nếu không có một thỏa thuận ràng buộc về mặt pháp lý, phía Myanmar sẽ thất hứa về thương vụ này.
Vào tháng Ba năm 2014, Myanmar chọn một liên doanh dẫn đầu bởi công ty CPG Corporation ở Singapore để giúp việc ra các quyết định về phát triển đặc khu này. Trong năm 2015, liên doanh này dự định tiết lộ tên các công ty giành quyền đầu tư cơ sở hạ tầng ở đây, nhưng đến tháng Bảy vẫn không có kết quả nào được công bố.
Đó là khi nhóm Mofang tấn công công ty CPG Corporation. Ông Klijnsma cho biết, Fox-IT không rõ những thông tin cụ thể nào đã bị lấy đi, nhưng thời gian rất trùng khớp với các sự kiện.
“Dòng thời gian rất cụ thể.” Ông cho biết. “Nó trùng khớp một cách khó hiểu với thời gian ra quyết định.”
Trong năm 2016, phía Trung Quốc thắng thầu trong việc xây dựng đường ống dẫn dầu và khí đốt cũng như cảng biển trong đặc khu kinh tế của Myanmar. Đến đây, động cơ của nhóm Mofang có vẻ trở nên khá rõ ràng.
Trong thế giới của hoạt động gián điệp mạng, người Trung Quốc đang là bá chủ. Ngày càng nhiều các cuộc tấn công cấp quốc gia được cho là do phía Trung Quốc thực hiện, nhiều hơn bất cứ quốc gia nào khác trên thế giới. Cho dù có giả thuyết cho rằng động cơ đằng sau hành vi gián điệp này nhằm giành lợi thế cạnh tranh cho các công ty Trung Quốc, nhưng không có nhiều bằng chứng cho việc đó.
Ít nhất là cho đến gần đây. Một chiến dịch gián điệp mới đây do Trung Quốc thực hiện cho thấy mối tương quan giữa các vụ vi phạm với lợi ích kinh tế của Trung Quốc.
Nhóm hacker này bị phát hiện vào tháng Mười Một năm ngoái bởi hãng bảo mật Fox-IT và đặt cho cái tên Mofang. Cho đến nay nhóm này đã tấn công hơn một chục mục tiêu trong các ngành công nghiệp và các quốc gia khác nhau từ cuối tháng Hai năm 2012, và hiện tại nhóm này vẫn đang hoạt động. Mofang đã nhắm mục tiêu vào các cơ quan chính phủ của Mỹ, các cơ quan quân sự của Ấn Độ và Myanmar, các cơ sở hạ tầng quan trọng ở Singapore, các bộ phận nghiên cứu và phát triển của các công ty ô tô tại Đức, và công nghiệp vũ khí ở Ấn Độ.
Nhưng trong một chiến dịch riêng biệt có liên quan đến các giao dịch kinh doanh tại đặc khu kinh tế Kyaukphyu của Myanmar, chúng ta đã thấy bằng chứng về động cơ của những kẻ tấn công. Trong cuộc tấn công đó, Mofang nhắm mục tiêu vào một liên doanh giám sát các quyết định đầu tư vào đặc khu này, nơi mà Tổng công ty Dầu khí Quốc gia của Trung Quốc đang hy vọng sẽ xây một đường ống dẫn dầu và khí đốt tại đây.
Các bể chứa dầu tại đặc khu kinh tế Kyaukphyu của Myanmar.
“Đây là một chiến dịch thật sự thú vị để thấy nơi bắt đầu các hoạt động đầu tư của một công ty nhà nước được Trung Quốc ủng hộ.” Ông Yonathan Klijnsma, nhà phân tích cấp cao về mối đe dọa cho Fox-IT cho biết. “Hoặc bọn họ đang sợ thua trong vụ đầu tư này, hoặc họ chỉ muốn nhiều cơ hội kinh doanh hơn nữa.”
Đi tìm Mofang
Fox-IT đã phát hiện ra nhóm hacker này sau khi bóc gỡ một số ứng phần mềm malware của nó trên VirusTotal, một dịch vụ trực tuyến miễn phí thuộc sở hữu của Google, là nơi tập hợp hơn ba chục phần mềm quét virus như Symantec, Kaspersky Lab, F-Secure và các hãng khác. Các nhà nghiên cứu và bất kỳ người nào đó khi tìm thấy một file đáng ngờ trên hệ thống của họ, có thể upload file đó lên trang này để xem liệu có bất kỳ máy quét virus nào cho rằng nó là có hại hay không.
Cách thức tấn công của nhóm Mofang.
Fox-IT bóc gỡ hai công cụ chủ yếu mà nhóm hacker này sử dụng: ShimRat (một trojan truy cập từ xa) và ShimRatReporter (một công cụ để tiến hành trinh sát). Malware của nhóm này là một công cụ tùy chỉnh cho mỗi nạn nhân, điều này cho phép Fox-IT xác định được mục tiêu trong mỗi trường hợp cụ thể, khi tên của nạn nhân xuất hiện trong email các tài liệu mà những kẻ tấn công sử dụng.
Không giống như các hacker cấp nhà nước được cho có liên hệ với Trung Quốc, nhóm Mofang không khai thác lỗi zero-day để thâm nhập vào hệ thống. Thay vào đó, nhóm này chủ yếu dựa vào các cuộc tấn công lừa đảo hướng các nạn nhân trực tiếp đến các trang web đã bị xâm hại, nơi malware được tải xuống hệ thống của họ bằng cách sử dụng các lỗ hổng đã được biết trước.
Nhóm này cũng tấn công các sản phẩm chống virus để chạy malware của họ, vì vậy nếu một nạn nhân nhìn vào danh sách các process chạy trên hệ thống của mình, malware đó sẽ trông giống như một chương trình chống virus hợp pháp đang chạy.
Điều làm các nhà nghiên cứu cho rằng nhóm này có sự liên quan của Trung Quốc một phần là do một vài dòng code mà những kẻ tấn công sử dụng cũng tương tự như dòng code được sử dụng bởi các nhóm hacker Trung Quốc khác. Thêm vào đó, các tài liệu sử dụng cho việc tấn công lừa đảo được tạo ra trên WPS Office hay Kingsoft Office, một phần mềm Trung Quốc tương tự như Microsoft Office.
Các cuộc tấn công
Cuộc tấn công đầu tiên nhằm vào chính thể ở Myanmar vào tháng Năm 2012. Mofang tấn công máy chủ của Bộ Thương Mại nước này. Cùng tháng đó, họ cũng nhắm đến hai công ty ô tô của Đức, một công ty tham gia phát triển công nghệ cho xe tăng và xe tải bọc thép quân sự, công ty còn lại liên quan đến việc lắp đặt các bệ phóng tên lửa.
Các quốc gia được cho là nạn nhân của nhóm Mofang này.
Vào tháng Tám và Chín năm 2013, họ tấn công các mục tiêu ở Mỹ. Trong một trường hợp, họ nhắm đến những người làm việc trong các cơ quan quân sự và chính quyền Mỹ bằng cách email cho họ một mẫu đăng ký của Essential of 21th Century Warfare, một khóa đào tạo cho nhân viên chính phủ Mỹ ở Virginia.
Nhóm này cũng nhắm đến một công ty công nghệ của Mỹ làm về nghiên cứu tế bào năng lượng mặt trời cũng như các công ty triển lãm tại hội chợ MSME DEFExpo 2013 ở Ấn Độ - một triển lãm thường niên về quốc phòng, không gian và an ninh nội địa, nơi những công ty bán hàng cho các chính phủ.
Trong năm 2014, nhóm này lại tấn công một tổ chức chưa rõ danh tính của Hàn Quốc, và vào tháng Tư năm đó, họ nhắm đến một cơ quan chính phủ của Myanmar, bằng cách sử dụng một tài liệu về nhân quyền và các biện pháp trừng phạt ở Myanmar.
“Các mục tiêu rất đa dạng, nhưng họ luôn tìm kiếm các công ty công nghệ, nghiên cứu và phát triển.” Ông Klijnsma cho biết.
Nhưng cuộc tấn công đáng chú ý nhất diễn ra vào cuối năm ngoái khi họ nhắm đến một cơ quan của Myanmar và một công ty trụ sở tại Singapore có tên CPG Corporation, cả hai đều tham gia vào việc ra các quyết định về đầu tư nước ngoài tại đặc khu kinh tế Kyaukphyu của Myanmar, nơi thu hút các nhà đầu tư nước ngoài với việc giảm thuế và mở rộng diện tích đất cho thuê.
Hai đường ống dẫn dầu và khí đốt từ Nam Ninh và Côn Minh, Trung Quốc đến đặc khu Kyaukphyu, Myanmar.
Đặc khu Kyaukphyu là nơi có lợi ích kinh tế lớn cho Tổng công ty Dầu khí Quốc gia Trung Quốc, đơn vị đã đầu tư vào đây từ 2009. Công ty đã ký một biên bản ghi nhớ để xây dựng một cảng biển và phát triển, vận hành, quản lý các đường ống dẫn dầu và khí đốt kết nối Myanmar với Trung Quốc, nhằm giúp người Trung Quốc không phải đi vòng qua eo biển Malacca, vốn xa xôi và nhiều cướp biển, để vận chuyển khí đốt nữa. Dường như chính phủ Trung Quốc lo sợ rằng nếu không có một thỏa thuận ràng buộc về mặt pháp lý, phía Myanmar sẽ thất hứa về thương vụ này.
Vào tháng Ba năm 2014, Myanmar chọn một liên doanh dẫn đầu bởi công ty CPG Corporation ở Singapore để giúp việc ra các quyết định về phát triển đặc khu này. Trong năm 2015, liên doanh này dự định tiết lộ tên các công ty giành quyền đầu tư cơ sở hạ tầng ở đây, nhưng đến tháng Bảy vẫn không có kết quả nào được công bố.
Đó là khi nhóm Mofang tấn công công ty CPG Corporation. Ông Klijnsma cho biết, Fox-IT không rõ những thông tin cụ thể nào đã bị lấy đi, nhưng thời gian rất trùng khớp với các sự kiện.
“Dòng thời gian rất cụ thể.” Ông cho biết. “Nó trùng khớp một cách khó hiểu với thời gian ra quyết định.”
Trong năm 2016, phía Trung Quốc thắng thầu trong việc xây dựng đường ống dẫn dầu và khí đốt cũng như cảng biển trong đặc khu kinh tế của Myanmar. Đến đây, động cơ của nhóm Mofang có vẻ trở nên khá rõ ràng.
WIRED