Nhóm tin tặc APT32

Nhóm tin tặc APT32 (tên khác: OceanLotus, SeaLotus, Cobalt Kitty) là một nhóm tin tặc được cho là có nguồn gốc từ Việt Nam.^[1]^[2]^[3]^[4] Facebook tuyên bố điều tra của họ phát hiện nhóm này liên quan công ty có tên CyberOne Group, đặt tại Việt Nam. Công ty này còn mang các tên như CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet và Diacauso.^[5]

Theo tường trình của Công ty an ninh mạng FireEye của Hoa Kỳ, APT32 không những tấn công xâm nhập hệ thống máy điện toán của các công ty ngoại quốc kinh doanh tại Việt Nam, mà còn tấn công cả các chính quyền ngoại quốc bằng cách cài các mã độc và những công cụ khác bán trên thị trường.^[6] Đây cũng chính là nhóm mà công ty an ninh mạng Trung Quốc SkyEye Labs gọi là OceanLotus vào năm 2015.^[7]

Hoạt động sửa

Nick Carr, quản lý cấp cao của FireEye có trách nhiệm đối phó với các nguy cơ tấn công và đe dọa an ninh mạng nói với đài CNBC rằng, cái làm cho tổ chức APT32 khác với các tổ chức tin tặc khác là những loại thông tin mà nhóm này muốn tìm kiếm cho thấy họ có liên hệ với chính quyền Việt Nam.^[8] Ông Carr nói rằng thời điểm của các vụ tấn công tương ứng với lúc các nạn nhân đang phải đối phó với phía nhà cầm quyền về vấn đề luật lệ.^[8]

Ông Carr nhận định, "Qua nhiều trường hợp ở đây, có vẻ như APT32 xâm nhập để điều tra xem hoạt động của các nạn nhân và đánh giá xem người ta có tuân theo luật lệ hay không." "Điều đó cho thấy khá bất thường và cách biệt hẳn với các hành động gián điệp và ăn cắp bản quyền trí tuệ của các tổ chức tin tặc Trung Quốc, hoặc gián điệp chính trị hay hoạt động thông tin như tổ chức tin tặc của Nga." ^[8]

Nạn nhân sửa

Nạn nhân của APT32 gồm các công ty đầu tư sản xuất tại Việt Nam hay bán sản phẩm tiêu dùng hoặc kinh doanh khách sạn du lịch. Có dấu hiệu như họ cũng nhắm đến các công ty kỹ thuật, an ninh mạng của các công ty tư vấn có thể có mối quan hệ với các nhà đầu tư ngoại quốc. Trong số các nạn nhân, có một công ty của Đức bị tấn công hồi năm 2014, một công ty du lịch Trung Quốc và một công ty bán sản phẩm tiêu dùng của Mỹ.^[6]

Theo Reuters, cũng nhóm này bị cho là có liên quan đến các vụ tấn công mạng nhắm vào giới nhà báo, các nhà bất đồng chính kiến và bloggers theo phúc trình của tổ chức Electronic Frontier Foundation năm 2013. Chính nhóm này cũng tấn công cả người Việt hải ngoại và đối tượng của họ cũng có cả các tổ chức truyền thông Việt Nam.^[7]

Theo Bloomberg, APT32 bị cáo buộc là thủ phạm đứng sau những hoạt động tấn công nhắm vào các công ty sản xuất xe hơi nước ngoài như Toyota, Hyundai… Mục tiêu của họ có thể nhằm khai thác thông tin của những đối thủ này và phục vụ cho lợi ích của ngành công nghiệp xe hơi của Việt Nam, với ví dụ được nêu tên là hãng xe VinFast (thuộc tập đoàn VinGroup). Nhưng bản sửa đổi của bài báo sau đó đã bỏ đi VinFast.^[9]

Bryce Boland, trưởng ban công nghệ Châu Á-Thái Bình Dương nói trong buổi họp báo hôm 25/5/2017 rằng FireEye phát hiện APT32 còn tấn công các cơ quan chính phủ Philippines: "Có thể suy đoán là việc này để lấy thông tin liên quan đến trang bị quân sự và tìm hiểu các tổ chức trong chính phủ đã hoạt động như thế nào để phòng khả năng xảy ra xung đột quân sự," Năm 2016, nhóm này đã tấn công một tập đoàn hàng hoá thương mại và hãng cơ sở hạ tầng công nghệ của Philippines, cùng với một số công ty, doanh nghiệp ở Việt Nam. FireEye nói rằng nhóm tin tặc liên tục cập nhật công nghệ đột nhập khai thác thông tin để chiếm đoạt nhiều thông tin quan trọng hơn.^[10]

Tháng 2 năm 2020, FireEye cho biết nhóm tin tặc này đã tấn công vào một số cơ quan của chính quyền thành phố Vũ Hán, Trung Quốc trong nỗ lực khai thác thông tin liên quan đến đại dịch COVID-19.^[11]

Cáo buộc từ Trung Quốc sửa

Hồi tháng 6/2015, tác giả Adam Segal viết rằng SkyEye, thuộc công ty Trung Quốc Qihoo 360 báo cáo là có một nhóm APT tấn công liên tục vào các mục tiêu của Trung Quốc như cơ quan chính phủ, các viện nghiên cứu và các công ty ở Bắc Kinh và Thiên Tân trong ba năm liền.^[7]^[12]

Phản ứng chính quyền Việt Nam sửa

Bộ Ngoại giao Việt Nam phủ nhận nội dung bản tường trình của FireEye. Trong một điện thư, bà Lê Thị Thu Hằng, phát ngôn viên Bộ Ngoại giao Việt Nam nói lời cáo buộc của FireEye là "không có căn cứ. Chính phủ Việt Nam không cho phép bất cứ hình thức tấn công mạng nào chống lại các tổ chức hay cá nhân. Tất cả mọi vụ tấn công mạng hoặc đe dọa an ninh mạng phải bị kết án và trừng phạt nặng nề phù hợp với luật lệ và các quy định," ^[8]

Lần đầu tiên sửa

Theo Reuters đây là đầu tiên một cơ quan an ninh mạng chỉ vào Việt Nam là nguồn của các cuộc tấn công mạng được nhà nước thúc đẩy. Nó cũng là lần đầu FireEye phát nhãn APT - advanced persistent threat (đe dọa thường trực cao cấp), một thuật ngữ mà chỉ dành cho các nhóm tin tặc được nhà nước hỗ trợ, cho một nước bên ngoài Trung Quốc và Nga.^[12]

Nhận xét sửa

Từ Singapore, tiến sĩ Lê Hồng Hiệp tại Viện Nghiên cứu Đông Nam Á (ISEAS) nói với VOA báo cáo của FireEye là sự xác nhận về một bí mật mà ai cũng biết: "Bản thân tôi cũng đã từng nhiều lần gặp phải các cuộc tấn công như vậy, nên tôi nghĩ rằng đấy là sự xác thực đối với những thông tin lâu nay người ta có đồn đoán hay có đề cập tới. Tuy nhiên rất là khó để đưa những bằng chứng để chỉ ra được mối liên hệ giữa chính phủ Việt Nam với các cuộc tấn công này".^[13]
Theo ông Tim Wellsmore, giám đốc của FireEye tại Châu Á về thông tin tình báo đe doạ, hacker được nhà nước bảo trợ là "cách thức mới để làm gián điệp trong thế kỷ 21 vì nguồn tài nguyên dễ dàng hơn nhiều so với hoạt động của con người". "Đây là một mô hình chi phí thấp, thu hồi cao." ^[14]

Chú thích sửa

^ Panda, Ankit. “Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19”. thediplomat.com. The Diplomat. Truy cập ngày 29 tháng 4 năm 2020.
^ Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (ngày 8 tháng 10 năm 2020). Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa (biên tập). “Lined up in the sights of Vietnamese hackers”. Bayerischer Rundfunk. In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.
^ Hay Newman, Lilly. “An Up-Close View of the Notorious APT32 Hacking Group in Action”. www.wired.com. Wired. Truy cập ngày 7 tháng 11 năm 2020.
^ Team, News. “Vietnamese APT32 group is one of the most advanced APTs in the threat landscape”. www.cyberdefensemagazine.com. Cyber Defense Magazine. Truy cập ngày 7 tháng 11 năm 2020.^{[liên kết hỏng]}
^ Facebook nói 'truy ra đại tin tặc OceanLotus là công ty Hành Tinh ở Việt Nam', www.bbc.com, 11.12.2020
^ ^a ^b Tin tặc ‘APT32’ tấn công công ty ngoại quốc, người đòi dân chủ ở Việt Nam, www.nguoi-viet.com, 15.5.2017
^ ^a ^b ^c Đội tin tặc APT32 tung hoành ở VN?, www.bbc.com, 15.5.2017
^ ^a ^b ^c ^d Hackers aligned with Vietnam government are attacking foreign companies, says report, www.cnbc.com, 15.5.2017
^ “Vietnam-linked Hacking Group Targets Toyota, Other Companies”. Bloomberg. 22 tháng 9 năm 2019. Truy cập ngày 30 tháng 5 năm 2020.
^ FireEye: Tin tặc từ VN 'tấn công Philippines', www.bbc.com, 26.5.2017
^ Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage. FireEye (Ngày 22 tháng 4 năm 2020).
^ ^a ^b Multinationals in Vietnam targeted by hackers linked to government: report, www.reuters.com, 15.5.2017
^ Báo cáo về hacker Việt Nam ‘không gây khủng hoảng’, www.voatiengviet.com, 15.5.2017
^ Small Countries’ New Weapon Against Goliaths: Hacking, www.nytimes.com, 14.5.2017

[1] Panda, Ankit. “Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19”. thediplomat.com. The Diplomat. Truy cập ngày 29 tháng 4 năm 2020.

[2] Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (ngày 8 tháng 10 năm 2020). Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa (biên tập). “Lined up in the sights of Vietnamese hackers”. Bayerischer Rundfunk. In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.

[3] Hay Newman, Lilly. “An Up-Close View of the Notorious APT32 Hacking Group in Action”. www.wired.com. Wired. Truy cập ngày 7 tháng 11 năm 2020.

[4] Team, News. “Vietnamese APT32 group is one of the most advanced APTs in the threat landscape”. www.cyberdefensemagazine.com. Cyber Defense Magazine. Truy cập ngày 7 tháng 11 năm 2020.^{[liên kết hỏng]}

[bbc55274573-5] Facebook nói 'truy ra đại tin tặc OceanLotus là công ty Hành Tinh ở Việt Nam', www.bbc.com, 11.12.2020

[nv1-6] Tin tặc ‘APT32’ tấn công công ty ngoại quốc, người đòi dân chủ ở Việt Nam, www.nguoi-viet.com, 15.5.2017

[bbc1-7] Đội tin tặc APT32 tung hoành ở VN?, www.bbc.com, 15.5.2017

[cnbc1-8] Hackers aligned with Vietnam government are attacking foreign companies, says report, www.cnbc.com, 15.5.2017

[9] “Vietnam-linked Hacking Group Targets Toyota, Other Companies”. Bloomberg. 22 tháng 9 năm 2019. Truy cập ngày 30 tháng 5 năm 2020.

[bbc2-10] FireEye: Tin tặc từ VN 'tấn công Philippines', www.bbc.com, 26.5.2017

[11] Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage. FireEye (Ngày 22 tháng 4 năm 2020).

[rt1-12] Multinationals in Vietnam targeted by hackers linked to government: report, www.reuters.com, 15.5.2017

[voa1-13] Báo cáo về hacker Việt Nam ‘không gây khủng hoảng’, www.voatiengviet.com, 15.5.2017

[nyt1-14] Small Countries’ New Weapon Against Goliaths: Hacking, www.nytimes.com, 14.5.2017

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]