Nhóm tin tặc có liên kết với Trung Quốc tái sử dụng vũ khí mạng của NSA

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Nhóm tin tặc có liên kết với Trung Quốc tái sử dụng vũ khí mạng của NSA

Theo Công ty An ninh mạng Symantec, một nhóm tin tặc có liên kết với chính phủ Trung Quốc đã tìm thấy và tái sử dụng một kho vũ khí mạng của Cơ quan An ninh Quốc gia Mỹ (NSA) nhằm chống lại các mục tiêu ở châu Âu và châu Á kể từ năm 2016.

Nhóm tin tặc Buckeye

Kết quả điều tra của Symantec cho biết các vũ khí mạng này đã được sử dụng ít nhất một năm trước khi một nhóm tin tặc tự xưng là Shadow Broker tiến hành vụ rò rỉ công khai về một số công cụ mạng mạnh nhất của NSA. Điều này cho thấy rằng các tin tặc có liên kết với Trung Quốc đã tiếp cận được kho vũ khí mạng từ trước đó và theo một cách khác biệt. Symantec cũng cho rằng các công cụ dường như không được sử dụng để nhắm vào các mục tiêu ở Hoa Kỳ.

Eric Chien, Giám đốc An ninh của Symantec bày tỏ sự ngạc nhiên trong cuộc phỏng vấn với CBS News khi nhóm hacker có thể khôi phục được những [công cụ] vũ khí mạng này và sử dụng trong hai năm qua mà không bị phát hiện.

Như thông lệ, Symantec không nêu đích danh bất kỳ quốc gia nào trong báo cáo của họ. Symantec cũng như các công ty an ninh mạng khác thường nhắc tới NSA như “Equation Group” và nhóm có liên kết với bộ máy tình báo của Trung Quốc là Buckeye Group (Nhóm Buckeye), hay còn gọi là APT3 (Viết tắt của Advanced Persistent Threat: Mối đe dọa liên tục tăng cao), Boyusec hoặc Gothic Panda ( Gấu trúc Gô tích).

Bộ Tư pháp Hoa Kỳ đã buộc tội ba thành viên của Buckeye với tội danh trộm cắp IP, âm mưu và trộm danh tính trong năm 2017.

Thủ đoạn của Buckeye

Symantec cho biết họ đã xác định được một lỗ hổng “zero day” trong một phần mềm của Microsoft vào năm 2018. Đó là một đoạn mã cho phép tin tặc truy cập vào máy mà không cần có bất kỳ ai ở đầu bên kia nhấp vào liên kết, mở tệp đính kèm hoặc sử dụng bất cứ trang web nào.

Symantec đã phát hiện ra đoạn mã này khi công ty xem lại các tài liệu lưu trữ tại chính nơi đoạn mã này được sử dụng. Họ đã tìm thấy một biến thể của đoạn mã được Buckeye sử dụng vào năm 2016 – ngay trước khi Shadow Brokers từ bỏ công cụ này, cùng với một loạt các vũ khí mạng NSA khác vào năm 2017. (Lỗ hổng được phát hiện trong Microsoft đã được vá vào tháng 3 năm 2019).

Mặc dù chưa rõ Buckeye đã mua lại các công cụ của NSA như thế nào, nhưng các bằng chứng kỹ thuật mà Symantec thu thập được cho thấy Buckeye có thể đã quan sát thấy NSA sử dụng các vũ khí này ở nơi khác trước khi tái sử dụng chúng cho các hệ thống ở Hồng Kông, Philippines, Việt Nam, Bỉ và Luxembourg.

Dấu hỏi lớn cho NSA

Symantec không loại trừ khả năng các công cụ có thể đã bị đánh cắp hoặc rò rỉ đến tay nhóm Buckeye bởi một thành viên NSA.

Đứng trước thông tin này, NSA từ chối đưa ra phản hồi ngay lập tức đối với yêu cầu bình luận.

Ông Chien cho biết, về tổng thể, biến cố này thể hiện sự tinh vi của Buckeye, mà theo ông được biết nhóm này đã “sinh sôi nảy nở” và tiến hành các cuộc tấn công nhắm vào một số mục tiêu trên toàn thế giới.

Trong trường hợp này, các công cụ trên đã được sử dụng cho chỉ một số ít tổ chức, vì vậy có vẻ như Buckeye hiểu rằng chúng đnag nắm giữ những vũ khí vô cùng giá trị và chỉ sử dụng cho các mục tiêu cực kỳ quan trọng.

Báo cáo của Symantec đặt ra những câu hỏi mới về việc kho vũ khí mạng của Hoa Kỳ được bảo vệ tốt như thế nào và liệu họ có bỏ qua những rủi ro tiềm ẩn đối với các cuộc tấn công mạng vào chính Hoa Kỳ hay không. Ông Chien cũng cho biết công ty sẽ tiếp tục điều tra vì tin rằng vẫn còn các sự cố tương tự khác có thể xảy ra trong tương lai.

CBS News