Nhóm tin tặc OceanLotus do Chính phủ Việt Nam tài trợ bị Facebook chặn đứng
Nhóm tin tặc OceanLotus hay còn gọi là APT32 được cho là do Chính phủ Việt Nam tài trợ vừa bị đội điều tra của Facebook phát hiện là có liên kết với một công ty công nghệ thông tin có trụ sở tại TPHCM và đã bị công ty của Mỹ chặn đứng trên nền tảng mạng xã hội này.
Hôm 11-12-2020, Facebook cho biết, đội điều tra của họ đã tìm thấy mối liên hệ giữa các cuộc tấn công mạng trước đây được cho là của OceanLotus và một công ty Việt Nam có tên là CyberOne Group, công ty liệt kê một địa chỉ trên một con phố nhỏ ở một khu thương mại của thành phố Hồ Chí Minh.
Theo bản báo cáo của Facebook, nhóm hacker này nhắm mục tiêu cài mã độc vào các nhà hoạt động nhân quyền Việt Nam trong và ngoài nước, các chính phủ nước ngoài khác nhau bao gồm Lào và Campuchia, các tổ chức phi chính phủ, hãng truyền thông và một số doanh nghiệp trong lĩnh vực công nghệ thông tin, khách sạn, nông nghiệp và hàng hóa, bệnh viện, bán lẻ, ngành công nghiệp ô tô và dịch vụ di động.
CyberOne Group phủ nhận có liên hệ với tin tặc và cho báo cáo này là một sai lầm.
"Chúng tôi KHÔNG PHẢI là Ocean Lotus", một người điều hành Fanpage của công ty CNTT hiện đã bị Facebook đình chỉ cho biết khi được Reuters liên hệ.
Facebook cho hay, "APT32 đã tạo ra những nhân vật hư cấu trên Internet, đóng giả là các nhà hoạt động và các tổ chức kinh doanh, hoặc sử dụng những chiêu trò thả thính khi liên hệ với những người mà họ nhắm mục tiêu.
Những nỗ lực này thường liên quan đến việc tạo ra các rào chắn cho những nhân vật giả mạo này và các tổ chức giả mạo trên các dịch vụ internet khác để chúng có vẻ hợp pháp hơn và có thể chịu được sự giám sát, bao gồm cả các nhà nghiên cứu bảo mật.
Một số Trang của họ được thiết kế để thu hút những người theo dõi cụ thể để nhắm mục tiêu lừa đảo và phần mềm độc hại sau này."
Ngoài việc sử dụng các Fanpage Facebook, APT32 còn lừa các đối tượng nhắm đến tải xuống các ứng dụng Android thông qua Cửa hàng Google Play cho phép nhiều quyền giám sát rộng rãi thiết bị của mọi người.
Đặc biệt, Facebook còn cho thấy nhóm hacker này đã tạo ra một cuộc tấn công Watering Hole Attack (tấn công lỗ tưới nước) cài mã độc vào các trang web mà đối tượng của nhóm này thường truy cập.
Các trang web được chỉ ra có cài mã độc bao gồm tớ báo điện tử chatluongvacuocsong[.]vn hay nhắm vào những người tìm kiếm thông tin về đại hội đảng cộng sản 13 như nhansudaihoi13[.]org, tocaoonline[.]com.
Facebook cho biết họ đã điều tra và chặn đứng các hoạt động có dấu hiệu của một hoạt động bền bỉ và có nguồn lực tốt, tập trung vào nhiều mục tiêu cùng một lúc, đồng thời làm mờ nguồn gốc của chúng.
"Chúng tôi đã chia sẻ những phát hiện của mình bao gồm các quy tắc YARA và chữ ký phần mềm độc hại với các đồng nghiệp trong ngành để họ cũng có thể phát hiện và dừng hoạt động này.
Để làm gián đoạn hoạt động này, chúng tôi đã chặn các miền được liên kết đăng trên nền tảng của chúng tôi (mạng xã hội Facebook), xóa tài khoản của nhóm và thông báo cho những người mà chúng tôi tin rằng đã bị APT32 nhắm mục tiêu." - báo cáo của Facebook khẳng định.
