Theo báo cáo mới nhất của công ty an ninh mạng Malwarebytes, tin tặc Trung Quốc đã lên chiến dịch hack mới nhắm vào các cơ quan của chính phủ Ấn Độ và người dân Hồng Kông để đánh cắp những thông tin nhạy cảm.
“Các cuộc tấn công đã được chúng tôi quan sát trong tuần đầu tiên của tháng 7 trùng với thời điểm Trung Quốc thông qua luật an ninh quốc gia mới gây tranh cãi ở Hồng Kông. Đây cũng là lúc Ấn Độ loại bỏ 59 ứng dụng của Trung Quốc vì lo ngại về quyền riêng tư, vài tuần sau một cuộc đối đầu bạo lực dọc biên giới Ấn Độ”, báo cáo của Malwarebytes viết.
Các chuyên gia bảo mật của Malwarebytes nói rằng nhóm tin tặc Trung Quốc có tên là APT đã rất tự tin thực hiện "các nỗ lực lừa đảo độc nhất" được thiết kế để tấn công các mục tiêu của Ấn Độ và Hồng Kông.
APT đã sử dụng ít nhất 3 chiến thuật, kỹ thuật hack khác nhau như dùng email lừa đảo để cấy các biến thể phần mềm độc hại Cobalt Strike và MgBot và giả mạo các ứng dụng Android để thu thập các bản ghi cuộc gọi, danh bạ, tin nhắn...
"Các mồi nhử được sử dụng trong chiến dịch này cho thấy rằng tác nhân đe dọa có thể nhắm vào chính phủ Ấn Độ và cá nhân người Hồng Kông, hoặc ít nhất là những người chống lại luật an ninh mới do Trung Quốc ban hành", một chuyên gia bảo mật của Malwarebytes nhận định.
Các chuyên gia bảo mật nhận thấy email của tin tặc giả danh Trung tâm An toàn thông tin của Chính phủ Ấn Độ gửi đến người dùng. Nếu mở email này ra mã độc Cobalt Strike sẽ được âm thầm kích hoạt.
Tài liệu tuyên bố của Thủ tướng Boris Johnson bị tin tặc nhúng mã độc để lừa người tải xuống - Ảnh: Chụp màn hình
Trong số các mồi nhử để nhắm vào người Hồng Kông, tin tặc Trung Quốc đã đánh lừa bằng cách nhúng mã độc vào một tài liệu tuyên bố của Thủ tướng Anh Boris Johnson hứa sẽ nhận ba triệu người Hồng Kông vào Vương quốc Anh.
Ngoài ra Malwarebytes có bản mô tả chi tiết các phương thức tấn công do nhóm tin tặc Trung Quốc thực hiện.
Malwarebytes xác định nhóm APT của Trung Quốc đã hoạt động từ năm 2014 và thực hiện ít nhất 3 cuộc tấn công lớn vào năm 2014 , 2018 và tháng 3.2020. Trong tất cả các chiến dịch, tin tặc đã sử dụng một biến thể mã độc MgBot để tấn công các mục tiêu. Địa chỉ IP mà nhóm tin tặc Trung Quốc để lại cho thấy chúng chủ yếu đã sử dụng cơ sở hạ tầng ở Hồng Kông. Biểu đồ cũng cho thấy mối quan hệ giữa các địa chỉ IP khác nhau được nhóm này sử dụng tại đây.
“Chúng tôi sẽ tiếp tục theo dõi các hoạt động của nhóm này để xem liệu họ có tiếp tục nhắm các mục tiêu khác, hoặc phát triển các kỹ thuật tấn hay không”, Malwarebytes tuyên bố.
Tiểu Vũ