FireEye phát hiện các cơ quan truyền thông Hong Kong là mục tiêu của Nhóm tấn công có chủ đích APT



Nhóm tấn công đã gài bẫy các nhà báo bằng các tài liệu mồi nhử về các sự kiện đáng đăng tin và lợi dụng Dropbox để làm phương tiện truyền thông

SINGAPORE - Media OutReach - Ngày 1/12/2015 - FireEye, Inc. (NASDAQ: FEYE), công ty hàng đầu trong giải pháp ngăn chặn các cuộc tấn công mạng có chủ đích hiện nay vừa công bố kết quả nghiên cứu về chiến dịch mới đây do nhóm đe dọa tấn công mạng Trung Quốc tiến hành có tên là "admin@338" với mục đích nhắm vào các tổ chức truyền thông có trụ sở tại Hong Kong.



Hình 1: Chụp màn hình email tấn công chứa mã độc admin@338 được gửi tới các nhà báo


Vào tháng 8 vừa qua, nhóm tin tặc này đã gửi "spearphising email" về các diễn biến có thể đăng thành tin với các tệp đính kèm chứa các mã độc tới cho các tổ chức truyền thông đặt tại Hong Kong; trong đó có các tòa soạn báo, đài phát thanh, đài truyền hình. Một email gợi ý việc thành lập ra một tổ chức xã hội dân sự Thiên chúa giáo để trùng khớp với lễ kỷ niệm của các cuộc biểu tình năm 2014 được biết đến là Phong trào Cây dù. Một email khác nhắc đến tổ chức của các sinh viên năm thứ nhất Đại học Hong Kong e sợ việc bình bầu trong một cuộc dân ý để bổ nhiệm Hiệu phó sẽ được đồng thuận bởi các nhóm lợi ích ủng hộ Bắc Kinh.

 

Nhóm đã sử dụng phần mềm xâm nhập có tên là LOWBALL để lợi dụng Dropbox, vốn là một dịch vụ lưu trữ đám mây hợp pháp cho các mục đích ra lệnh và điều khiển. Khi các nhà nghiên cứu của FireEye cảnh báo cho Dropbox về các hoạt động của nhóm tấn công, Dropbox đã nhanh chóng phong tỏa mã độc do LOWBALL sử dụng. Nhờ vậy, Dropbox đã ngăn chặn khả năng ra lệnh và điều khiển của mã độc trong tất cả các phiên bản phần mềm xâm nhập bị theo dõi.

 

FireEye đã theo dõi các vụ tấn công an ninh mạng có chủ đích do các nhóm tin tặc nhằm vào các nhà báo ở những tổ chức truyền thông quốc tế và nội địa tại Châu Á. Những vụ tấn công này thường xuyên tập trung vào cơ quan truyền thông có trụ sở ở Hong Kong, đặc biệt là những cơ quan xuất bản các tài liệu ủng hộ dân chủ. Các nhà báo ở Đài Loan, Đông Nam Á và các nơi khác trong khu vực cũng là mục tiêu bị nhắm đến.

 

Ông Bryce Boland, Giám đốc công nghệ khu vực Châu Á -- Thái Bình Dương của FireEye phát biểu: "Các nhà báo ở Châu Á thường là nạn nhân của các vụ tấn công mạng có chủ đích. Họ thu thập thông tin từ nhiều nguồn khác nhau, điều này dễ khiến họ trở thành mục tiêu. Các thông tin mà các nhà báo có và sự nhận dạng của các nguồn thông tin có thể là những tin tức tình báo giá trị. Nếu không có đầy đủ các biện pháp an ninh công nghệ thì các nhà báo dễ dàng trở thành nạn nhân."

 

FireEye đã theo dõi hoạt động của admin@338 từ năm 2013. Nhóm này đã nhắm mục tiêu rộng vào các tổ chức hoạt động trong các ngành tài chính, kinh tế và chính sách thương mại. FireEye lần đầu tiên đã theo dõi nhóm nhắm mục tiêu vào các cơ quan truyền thông vào tháng 4 năm 2015.

 

Các hoạt động trước đây của nhóm này đối với các tổ chức tài chính và chính sách tập trung rộng rãi vào việc gửi các "spear phising email" chứa các tập tin có đính kèm các mã độc được viết bằng tiếng Anh nhằm gửi cho các độc giả phương tây. Tuy nhiên, chiến dịch này đã được thiết kế rõ ràng với mục đích nhắm vào những ai đọc được chữ tiếng Trung truyền thống được sử dụng phổ biến ở Hong Kong.


Vào tháng 4, FireEye đã công bố báo cáo về APT30, một nhóm tin tặc liên quan đến người Trung Quốc đã phát động chiến dịch tình báo bằng mạng ảo kéo dài cả thập kỷ ở Đông Nam Á và Ấn Độ. Đồng thời, APT30 cũng nhắm vào các nhà báo song FireEye không quan sát thấy bất kỳ liên kết trực tiếp nào giữa nhóm này và admin@338.

 

Tìm kiếm thêm thông tin chi tiết trong dữ liệu gửi từ Báo cáo Tình báo đe dọa của FireEye: https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.html

 

Hình ảnh

Hình 1: Chụp màn hình email tấn công chứa mã độc admin@338 được gửi tới các nhà báo

http://release.media-outreach.com/i/Download/3989

 

Logo công ty

http://release.media-outreach.com/i/Download/3524

 

Về Công ty FireEye

FireEye đã phát minh ra công nghệ độc quyền - nền tảng giả lập Multiple Virtual Execution Engine (MVX), nhằm giúp các doanh nghiệp và các tổ chức chính phủ trên toàn thế giới chống lại các cuộc tấn công có chủ đích (APT) theo thời gian thực. Những cuộc tấn công có chủ đích (APT) dễ dàng vượt qua các giải pháp an ninh bảo mật truyền thống dựa trên chữ ký (signature) như tường lửa thế hệ mới (Next-Generation Firewall), IPS, Anti-virus, và Web-Gateway. Công nghệ MVX của FireEye hoàn toàn không dựa trên signature. Trong môi trường ảo (MVX), các phần mềm độc hại bị nghi ngờ được thực thi trong các môi trường thử nghiệm và kiểm tra trên một loạt các hệ điều hành, ứng dụng, trình duyệt, và tiện ích khác nhau.  Các phần mềm độc hại trong môi trường kiểm thử MVX được phép kích hoạt cuộc tấn công zero-day, callbacks, và các chức năng khác để FireEye có thể kiểm tra và đánh giá nó đầy đủ tiềm năng đe dọa.

Hiện nay, FireEye có trên 3700 khách hàng trên khắp 67 quốc gia, bao gồm cả 675 công ty trong Forbes Global 2000.

© 2015 FireEye, Inc. Bản quyền đã được bảo hộ. FireEye là một nhãn hiệu đã được đăng ký hay là một nhãn hiệu của FireEye, Inc. tại Hoa Kỳ và các nước khác. Toàn bộ các thương hiệu, sản phẩm, hay tên dịch vụ khác là hay có thể là thương hiệu hay nhãn hiệu dịch vụ của các chủ sở hữu tương ứng. 



The issuer is solely responsible for the content of this announcement.
SOURCE:

FireEye, Inc.

CATEGORY:

Technology

PUBLISHED ON:

01 Dec 2015

Past Press Releases

MORE

Talk to Media OutReach Newswire today

CONTACT US NOW