Một loạt vụ hack bắt nguồn từ Ấn Độ đã được nhấn mạnh trong các báo cáo gần đây của các công ty an ninh mạng Trung Quốc, với những vụ nhắm vào Trung Quốc và Pakistan.
Đến nay, Bộ Ngoại giao của Trung Quốc và Ấn Độ vẫn chưa đưa ra bất kỳ phản hồi nào.
Cuộc tấn công mạng vào quân đội Trung Quốc, bị một tổ chức an ninh mạng ở nước này ngăn chặn vào tháng 12.2023, được cho là do một nhóm hacker từ Ấn Độ tổ chức. Cuộc tấn công mạng này có những đặc điểm tương đồng đáng kể với những vụ hack trước đó về mục tiêu và phương pháp, cho thấy sự tham gia của cùng một nhóm.
Nhóm này được xác định dùng APT (advanced persistent threat) và hoạt động ít nhất từ tháng 11.2013. Nhóm lần đầu tiên bị phát hiện và đặt tên là Bitter bởi công ty an ninh Forcepoint (Mỹ) hay Manlinghua bởi công ty Qihoo 360 (Trung Quốc) vào năm 2016.
APT là hình thức tấn công mạng thường sử dụng các phương tiện và chiến thuật cao cấp, đặc biệt là để xâm nhập vào hệ thống mạng và duy trì sự hiện diện mà không bị phát hiện.
Tấn công APT thường được thực hiện một cách tinh vi và kiên nhẫn, thường kéo dài trong thời gian dài và nhằm vào mục tiêu cụ thể như các tổ chức, cơ quan chính phủ, công ty lớn hoặc ngành công nghiệp chiến lược. Người tấn công thường sử dụng các phương thức như phishing (lừa đảo), malware (phần mềm độc hại) và exploitation (khai thác lỗ hổng bảo mật) để xâm nhập và duy trì quyền truy cập vào hệ thống mục tiêu.
Mục tiêu của các cuộc tấn công APT có thể bao gồm lấy cắp thông tin quan trọng, doanh nghiệp hoặc quân sự, gián điệp công nghiệp, hoặc thậm chí là sự thay đổi không được phép trong hạ tầng mạng của quốc gia hoặc tổ chức.
Trong thời gian đó, các hoạt động của Bitter ngày càng lộ rõ đã làm sáng tỏ động cơ chính trị, vì chủ yếu nhắm vào Pakistan và Trung Quốc, đồng thời tập trung vào các cơ quan chính phủ, lĩnh vực quân sự và hạt nhân.
Các nhà phân tích an ninh mạng nghi ngờ nhóm hacker này có nguồn gốc từ Ấn Độ, có thể nhận sự hỗ trợ của chính quyền, dựa trên vị trí địa chỉ IP và mô hình ngôn ngữ được quan sát thấy trong những cuộc tấn công. Hơn nữa, Bitter được cho là có liên hệ với một số nhóm khác bị nghi ngờ là người Ấn Độ, bao gồm cả Patchwork, SideWinder, Donot.
Một chuyên gia an ninh mạng giấu tên tại Bắc Kinh (thủ đô Trung Quốc) tham gia điều tra các vụ tấn công cho biết: “Trái ngược với niềm tin phổ biến rằng các mối đe dọa mạng của Trung Quốc chủ yếu đến từ Mỹ, các chuyên gia trong lĩnh vực này chỉ ra rằng một số lượng đáng kể các cuộc tấn công bắt nguồn từ các nước Nam Á”.
Trung Quốc và Ấn Độ có mối quan hệ phức tạp, điển hình là tranh chấp biên giới và các vụ xung đột đang diễn ra, nhưng hai quốc gia đông dân nhất thế giới cũng có sự tăng cường trong thương mại song phương.
Trong bối cảnh các cuộc tấn công mạng, Bộ Ngoại giao Trung Quốc luôn kiềm chế không lên án công khai.
Tương tự, Bộ Ngoại giao Ấn Độ chưa bình luận, dù truyền thông nước này thỉnh thoảng chỉ trích các hành vi xâm nhập mạng của Trung Quốc. Chẳng hạn bản tin tháng 12.2022 của trang Outlook India cáo buộc hacker Trung Quốc nhắm mục tiêu vào các viện nghiên cứu y tế và cơ sở hạ tầng lưới điện của Ấn Độ.
Bitter sử dụng hai chiến lược tấn công mạng chính là spear phishing và watering hole.
Spear phishing liên quan đến việc gửi các tài liệu hoặc liên kết mồi nhử đến các cá nhân được nhắm mục tiêu qua email, khi mở ra sẽ triển khai Trojan để tải xuống các mô đun độc hại, đánh cắp dữ liệu...
Watering hole là phương thức tấn công mạng mà kẻ tấn công nhắm vào một trang web mà mục tiêu thường xuyên truy cập. Hacker sẽ xâm phạm trang web bằng cách cài đặt mã độc hại hoặc tải các file độc hại lên trang web đó. Khi người sử dụng truy cập trang web này, máy tính của họ có thể bị nhiễm malware mà kẻ tấn công đã cài đặt.
“Dù không phải là kỹ thuật phức tạp nhất, nhưng các cách tiếp cận đa dạng và tùy chỉnh của Bitter với những mục tiêu khác nhau đã tỏ ra hiệu quả. Cũng giống như lừa đảo viễn thông, dù nhiều thủ đoạn đơn giản nhưng năm nào người ta vẫn bị lừa”, chuyên gia giấu tên nhận định.
Các hoạt động của Bitter, chủ yếu tập trung vào việc thu thập thông tin tình báo, bề ngoài có thể không có vẻ mang tính phá hoại nhưng có thể dẫn đến những vụ xâm phạm thông tin nghiêm trọng với những hậu quả khôn lường.
Theo tiết lộ của các công ty an ninh mạng bao gồm Anheng, QiAnXin, Intezer và Secuinfra, đã có 7 cuộc tấn công vào năm 2022 và 8 vụ trong năm 2023 có liên quan chặt chẽ với Bitter, nhắm vào Pakistan, Bangladesh, Mông Cổ và Trung Quốc.
Những cuộc tấn công này đa dạng, từ việc giả mạo Đại sứ quán Kyrgyzstan đến việc gửi email cho ngành công nghiệp hạt nhân Trung Quốc. Hacker cũng giả mạo là nhà thầu quân sự cung cấp hệ thống chống máy bay không người lái cho Không quân Bangladesh hay khai thác các tài khoản email bị xâm nhập để phát tán các file độc hại dưới chiêu bài chúc mừng năm mới…
Chuyên gia an ninh mạng cho biết: “Với mạng lưới rộng khắp mà các cuộc tấn công này thực hiện, có khả năng những sự cố như vậy liên tục xảy ra trong âm thầm. Khi đánh giá tác động của các cuộc tấn công mạng, trọng tâm là mục tiêu và hậu quả. Đôi khi những nạn nhân nhạy cảm trong ngành không thể tiết lộ các vụ xâm phạm và đôi khi chỉ phát hiện được dấu vết hoạt động của hacker mà không bị thiệt hại trực tiếp. Tác hại thực tế do Bitter gây ra rất khó định lượng dựa trên những sự cố được báo cáo. Trong hầu hết các trường hợp, chúng gây ra ít tác hại, nhưng trong một số trường hợp nhất định, sự cố chỉ là phần nổi của tảng băng chìm về những rủi ro tiềm ẩn”.