‘Hacker Trung Quốc trộm hàng ngàn tỉ USD tài sản trí tuệ từ khoảng 30 công ty đa quốc gia’
Khoa học - công nghệ - Ngày đăng : 13:10, 05/05/2022
Một báo cáo mới của Cybereason (công ty an ninh mạng có trụ sở tại thành phố Boston, bang Massachusetts, Mỹ) đã phát hiện ra hoạt động mạng độc hại có tên Chiến dịch CuckooBees đã lấy đi hàng trăm gigabyte tài sản trí tuệ và dữ liệu nhạy cảm, bao gồm bản thiết kế, sơ đồ, công thức và dữ liệu độc quyền liên quan đến sản xuất, công nghệ mở rộng từ các công ty ở Bắc Mỹ, châu Âu, châu Á bằng nhiều cuộc xâm nhập.
Giám đốc điều hành Cybereason - Lior Div nói với trang CBS News: “Chúng tôi đang nói về sơ đồ kế hoạch chi tiết của máy bay chiến đấu, trực thăng và tên lửa. Trong dược phẩm, chúng tôi thấy họ đánh cắp IP của các loại thuốc điều trị bệnh tiểu đường, béo phì, trầm cảm. Chiến dịch vẫn chưa bị dừng lại”.
IP (Intraperitoneal) là ký hiệu thuốc dùng trong màng bụng.
Lior Div nói tội phạm mạng tập trung vào việc thu thập các bản thiết kế cho các công nghệ tiên tiến, phần lớn trong số đó chưa được cấp bằng sáng chế.
Vụ xâm nhập cũng lấy đi dữ liệu từ ngành năng lượng, bao gồm các thiết kế của bảng điều khiển năng lượng mặt trời và công nghệ hệ thống chân không. "Đây không phải là công nghệ mà bạn có ở nhà. Đó là những gì bạn cần cho các nhà máy sản xuất quy mô lớn", Lior Div lưu ý.
Báo cáo không tiết lộ danh sách các công ty bị ảnh hưởng, nhưng các nhà nghiên cứu phát hiện chiến dịch gián điệp mạng này đã thu thập thông tin có thể được sử dụng cho các cuộc tấn công mạng trong tương lai hoặc các chiến dịch tống tiền. Cụ thể là thông tin chi tiết về các đơn vị kinh doanh của công ty, kiến trúc mạng, tài khoản người dùng và thông tin đăng nhập, email của nhân viên và dữ liệu khách hàng.
Cybereason lần đầu tiên bắt gặp hoạt động này vào tháng 4.2021, sau khi một công ty nói đến sự xâm nhập tiềm ẩn trong cuộc họp giới thiệu kinh doanh với họ. Các nhà phân tích đã thiết kế ngược lại cuộc tấn công để phát hiện ra mọi bước mà các tác nhân độc hại thực hiện bên trong môi trường. Cybereason phát hiện ra APT41 "duy trì quyền truy cập đầy đủ vào mọi thứ trong mạng để họ chọn và chọn thông tin phù hợp mà họ cần thu thập".
Quyền truy cập đầy đủ đó cho phép tội phạm mạng lấy ra lượng thông tin cần thiết để nhân bản kỹ thuật phức tạp, gồm cả vũ khí phóng tên lửa. "Ví dụ, để xây dựng lại một tên lửa, có hàng trăm mẫu thông tin mà bạn cần đánh cắp theo một cách cụ thể để có thể tái tạo và xây dựng lại công nghệ đó", Lior Div nói.
APT41 (hay Winnti) vẫn là một trong những nhóm hacker Trung Quốc thành công và mạnh mẽ nhất, với lịch sử phát động hoạt động gián điệp và các cuộc tấn công có động cơ tài chính vào Mỹ cùng các tổ chức quốc tế khác.
Hồi tháng 5.2021, Bộ Tư pháp Mỹ đã buộc tội 4 công dân Trung Quốc có kết nối với APT41 vì đã tham gia vào chiến dịch xâm nhập máy tính toàn cầu nhằm vào sở hữu trí tuệ và thông tin kinh doanh nhạy cảm.
FBI (Cục Điều tra Liên bang Mỹ) ước tính trong báo cáo của mình rằng thiệt hại hàng năm với nền kinh tế Mỹ do hàng giả, phần mềm vi phạm bản quyền và đánh cắp bí mật thương mại là từ 225 tỉ đến 600 tỉ USD.
Tuy nhiên, những nhà nghiên cứu từ Cybereason cho biết khó có thể ước tính chính xác tác động kinh tế của Chiến dịch CuckooBees do tính phức tạp, lén lút và tinh vi của các cuộc tấn công, cũng như tác động lâu dài của việc đánh cắp hoạt động nghiên cứu và phát triển từ các công ty đa quốc gia.
"Điều quan trọng là phải tính đến toàn bộ chuỗi cung ứng. Trong đánh giá của mình, chúng tôi tin rằng đang nói về hàng ngàn tỉ USD, không phải hàng tỉ USD. Tác động thực sự là điều chúng ta sẽ thấy trong 5 năm nữa, 10 năm nữa, khi chúng ta nghĩ rằng có ưu thế về dược phẩm, năng lượng và công nghệ quốc phòng. Sau đó, chúng ta sẽ xem xét Trung Quốc và nói: Làm thế nào mà họ thu hẹp khoảng cách một cách nhanh chóng mà không có các kỹ sư và nguồn lực?", Cybereason nhận xét.
Các công ty an ninh mạng bao gồm cả ESET Research trước đây đã trình bày chi tiết các cuộc tấn công chuỗi cung ứng do APT41 thực hiện. Vào tháng 8.2019, Mandiant (công ty an ninh mạng Mỹ) đã công bố một báo cáo chi tiết sự phát triển các chiến thuật và kỹ thuật của APT41, cũng như mô tả về các đối tượng tội phạm riêng lẻ.
Theo báo cáo của Cybereason, APT41 đã tận dụng cả việc khai thác phần mềm độc hại đã biết và chưa biết, bằng cách sử dụng "các rootkit chạy trong nhân được ký kỹ thuật số cũng như một chuỗi lây nhiễm nhiều giai đoạn phức tạp", bao gồm 6 phần. Bí kiếp đó đã giúp bọn tội phạm kiểm soát trái phép hệ thống máy tính trong khi vẫn không bị phát hiện trong nhiều năm.
Cần lưu ý là rootkit chạy trong nhân có thể thay đổi toàn bộ hệ điều hành.
FBI đã liên tục cảnh báo rằng Trung Quốc đặt ra mối đe dọa phản gián lớn nhất với Mỹ.
"Trung Quốc có một chương trình hack lớn hơn so với mọi quốc gia lớn khác cộng lại. Mục tiêu lớn nhất của họ, tất nhiên là Mỹ", Giám đốc FBI - Christopher Wray cho biết trong một diễn đàn công khai tại Viện McCain.
Trung Quốc tiếp tục gia tăng hành vi trộm cắp công nghệ và sở hữu trí tuệ của Mỹ bằng cách tiến hành các hoạt động kinh tế bất hợp pháp, theo cuộc khảo sát hàng năm mới nhất của Văn phòng Đại diện Thương mại Mỹ.
Christopher Wray cho biết FBI sẽ mở một cuộc điều tra phản gián với Trung Quốc mới cứ 12 giờ một lần. Năm ngoái, chính phủ Mỹ quy kết một cuộc tấn công lớn nhắm vào các máy chủ Microsoft Exchange là do các hacker Trung Quốc gây ra.
"Trên khắp Trung Quốc, ở hầu hết thành phố lớn, họ có hàng ngàn hacker làm việc cả ngày - với rất nhiều kinh phí và các công cụ rất tinh vi - cố gắng tìm ra cách xâm nhập vào mạng của các công ty để đánh cắp bí mật thương mại”, Christopher Wray lưu ý.
Hacker Trung Quốc đứng sau hầu hết vụ khai thác lỗ hổng bảo mật chưa được biết đến 2021
Các nhà phân tích mối đe dọa báo cáo rằng việc khai thác lỗ hổng zero-day đang gia tăng, với việc hacker Trung Quốc sử dụng hầu hết chúng trong các cuộc tấn công vào năm ngoái.
Lỗ hổng zero-day là điểm yếu bảo mật trong các sản phẩm phần mềm chưa được biết đến hoặc chưa được khắc phục tại thời điểm phát hiện.
Các tiết lộ về zero-day được hacker đặc biệt quan tâm vì chúng có cách khai thác rộng hơn cho đến khi các nhà cung cấp giải quyết các lỗ hổng và khách hàng bắt đầu cài các bản cập nhật.
Thông thường, khoảng thời gian này kéo dài ít nhất vài ngày và vì không phải tất cả quản trị viên đều cài các bản cập nhật bảo mật ngay lập tức, nên số lượng mục tiêu dễ bị tấn công vẫn còn cao trong một thời gian.
Theo một phân tích từ Mandiant, năm ngoái có 80 trường hợp khai thác lỗ hổng zero-day tự nhiên, nhiều hơn 18 trường hợp so với năm 2020 và 2019 cộng lại.
Hầu hết chúng được cho là do hoạt động gián điệp mạng từ các tổ chức được nhà nước hậu thuẫn.
Tuy nhiên, Mandiant phát hiện ra rằng 1 trong số 3 kẻ xấu khai thác lỗ hổng zero-day có động cơ tài chính, một thống kê tiếp tục xu hướng ngày càng tăng so với những năm trước.
Xét về các tác nhân đe dọa, Trung Quốc đứng đầu danh sách với 8 zero-day được khai thác trong các cuộc tấn công mạng năm 2021, tiếp theo là Nga sử dụng 2 zero-day và Triều Tiên với 1 zero-day.
Trường hợp đáng chú ý nhất là của Hafnium, nhóm hacker được cho có liên quan đến nhà nước Trung Quốc đã khai thác 4 lỗ hổng zero-day trên máy chủ Microsoft Exchange để truy cập email liên lạc của các tổ chức phương Tây.
Mandiant cũng ghi nhận sự gia tăng trong các hoạt động ransomware khai thác lỗ hổng zero-day để xâm phạm mạng và triển khai mã hóa file của họ.Những nhà cung cấp được nhắm mục tiêu nhiều nhất trong các cuộc tấn công zero-day năm 2021 là Microsoft, Apple và Google, chiếm hơn 75% tổng số vụ hack.
Như trang BleepingComputer đã báo cáo gần đây, số lượng lỗ hổng zero-day trên hệ điều hành di động Android và iOS bị nhắm mục tiêu đang có xu hướng tăng dần, từ dưới 5 vào năm 2019 và 2020 lên 17 vào 2021.