Gửi bình luận
Ngày 4.8, Công ty an ninh mạng F-Secure (Phần Lan) thông báo đã phát hiện một mã độc có nguồn gốc từ Trung Quốc. Mã độc này được dùng để tấn công máy tính của các tổ chức chính phủ hoặc tư nhân ở châu Á-Thái Bình Dương có liên quan đến vụ kiện Biển Đông.
Công tyF-Secure công bố trong sốcác mục tiêu bị nhắm đến cóBộ Tư pháp Philippines, Ban tổ chức Diễn đàn Hợp tác châu Á-Thái Bình Dương (APEC) và một công ty luật quốc tế đại diện cho Philippines trong vụ kiện Philippines-Trung Quốc về Biển Đông.
Mã độc có tên NanHaiShu, cho phép những kẻ phát tán có thể thâm nhập và ăn cắp dữ liệu của máy tínhbị tấn công.
Nhắm vào các mục tiêu có dữ liệu liên quan đến vụ kiện Biển Đông
Công tyF-Secure phân tích: "Dựa trên các mục tiêu bị tấn công bởi phần mềm độc hại này cũng như phân tích kỹ thuật, chúng tôi tin rằng mối đe dọa này có nguồn gốc từ Trung Quốc".
Nghiên cứu của F-Secure xác nhận rằng các cá nhân và tổ chức trở thành mục tiêu để mã độcNanHaiShu thâm nhập và trộm dữ liệu vì có liên quan đến vụ Philippines kiện Trung Quốc liên quan đếnvấn đề Biển Đông.
Cụ thể, F-Secure phát hiện mã độcNanHaiShu bắt đầu hoạt động từ tháng 1.2015, một tháng sau khi Tòa Trọng tài thông báo về thẩm quyền trongvụ kiện Philippines-Trung Quốc về Biển Đông.
Thời gian mã độcNanHaiShu được gửi đến các mục tiêu tấn công trùng khớpvới thời gian các thủ tục tố tụng trọng tài được thực hiện tại Tòa Trọng tài.
Ngoài ra, khi Mỹ bắt đầu gửi tàu tuần tra ởBiển Đông từ tháng 10.2015, nhóm tin tặc đã chuyển từ sử dụng các máy chủ ở Mỹ sang sử dụng máy chủ ở Trung Quốc đại lục, F-Secure cho biết.
Cuộc phát tán mã độc mới nhất được ghi nhận là vào tháng 10.2015, trước thềm APEC diễn ra tại Philippines.
Trước đó vào tháng 7.2015, Trung Quốc đã từng tỏ ý tẩy chay, không tham dự APEC này vì Tổng thống Philippines Aquino III so sánh hoạt động của Trung Quốc tại Biển Đông như Đức Quốc xã xâm chiếm châu Âu vào Chiến tranh thế giới thứ 2.
Thời gian mã độcNanHaiShu được gửi đến các mục tiêu tấn công trùng với
thời gian các thủ tục tố tụng trọng tài được thực hiện - Ảnh: Softpedia
Cố vấn an ninh mạng Erka Koivunen của F-Secure xác nhận sở dĩ các tổ chức trên bị tấn công là vì họ có những dữliệu nhạy cảm.Tuy nhiên, ông Koivunen cho biếtF-Secure không thể xác định được rằng liệu chính phủ Trung Quốc có đứng sau vụ này hay không.Ông nhận xét:“Thậm chí nếu có thì cũng không thể xác định được là cơ quan nào của chính phủ Trung Quốc thực hiện vụ này”.
Ông ghi nhận:“Thông thường mỗi khi có tranh chấp lớn về chính trị và kinh tế thì chính phủ các nước có thể xem xét đến biện pháp tiến hành hoạt động gián điệp, và tấn công mạng là một hình thức hoạt động gián điệp tiết kiệm chi phí và khó truy trách nhiệm”.
Cách thức hoạt động của mã độcNanHaiShu
Công tyF-Secure giải thích NanHaiShu thuộc loại mã độc truy cập từ xa (Remote Access Trojan).
Mã độc được cài trong các tài liệu gửi chung với email giả mạo. Khi người dùng mở các tập tin này thì sẽ khiến máy tính bị lây nhiễm.
Tính năng của mã độc bao gồm thu thập các dữ liệu nhận diện của máy tính bị lây nhiễm, gửi chúng đến máy chủ và chờ cho kẻ phát tán lấy xuống hoặc tải sang máy chủ khác.
F-Secure đánh giá: "Mã độcNanHaiShu cho phép kẻ tấn công lấy được bất cứ tập tin vào từ máy tính bị lây nhiễm. Đây là vụrò rỉ thông tin hết sứcnguy hiểm”.
Cẩm Bình
