Phát hiện nhóm hacker Trung Quốc chuyên tấn công các công ty vệ tinh, quốc phòng

Theo các nhà nghiên cứu bảo mật tại hãng Symantec, một chiến dịch tấn công mạng tinh vi vừa được tung ra từ các máy tính ở Trung Quốc, nhắm vào các nhà khai thác vệ tinh, nhà thầu quốc phòng và các công ty viễn thông ở Mỹ và Đông Nam Á.

Symantec cho biết chiến dịch hack này dường như được thúc đẩy bởi các mục tiêu gián điệp quốc gia, chẳng hạn như chặn các liên lạc quân sự và dân sự.

Khả năng chặn được các liên lạc như vậy rất hiếm nhưng không phải là chưa từng xảy ra, và các nhà nghiên cứu không thể nói những thông tin liên lạc nào đã bị chặn. Đáng lo ngại hơn, trong trường hợp này, tin tặc đã gây ảnh hưởng đến các máy tính điều khiển vệ tinh, như vậy chúng có thể thay đổi vị trí của các thiết bị và phá vỡ lưu lượng dữ liệu.

Vikram Thakur, giám đốc kỹ thuật của Symantec cho biết: "Vệ tinh bị gián đoạn có thể khiến các công trình dân sự cũng như quân sự phải chịu sự gián đoạn lớn. Chúng ta lệ thuộc rất nhiều vào chức năng của vệ tinh".

Vệ tinh rất quan trọng đối với điện thoại và một số liên kết internet cũng như lập bản đồ và định vị dữ liệu.

Symantec, hãng có trụ sở tại Mountain View, California, đã mô tả độc quyền những phát hiện của mình cho hãng tin Reuters trước khi công bố công khai. Công ty cho biết tin tặc đã bị gỡ bỏ khỏi các hệ thống bị lây nhiễm, đồng thời chia sẻ thông tin kỹ thuật về vụ việc với Cục Điều tra Liên bang Mỹ (FBI) và Bộ An ninh Nội địa, cùng với các cơ quan quốc phòng ở châu Á và các công ty an ninh khác. FBI hiện chưa trả lời yêu cầu bình luận của trang Reuters.

Thakur tiết lộ, Symantec đã phát hiện một số hành vi sử dụng sai công cụ phần mềm tại các trang web của khách hàng trong tháng Một, từ đó phát hiện ra chiến dịch. Symantec gọi nhóm hacker này là Thrip, và tên gọi nhóm hacker này giữa các công ty có thể khác nhau.

Thrip đã hoạt động từ năm 2013 và sau đó biến mất khỏi radar trong khoảng một năm, cho đến khi chiến dịch mới nhất được triển khai hồi năm ngoái. Trong thời gian đó, Thrip đã phát triển các công cụ mới và bắt đầu sử dụng rộng rãi các chương trình quản trị và tội phạm có sẵn.

Các nhà phân tích an ninh khác gần đây cũng đã liên kết nhiều cuộc tấn công tinh vi với các nhóm hacker Trung Quốc từng biến mất trong một thời gian. Hồi tháng Ba, FireEye cho biết có một nhóm hacker được gọi là Temp.Periscope đã hoạt động trở lại từ mùa hè năm ngoái, nhắm vào các công ty quốc phòng.

Hiện tại, vẫn chưa rõ Thrip đã xâm nhập vào các hệ thống như thế nào. Trước đây, nhóm này đã tung ra các email lừa đảo, nhúng virus vào các tệp đính kèm hoặc dẫn người nhận đến các liên kết độc hại. Lần này, Thrip không lây nhiễm hầu hết máy tính người dùng mà di chuyển giữa các máy chủ, khiến việc phát hiện trở nên khó khăn hơn.

Symantec cho biết hãng không đổ lỗi trực tiếp cho chính phủ Trung Quốc về chiến dịch hack này. Các tin tặc tung đã triển khai chiến dịch từ ba máy tính trong lãnh thổ đại lục. Về lý thuyết, những máy tính này có thể đã bị xâm nhập bởi một ai đó ở nơi khác.

Symantec là hãng bảo mật cung cấp phần mềm trả tiền cho người tiêu dùng và một loạt các phần mềm và dịch vụ cao cấp cho các công ty và cơ quan công cộng.

Theo VnReview