11:03 - 30/07/2016

Những nhóm hacker khét tiếng tại Trung Quốc

Với số lượng đông đảo, các nhóm hacker Trung Quốc đã khiến nhiều nơi trên thế giới e dè và cảnh giác vì hậu quả chúng gây ra.

Nhóm 61398

1937cn

Đây là nhóm hacker nổi tiếng nhất và nguy hiểm nhất của Trung Quốc hiện tại, theo thống kê của hack-cn.com, trang thống kê và xếp hạng tin tặc của Trung Quốc. 1937cn đã thực hiện tổng cộng hơn 40.000 cuộc tấn công kể từ khi hình thành và Vietnam Airlines là nạn nhân mới nhất của chúng.

nhung-nhom-hacker-khet-tieng-tai-trung-quoc

Tuy nhiên, hãng hàng không quốc gia Việt Nam không phải là mục tiêu duy nhất mà 1937cn hướng tới. Trong quá khứ, có tới hơn 1.000 trang web Việt khác bị nhóm này hỏi thăm, điển hình là Thegioididong.com.vn và Facebook.com.vn vào tháng 8/2013.

Không chỉ nhằm vào doanh nghiệp, chúng còn tấn công cả các trang web giáo dục (tên miền .edu) hay chính phủ (tên miền .gov)… Ở mỗi nơi đi qua, 1937cn luôn thay đổi giao diện và để lại những lời lẽ đầy tính khiêu khích.

Không chỉ Việt Nam, rất nhiều nơi tại châu Á bị 1937cn tấn công và cài phần mềm gián điệp nhằm thu thập thông tin, trong đó có cả các thông tin liên quan đến chính trị, thậm chí là bí mật quân sự. Tuy nhiên, do nằm trong lãnh thổ Trung Quốc, các nạn nhân không thể làm được gì.

Riêng trang 1937cn.net (trang web chính thức của nhóm 1937cn) cũng là nơi tập hợp các cách thức tấn công mạng, đồng thời tồn tại nhiều thành viên quá khích, thường xuyên kích động các hacker tấn công mục tiêu mà chúng cảm thấy không thích, trong đó có Việt Nam hay Philippines.

61398

nhung-nhom-hacker-khet-tieng-tai-trung-quoc-1

Đây được xem là “quân đoàn hacker bí ẩn” nằm dưới quyền điều hành và giám sát của quân đội Trung Quốc, được hãng bảo mật Mandiant (Mỹ) theo dõi từ đầu năm 2012. Nhóm hacker này đã hoạt động từ cách đây 10 năm, tức 2006.

Theo các tài liệu công bố bởi Mandiant, thông tin về 61398 rất bí ẩn, không hề tồn tại trong các tài liệu của quân đội Trung Quốc. Tuy nhiên, đơn vị này quy tụ hàng nghìn chuyên gia máy tính, bảo mật và an ninh mạng khắp cả nước. Địa điểm đóng quân của đơn vị này là một tòa nhà cao 12 tầng tại Phố Đông, Thượng Hải, được quản lý và canh gách nghiêm ngặt bởi quân đội Trung Quốc.

Bên trong, tòa nhà được trang bị các công nghệ mạng tân tiến nhất với cáp quang tốc độ cao cùng hơn 1.000 máy chủ để phục vụ cho các hoạt động tấn công và gián điệp mạng bao gồm theo dõi, đánh cắp bí mật công nghệ, bí mật quốc gia.

61398 còn được cho là đã đột nhập thành công vào hơn 20 trang web của các doanh nghiệp nổi tiếng thế giới như Google, Coca-Cola… và lấy đi rất nhiều dữ liệu. Mục tiêu của chúng là các quốc gia phát triển như Mỹ, châu Âu… Tuy nhiên, chính phủ Trung Quốc luôn phủ nhận sự tồn tại của đơn vị tin tặc này.

Sky-Eye

nhung-nhom-hacker-khet-tieng-tai-trung-quoc-2

Có rất ít các thông tin liên quan đến nhóm tin tặc này, nhưng theo Security Daily, chúng có mối liên hệ khá mật thiết với 1937cn và kết hợp với nhau để gây ra rất nhiều vụ tấn công tại châu Á, trong đó có Việt Nam.

Theo thống kê năm 2014, đã có gần 100 phi vụ mà Sky-Eye nhằm vào các cơ quan, tổ chức, doanh nghiệp nước ta, trong đó có cả website chính phủ và các tổ chức giáo dục.

Tương tự 1937cn, Sky-Eye tấn công các trang web theo phương thức DDoS và ở mỗi mục tiêu thành công, chúng đều thay đổi giao diện và để lại những dòng thông tinh đầy khiêu khích.

APT 30

nhung-nhom-hacker-khet-tieng-tai-trung-quoc-3

Theo báo cáo của FireEye – công ty chuyên ngăn chặn các cuộc tấn công mạng của Mỹ – vào giữa năm 2015, APT 30 là một nhóm tin tặc chuyên nghiệp của Trung Quốc.

Chúng được đánh giá có trình độ cao, hoạt động kiên trì và rất bài bản. Trong hơn 10 năm, chúng đã thực hiện rất nhiều cuộc tấn công nhằm vào Việt Nam và các nước thuộc khu vực Đông Nam Á cũng như Ấn Độ.

Điểm nguy hiểm nhất của nhóm này là chiến lược bài bản, nhất quán từ đầu đến cuối và phải tấn công thành công mới thôi. Bên cạnh đó, chúng thường xuyên thay đổi các công cụ tấn công và linh hoạt chiến thuật nhằm tránh bị phát hiện.

Từ việc phân tích hơn 200 mẫu mã độc được chúng tung ra cho thấy, APT 30 đã phát triển từng loại mã độc riêng cho các mục đích khác nhau, như chính trị, kinh tế, báo chí, ngoại giao… nên rất khó đề phòng.

Mofang

nhung-nhom-hacker-khet-tieng-tai-trung-quoc-4

Được phát hiện vào tháng 11 năm ngoái bởi hãng bảo mật Fox-IT, Mofang cũng là nhóm hacker cực kỳ nguy hiểm.

Mặc dù số lượng các cuộc tấn công không cao nhưng quy mô lại rất lớn, và đánh thẳng vào các cơ quan chính phủ, khu quân sự, các cơ sở hạ tầng, trung tâm nghiên cứu và phát triển… và đánh cắp thông tin cho các mục đích riêng, hoặc sửa chữa thông tin theo hướng có lợi cho chúng.

Mofang được cho là có liên quan đến chính phủ Trung Quốc. Các mẫu mã độc sau khi được phân tích cho thấy, một vài dòng mã lệnh (code) trong đó tương tự đoạn mã được dùng bởi các tin tặc từng bị phát hiện được chính phủ tài trợ.

Tuy nhiên, cách hoạt động của chúng có phần khác, khi chủ yếu dựa vào các cuộc tấn công lừa đảo thay vì khai thác lỗ hổng zero-day để xâm nhập vào hệ thống.

Theo thống kê, máy chủ của Bộ Thương Mại Myanmar, một số cơ quan chính phủ Mỹ, hội chợ MSME DEFExpo ở Ấn Độ, CPG Corporation của Singapore (chuyên về đầu tư nước ngoài)… từng là nạn nhân của Mofang.

Theo VnExpress