Facebook vừa chia sẻ báo cáo chi tiết về các hành động mà họ đã và đang thực hiện để chống lại hai nhóm hacker riêng biệt là ATP32 ở Việt Nam và một nhóm khác ở Bangladesh. Hai nhóm hacker này hiện không còn có thể lợi dụng cơ sở hạ tầng của Facebook để phát tán mã độc và hack tài khoản của mọi người trên internet.
Theo Faceebook, nhóm hacker ATP32 chủ yếu tập trung vào việc phát tán mã độc tới các mục tiêu của chúng. Trong khi đó, nhóm hacker Bangladesh tập trung vào việc xâm nhập vào các tài khoản Facebook và tìm cách để xóa các tài khoản và trang của nạn nhân.
Facebook xác định đây là những kẻ thù dai dẳng và chúng sẽ còn tiếp tục phát triển những phương thức tấn công mới. Tuy nhiên, hệ thống phát hiện và các điều tra viên của Facebook cũng như các nhóm khác trong cộng đồng bảo mật sẽ tiếp tục cải tiến để khiến hacker không thể che dấu được hoạt động của chúng.
Facebook cam kết sẽ tiếp tục chia sẻ những phát hiện của họ để mọi người nhận thức được các mối đe dọa tiềm ản và có thể thực hiện các biện pháp tăng cường bảo mật cho tài khoản của mình.
Facebook tuyên chiến với nhóm hacker ATP32
Theo điều tra của Facebook, ATP32 là nhóm hacker đặt trụ sở tại Việt Nam và hoành hành nhiều năm tại Việt Nam cũng như các nước lân cận. Chúng nhắm vào các nhà hoạt động nhân quyền Việt Nam trong và ngoài nước, các tổ chức chính phủ Việt Nam và nước ngoài như Lào và Campuchia, các tổ chức phi chính phủ, các hãng thông tấn và một số doanh nghiệp trong lĩnh vực IT, khách sạn, nông nghiệp và hàng hóa, bệnh viện, bán lẻ, ngành công nghiệp ô tô và dịch vụ di động.
ATP32 dùng mã độc để gây thiệt hại cho các mục tiêu của chúng. Nhóm hacker này có liên quan tới CyberOne Group một công ty IT tại Việt Nam (còn được biết tới với cái tên CyberOne Security, CyberOne Technologies, Công ty TNHH Hành Tinh, Planet và Diacauso).
Trong vài năm qua, Facebook đã có nhiều hành động ngăn chặn nhóm hacker này. Những cuộc điều tra gần đây của Facebook cho thấy ATP32 sử dụng các chiến thuật, kỹ thuật tấn công sau:
- Social engineering: ATP32 tạo ra các nhân vật hư cấu trên internet, đóng giả là các nhà hoạt động hoặc các tổ chức kinh doanh và thậm chí là lừa tình khi liên hệ với các đối tượng mà chúng nhắm vào. Nhờ vậy, chúng tạo ra những hậu thuẫn cho các nhân vật giả mạo và các tổ chức giả mạo trên các dịch vụ internet khác để chúng trông có vẻ hợp pháp hơn và thoát khỏi sự giám sát và để ý của cơ quan chức năng cũng như các nhà nghiên cứu bảo mật. Một số trang của ATP32 trên Facebook được lập ra để thu hút người theo dõi nhằm phát tán mã độc cũng như lừa đảo trong tương lai.
- Ứng dụng chứa mã độc: Bên cạnh các trang Facebook, ATP32 còn lừa mục tiêu tải xuống ứng dụng trên Google Play Store. Ứng dụng này chứa mã độc và yêu cầu nhiều quyền truy cập, giúp hacker theo dõi, giám sát thiết bị của người dùng.
- Phát tán phần mềm độc hại: ATP32 sử dụng các trang web mà chúng hack được và các trang do chúng tự tạo ra để phán tán mã độc javascript nhằm thu thập, theo dõi thông tin trên trình duyệt của nạn nhân. ATP32 sử dụng rất nhiều chiến thuật khác nhau như khai thác lỗ hổng, lừa người dùng tải tập tin chứa mã độc… để phát tán phần mềm độc hại. Chúng còn sử dụng các tập tin Word vô hại nhưng chứa link tải mã độc bên trong để lừa người dùng.
Facebook cho biết họ vừa đánh sập một chiến dịch lớn của APT32. Chiến dịch này có quy mô lớn, bắt đầu từ rất lâu, được đầu tư bài bản về nguồn lực, tập trung vào nhiều mục tiêu cùng một lúc.
Nhóm ATP32 cũng khôn khéo che đậy dấu vết của mình. Tuy nhiên, Facebook đã chia sẻ các thông tin cần thiết với đối tác để cùng nhau chấm dứt chiến dịch của ATP32. Để ngăn chặn ATP32, Facebook đã chặn các tiên miền có liên quan đăng trên Facebook, xóa tài khoản của nhóm hacker và thông báo cho những người dùng mà Facebook tin rằng đang bị ATP32 nhắm vào.
Hoạt động tại Bangladesh
Theo Facebook, nhóm hacker tại Bangladesh nhắm mục tiêu vào các nhà hoạt động địa phương, nhà báo và người theo các tôn giáo không phố biến. Nhóm này chuyên đánh cắp tài khoản Facebook và khiến một số tài khoản bị Facebook khóa do vi phạm tiêu chuẩn cộng đồng. Theo ngôn ngữ trong giới làm dịch vụ Facebook tại Việt Nam thì hành vi này gọi là “rip nick”.
