Sự việc trở nên sáng tỏ khi một mối đe dọa có thể xuất phát từ Ấn Độ đang tiến hành hoạt động gián điệp mạng ồ ạt vào khu vực châu Á, nhắm tới vô số tổ chức chính phủ và ngoại giao với sự tập trung đặc biệt vào Trung Quốc và hoạt động quốc tế của nước này. Chỉ sử dụng lỗ hổng cũ, công cụ không đáng chú ý trong cuộc tấn công, mối đe dọa này cũng đã thử vận may của mình trong việc tấn công các mục tiêu cấp cao bao gồm nhiều quốc gia châu Âu.

Cách hoạt động của “Dropping Elephant” (cũng được biết đến với tên “Chinastrats”) khó có thể được gọi là tinh vi. Những kẻ tấn công phụ thuộc nhiều vào kĩ thuật xã hội và công cụ và lỗ hổng với chi phí thấp. Tuy nhiên, phương pháp này lại có vẻ hiệu quả, khiến cái tên này trở nên nguy hiểm. Từ tháng 11/2015 đến tháng 6/2016, nhóm đã lên hồ sơ hàng trăm và hàng ngàn mục tiêu trên khắp thế giới. Quan trọng hơn hết, chỉ trong 2 tháng đầu hoạt động, chúng đã có thể đánh cắp tài liệu từ nhiều nạn nhân đã được lựa chọn. ​

Bên cạnh tấn công kĩ thuật xã hội và khai thác lỗ hổng cũ, một trong những backdoor của Dropping Elephant sử dụng phương thức liên lạc C&C mượn từ mối đe dọa khác: chúng giấu địa chỉ thực của máy chủ C&C dưới dạng bình luận ở các bài viết trên những website hợp pháp phổ biến. Mặc dù với cách thực hiện phức tạp hơn nhưng phương pháp này trước đây đã từng được thấy trong hoạt động của Miniduke và nhiều nhóm tội phạm khác, Nó được sử dụng để việc điều tra tấn công phức tạp hơn.

Dựa trên hồ sơ nạn nhân do các nhà nghiên cứu Kaspersky Lab lập ra, Dropping Elephant tập trung vào 2 loại tổ chức và cá nhân chính: tổ chức chính phủ và ngoại giao Trung Quốc và những cá nhân có liên quan cũng như đối tác của những tổ chức này tại những quốc gia khác.

Nhìn chung, các chuyên gia Kaspersky Lab đã phát hiện vài trăm nạn nhân trên toàn thế giới, phần lớn tập trung ở Trung Quốc, số khác đến từ, hoặc liên quan đến Pakistan, Sri-Lanka, Uruguay, Bangladesh, Đài Loan, Úc, Hoa Kì và một số quốc gia khác.

Vitaly Kamluk, Giám đốc Trung tâm Nghiên cứu tại APAC, GReAT, Kaspersky Lab, cho biết: “Dù sử dụng công cụ và lỗ hổng đơn giản, ít tốn kém, nhóm này dường như có khả năng lấy được thông tin tình báo đáng giá, đây có thể là lí do vì sao nhóm vẫn mở rộng hoạt động vào tháng 5/2016. Việc mở rộng cũng cho thấy chúng không có ý định kết thúc hoạt động sớm. Tổ chức và cá nhân phù hợp với hồ sơ mục tiêu của chúng nên đặc biệt cẩn trọng. Tin vui là nhóm chưa sử dụng công cụ thực sự phức tạp, khó phát hiện ra. Việc này có nghĩa là hoạt động của chúng rất dễ nhận ra. Tất nhiên vẫn có thể thay đổi bất cứ lúc nào”.



Bình luận

  • TTCN (0)