FireEye khẳng định nhóm tin tặc APT30 có nguồn gốc Trung Quốc - Ảnh: Reuters

"Mục đích của chúng nhằm thu thập các thông tin về chính trị, ngoại giao, kinh tế và quân sự. Đối tượng tấn công của nhóm tin tặc này là các cơ quan chính phủ, các tổ chức kinh tế, các cơ quan báo chí…" - đó là nội dung trong bản báo cáo về hoạt động của nhóm tin tặc APT30 được Công ty an ninh mạng FireEye Inc. công bố tại Hà Nội chiều 25-5.

Tấn công liên tục trong 10 năm

Ông Wias Issa - giám đốc cấp cao của FireEye - cho biết APT30 là một trong những nhóm tin tặc mà các chuyên gia an ninh mạng FireEye đã theo dõi lâu nhất.

Qua hàng trăm ngàn giờ theo dõi, các chuyên gia phát hiện đây là một nhóm tin tặc trình độ cao được đặt tại Trung Quốc, hoạt động bền bỉ và có khả năng được bảo trợ bởi một chính phủ.

Hoạt động của nhóm APT30 đã được đưa vào bản báo cáo đặc biệt của FireEye.

Theo đó, các phân tích cho thấy phương thức tấn công của APT30 là triển khai các mã độc (malware) thiết kế riêng một cách chuyên nghiệp, bài bản. Đến nay, đã có hơn 200 mã độc của nhóm APT30 được phát hiện - ông Wias Issa cho hay.

Bản báo cáo nêu rõ: Dựa trên các nghiên cứu về mã độc, các chuyên gia an ninh mạng đánh giá “hoạt động của nhóm tin tặc APT30 là luôn tối ưu hóa các mục tiêu, có thể hoạt động theo ca, hoạt động trong môi trường có tổ chức cộng tác chặt chẽ và phát triển các mã độc theo một kế hoạch khá toàn diện. Nhiệm vụ là tập trung thu thập những dữ liệu nhạy cảm từ một loạt mục tiêu khác nhau, trong đó bao gồm các máy tính nội bộ mật của các chính phủ và các mạng máy tính nội bộ cách ly với kết nối Internet tiêu chuẩn”.

Nhóm này chỉ sử dụng duy nhất một cơ sở hạ tầng trong suốt hơn 10 năm qua. Công cụ tấn công, chiến thuật và cách thức hành động của nhóm APT30 cũng được duy trì không thay đổi kể từ ngày đầu (vào khoảng năm 2005). Theo lý giải của ông Wias Issa, “họ không thay đổi sang cơ sở hạ tầng mới vì họ chưa bị phát hiện”.

Tấn công: 10 phút, phát hiện: 205 ngày

 “Kết quả theo dõi của của chúng tôi đối với APT30 cho thấy nhóm tin tặc này chỉ cần mất 10 phút để xâm nhập một hệ thống và đánh cắp thông tin từ hệ thống máy tính đó nhưng phải mất đến 205 ngày, tổ chức, cá nhân sở hữu hệ thống máy tính đó mới phát hiện mình bị tấn công” - ông Wias Issa chia sẻ thông tin.

Bản báo cáo của FireEye cho biết: “Phân tích các mã độc của nhóm APT30 sử dụng cho thấy phương pháp phát triển mã độc một cách bài bản, chuyên nghiệp giống như phương pháp vận hành các công ty kinh doanh công nghệ, mã độc được thiết kế riêng để tiếp cận trực tiếp các lĩnh vực như ngoại giao, chính trị, báo chí và khu vực kinh tế tư nhân”.

Ông Wias Issa cho biết cụ thể hơn: đối tượng tấn công của APT30 là cán bộ ngoại giao, quan chức chính phủ, nhà báo, doanh nhân… Các cuộc tấn công gia tăng khi có các sự kiện quan trọng diễn ra trong khu vực Đông Nam Á hoặc các hoạt động lớn của ASEAN.

Ông Wias Issa cũng khẳng định: Thông qua đánh giá công cụ, đối tượng và cách thức tấn công, có thể nhận thấy APT30 có thể được một chính phủ tài trợ đầy đủ và dài hơi, mục đích thu thập thông tin tập trung vào các thông tin nhạy cảm về chính trị, kinh tế, quân sự. Việc APT30 phát triển và hoàn thiện một bộ công cụ tích hợp cũng như việc họ sử dụng hạ tầng hỗ trợ trong một thời gian dài hơn 10 năm cho thấy đây là một nhiệm vụ nhất quán và mang tính dài hạn.

Các chuyên gia an ninh mạng của FireEye cũng xác định APT30 là một tổ chức được đặt tại Trung Quốc và bộ công cụ để phát triển phần mềm của APT30 được phát triển trên các máy tính sử dụng bàn phím tiếng Trung.