Công ty an ninh không gian mạng FireEye của Hoa Kỳ mới đây đã công bố một dữ liệu, cho biết tổ chức gián điệp mạng cho chính quyền Trung Quốc, có tên APT40 đặt “căn cứ địa” tại Trung Quốc.
APT40 đang lọt vào tầm ngắm của “đôi mắt lửa” Hoa Kỳ, và các cuộc tấn công mạng của nhóm tin tặc kể từ năm 2013 đã bị phơi bày, theo The Epoch Times. Một số chuyên gia của Fire Eye đã phát hành một bài báo điều tra tổng hợp có tiêu đề: “ATP40: Rà soát tin tặc gián điệp tấn công mạng của Trung Quốc”.
Bài báo nêu rõ, Fire Eye đang hướng điều tra vào một “chiến dịch gián điệp mạng” do tổ chức tin tặc APT40 tiến hành, nhắm vào mục tiêu là công nghệ then chốt và tình báo truyền thống. Hành vi gián điệp không gian mạng của APT40 được chính quyền Trung Quốc ủng hộ.
Gần đây, Fire Eye cũng quan sát thấy được rằng các quốc gia tham gia vào Vành đai Con đường (BRI) cũng đã bị tổ chức tin tặc này tấn công. Nhìn chung, các nước như Campuchia, Bỉ, Đức, Hồng Kông, Philippines, Malaysia, Na Uy, Ả Rập Xê Út, Thụy Sĩ, Hoa Kỳ và Vương quốc Anh đều trở thành mục tiêu của tin tặc APT40. Theo các báo cáo, tiền thân của APT40 là nhóm tin tặc TEMP.Periscope.
Vào tháng 12/2016, Quân đội Trung Quốc đã truy kiếm một phương tiện không người lái dưới nước (UUV) của Hải quân Hoa Kỳ ở Biển Đông. Vào năm sau, Fire Eye đã điều tra và phát hiện APT40 đã “cải trang” thành nhà sản xuất UUV để triển khai nhiều cuộc tấn công mạng nhắm mục tiêu vào một trường đại học chuyên nghiên cứu về hải quân. Mục đích của APT40 nhằm “đánh cắp” được công nghệ tiên tiến để phục vụ cho phát triển hải quân Trung Quốc.
Các chuyên gia của Fire Eye tin rằng, mục đích của APT40 khi nhắm vào các vấn đề hàng hải và công nghệ hải quân – cuối cùng là để hỗ trợ mục tiêu thành lập lực lượng “hải quân biển xanh” của Trung Quốc.
Ngoài trọng tâm nhắm vào hải quân, APT40 còn bao phủ khắp các khu vực trọng điểm khác, đặc biệt các tổ chức liên quan đến tranh chấp Biển Đông. Gần đây, đối tượng mà nhóm tin tặc nhắm tới là những cuộc bầu cử ở Đông Nam Á, có thể liên quan tới BRI.
Fire Eye cho biết, BRI là một dự án trị giá 1 nghìn tỷ đô la nhằm thiết lập các tuyến giao thương đường bộ và đường biển nối liền châu Á, châu Âu, Trung Đông và châu Phi, mục tiêu nhằm “khuếch đại” sự ảnh hưởng của chính quyền Trung Quốc trên khu vực rộng lớn.
“Sào huyệt” của tin tặc APT40 chỉ có ở Trung Quốc
Theo các chuyên gia của Fire Eye, có những lý do hợp lý để tin rằng APT40 là một tổ chức tin tặc gián điệp mạng của Trung Quốc. Những hoạt động của nhóm này phù hợp với mục tiêu của chính quyền Trung Quốc, và căn cứ theo nhiều “dấu vết kỹ thuật” để lại cho thấy “sào huyệt” của nhóm gián điệp mạng nằm tại đại lục.
Một phân tích về giờ giấc và thời điểm hoạt động của APT40, cho thấy nhóm này có thể hoạt động theo múi giờ của Bắc Kinh là UTC +8.
Các phân tích khác cho biết thông tin về vị trí và hồ sơ lịch sử về đăng ký tên miền, khu vực mạng đều có trụ sở tại Trung Quốc. Cuộc khảo sát cũng tiết lộ, APT40 hoạt động bằng cách sử dụng nhiều địa chỉ giao thức Internet (Internet Protocol, IP) đặt tại Trung Quốc. Một ví dụ khác, theo một nhật ký tra cứu tệp được khôi phục từ máy chủ, cho thấy một địa chỉ IP là 112.66.188.28 thuộc khu vực Hải Nam, Trung Quốc – được sử dụng trong hệ thống trung tâm chỉ huy và kiểm soát liên lạc với phần mềm độc hại trên máy tính của nạn nhân.
Thiên Phúc