Nhóm APT31 của ĐCSTQ lợi dụng dịch vụ đám mây để tấn công mạng nhằm vào Nga

Công ty an ninh mạng của Nga đã phát hiện một tổ chức hacker liên quan đến Trung Quốc – APT31 đã tiến hành các cuộc tấn công mạng nhằm vào ngành công nghiệp IT của Nga trong giai đoạn 2024–2025. Những cuộc tấn công này kéo dài trong thời gian dài và rất khó bị phát hiện.

Các nhà nghiên cứu của Positive Technologies đã công bố báo cáo vào thứ Năm (20/11) với nhận định: “Trong thời gian từ năm 2024 đến 2025, ngành IT của Nga, đặc biệt là các nhà thầu và nhà tích hợp hệ thống cung cấp giải pháp cho các cơ quan chính phủ, phải đối mặt với một loạt các cuộc tấn công máy tính có chủ đích.”

Họ chỉ ra: tổ chức hacker APT31 của Trung Quốc đứng sau sự việc này. Ít nhất từ năm 2010, APT31 đã hoạt động tích cực trên không gian mạng, và các mục tiêu bị tấn công gồm: các cơ quan chính phủ, ngành tài chính, hàng không – vũ trụ & quốc phòng, công nghệ cao, xây dựng & kỹ thuật, viễn thông, truyền thông và bảo hiểm.

Báo cáo cho biết, mục tiêu chính của APT31 là thu thập thông tin tình báo – phục vụ cho nhu cầu chính trị, kinh tế và quân sự của Bắc Kinh và các doanh nghiệp quốc doanh Trung Quốc.

Tháng 5/2025, Cộng hòa Séc cáo buộc APT31 đã tấn công Bộ Ngoại giao nước này.

Lần này, APT31 tấn công vào Nga với đặc điểm nổi bật là sử dụng các dịch vụ đám mây hợp pháp – chủ yếu là các nền tảng đám mây phổ biến trong nước như Yandex Cloud – để thực hiện chỉ huy kiểm soát (Command-and-control) và đánh cắp dữ liệu, đồng thời cố gắng hòa lẫn vào luồng lưu lượng (traffic) mạng bình thường để tránh bị phát hiện.

Ngoài ra, nhóm hacker cũng sử dụng các tài khoản mạng xã hội trong và ngoài nước để đăng tải các lệnh được mã hóa và các đoạn mã độc hại lên mạng xã hội, đồng thời thường thực hiện tấn công vào cuối tuần, ngày lễ.

Các nhà nghiên cứu đánh giá rằng do lưu lượng của những nền tảng này không tạo ra nghi vấn nên khiến các hacker dễ qua mặt các hệ thống bảo mật thông thường; việc tấn công vào cuối tuần, ngày lễ cũng cho thấy hacker có hiểu biết về quy trình làm việc của tổ chức mục tiêu.

Các chuyên gia phát hiện: trong một vụ tấn công nhằm vào một công ty IT của Nga, APT31 đã xâm nhập hệ thống mạng từ cuối năm 2022, nhưng chọn thời điểm tăng cường tấn công vào kỳ nghỉ Tết Dương lịch năm 2023.

Đến tháng 12/2024 phát hiện thêm một đợt tấn công, hacker gửi email lừa đảo (phishing) có đính kèm tệp RAR nén, trong đó chứa một shortcut Windows (LNK).

Theo Lâm Yến / Epoch Times