Tin tặc xuất phát từ Việt Nam đang sử dụng phần mềm độc hại để tấn công các nạn nhân nhằm trục lợi tài chính. Cùng lúc, các tổ chức và cá nhân ở Việt Nam cũng trở thành nạn nhân.
Hôm qua (4/4), một nhóm tin tặc có tên CoralRaider bị nghi ngờ sử dụng các phần mềm độc hại để nhằm vào các nạn nhân ở một vài quốc gia khu vực châu Á và Đông Nam Á, theo đánh giá của Cisco Talos.
Các quốc gia có nạn nhân bị tấn công bao gồm Việt Nam, Trung Quốc, Hàn Quốc, Ấn Độ, Bangladesh, Indonesia và Pakistan.
Cisco Talos nhóm nghiên cứu về an ninh mạng thuộc Cisco Systems, tập đoàn đa quốc gia của Mỹ về công nghệ truyền thông kỹ thuật số.
CoralRaider chủ yếu đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của các nạn nhân (bao gồm cả tài khoản doanh nghiệp và quảng cáo) nhằm trục lợi tài chính.
Cisco Talos đánh giá nhóm này hiện có cơ sở hoạt động ở Việt Nam và ít nhất đã bắt đầu hoạt động từ tháng 5/2023.
Đánh giá này được đưa ra sau khi Cisco Talos phát hiện có tiếng Việt trong tên phần mềm và tin nhắn của thành viên nhóm, cũng như có nhiều từ tiếng Việt tồn tại trong phần mềm độc hại mà nhóm này sử dụng.
Địa chỉ IP của nhóm này cũng được xác định là ở Hà Nội, Việt Nam.
Trong quá trình tìm hiểu, Cisco Talos đã phát hiện hai nhóm chat Telegram sử dụng tên tiếng Việt là “Kiếm tiền từ Facebook” và “Mua Bán Scan Mini”.
Hai “chợ đen” này là nơi nhiều hoạt động trao đổi diễn ra, bao gồm cả dữ liệu cá nhân của các nạn nhân.
Đã có nhiều tiền lệ
Đây không phải lần đầu tiên có những vụ tấn công mạng nhằm trục lợi tài chính mà thủ phạm được xác định là từ Việt Nam.
Cuối tháng 2/2024, nhà cung cấp công nghệ an ninh mạng Group-IB từng có một bài viết về VietCredCare.
VietCredCare là một phần mềm đánh cắp thông tin, được một nhóm người Việt Nam quản lý và được lưu hành ít nhất là từ tháng 8/2022, theo Group-IB.
Nạn nhân chủ yếu là những người quản lý hồ sơ của các doanh nghiệp và tổ chức lớn đến từ 44 tỉnh thành của Việt Nam.
Trong đó, 51% nạn nhân ở Hà Nội và 33% ở TP Hồ Chí Minh.
Sau đó, khi đã kiểm soát được tài khoản Facebook của nạn nhân có lượng người theo dõi lớn, kẻ gian có thể trục lợi chính trị hoặc tài chính qua các hình thức như:
- Lừa đảo giả mạo (phishing)
- Lừa đảo gian lận liên kết (affiliate scam)
- Chuyển hướng truy cập Web (malicious redirection of web traffic)
- Bán thông tin
Thông tin của Cisco Talos và Group-IB về các nhóm tin tặc xuất phát từ Việt Nam được đưa ra trong bối cảnh an ninh mạng trở thành một chủ đề nóng hổi. Một số công ty Việt Nam cùng với nhiều cá nhân, tổ chức khác đã bị tấn công mạng, gây ra sự gián đoạn hoạt động hoặc thiệt hại về tài chính trong thời gian gần đây.
Chính quyền Việt Nam cũng từng là mục tiêu của các cuộc tấn công mạng.
Theo một tài liệu rò rỉ vào tháng 2/2024, một tổ chức chính quyền vùng tây nam Trung Quốc được cho là đã chi 15.000 USD (khoảng 370 triệu đồng) để đột nhập website của cảnh sát giao thông Việt Nam.
Năm ngoái, trang fanpage của Công an TP Hà Nội cũng từng bị hack.
Khoảng 17 giờ ngày 7/8/2023, trang fanpage Facebook chính thức của Công an TP Hà Nội đăng tải hai hình ảnh nhạy cảm lên mục story kèm đường link lạ. Đến khoảng 19 giờ cùng ngày, hai bức ảnh trên đã được gỡ bỏ.
Nhiều doanh nghiệp Việt Nam bị tấn công
Tháng 12/2023, Công ty Công nghệ An ninh mạng quốc Gia Việt Nam (NCS) đã công bố báo cáo tổng kết tình hình An ninh mạng Việt Nam năm 2023.
Theo tổng hợp của NCS, đã có 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam, trung bình mỗi tháng xảy ra 1.160 vụ, tăng 9,5% so với năm 2022.
Trong đó, các mục tiêu phổ biến nhất bao gồm cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp.
Gần đây hai doanh nghiệp lớn ở Việt Nam là VnDirect (công ty môi giới chứng khoán lớn thứ ba Việt Nam) và PVOIL (Tổng Công ty Dầu Việt Nam) cũng đã bị tấn công mạng.
Trường hợp của VnDirect diễn ra sớm hơn khi công ty bị tấn công vào ngày 24/3.
Tới chiều thứ Tư ngày 27/3, dù khách hàng tại VNDirect đã có thể tra cứu thông tin tài khoản, hệ thống giao dịch, rút tiền và các dịch vụ khác vẫn gián đoạn.
Sau đó, công ty cho biết dự kiến nhà đầu tư có thể quay lại giao dịch chứng khoán, rút và nhận tiền từ thứ Hai ngày 1/4.
Dù vậy, đến thứ Năm ngày 4/4, nhiều nhà đầu tư vẫn phản ánh rằng hệ thống có hàng loạt lỗi khiến họ không thể giao dịch bình thường, theo VTC News.
Cùng ngày, Sở Giao dịch Chứng khoán TP.HCM (HoSE) công bố danh sách 10 công ty chứng khoán có thị phần môi giới lớn nhất quý 1 năm 2024. Theo đó, VnDirect chỉ còn 6,01% cổ phần, so với 6,64% cổ phần công ty có được vào quý 4 năm 2023.
Sự tụt giảm được cho là có sự ảnh hưởng từ việc VnDirect bị tấn công mạng và phải ngừng giao dịch suốt một tuần cuối tháng 3/2024.
Con số thiệt hại không được nêu cụ thể nhưng theo lời Chủ tịch VnDirect Phạm Minh Hương là “rất lớn”.
Bộ Công an Việt Nam hiện đang điều tra vụ việc.
Về trường hợp của PVOIL, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam – CTCP (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware) vào 0 giờ ngày 2/4/2024.
Vụ việc gây ra sự cố ngừng hoạt động trong toàn hệ thống, trong đó có hệ thống hóa đơn điện tử. Đến chiều ngày 2/4, Tổng cục Thuế đã tạm thời đóng cổng kết nối trực tiếp với PVOIL.
Các vụ tấn công mạng nói trên cho thấy cảnh báo của các chuyên gia công nghệ an ninh mạng, rằng doanh nghiệp Việt Nam nhìn chung có năng lực thấp trong việc chống lại các rủi ro dạng này, là có cơ sở.
Theo Báo cáo Chỉ số Sẵn sàng An ninh mạng 2024 của Cisco, tập đoàn đa quốc gia của Mỹ về công nghệ truyền thông kỹ thuật, chỉ có 6% các tổ chức và doanh nghiệp ở Việt Nam được xếp vào nhóm “Trưởng thành” – nhóm “sẵn sàng để giải quyết các loại rủi ro về an ninh mạng hiện hữu”.
Chiều 5/4, tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam (Vietnam ICT Press Club) phối hợp cùng Hiệp hội An ninh mạng Quốc gia (Bộ Công an) tổ chức, ông Lê Xuân Thủy, giám đốc Trung tâm An ninh mạng Quốc gia, đánh giá rằng các doanh nghiệp Việt Nam chưa “quan tâm đúng mức” tới các vấn đề an ninh mạng.
Theo ông, các doanh nghiệp vẫn “lúng túng” trong cách xử lý và “chậm trễ trong việc báo [cáo] cơ quan chức năng”.
Dù sự cố được khắc phục, nguyên nhân lại không được xác định chính xác. Điều này khiến gia tăng nguy cơ tái diễn các cuộc tấn công, ông Thủy đánh giá.
Các cá nhân cũng thường xuyên là nạn nhân
Cũng trong hôm nay (ngày 5/4), chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) cùng nhóm chuyên gia vừa công bố kết quả từ Dự án Chống Lừa Đảo (website: chongluadao.vn).
Cụ thể, trong ba tháng đầu năm, trang chongluadao.vn đã nhận được tổng cộng 29.251 báo cáo lừa đảo.
Đáng chú ý, số vụ báo cáo liên tục tăng trong giai đoạn này: tháng 1 có 8.667 vụ, tháng 2 có 9.132 vụ, tháng 3 có 11.452 vụ.
Một vài hình thức tấn công được biết đến gần đây là ăn cắp tài khoản Facebook hoặc kênh YouTube.
Vào ngày 2/4, kênh YouTube lớn và quen thuộc với nhiều khán giả người Việt là kênh “Mixi Gaming” của ông Phùng Thanh Độ (thường được gọi là Độ Mixi) với 7,33 triệu người đăng ký đã bị chiếm quyền kiểm soát.
Đến chiều 3/4, ông Độ mới chính thức giành lại được quyền kiểm soát kênh của mình. Tuy nhiên, ngay sau đó đến lượt tài khoản Steam của ông bị tấn công.
Steam là một nền tảng mạng xã hội chủ yếu nhắm đến giới chơi game, dùng để phân phối các trò chơi điện tử, video, bản cập nhật phần mềm.
Sau khi thử nhiều cách và không thể lấy lại tài khoản, ông Độ đã quyết định liên hệ với tin tặc qua email và ngay lập tức nhận được một yêu cầu chuộc tài khoản với giá 5.000 USD.
Một kênh YouTube nổi tiếng khác là “Quang Linh Vlogs – Cuộc Sống ở Châu Phi”, có hơn 3,82 triệu người, cũng bị đột nhập vào ngày 2/4.