Tin tặc được Nhà nước tài trợ tấn công ngành công nghiệp trò chơi điện tử bổ sung cho gián điệp mạng Khám phá các nhà nghiên cứu bảo mật web
Ngoài việc thực hiện gián điệp mạng, một số nhóm hack lớn và được nhà nước bảo trợ dường như tham gia vào việc thực hiện các cuộc tấn công mạng có động cơ tài chính. Những tội phạm mạng này xuất hiện nhắm mục tiêu đến khá nhiều phân khúc cụ thể, nhưng bị ảnh hưởng nhiều nhất là ngành công nghiệp trò chơi điện tử trực tuyến ngày càng phát triển. Các nhà nghiên cứu phát hiện ra rằng, các cá nhân được cho là một phần của một nhóm lớn hơn hoạt động gián điệp mạng do nhà nước tài trợ, những người có thể triển khai bộ công cụ và bộ kỹ năng để kiếm lợi nhuận trên đường đi. Các hành vi tội phạm mạng với mục đích chính là thu lợi tiền tệ đang gia tăng đều đặn khi các game thủ ngày càng chuyển việc chơi game sang các máy chủ từ xa và đám mây.
Các nhà nghiên cứu tại FireEye đã cùng nhau đưa ra một báo cáo toàn diện về APT41, một nhóm đe dọa mạng phong phú của Trung Quốc thực hiện hoạt động gián điệp do nhà nước bảo trợ. Nhóm được cho là được chính quyền Trung Quốc tài trợ hoặc hỗ trợ. Các nhà nghiên cứu khẳng định nhóm APT41 đã liên tục tiến hành các cuộc tấn công liên tục vào các công ty chứa bí mật thương mại. Tuy nhiên, bên cạnh việc thực hiện các nhiệm vụ gián điệp mạng, các thành viên của nhóm cũng đang thực hiện các hoạt động có động cơ tài chính. Các nhà nghiên cứu lưu ý rằng một số thành viên đang sử dụng phần mềm độc hại thường dành cho các chiến dịch gián điệp.
Nhóm gián điệp mạng của Trung Quốc APT41 cũng tiến hành các cuộc tấn công mạng có động cơ tài chính:
Các nhóm hack do nhà nước bảo trợ hoặc các tác nhân đe dọa dai dẳng thường không tham gia vào việc thực hiện các hoạt động có lợi về mặt tài chính. Các nhóm này sử dụng hiệu quả cao “Khai thác Ngày Zero”Để phân phối phần mềm độc hại hoặc tải nhiều tải trọng vào máy chủ bảo mật của các doanh nghiệp quốc tế. Những khai thác này thường là khá đắt trên Dark Web, nhưng tin tặc hiếm khi mua được những thứ này từ các nhà môi giới khai thác để đánh cắp tiền kỹ thuật số.
Tuy nhiên, nhóm APT41 dường như đã tham gia vào hành vi trộm cắp kỹ thuật số ngoài việc thực hiện gián điệp mạng. Các vụ cướp kỹ thuật số dường như được tiến hành hoàn toàn vì lợi ích cá nhân. Tuy nhiên, các thành viên dường như đang sử dụng phần mềm độc hại và phần mềm độc hại khác không được thiết kế để nhắm mục tiêu người dùng Internet nói chung. Nói một cách đơn giản, tin tặc đang sử dụng phần mềm độc hại không công khai thường dành cho các chiến dịch gián điệp. Báo cáo đầy đủ của FireEye bao gồm “hoạt động lịch sử và liên tục được quy cho APT41, sự phát triển của Chiến thuật, Kỹ thuật và Quy trình (TTP) của nhóm, thông tin về các tác nhân riêng lẻ, tổng quan về bộ công cụ phần mềm độc hại của họ và cách các số nhận dạng này trùng lặp với các mã khác những kẻ điều hành hoạt động gián điệp của Trung Quốc được biết đến ”.
Theo truyền thống, các tin tặc theo dõi các hầm kỹ thuật số để ăn cắp tiền, đã nhắm mục tiêu vào khoảng 15 phân khúc ngành chính. Trong số này, sinh lợi nhiều nhất là chăm sóc sức khỏe kỹ thuật số, bằng sáng chế và các công nghệ cao, viễn thông và thậm chí cả giáo dục đại học. Tuy nhiên, ngành công nghiệp trò chơi điện tử trực tuyến đang bùng nổ hiện nay cũng là một mục tiêu hấp dẫn. Trên thực tế, báo cáo chỉ ra rằng các thành viên của nhóm APT41 có thể đã bắt đầu nhắm mục tiêu vào ngành công nghiệp trò chơi sau năm 2014. Tuy nhiên, nhiệm vụ chính của nhóm vẫn là gián điệp mạng. Họ rõ ràng đang giúp Trung Quốc đẩy nhanh sứ mệnh "Sản xuất tại Trung Quốc 2025". Nói cách khác, khá nhiều nhóm đe dọa dai dẳng có vẻ như bắt nguồn từ Trung Quốc nói chung đang hướng tới các kế hoạch phát triển kinh tế 5 năm của Trung Quốc. Nói một cách đơn giản, họ dường như đang hỗ trợ tham vọng của đất nước. Chine đã nói rõ rằng đất nước muốn lực lượng lao động quốc gia được công nghiệp hóa cao và các công ty bắt đầu sản xuất các sản phẩm và dịch vụ có giá trị cao hơn.
Nhóm APT41 tấn công ngành công nghiệp trò chơi điện tử trực tuyến như thế nào?
Nhóm APT41 có vẻ đặc biệt quan tâm đến việc theo đuổi các công ty trong lĩnh vực giáo dục đại học, dịch vụ du lịch và tin tức / phương tiện truyền thông. Nhóm này dường như cũng đang theo dõi các cá nhân nổi tiếng và cố gắng khai thác mạng lưới truyền thông của họ. Trong quá khứ, nhóm này đã cố gắng truy cập trái phép vào hệ thống đặt phòng của khách sạn trong một nỗ lực rõ ràng là nhằm đảm bảo cơ sở vật chất.
Tuy nhiên, ngoài các hoạt động do nhà nước tài trợ đã nói ở trên, một số thành viên của nhóm APT41 đang theo đuổi ngành công nghiệp trò chơi điện tử vì lợi nhuận tài chính cá nhân. Các tin tặc đang theo đuổi các loại tiền ảo và sau khi quan sát các nhóm tương tự khác, APT41 cũng đã cố gắng triển khai ransomware.
Đáng ngạc nhiên, nhóm cố gắng giành quyền truy cập vào môi trường sản xuất trò chơi phụ trợ. Sau đó, nhóm này đánh cắp mã nguồn cũng như các chứng chỉ kỹ thuật số sau đó được sử dụng để ký phần mềm độc hại. APT41 được biết là sử dụng quyền truy cập vào môi trường sản xuất để đưa mã độc vào các tệp hợp pháp. Các nạn nhân không nghi ngờ, bao gồm các tổ chức khác, sau đó tải xuống các tệp bị ô nhiễm này thông qua các kênh có vẻ hợp pháp. Kể từ khi các tệp và chứng chỉ được ký, các ứng dụng đã được cài đặt thành công.
Điều đáng quan tâm hơn nữa là thực tế là nhóm được cho là có thể di chuyển mà không bị phát hiện trong các mạng được nhắm mục tiêu, bao gồm cả việc xoay vòng giữa các hệ thống Windows và Linux. Hơn nữa, APT41 giới hạn việc triển khai phần mềm độc hại tiếp theo cho các hệ thống nạn nhân cụ thể bằng cách khớp với các số nhận dạng hệ thống riêng lẻ. Nói một cách đơn giản, nhóm theo dõi những người dùng được chọn, có thể có số lượng tiền kỹ thuật số cao. APT41 được cho là có 46 loại phần mềm độc hại khác nhau, bao gồm cửa hậu, kẻ đánh cắp thông tin xác thực, keylogger và nhiều rootkit.