Gián điệp mạng sử dụng LinkedIn tấn công châu Âu

Thứ Bảy, 27/06/2020, 07:30
Theo một báo cáo mới, các nhà nghiên cứu về an ninh mạng đã phát hiện ra vụ việc được cho là trường hợp tin tặc sử dụng LinkedIn để lây nhiễm virus vào máy tính những người dùng mục tiêu. Nhóm tin tặc được cho là dường như được chính phủ nước ngoài tài trợ và nhắm vào nhân viên các nhà thầu quân sự có chọn lọc ở khu vực Trung Âu, theo các nguồn tin.

Sự tồn tại của hoạt động bị cáo buộc tấn công mạng được tiết lộ hôm 17-6-2020 bởi các nhà nghiên cứu tại ESET - công ty an ninh mạng có trụ sở tại Bratislava, Slovakia, nơi nổi tiếng với các sản phẩm tường lửa và chống virus. Các nhà nghiên cứu cho biết, hoạt động được thực hiện vào năm 2019 bởi nhóm tin tặc mạo danh nhân viên của General Dynamics và Collins Aerospace - hai nhà cung cấp hàng đầu thế giới về phần cứng hàng không vũ trụ và quốc phòng.

Đội ngũ nhà nghiên cứu ESET cho biết, tin tặc sử dụng tính năng nhắn tin riêng được nhúng trong LinkedIn để tiếp cận các mục tiêu. Sau khi liên lạc với các nạn nhân, tin tặc được cho là đã cung cấp cho mục tiêu của họ những lời mời làm việc béo bở và sử dụng dịch vụ nhắn tin riêng của LinkedIn để gửi cho họ các tài liệu chứa mã độc. Trong nhiều trường hợp, các mục tiêu đã mở các tài liệu và máy tính bị nhiễm virus.

ESET từ chối nêu tên các nạn nhân với lý do bảo mật thông tin khách hàng và cho biết không rõ có thông tin nào bị đánh cắp hay không. ESET không thể xác định danh tính tin tặc nhưng cho biết các vụ tấn công có một số liên kết với một nhóm có tên Lazarus, đã bị các công tố viên Mỹ cáo buộc đã dàn dựng một chuỗi các vụ lừa đảo trên mạng cao cấp nhắm vào các nạn nhân bao gồm Sony Pictures (năm 2014) và Ngân hàng Trung ương Bangladesh (năm 2016, sở hữu hệ thống mạng nội bộ sơ sài, và không dùng tường lửa (firewall) để bảo vệ là những lý do khiến cho ngân hàng Bangladesh bị hacker tấn công và suýt chút nữa đánh cắp được số tiền gần 1 tỷ USD thông qua hệ thống tín dụng SWIFT).

Nền tảng LinkedIn bị tin tặc lợi dụng. 

Các quan chức phương Tây đã nhiều lần cáo buộc tin tặc có nguồn gốc châu Á sử dụng tài khoản LinkedIn giả để tuyển mộ điệp viên ở các quốc gia khác và nhiều nhóm hack đã bị phát hiện sử dụng trang web kết nối kinh doanh để lập hồ sơ mục tiêu của họ. Nhưng ESET cho biết các nỗ lực hack thường được tiến hành qua email và đây là trường hợp đầu tiên được biết LinkedIn được sử dụng để lây truyền mã độc. LinkedIn cho biết họ đã xác định và xóa các tài khoản được sử dụng trong các cuộc tấn công.

Việc tin tặc sử dụng nền tảng truyền thông xã hội LinkedIn để liên lạc với các nạn nhân là điều không mới. Năm 2017, giới chức cộng đồng tình báo Đức đã đưa ra cảnh báo công khai về những gì họ nói là hàng ngàn hồ sơ LinkedIn giả mạo để thu thập thông tin về các mục tiêu phương Tây. Cơ quan Liên bang Bảo vệ Hiến pháp (BfV) của Đức đã tổ chức một cuộc họp báo tuyên bố họ đã phát hiện ra một nỗ lực trên diện rộng của các cơ quan gián điệp nước ngoài để thiết lập liên kết với người phương Tây.

Cơ quan này cho biết họ đã thực hiện một cuộc điều tra kéo dài 9 tháng, trong đó họ đã xác định được 10.000 công dân Đức đã liên lạc với các hồ sơ giả do các gián điệp nước ngoài điều hành trên LinkedIn. Trên khắp châu Âu, số lượng mục tiêu có thể lên tới hàng trăm ngàn, theo BfV. Các mục tiêu chính của hoạt động dường như là thành viên của nghị viện Đức và Liên minh châu Âu.

Trong nhiều trường hợp, các mục tiêu đã mở các tài liệu và máy tính bị nhiễm virus.

Cũng nhắm mục tiêu là các thành viên của lực lượng vũ trang, vận động hành lang và các nhà nghiên cứu tư nhân và nền tảng tư nhân ở Đức và trên khắp châu Âu. Giám đốc BfV Hans-Georg Maassen cho biết, những cá nhân này đều trở thành mục tiêu như một phần của nỗ lực xâm nhập vào Nghị viện, các bộ và cơ quan chính quyền.

Ông nói thêm rằng hồ sơ LinkedIn giả là của những người tự xưng là học giả, nhà tư vấn, nhà tuyển dụng cho các công ty không tồn tại hoặc thành viên của các nhóm chuyên gia. Hình ảnh hồ sơ của họ thường hấp dẫn trực quan và thường được lấy từ các catalogue thời trang hoặc các trang web về thời trang. Trong cuộc họp báo, các quan chức BfV đưa ra các ví dụ về những gì họ nói là các tài khoản LinkedIn giả mạo dưới tên “Rachel Li” và “Alex Li”. Cả hai tự nhận mình là chuyên gia tuyển dụng nhân tài cho một công ty có tên RiseHR và giám đốc dự án tại Trung tâm Nghiên cứu Phát triển Trung - Âu (CSEDS). Các thông tin trên các tài khoản này hoàn toàn là hư cấu, các quan chức BfV cho biết.

Các cá nhân được nhắm đến bao gồm các chính trị gia châu Âu và các nhà ngoại giao cao cấp. Nhiều người đã được mời tham dự các hội nghị được trả mọi chi phí hoặc các chuyến đi tìm hiểu thực tế ra nước ngoài đó. Kết thúc buổi họp báo, BfV kêu gọi các quan chức châu Âu kiềm chế đăng thông tin cá nhân trên phương tiện truyền thông xã hội, bao gồm LinkedIn, bởi vì các nhà hoạt động tình báo nước ngoài đang tích cực thu thập dữ liệu về thói quen trực tuyến và ngoại tuyến, liên kết chính trị, sở thích cá nhân và các sở thích khác.

Và năm 2018, một báo cáo bởi hai cơ quan tình báo chính của Pháp, Tổng cục An ninh nội bộ (DGSI) và Tổng cục An ninh đối ngoại (DGSE), đã cảnh báo về một mối đe dọa chưa từng có trước đây đối với an ninh sau gần 4.000 công chức, nhà khoa học và giám đốc điều hành cấp cao của Pháp được phát hiện đã bị các điệp viên nước ngoài gạ gẫm trên LinkedIn.

Duy Ân (Tổng hợp)
.
.