Nhóm tin tặc mang biệt danh ATP28 đang là đối tượng trong một báo cáo phân tích đưa ra hôm thứ Tư do FireEye, một hãng an ninh tin học, thực hiện.
Báo cáo này tiếp nối một báo cáo từ năm ngoái của công ty con Mandiant của FireEye, trong đó nêu chi tiết các hoạt động của nhóm ATP1 của Trung Quốc.
Các hoạt động của ATP28 tinh vi và ngấm ngầm hơn rất nhiều so với các tin tặc Trung Quốc, theo FireEye.
“Các đặc điểm của ATP28 – mục tiêu của họ, malware (phần mềm độc hại), ngôn ngữ và giờ làm việc của họ – đã đưa chúng tôi đến kết luận rằng, chúng tôi đang lần theo một hoạt động gián điệp lâu đời. Dựa trên những dữ liệu khả dụng, chúng tôi đánh giá rằng, công việc ATP28 được hỗ trợ bởi chính phủ Nga”, báo cáo viết.
Bộ Ngoại giao Nga không bình luận về báo cáo nhưng phát biểu: “Chính phủ Nga không hỗ trợ các tin tặc”.
Các chuyên gia kỹ thuật FireEye có thể gán một số chương trình gián điệp có cùng chung DNA số cho nhóm tin tặc này. Trong những mục tiêu của những chiến lược dài hạn do ATP28 thực hiện có: chính phủ Ba Lan, Hungary và Georgia, Nato, Ủy ban Châu Âu, Tổ chức An ninh và Hợp tác ở Châu Âu và hàng chục các tùy viên quân sự, bao gồm các cá nhân làm việc tại cơ quan quân sự Mỹ, Anh, Canada và Na Uy.
“Thời gian hoạt động của những chương trình này cho thấy họ không phải là kiểu tấn công đã từng xuất phát từ phần lớn các tổ chức tội phạm tin học... đây là những chiến lược dài hạn có mục tiêu”, Greg Day, giám đốc công nghệ của khu vực châu Âu và Trung Đông của FireEye cho biết. “Có cả một cơ cấu các cấu phần được sử dụng để lấy trộm những tin tình báo và thông tin cực kỳ nhạy cảm”.
Một dấu hiệu nhận biết của các cuộc tấn công đó là những “mồi nhử” nhằm truy cập vào trong các hệ thống máy tính của một tổ chức được thiết kế riêng rẽ theo cách đánh lừa các cá nhân – cho thấy các các dữ liệu đầu vào được lấy từ một hệ thống tập hợp các thông tin tình báo kết hợp với tâm lý con người. Những mồi nhử như vậy bao gồm cả những tấn công “phishing” tinh vi – loại tấn công mà các malware được ẩn dưới dạng các emails giả mạo – cũng như các tấn công tên miền giả trong đó các nạn nhân bị lừa truy cập vào các website giả mạo.
“Đây là một trong những báo cáo đầu tiên nói đặc biệt về gián điệp tin học Nga”, Peter Roberts, cựu sĩ quan Hải quân Hoàng gia Anh và là sĩ quan tình báo, hiện đang là nghiên cứu sinh tại nhóm chuyên gia cố vấn Rusi nhận xét. “Cho tới nay, sự tập trung vẫn dồn vào Trung Quốc – nhưng Nga thực sự là tay chơi cao cấp hơn nhiều”.
“Nga đã hiệu quả hơn nhiều trong việc kết hợp gián điệp tin học vào một chiến dịch mang tính chiến dịch địa chính trị to lớn – không chỉ mang tính quân sự, mà cả kinh tế và chính trị. Họ cũng mưu lược hơn. Cách họ theo sau các tổ chức có mục tiêu rõ ràng hơn, và tài tình hơn”.
Nhiều vũ khí gián điệp tin học được liên hệ ít nhiều tới Nga trong năm ngoái, khi mà khoảng cách giữa Moscow và Nato và các đồng minh sau khủng hoảng ở Ukraine đã rộng thêm.
Những malware “snake”, còn được gọi là các “ouroboros”, đã tấn công hàng chục hệ thống máy tính của chính quyền Ukraine và trên khắp vùng Tây Âu được liên hệ tới chính quyền Nga trong tháng 3. Trong tháng 6, một loạt malware khác, được biết dưới tên “energetic bear” (tạm dịch: chú gấu mạnh mẽ), xuất hiện và xâm nhập và các công ty năng lượng châu Âu, cũng được liên hệ tới các tin tặc người Nga.
