Báo cáo của Proofpoint cho biết, những nỗ lực cá nhân của các nhóm tấn APT được coi là có liên kết với một số quốc gia, tấn công vào các nhà báo. Các cuộc tấn công bắt đầu từ năm 2021 và vẫn đang tiếp diễn cho tới hiện nay.

Theo báo cáo, các APT đang hoạt động độc lập với nhau nhưng có chung mục tiêu là nhắm vào các nhà báo. Các chiến thuật cũng tương tự, với các tác nhân đe dọa nhắm mục tiêu vào email và các tài khoản mạng xã hội (MXH) giống như xâm nhập lừa đảo trong các chiến dịch gián điệp mạng.

Kẻ đe dọa tập trung vào các chiến dịch lừa đảo với mục tiêu thu thập thông tin xác thực, đánh cắp dữ liệu và giám sát kỹ thuật số các nhà báo.

Vẫn theo các nhà nghiên cứu, APT nhắm vào các nhà báo thường liên quan đến một số loại tấn công phi kỹ thuật (kiểu tấn công sử dụng các hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị.

Qua đó, kẻ tấn công có thể đạt được các mục đích của mình như xâm nhập vào hệ thống, truy cập thông tin quan trọng,… mà không cần phải thực hiện những kỹ thuật tấn công quá phức tạp) để hạ thấp sự cảnh giác của các mục tiêu, nhằm dụ họ tải xuống và thực thi các tải trọng (payload) độc hại khác nhau trên các thiết bị số cá nhân.

Các nhà nghiên cứu cho biết, chiêu dụ bao gồm email và tin nhắn được gửi qua các nền tảng MXH khác nhau về các chủ đề liên quan đến lĩnh vực trọng tâm của cá nhân một nhà báo.

Trong các trường hợp khác nhau, kẻ tấn công sẽ nói dối, đăng nhiễm phần mềm độc hại để đạt được mục tiêu tồn tại lâu dài trên hệ thống của người nhận, tiến hành trinh sát và phát tán thêm hần mềm độc hại trong hệ thống của mục tiêu. Các chiến thuật thứ cấp bao gồm, theo dõi các nhà báo. Proofpoint cho biết, tội phạm đã sử dụng các cảnh báo web được cài đặt trên thiết bị của nhà báo để thực hiện giám sát.

Trên thực tế, việc nhắm mục tiêu vào nhóm nhà báo không phải là điều mới mẻ. Các nhà nghiên cứu viết: "Tác nhân APT có khả năng sẽ luôn có nhiệm vụ nhắm mục tiêu đến các nhà báo và tổ chức truyền thông".

Hơn nữa, sự tập trung vào phương tiện truyền thông của các APT dường như chưa bao giờ suy giảm, điều này sẽ truyền cảm hứng cho các nhà báo phải làm mọi thứ có thể để bảo mật thông tin và dữ liệu nhạy cảm của họ.

Tấn công APT nhắm vào nhà báo ở Mỹ

Từ tháng 1 đến tháng 2/2021, các nhà nghiên cứu của Proofpoint đã xác định được 5 chiến dịch APT nhắm đến các nhà báo tại Mỹ.

Các nhà nghiên cứu cho biết, APT TA412, còn được gọi là Zirconium, nhắm mục tiêu vào các nhà báo có trụ sở làm việc tại Mỹ, đặc biệt là những người đưa tin về chính trị và an ninh quốc gia trong các sự kiện thu hút sự chú ý của quốc tế.

Cách thức thực hiện các chiến dịch phụ thuộc vào tình hình chính trị của Mỹ, và kẻ tấn công có chuyển mục tiêu hay không là tùy thuộc vào việc các nhà báo đang đưa tin về các chủ đề mà tội phạm mang quan tâm.

Proofpoint cho biết, một chiến dịch lừa đảo do thám đã xảy ra trong những ngày ngay trước cuộc tấn công ngày 6/1 vào tòa nhà Quốc hội Mỹ, kẻ tấn công đã tập trung đặc biệt vào Nhà Trắng và các phóng viên làm việc tại Washington trong khoảng thời gian này.

Kẻ tấn công đã sử dụng các dòng chủ đề lấy từ các bài báo gần đây tại Mỹ liên quan đến các chủ đề chính trị thích hợp ở cùng thời điểm, bao gồm các hành động của cựu Tổng thống Donald Trump, các phong trào chính trị tại Mỹ, và gần đây là lập trường của Mỹ đối với vấn đề Nga và cuộc chiến Ukraine, các nhà nghiên cứu nói.

Cơ hội việc làm giả

Các nhà nghiên cứu cũng quan sát thấy, TA404  (hay còn gọi là Lazarus) vào đầu năm 2022 đã nhắm mục tiêu vào một tổ chức truyền thông có trụ sở tại Mỹ với các cuộc tấn công lừa đảo: những cơ hội việc làm từ các công ty có uy tín cho các nhà báo.

Các nhà nghiên cứu viết về chiến dịch lừa đảo gần đây: "Nó bắt đầu với hoạt động do thám sử dụng các URL được tùy chỉnh cho từng người nhận. Các URL đã mạo danh một tin tuyển dụng với các trang đích được thiết kế để trông giống như một trang đăng tuyển dụng có thương hiệu".

Tuy nhiên, các trang web lừa đảo và các URL được trang bị để chuyển tiếp thông tin nhận dạng về máy tính hoặc thiết bị của kẻ tấn công để cho phép máy chủ lưu trữ theo dõi mục tiêu đã định, các nhà nghiên cứu cho biết.

Nhắm mục tiêu vào thông tin đăng nhập Twitter

Chiến dịch APT TA482 được quan sát bởi Proofpoint. Theo các nhà nghiên cứu, APT đã tích cực nhắm mục tiêu vào các nhà báo từ đầu năm 2022, thông qua tài khoản Twitter trong nỗ lực đánh cắp thông tin xác thực của các nhà báo và tổ chức truyền thông chủ yếu có trụ sở tại Mỹ.

Các chiến dịch sử dụng email lừa đảo thường liên quan đến bảo mật Twitter - cảnh báo người dùng về một đăng nhập đáng ngờ - để thu hút sự chú ý của người nhận, đưa họ đến trang thu thập thông tin xác thực mạo danh Twitter nếu họ nhấp vào liên kết.

Các APT đặc biệt tích cực trong các cuộc tấn công chống lại các nhà báo và báo chí, thường đóng giả chính các nhà báo để tham gia giám sát các mục tiêu và thu thập thông tin của họ, Proofpoint cho biết.

Một trong những thủ phạm tích cực nhất của các cuộc tấn công này là TA453, được gọi là Charming Kitten, một nhóm khét tiếng có liên kết với các nỗ lực thu thập thông tin tình báo, Proofpoint cho biết.

Nhóm này nổi tiếng với việc giả dạng các nhà báo từ khắp nơi trên thế giới để nhắm mục tiêu vào các nhà báo, học giả và các nhà nghiên cứu bằng cách tham gia thảo luận về chính sách đối ngoại hoặc các chủ đề khác, sau đó họ sẽ được mời tham dự một cuộc họp ảo thông qua một tệp PDF tùy chỉnh nhưng lành tính.

Tuy nhiên, PDF - thường được phân phối từ các dịch vụ lưu trữ tệp - hầu như luôn chứa liên kết đến trình rút ngắn URL và trình theo dõi IP chuyển hướng mục tiêu đến các miền thu thập thông tin xác thực do tác nhân kiểm soát, các nhà nghiên cứu cho biết.

TA456, còn được gọi là Tortoiseshell, là một tác nhân đe dọa khác thường đóng vai trò là các tổ chức truyền thông để nhắm mục tiêu vào các nhà báo bằng các email theo chủ đề bản tin có chứa các cảnh báo web có thể theo dõi mục tiêu.

Một "nhân vật" khác, TA457, đã ẩn sau danh nghĩa của một tổ chức truyền thông giả mạo có tên là "iNews Reporter" để phát tán phần mềm độc hại đến các nhân viên quan hệ công chúng của các công ty có văn phòng đặt tại Hoa Kỳ, Israel và Ả Rập Saudi, các nhà nghiên cứu cho biết. Trong khoảng từ tháng 9/2021 đến tháng 3/2022, Proofpoint đã quan sát thấy các chiến dịch tấn công thường xảy ra khoảng 2 - 3 tuần/lần. Trong một chiến dịch diễn ra vào tháng 3/2022, TA457 đã gửi một email kèm trojan truy cập từ xa vào máy của nạn nhân.

 Nhật Bình