Công ty an ninh mạng Check Point (Israel) cho biết nhóm tin tặc đứng sau chiến dịch tấn công có chủ đích này là Naikon APT, được cho là có nguồn gốc Trung Quốc. Mục tiêu của Naikon APT là thu thập thông tin của chính phủ các nước trong khu vực Đông Nam Á, như Việt Nam, Indonesia, Philippines, Thái Lan, Myanmar, Brunei, ngoài ra còn có Australia.
Check Point khẳng định có bằng chứng cho thấy nhóm tin tặc này đang gia tăng hoạt động gián điệp trở lại từ cuối năm 2019 và trong quý I/2020. Hãng phát hiện chiến dịch khi tìm hiểu một email đính kèm file có tên The Indians Way.doc chứa mã độc, được gửi từ một đại sứ quán trong khu vực châu Á - Thái Bình Dương tới một cơ quan chính phủ Australia.
Naikon nổi tiếng từ 2015 sau khi thực hiện hàng loạt cuộc tấn công APT vào các tổ chức trọng yếu của chính phủ nhiều nước châu Á, nhưng sau đó "biến mất", ít được nhắc tới.
Thông qua cửa hậu có tên Aria-body, Naikon có thể vượt qua các phần mềm bảo mật, kiểm soát từ xa, sao chép, xóa hoặc tạo file trên các máy tính bị nhiễm mã độc. "Chúng không chỉ thu thập tài liệu từ máy tính và mạng bị nhiễm trong các cơ quan chính phủ, mà còn trích xuất các ổ dữ liệu di động, chụp màn hình, ghi lại nhật ký bàn phím...", Check Point mô tả.
Công ty an ninh mạng Việt Nam VSEC cho biết, Naikon vẫn dùng phương thức tấn công phổ biến là gửi email "mồi nhử" kèm file chứa mã độc. Khi nạn nhân mở email, máy tính tự động cài phần mềm gián điệp, giúp hacker thu thập thông tin, đánh cắp tài liệu nhạy cảm và tấn công các máy tính khác trong cùng hệ thống... Tinh vi hơn, sau khi thu thập thông tin, Naikon còn biến cơ sở hạ tầng và máy chủ bị nhiễm backdoor của nạn nhân làm máy chủ C2 để tiến hành các cuộc tấn công mới, nhắm vào các mục tiêu khác trong chính phủ.
Theo ông Trương Đức Lượng, chuyên gia bảo mật của VSEC, sự trở lại của Naikon cho thấy những mối đe doạ mới về an ninh mạng, vì nhiều khả năng, nhóm hacker này không ngồi yên mà đã âm thầm nghiên cứu các kỹ thuật tấn công mới, tinh vi và nguy hiểm hơn trong 5 năm qua.
Trước đó, nhóm tin tặc APT30 cũng sử dụng phần mềm chứa mã độc để tiếp cận hàng loạt máy tính "chứa thông tin tình báo quan trọng về chính trị, kinh tế, quân sự" ở châu Á, chủ yếu là tại là Việt Nam, Thái Lan, Hàn Quốc, Malaysia và Ấn Độ. Chiến dịch gián điệp này kéo dài 10 năm trước khi bị công ty bảo mật FireEye phát hiện vào năm 2015.