Hacker nguồn gốc Trung Quốc tấn công quy mô lớn vào các công ty game trong đó có Việt Nam

Các cuộc tấn công vào các công ty phát triển và phát hành game, đặc biệt là các game trực tuyến nhiều người chơi (MMORPG), trong đó có cả ở Việt Nam dường như đều liên quan tới cái tên "Winnti".
Kaspersky Lap đã bắt đầu cuộc nghiên cứu này vào mùa thu năm 2011, và mục đích của cuộc nghiên cứu là để tìm hiểu về một chuỗi các cuộc tấn công vào các công ty tư nhân trên toàn thế giới. Trong cuộc nghiên cứu này, Kaspersky đã phát hiện ra hành động của một nhóm hacker có xuất xứ từ Trung Quốc và đặt tên là “Winnti”.

Theo như dự đoán, nhóm này đã hoạt động rất nhiều năm và chuyên thực hiện các cuộc tấn công vào ngành công nghiệp trò chơi điện tử. Mục đích chính là đánh cắp mã nguồn của các dự án game trực tuyến và bản quyền số của các phần mềm hợp pháp. Thêm vào đó, chúng còn rất “hứng thú” với việc tìm hiểu quá trình sản xuất các máy chủ dành cho game trực tuyến và còn nhiều thứ khác nữa.

Bắt đầu…

Vào mùa thu năm 2011, một Trojan đã được phát hiện trên một số lượng máy tính khổng lồ, tất cả đều có điểm chung là được sử dụng bởi người chơi của “một game online nổi tiếng”. Dường như, Trojan này đã xâm nhập vào máy tính của người sử dụng thông qua các bản cập nhập chính thức của game. Đã có nhiều nghi ngờ về việc nhà phát hành tự ý theo dõi người chơi của mình. Tuy nhiên, cuối cùng, mục tiêu của Trojan này lại không phải là máy tính của người dùng mà chính là máy chủ của các công ty phát triển và phát hành game. Chúng cho phép tội phạm mạng có khả năng khống chế toàn bộ máy tính mà chủ nhân không hề hay biết.

Bước đầu, Kaspersky đã nhận diện được một vài loại backdoors tương tự, cả ở nền tảng 32-bit lẫn 64-bit trong thư viện của mình. Chúng tôi đã nhóm chúng lại thành những nhóm riêng biệt. Symantec là công ty đầu tiên đặt tên cho loại phần mềm gián điệp này với tên gọi “Winnti”, và với những người đứng đằng sau các cuộc tấn công này, chúng tôi gọi chúng là “nhóm Winnti”.

Có một điều thú vị là dường như nó có liên quan tới một công ty được gọi là KOG, có nguồn gốc từ Hàn Quốc với ngành nghề kinh doanh chính là game trực tuyến (MMORPG). Chúng tôi đã liên lạc với KOG và thông báo cho Verisign, kết quả, chứng chỉ số đã bị thu hồi.

Chứng chỉ số bị đánh cắp (Stolen Digital Certificates)​

Khi chúng tôi khám phá ra chứng chỉ số bị đánh cắp, chúng tôi không hề nhận ra rằng việc đánh cắp này và gắn chúng vào các malware dành cho những cuộc tấn công tiếp theo chính là phương pháp của nhóm tội phạm mạng này. Trong 18 tháng tiếp theo, chúng tôi đã tìm thấy một loạt các chứng chỉ số tương tự khác. Hơn thế nữa, chúng tôi nhận thấy rằng những chứng chỉ số này cũng được sử dụng trong các cuộc tấn công của các nhóm hacker khác, chủ yếu có nguồn gốc từ Trung Quốc.

…Và các nạn nhân…

Như đã nói ở trên, mục tiêu của Winnti không phải một cơ quan chính phủ, chính trị, quân đội hay công nghiệp nào mà chính là các công ty phát triển và phát hành game. Thực sự rất khó để kể tên hết các “nạn nhân” của nhóm Winnti. Theo đánh giá từ thông tin mà chúng tôi có thì có ít nhất 35 công ty đã bị nhiễm loại malware này tại nhiều thời điểm khác nhau. Và mục tiêu của chúng cũng rải rác trên toàn thế giới.

​

Mức độ phổ biến của chúng thực sự đáng ngạc nhiên. Thông thường, những công ty về game (cả phát triển lẫn phát hành) đều là những công ty đa quốc gia, có văn phòng trên toàn thế giới. Và việc các công ty liên kết hợp tác với nhau cũng không phải là lạ. Theo như thỏa thuận, các công ty liên kết thường cho phép đối tác có thể trao đổi dữ liệu về game, các bộ công cụ, mã nguồn v..v…Nếu như chỉ cần một công ty nhiễm mã độc, thì mã độc này sẽ lan ra toàn thế giới.

Các cuộc tấn công có nguồn gốc từ đâu?

Câu hỏi đặt ra là: “Ai là kẻ đứng đằng sau Winnti?”. Khi nghiên cứu, phân tích các file mã độc, chúng tôi đã tìm thấy thứ có thể sáng tỏ câu hỏi trên. Kaspersky Lab đã mô tả lại cách thức bọn tội phạm mạng tấn công các máy tính, và sau khi giải mã, chúng tôi phát hiện được những ký tự Trung Hoa và bọn tội phạm cũng sử dụng chương trình AheadLib để tạo thư viện mã độc, và chương trình này cũng có giao diện…tiếng Trung. Có vẻ như, những tên tội phạm này ít nhất cũng biết tiếng Trung, tuy nhiên, chưa thể khẳng định chắc chắn điều gì cả.

​

Kết luận

Những nghiên cứu của chúng tôi đã phát hiện ra một âm mưu lâu dài về những cuộc tấn công quy mô lớn của các nhóm hacker có nguồn gốc từ Trung Quốc. Những cuộc tấn công này thực sự không mới, mặc dù vậy, nhóm hacker này đã thực sự nổi bật cho với số còn lại bằng cách: Đánh cắp chứng chỉ số và sử dụng chứng chỉ này để tấn công các công ty khác và lặp lại quy trình trên, lợi dụng sự đa dạng của internet để chi sẻ, bán các chứng chỉ số này cho các nhóm hacker khác và trên hết, chúng đánh cắp mã nguồn và các tài sản trí tuệ của các công ty phát hành game. Mọi nghi ngờ lúc này đều đổ dồn vào các nhóm hacker có nguồn gốc từ Trung Quốc.

Theo Securelist/Infogame​