Nhóm tin tặc Winnti đánh cắp hàng nghìn tỷ tài sản trí tuệ

09:15 | 13/06/2022

Trong một cuộc điều tra, Cybereason (công ty công nghệ an ninh mạng có trụ sở tại Hoa Kỳ) phát hiện nhóm tin tặc Winnti đã tiến hành chiến dịch mang tên CuckooBees mà không bị phát hiện kể từ ít nhất là năm 2019, chiến dịch này có khả năng đã thu được hàng ngàn GB tài sản trí tuệ và thông tin nhạy cảm của hàng chục công ty lớn trên toàn cầu.

Nhóm tin tặc Winnti hay có tên gọi khác là APT 41 đã có một chiến dịch gián điệp mạng toàn cầu, nhắm vào các nhà sản xuất trong lĩnh vực quốc phòng, vũ trụ, công nghệ sinh học và y học trên khắp Bắc Mĩ, châu Âu và châu Á. Nhóm tin tặc này đã tồn tại ít nhất kể từ 2010 và được cho là hoạt động chuyên về gián điệp mạng và trộm cắp tài sản trí tuệ nhân danh lợi ích chính phủ Trung Quốc. Đây được cho là một trong những chiến dịch tấn công mạng lớn nhất của Trung Quốc.

Lior Div Cybereason, Giám đốc điều hành và đồng sáng lập của Cybereason cho biết: “Nghiên cứu về chiến dịch CuckooBees là kết quả của cuộc điều tra kéo dài 12 tháng đã làm nổi bật những nỗ lực phức tạp và sâu rộng của nhóm tin tặc Winnti, được chính phủ Trung Quốc tài trợ nhằm chiếm đoạt và lẩn trốn cùng hàng loạt thông tin độc quyền từ các tổ chức trên thế giới. Điều đáng báo động nhất là các công ty không hề biết rằng họ đã bị vi phạm dữ liệu và năm 2019 một số còn cấp quyền cho Winnti truy cập trực tiếp vào những tài sản trí tuệ, thiết kế và những thông tin độc quyền”.

  Các phát hiện quan trọng về chiến dịch CuckooBees bao gồm:

  • Phần mềm độc hại mới được phát hiện và một chuỗi lây nhiễm nhiều giai đoạn: Nghiên cứu này đã kiểm tra các phần mềm độc hại đã biết và chưa được phát hiện trước đây của Winnti, trong đó bao gồm phầm mềm che giấu cấp độ hạt nhân được kí điện tử và một chuỗi lây nhiễm nhiều giai đoạn phức tạp nhằm cho phép chiến dịch CuckooBees không bị phát hiện từ 2019.
  • Kịch bản xâm nhập của Winnti: Nghiên cứu đưa ra một cái nhìn độc đáo về kịch bản xâm nhập của Winnti, chỉ ra chi tiết những chiến thuật phổ biến nhất và những kỹ thuật lẩn tránh ít được biết đến qua những quan sát trong cuộc điều tra.
  • Khám phá về phần mềm độc hại trong kho của Winnti: Những báo cáo đã phơi bày về một phần mềm độc hại chưa được kiểm chứng mang tên DEPLOYLOG được dùng bởi nhóm tin tặc Winnti và làm nổi bật những phiên bản đã biết của các phần mềm độc hại của Winnti bao gồm Spyder Loader, PRIVATELOG và WINNKIT
  • Lạm dụng tính năng CLFS của Windows: Winnti đã tận dụng cơ chế CLFS của Windows và các thao tác dịch NTFS, cho phép chúng che giấu các tải trọng độc hại tránh bị các sản phẩm bảo mật truyền thống phát hiện.
  •  Liên kết phân phối tải trọng phức tạp: Các báo cáo bao gồm bản phân tích về chuỗi lây nhiễm tinh vi dẫn đến triển khai phần mềm che giấu  WINNKIT bao gồm các thành phần liên kết lẫn nhau. Tin tặc đã thực hiện một cách tiếp cận tinh vi “house of card” – nơi các tập tin đều phụ thuộc vào nhau để hoạt động bình thường, làm cho việc xem xét từng thành phần trở nên vô cùng khó khăn.

Quyền sở hữu trí tuệ rất cần thiết cho nền kinh tế toàn cầu. Bằng sáng chế, bản quyền và nhãn hiệu được tôn trọng và thực thi trên khắp thế giới vì các quốc gia nhận ra rằng những đổi mới cùng nỗ lực nghiên cứu và phát triển đưa chúng ra thị trường xứng đáng được khen thưởng.

Khi tài sản trí tuệ bị đánh cắp, nó làm suy yếu nền kinh tế và buộc chủ sở hữu tài sản phải cạnh tranh với sự đổi mới của chính họ. Mặc dù khó có thể xác định chính xác tác động kinh tế của hành vi trộm cắp tài sản trí tuệ, nhưng hoạt động này đặc biệt làm tổn thất về kinh tế và có thể gây ra hậu quả trong nhiều năm tới.

securitymagazine.com/articles/97549-winnti-apt-group-stole-trillions-in-intellectual-property