Kaspersky đã xác định vụ việc này có liên quan tới một nhóm hacker tấn công có chủ đích (APT) TA428 của Trung Quốc. Nhóm này được biết đến với các hành vi trộm cắp thông tin và hoạt động gián điệp, tấn công các tổ chức ở châu Á và Đông Âu.
Nhóm hacker đã xâm nhập thành công hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng Công nghệ thông tin bằng cách tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.
Các nhà nghiên cứu của Kaspersky ICS CERT cho biết:
“Cuộc tấn công nhắm vào các nhà máy công nghiệp, phòng thiết kế, viện nghiên cứu, cơ quan chính phủ, bộ, ban ngành ở một số quốc gia Đông Âu (Belarus, Nga và Ukraine), cũng như Afghanistan”.
"Phân tích thông tin thu được trong quá trình điều tra các vụ tấn công cho thấy hoạt động gián điệp mạng là mục tiêu của hàng loạt cuộc tấn công này."
Để đạt được mục đích của mình, TA428 đã sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức bị nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc hậu thuẫn điều phối vào tháng 4 năm 2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, TA428 đã cài đặt phần mềm độc hại bổ sung được liên kết với TA428 trước đây như: nccTrojan, Logtu, Cotx, DNSep và một phần mềm độc hại hoàn toàn mới có tên CotSam. Backdoor mới cho phép hacker thu thập và đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai CotSam, hacker đã đưa vào một phiên bản Microsoft Word độc hại cùng với các mã độc tương ứng với hai phiên bản Microsoft Word 2007 trên hệ thống 32 bit và Microsoft Word 2010 trên hệ thống 64 bit.
Sau khi tấn công vào mạng của nạn nhân bằng cách sử dụng các công cụ có khả năng rò quét, tìm kiếm và khai thác lỗ hổng, bẻ khóa mật khẩu, hacker đã chiếm được đặc quyền miền và thu thập được nhiều thông tin bí mật. Tiếp theo, chúng được gửi đến các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Tất cả dữ liệu bị đánh cắp này đã được chuyển tiếp tới một máy chủ có địa chỉ IP Trung Quốc.
Liên hệ các vụ tấn công này với TA428, có thể thấy sự trùng lặp đáng kể về chiến thuật, kỹ thuật và quy trình (TTP) so với các cuộc tấn công trước đó của nhóm: Cùng một cách khai thác, cùng mục tiêu, thời gian hoạt động của phần mềm độc hại.
Các nhà nghiên cứu của Kaspersky kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
