Các nhà nghiên cứu của công ty Proofpoint vừa tung ra một báo cáo cho biết nhiều nhóm tin tặc APT (tấn công có chủ đích) đã giả dạng hay tấn công các nhà báo để xâm nhập trái phép các thông tin không công bố, có thể giúp mở rộng hoạt động gián điệp của tin tặc. Cũng theo báo cáo này, các nhà báo và tổ chức truyền thông sẽ tiếp tục là mục tiêu thường xuyên của các tin tặc tấn công theo tình hình thời sự trên thế giới.

Proofpoint đã theo dõi hoạt động của nhiều nhóm tin tặc có nguồn gốc từ Trung Quốc, Triều Tiên, Iran và Thổ Nhĩ Kỳ từ năm 2021 đến nay.

Nhóm tin tặc có liên quan Trung Quốc có biệt danh Zirconium (TA412) được xác nhận là đã tấn công các nhà báo Mỹ kể từ đầu năm 2021 với các email có chứa phần mềm theo dõi sẽ thông báo cho tin tặc mỗi khi nhà báo bị tấn công xem tin nhắn. Thủ đoạn đơn giản này cũng cho phép tin tặc lấy được địa chỉ IP công cộng của nạn nhân, từ đó có thể thu thập thêm thông tin như vị trí của nạn nhân và nhà cung cấp dịch vụ ISP.

Hồi tháng 2-2022, nhóm tin tặc Zirconium tiếp tục các chiến dịch với thủ đoạn như cũ nhắm vào các nhà báo đưa tin về cuộc xung đột Nga- Ukraine.

Tháng 4-2022, Proofpoint phát hiện nhóm tin tặc APT Trung Quốc khác, TA459, tấn công các nhà báo bằng các tập tin RTF có đính kèm phần mềm độc hại Chinoxy. Nhóm tin tặc này chủ yếu nhắm vào nhà báo và tổ chức truyền thông đưa tin về chính sách đối ngoại ở Afghanistan.

Nhóm tin tặc Triều Tiên TA404 bị phát hiện là đã tấn công các nhân sự ngành truyền thông trong khoảng thời gian từ tháng 3 đến tháng 5-2022, với thủ đoạn sử dụng các thông báo tuyển dụng giả làm “mồi câu”.

Nhóm tin tặc Thổ Nhĩ Kỳ TA482 bị phát hiện đã tiến hành nhiều chiến dịch thu thập thông tin cá nhân, nhằm chiếm đoạt tài khoản mạng xã hội của các nhà báo.

Tuy nhiên, không phải tất cả tin tặc đều chiếm đoạt tài khoản của các nhà báo. Thay vào đó, một số tin tặc giả dạng nhà báo để tiếp cận các nguồn tin trực tiếp.  

Proofpoint phát hiện thủ đoạn này chủ yếu từ các nhóm tin tặc Iran như TA453, giả danh các nhà báo gởi email cho các học giả và chuyên gia chính sách Trung Đông để thu thập thông tin. Một trường hợp khác là nhóm tin tặc TA456, giả dạng thư tin của báo Guardian hay Fox News, gởi email với mục đích phát tán phần mềm độc hại.

Proofpoint cũng đặc biệt khuyến cáo nhóm tin tặc Iran TA457, trong khoảng thời gian tháng 9-2021 đến tháng 3-2022, đã thường xuyên mở nhiều chiến dịch nhắm vào giới truyền thông cách 2-3 tuần.

Proofpoint nhận định các nhóm tin tặc APT sẽ còn tiếp tục nhắm vào các nhà báo với các thủ đoạn lừa đảo, phần mềm độc hại, và nhiều thủ đoạn sử dụng tình hình thời sự làm mồi câu khác. Tuy nhiên, các tổ chức truyền thông và nhân viên của họ không phòng vệ, và có thể trở thành nạn nhân của tin tặc, dẫn đến bị cướp mất khả năng tiếp cận nguồn tin quan trọng.

LÊ PHI (Theo Bleeping Computer)