Ngành bán dẫn Đài Loan liên tục bị tin tặc bên ngoài 'oanh tạc'

Công nghiệp bán dẫn Đài Loan, trụ cột quan trọng của nền kinh tế toàn cầu, đang đối mặt với làn sóng tấn công mạng từ nhiều nhóm tin tặc được cho là có sự hỗ trợ từ bên ngoài hòn đảo.

Các hacker muốn gây thiệt hại cho ngành bán dẫn Đài Loan

Các hacker muốn gây thiệt hại cho ngành bán dẫn Đài Loan

Các cuộc tấn công này không chỉ nhắm vào các công ty sản xuất mà còn mở rộng sang chuỗi cung ứng và các nhà phân tích đầu tư tài chính, làm dấy lên lo ngại về an ninh mạng trong bối cảnh cạnh tranh công nghệ toàn cầu ngày càng gay gắt.

Làn sóng tấn công mới

Theo báo cáo từ các nhà nghiên cứu an ninh mạng tại Proofpoint, ít nhất ba nhóm tin tặc mới, được theo dõi với các tên mã UNK_FistBump, UNK_DropPitch, và UNK_SparkyCarp, đã thực hiện các chiến dịch tấn công mạng nhắm vào ngành bán dẫn Đài Loan từ tháng 3 đến tháng 6 năm nay. Các mục tiêu gồm:

Các công ty sản xuất, thiết kế và kiểm thử chất bán dẫn (từ các nhà sản xuất vi mạch đến các công ty cung ứng thiết bị); chuỗi cung ứng (các đơn vị cung cấp dịch vụ và thiết bị hỗ trợ ngành bán dẫn); nhà phân tích đầu tư tài chính, đặc biệt là những người chuyên về thị trường bán dẫn Đài Loan.

Ngoài ra, một nhóm thứ tư, được gọi là UNK_ColtCentury (hay còn gọi là TAG-100, Storm-2077), cũng tham gia với chiến thuật xây dựng lòng tin trước khi triển khai phần mềm độc hại. Các nhóm này sử dụng các chiến thuật, kỹ thuật và quy trình (TTP) mới, khiến các nhà nghiên cứu tin rằng đây là những thực thể mới trong thế giới tội phạm mạng.

Chiến thuật tấn công đa dạng

Các nhóm tin tặc sử dụng nhiều công cụ và phương pháp khác nhau để xâm nhập, với email lừa đảo (phishing) là phương thức tiếp cận chính. Một số công cụ đáng chú ý bao gồm: Cobalt Strike - một công cụ tấn công mạng phổ biến, được sử dụng để triển khai các payload độc hại; Voldemort - một backdoor tùy chỉnh dựa trên ngôn ngữ C, sử dụng Google Sheets để liên lạc với máy chủ điều khiển (C2); HealthKick - một backdoor đơn giản có khả năng thực thi lệnh và truyền dữ liệu về máy chủ C2; Spark RAT - một Trojan truy cập từ xa (RAT) được nhóm UNK_ColtCentury sử dụng để duy trì quyền truy cập lâu dài.

UNK_FistBump: Nhóm này giả mạo sinh viên tốt nghiệp từ các đại học ở Đài Loan, sử dụng email từ tài khoản đại học bị xâm nhập để gửi các email lừa đảo theo chủ đề tuyển dụng. Các email này chứa tệp đính kèm PDF hoặc tệp nén được bảo vệ bằng mật khẩu, dẫn người dùng đến các tệp độc hại được lưu trữ trên các nền tảng như Zendesk hoặc Filemail. Một chiến dịch đặc biệt vào cuối tháng 5 sử dụng hai chuỗi lây nhiễm trong cùng một tệp nén, triển khai cả Cobalt Strike và Voldemort.

UNK_DropPitch: Nhắm vào các nhà phân tích đầu tư tại các ngân hàng lớn, giả mạo các công ty đầu tư giả để gửi email lừa đảo. Các email chứa liên kết đến tệp PDF, sau đó tải xuống tệp ZIP với payload DLL độc hại, triển khai backdoor HealthKick hoặc reverse shell TCP.

UNK_SparkyCarp: Tập trung vào đánh cắp thông tin đăng nhập thông qua các chiến dịch phishing sử dụng kỹ thuật adversary-in-the-middle (AiTM). Các email giả mạo cảnh báo bảo mật đăng nhập, dẫn người dùng đến các miền giả như accshieldportal[.]com. Nhóm này đã tấn công một công ty bán dẫn Đài Loan vào tháng 3 vừa qua, sau một nỗ lực tương tự vào tháng 11 năm ngoái.

UNK_ColtCentury: Sử dụng chiến thuật xây dựng lòng tin bằng cách gửi các email không độc hại đến nhân viên pháp lý tại các công ty bán dẫn, trước khi triển khai Spark RAT để duy trì quyền truy cập.

Mục tiêu chiến lược

Các nhà nghiên cứu tại Proofpoint cho rằng các cuộc tấn công này phản ánh mục tiêu chiến lược nhằm thu thập thông tin tình báo để hỗ trợ tham vọng tự chủ trong ngành bán dẫn. Ngành công nghiệp bán dẫn Đài Loan, vốn chiếm vị trí quan trọng trong chuỗi cung ứng công nghệ toàn cầu, là mục tiêu hấp dẫn do vai trò của nó trong việc sản xuất các vi mạch tiên tiến, đặc biệt là trong bối cảnh các hạn chế xuất khẩu từ Mỹ và Đài Loan.

Các chiến dịch này nhắm vào không chỉ các công ty sản xuất mà còn các nhà phân tích tài chính, cho thấy nỗ lực thu thập thông tin về cả khía cạnh kỹ thuật và tài chính của ngành. Điều này có thể giúp các tin tặc hiểu rõ hơn về chiến lược đầu tư và phát triển công nghệ của Đài Loan.

Mặc dù các chiến dịch này thể hiện sự tinh vi đáng kể, Proofpoint cho biết họ đã thông báo cho các tổ chức bị nhắm mục tiêu và chưa ghi nhận trường hợp xâm nhập thành công nào. Tuy nhiên, mối đe dọa vẫn đang tiếp diễn, với các nhóm tin tặc không ngừng điều chỉnh TTP để vượt qua các biện pháp bảo mật.

Các cuộc tấn công mạng này diễn ra trong bối cảnh căng thẳng địa chính trị gia tăng, đặc biệt liên quan đến các hạn chế xuất khẩu công nghệ bán dẫn từ Mỹ và Đài Loan. Những nỗ lực này có thể là một phần của chiến lược dài hạn nhằm giảm sự phụ thuộc vào chuỗi cung ứng quốc tế và tăng cường khả năng tự chủ công nghệ.

Ngành bán dẫn Đài Loan đang trở thành tâm điểm của các chiến dịch gián điệp mạng tinh vi, với các nhóm tin tặc sử dụng nhiều công cụ và chiến thuật để nhắm vào các công ty sản xuất, chuỗi cung ứng, và nhà phân tích tài chính. Sự phối hợp và mức độ tinh vi của các cuộc tấn công này nhấn mạnh tầm quan trọng của việc tăng cường an ninh mạng trong ngành công nghiệp chiến lược này.

Các tổ chức cần đầu tư vào những giải pháp bảo mật tiên tiến, nâng cao nhận thức của nhân viên về phishing, hợp tác với các chuyên gia an ninh mạng để bảo vệ tài sản trí tuệ và dữ liệu quan trọng trước các mối đe dọa ngày càng gia tăng.

Bùi Tú

Nguồn Một Thế Giới: https://1thegioi.vn/nganh-ban-dan-dai-loan-lien-tuc-bi-tin-tac-ben-ngoai-oanh-tac-235075.html
Zalo