Hơn 1.600 email giả mạo cơ quan thuế đang âm thầm xâm nhập các tổ chức tại Ấn Độ và Nga. Đây không phải những thông báo thuế thông thường mà là vũ khí điện tử của Silver Fox - nhóm tin tặc được Trung Quốc hậu thuẫn. Chúng tôi cho rằng đây là một trong những chiến dịch tấn công có chủ đích (APT) tinh vi nhất từ trước đến nay. Các chuyên gia bảo mật vừa phát hiện ra backdoor ABCDoor hoàn toàn mới, chưa từng xuất hiện trong bất kỳ báo cáo nào.

Chiến thuật ngụy trang tinh vi của Silver Fox

Silver Fox đã chọn chủ đề thuế làm mồi nhử - một chủ đề luôn khiến các tổ chức phải chú ý. Social engineering (kỹ thuật lừa đảo tâm lý) này khai thác tâm lý lo lắng về vấn đề thuế của các doanh nghiệp. Các email được thiết kế cực kỳ chuyên nghiệp, mô phỏng chính xác giao diện và ngôn ngữ của cơ quan thuế địa phương. Tỷ lệ thành công của chúng cao đến mức báo động.

Sau khi nạn nhân mở file đính kèm, hệ thống sẽ âm thầm tải xuống ba loại malware (phần mềm độc hại) chính: ABCDoor, ValleyRAT và các công cụ gián điệp khác. ABCDoor hoạt động như một cánh cửa hậu (backdoor) cho phép tin tặc truy cập từ xa vào hệ thống bất cứ lúc nào. ValleyRAT là công cụ điều khiển từ xa (Remote Access Trojan) giúp thu thập thông tin nhạy cảm. Chúng tôi đánh giá đây là sự kết hợp malware nguy hiểm bậc nhất hiện tại.

Công nghệ tấn công thế hệ mới đáng lo ngại

ABCDoor sử dụng kỹ thuật che giấu (stealth) tiên tiến, tránh được hầu hết các phần mềm diệt virus truyền thống. Nó tạo ra các kết nối mạng giống như traffic (lưu lượng mạng) bình thường, khiến các hệ thống giám sát khó phát hiện. Malware này còn có khả năng tự cập nhật và tải thêm các module (mô-đun) chức năng mới từ máy chủ điều khiển. Điều này cho phép tin tặc mở rộng khả năng tấn công mà không cần gửi email mới.

ValleyRAT bổ sung thêm khả năng thu thập dữ liệu tự động. Nó có thể chụp ảnh màn hình, ghi lại thao tác bàn phím (keylogger), truy cập webcam và microphone mà người dùng không hề biết. Theo phân tích kỹ thuật của chúng tôi, RAT này đặc biệt nhắm vào các file tài liệu quan trọng như hợp đồng, báo cáo tài chính và thông tin khách hàng. Khả năng hoạt động ẩn danh của nó có thể kéo dài nhiều tháng mà không bị phát hiện.

Tầm ảnh hưởng nghiêm trọng đến an ninh kinh tế

Chiến dịch này nhắm vào các lĩnh vực chiến lược như tài chính, năng lượng, viễn thông và chính phủ điện tử. Việc Trung Quốc chọn Ấn Độ và Nga làm mục tiêu không phải ngẫu nhiên - đây là hai đối tác quan trọng trong liên minh BRICS và có nhiều dự án hợp tác kinh tế lớn. Thông tin thu thập được có thể phục vụ cho mục đích gián điệp kinh tế và chính trị. Chúng tôi ước tính thiệt hại có thể lên đến hàng trăm triệu USD nếu không được ngăn chặn kịp thời.

Tại Việt Nam, các chuyên gia an ninh mạng cũng ghi nhận xu hướng tấn công tương tự gia tăng. Cục An toàn thông tin (Bộ TT&TT) báo cáo số vụ tấn công APT nhắm vào các cơ quan Nhà nước và doanh nghiệp lớn tăng 40% trong năm qua. Phương thức giả mạo cơ quan thuế đã xuất hiện ở Việt Nam với ít nhất 50 trường hợp được ghi nhận trong tháng qua.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Các tổ chức cần triển khai ngay các biện pháp phòng thủ đa lớp. Bước đầu tiên là cập nhật tất cả phần mềm bảo mật và hệ điều hành lên phiên bản mới nhất. Thiết lập chính sách không mở file đính kèm từ email lạ, đặc biệt là những email về thuế hoặc pháp lý. Sử dụng sandbox (môi trường cách ly) để kiểm tra file đáng ngờ trước khi mở trên hệ thống chính. Triển khai giải pháp EDR (Endpoint Detection and Response) để phát hiện các hoạt động bất thường.

Đào tạo nhân viên nhận biết email lừa đảo là nhiệm vụ cấp bách. Tổ chức các buổi diễn tập tấn công giả định (phishing simulation) hàng tháng. Xây dựng quy trình báo cáo sự cố bảo mật nhanh chóng và minh bạch. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên hợp tác với các công ty an ninh mạng uy tín để đánh giá và nâng cấp hệ thống bảo mật. Thời gian vàng để ngăn chặn các cuộc tấn công tương tự đang dần cạn kiệt.