Vào năm 2019, tại Hội nghị RSA được tổ chức tại Hoa Kỳ, công ty Veloxity (Hoa Kỳ) đã có một bài thuyết trình nhằm cung cấp thông tin về nguồn gốc và các hoạt động của OceanLotus. Đáng chú ý, Veloxity tiết lộ rằng, OceanLotus đã thiết lập và điều hành nhiều trang web cung cấp tin tức và thông tin về chống tham nhũng trong nhiều năm qua. Thoạt nhìn, các trang web giả mạo rất giống với các trang web chính thức đang hoạt động. Nhưng OceanLotus có toàn quyền kiểm soát việc theo dõi và tấn công khách truy cập các trang web giả mạo này. Trong số này có cả Facebook giả mạo với hơn 20.000 người theo dõi.

Ngay sau khi bài thuyết trình được đưa ra, các trang web giả mạo đã bị đóng cửa hoặc dừng hoạt động. Nhưng vào đầu năm 2020, các nhà nghiên cứu đã phát hiện một chiến dịch lớn sử dụng rất nhiều các trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng các nước láng giềng Việt Nam.

Các trang web tin tức vận hành bởi OceanLotus

Trong suốt thời gian qua, các chuyên gia tại Volexity đã xác định được nhiều trang web tin tức bằng tiếng Việt dường như đã bị xâm nhập, sử dụng để tải xuống một bộ công cụ của OceanLotus. Tính năng của mỗi bộ công cụ khác nhau trên các website, nhưng mục tiêu chung nhằm thu thập thông tin về người dùng truy cập trang web. Trong một số trường hợp, chúng phát tán các phần mềm độc hại.

Tuy nhiên, khi kiểm tra kỹ hơn các trang web, các chuyên gia nhận thấy các trang web không bị xâm nhập, thay vào đó chúng được tạo và vận hành bởi OceanLotus. Mỗi trang web đều được đầu tư rất nhiều công sức để xây dựng. Chúng có rất nhiều chủ đề, nội dung, thậm chí cả hình ảnh và khẩu hiệu tùy chỉnh. Các trang tin tức này chứa nhiều nội dung, tuy nhiên không chuyển hướng độc hại và có đầy đủ các menu chỉ mục. Chỉ một số ít các bài báo cụ thể trong mỗi trang web có chứa nội dung độc hại. Các trang web khác nhau về chủ đề, với một số tập trung vào tin tức Việt Nam trong khi những trang khác tập trung vào tin tức theo chủ đề xung quanh các quốc gia Đông Nam Á.

Dưới đây là danh sách các trang web bạn đọc cần lưu ý trước khi truy cập.

• Baodachieu[.]com: Trang web này đăng tải các tin tức tổng hợp và được viết bằng tiếng Việt. Trang web có một logo và khẩu hiệu cho biết trang này đang đăng tải những tin tức mà người khác muốn che giấu.
• Baomoivietnam[.]com: Trang web này bao gồm các tin tức tổng hợp và viết bằng tiếng Việt. Trang chủ hiển thị logo tùy chỉnh và dòng giới thiệu trang cung cấp các tin tức ngắn và đáng tin cậy.
• Nhansudaihoi13[.]org: Nội dung trang web đưa tin về Đại hội đại biểu toàn quốc lần thứ 13 của Đảng Cộng sản Việt Nam sắp diễn ra vào tháng 1/2021.
• Tocaoonline[.]org: Trang web này dành riêng cho tin tức và “sự thật”.
• Tinmoivietnam[.]com: Nội dung trang web bao gồm các tin tức tổng hợp và viết bằng tiếng Việt. Tên miền được đặt gần giống với một trang web tin tức tại Việt Nam (tinmoivietnam.net.)
• Kmernews[.]com: Trang web có nội dung tin tức chung, viết bằng tiếng khmer và không có logo riêng.
• Aostimenews[.]com: Trang web này bao gồm các tin tức chung, được viết bằng tiếng Anh và tiếng Lào. Nội dung web được chia sẻ từ trang web của Thời báo Lào (laotiantimes.com).
• Malaynews[.]org: Trang web tin tức được viết bằng tiếng Anh và tiếng Mã Lai.
• Philiippinesnews[.]net: Trang web này đưa tin về các sự kiện chung và viết bằng tiếng Anh.
• Khmer-livenews[.]com: Trang web tin tức viết bằng tiếng khmer.
• Khmerleaks[.]com: Trang web đăng tải tin tức tập trung vào Campuchia và cung cấp nội dung bằng cả tiếng khmer và tiếng Anh. Khẩu hiệu của trang web là “Luôn cập nhật những tin tức nóng hổi nhất về đất nước”.

Mặc dù, một số trang web ở trên có thể sử dụng bố cục tương tự, nhưng đại đa số có chủ đề riêng nên người dùng sẽ không nhận thấy sự liên quan. Các trang web cũng chủ yếu đăng tải nhiều loại tin tức gây tò mò đối với người đọc và hướng tới một nhóm người dùng cụ thể.

Trong đó có một trang web khác biệt so với các trang web còn lại và mang tính chất chính trị là nhansudaihoi13[.]org; liên quan đến Đại hội Cộng sản Việt Nam lần thứ 13 sắp tới. Song song, trang web này có một trang Facebook tương ứng chứa đầy đủ các bài đăng được sao chép từ các cơ quan truyền thông Việt Nam, tập trung vào vấn đề tham nhũng trong chính trị tại Việt Nam. Trang có hơn 1.000 lượt thích và thu hút tương tác từ một số cá nhân tại Việt Nam. Đáng chú ý, trang Facebook có một tài khoản Messenger liên kết với nó có thể sử dụng để gửi tin nhắn cho các cá nhân có lợi ích.

Tấn công nhằm vào khách truy cập

Các trang web thường chứa nhiều bài báo và nội dung để làm cho chúng có vẻ hợp pháp. Một số trang web có hơn 10.000 tin bài riêng lẻ. Nội dung phần lớn là thu thập và đăng lại từ nhiều trang tin tức trực tuyến hợp pháp khác. Có vẻ như nó thực hiện theo cách tự động và rất có thể thông qua các plugin WordPress. Người truy cập trang web sẽ được phân loại tự động qua các công cụ lập hồ sơ: người tình cờ truy cập đến trang và những mục tiêu cụ thể được gửi những liên kết đến các bài có chứa phần mềm độc hại thông qua các tin nhắn lừa đảo trực tuyến và mạng xã hội.

Khi người dùng truy cập một bài có chứa mã độc hại trên web, JavaScript độc hại sẽ được tải xuống và thực thi trên trình duyệt của người dùng web. Hoạt động của tập lệnh là khác nhau giữa các trang bị nhiễm khác nhau nhưng nhìn chung có hai phần: một tập lệnh để nắm bắt và lưu trữ thông tin về khách truy cập và một tập lệnh để đánh lừa người dùng tải xuống phần mềm hoặc tài liệu giả mạo. Chức năng của phần mềm được tải xuống dựa trên trình duyệt của người dùng và nội dung.

Để minh họa một ví dụ thực tế về cách hoạt động và giao diện của điều này đối với khách truy cập trang web, phần dưới đây sẽ sử dụng trang web giả mạo baomoivietnam[.]com với tin bài "Đại học Tôn Đức Thắng: Hiệu trưởng lạm quyền để xảy ra nhiều sai phạm" để lừa người dùng cài đặt mã độc hại. Sau khi truy cập vào trang web, máy tính người dùng sẽ tải JavaScript độc hại từ tên miền cdn.arbenha[.]com với nội dung là một trình phát video giả mạo. Lúc đầu, trang sẽ hiển thị hộp thoại cho biết video đang tải như Hình 1.

Hình 1: Một hộp thoại mô tả video đang được tải xuống

Nếu người dùng truy cập sử dụng hệ điều hành Windows, thì sau một vài giây video sẽ không tải được. Một thông báo sẽ được hiển thị cho biết rằng cần phải có Flash Player, kèm với một nút hướng người dùng nhấp vào để nâng cấp trình duyệt như Hình 2.

Hình 2: Thông báo yêu cầu người dùng nâng cấp Flash Player

Khi người dùng bấm vào nút “Nâng cấp ngay” thì máy tính sẽ tải về 1 tập tin RAR có tên là Adobe_Flash_Install. Tập tin này có chứa phần mềm độc hại chuyên được sử dụng bởi OceanLotus có tên gọi Cobalt Strike. Tuy nhiên, nếu người dùng đang sử dụng thiết bị di động truy cập trên nền tảng iOS hoặc Android, thì một hình ảnh sẽ hiển thị, yêu cầu “đăng nhập” để xem video có chứa nội dung giới hạn độ tuổi.

Hình 3: Thông báo yêu cầu đăng nhập nếu truy cập từ thiết bị di động

Nút “ĐĂNG NHẬP” chứa một siêu liên kết đến một trang chứa các bài đánh giá từ tên miền account.gservice[.]reviews. Mục đích chính của chúng là lừa đảo thông tin mật khẩu của người dùng. Cuối cùng, nếu người dùng cố gắng truy cập trang bằng thiết bị không thể xác định qua payload, thì website sẽ hiển thị nội dung không thể phát trên thiết bị này (Hình 4).

 Hình 4: Thông báo khi truy cập không phải từ thiết bị Windows, Android và iOS

Cobalt Strike: Công cụ chuyên dụng cho chuyên gia an ninh mạng

Tập tin Adobe_Flash_install.rar từ trang web baomoivietnam[.]com chứa các tệp tin Flash_Adobe_Install.exe và goopdate.dll. Trong đó, tập tin goopdate.dll là một tập tin độc hại có chứa thuộc tính ẩn, nên sẽ không hiển thị với cấu hình mặc định của Windows Explorer trên Windows.

Khi chương trình khởi chạy sẽ kết nối đến địa chỉ quản trị tại tên miền summerevent.webhop[.]net để tải về các thành phần khác và nhận lệnh điều khiển. Từ đây OceanLotus sẽ có toàn quyền điều khiển máy của nạn nhân.

Kết luận

OceanLotus đang tiếp tục phát triển các cách thức để nhắm mục tiêu vào các cá nhân bên ngoài hoạt động lừa đảo trực tuyến và tận dụng các trang web bị xâm phạm. Việc tạo và duy trì một số trang web, sẽ nhằm mục đích tăng sự hiện diện trên mạng nhiều hơn và sử dụng chúng để tấn công khách truy cập. Nỗ lực này cho thấy OceanLotus sẽ còn tăng cường mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các cá nhân và tổ chức mục tiêu.

Người dùng cần nâng cao cảnh giác với các trang web truy cập, đặc biệt nếu các trang web có liên kết được gửi thông qua dịch vụ e-mail, trò chuyện, nhắn tin hoặc thậm chí là SMS. Hơn nữa, người dùng nên hết sức thận trọng nếu một trang web hiển thị tệp yêu cầu tải xuống hoặc đăng nhập.