APT32 har vært en gjenganger blant hackerangrep de seneste årene og nå knytter Facebook hackinggruppen til den vietnamesiske regjeringen. Det var i et forsøk på å infisere brukere at Facebook oppdaget den virkelige identiteten til APT32.
Facebook sin etterforskning knytter aktiviteten til CyberOne Group, et IT-selskap i Vietnam. Dette uttaler Nathaniel Gleicher, sjef for sikkerhetspolitikk på Facebook, og Mike Dvilyanski som går under tittelen Cyber Threat Intelligence Manager. I følge Gleicher og Dvilyanski opererte APT32 på Facebook ved å opprette kontoer og sider for fiktive personer, som vanligvis poserte som aktivister eller business-enheter.
Les også: Five Eyes myndigheter, India og Japan ber myndigheter bygge inn bakdører
Ved å bruke romanse eller andre lokkemidler, så delte de lenker med ofre til domener de enten hacket eller opererte selv. Lenkene førte til phishing eller skadelig programvare, og i noen tilfeller apper på Play Store, slik at de kunne spionere på ofrene.
Les også: Kinesisk hackergruppe oppdaget – Brukte UEFI bookit
Basert på innsikt i denne kampanjen, sa at APT32 har målrettet seg mot:
- Vietnamesiske menneskerettighetsaktivister i Vietnam og utlandet
- Utenlandske regjeringer, inkludert Laos og Kambodsja
- Ikke-statlige organisasjoner
- Nyhetsbyråer
- Virksomheter innen sykebehandling, informasjonsteknologi, landbruk og råvarer, bilindustrien, detaljhandel og mobiltjenester
Facebook uttaler at de i tillegg til å ta ned gruppens kontoer og sider, har de også blokkert gruppens domener, slik at de ikke kan brukes på nytt under nye kontoer APT32 konfigurerer i framtiden.
Les også: Palmerworm/Blacktech har infisert organisasjoner i månedsvis
Det sosiale nettverket har også delt informasjon med andre sosiale nettverk og sikkerhetsfirmaer slik at de også kan iverksette tiltak og beskytte brukerne sine.
APT32 – Årevis med hacking
APT32-gruppen antas å ha blitt startet i 2014, og blir ofte referert til som OceanLotus. De står bak en rekke aktiviteter, og gruppen har vært knyttet til angrep på nesten alt av interesse for den vietnamesiske staten.
Alt fra forholdene i nabolandene, men også angrep rettet mot politiske dissidenter og aktivister. I tillegg har det vært angrep mot private virksomheter som gruppen har trodd er av interesse for den vietnamesiske regjeringen.
Det beste eksempelet på at gruppen har målrettet seg mot private mål er angrepet rettet mot bilprodusenter i 2019. Ekspertene har beskrevet angrepet rettet mot bilprodusenter som en vedvarende kampanje for å stjele intellektuell eiendom for å støtte Vietnams statsfinansierte og nystartede bilprodusent Vinfast. Gruppen stjal data fra Hyundai, Toyota Australia, Toyota Japan, Toyota Japan og BMW. Alt dette skjedde i løpet av kort tid.
Da koronaviruspandemien rammet verden tidligere i 2020, fokuserte APT32 på å samle inn COVID-19-data. Det var også rettet mot myndighetspersoner i Wuhan, Kina, hvor de første korona-tilfellene ble rapportert. Gruppen søkte etter informasjon om sykdommen.
Gruppen har brukt sofistikerte verktøy og har vært en stor trussel mot mange aktører. Nedlastingsvirus, Office-bugs, misbruk av åpen kildekode, offentlige exploits, tilpasset malware og macOS malware. APT32 har benyttet seg av alle disse «mulighetene».
Gruppen blir ofte ignorert i cybersikkerhetsrapporter på grunn av forbindelsen til Vietnam. De har vist seg dyktige til å skifte taktikk og metoder. Hackingverktøyene har vært ulike, og det tyder på at de har ressurser og kunnskap til å tilpasse seg.
Facebook hevder på sin side at APT32 er er cybersikkerhetsfirma, men hvorvidt disse påstandene stemmer er ikke sikkert. At Facebook går ut på denne måten og identifiserer hackere og hvor de opererer fra er overraskende og noe man vanligvis ikke ser så mye av. Vanligvis er det cybersikkerhetsindustrien eller påtalemyndigheter som går ut på denne måten, men nå er det altså det sosiale nettverket Facebook.
