#hackingteam Vietnam Customers - Khách hàng ở Việt Nam

Sau một thời gian coi qua các dữ liệu bị rò rỉ từ công ty HackingTeam, công ty chuyên cung cấp các giải pháp tấn công có chủ đích cho các tổ chức*, tôi có một số thông tin muốn chia sẻ cùng các bạn về các thông tin từ dữ liệu này.

Danh sách các khách hàng của HackingTeam trải dài từ Đông sang Tây, riêng với khu vực châu á, có các khách hàng như: Acerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, South Korea... trong đó có Việt Nam. Tôi hiện chỉ điều tra một số thông tin liên quan đến các khách hàng ở Việt Nam này, tham gia buôn bán này hẳng họ phải có nhiều tiền dư dả.

Theo thông tin bị rò rỉ, có 3 tổ chức ở VN là khách hàng (customer/partner) của HackingTeam, như thông tin dưới đây:

VIRNA - GD1
HI-TECH SECURITY INVESTMENT AND DEVELOPMENT COMPANY
No 10, Ho Giam Street, Dong Da District, Hanoi, Vietnam
http://ancnc.vn/index.php?option=com_content&view=article&id=21%3Alinh-vuc-kinh-doanh&catid=30%3Ahoat-dong-kinh-doanh&Itemid=101&lang=vi

VIKIS - GD5
dhag.com.vn
Room 212, Block B, B15 Tower, Dai Kim - Dinh Cong New Town, Hanoi, Vietnam

Với VIRNA là An Ninh Việt Nam. Có một số bằng chứng về việc HackingTeam tham gia giảng dạy trực tiếp cho Cảnh Sát Việt Nam, một báo cáo từ HackingTeam có thể chứng thực điều này.
Một số thông tin hợp đồng:

Và hóa đơn thanh toán đợt 1:

Hiện thông tin thu thập chưa được nhiều, tôi rất muốn biết mục tiêu tấn công của họ là những ai. Qua một số dữ liệu tôi phân tích được, có vài thông tin thú vị như sau:

- Một yêu cầu đính mã tấn công vào tệp văn bản được gửi cho HackingTeam từ khách hàng Việt Nam:

Và sau đó là trả lời từ HackingTeam

Các mẫu khai thác này theo phân tích sơ bộ của tôi, họ đính kèm một activex vào tệp docx, activex này sẽ load một swf từ trang mynewsfeeds.info là một 0day đã được thông báo từ hôm qua.


Nội dung hiển thị của các tệp docx có nội dung tương tự như:
Nội dung này một phần là có mục đích để tấn công social engineer đối với đối tượng. Nhìn nội dung trên thì tôi cũng đoán ra mục tiêu tấn công là những người thuộc nhóm đối tượng nào rồi. Tôi nhớ là, trong một số báo cáo về mã độc trước đây cũng có các kịch bản tấn công bằng cách đính kèm mã khai thác vào tệp văn bản với nội dung có tính chất tương tự như trên.

Tôi có tải các mẫu lên ở đây, các bạn có thể tải về và thử làm rõ hơn.

8 comments:

  1. Bạn vui lòng cho mình xin pass file zip để check. Thanks

    ReplyDelete
  2. pass la tientien nha moi nguoi. xin loi

    ReplyDelete
  3. OH. mấy "chế" PC50 phải nhờ sợ trợ giúp của HackingTeam

    ReplyDelete
  4. Anyone beem able to crack HT's RCS white paper?

    ReplyDelete
  5. Hey can you please get in touch? I have a question about the last document you posted.

    ReplyDelete
    Replies
    1. Sorry I should have specified: This is Raphael Satter with The Associated Press. Find me at http://raphae.li or https://twitter.com/razhael.

      Delete
  6. Thì ra Vụ GDS và galileo giải pháp bán vé máy bay bị lụt từ đây :D

    ReplyDelete
  7. Toàn mấy nhân vật cộm cán làm chánh sự ko nhỉ

    ReplyDelete