"APT 18" chủ yếu chọn mục tiêu tấn công là các công ty thuộc lĩnh vực hàng không vũ trụ, quốc phòng, xây dựng, công nghệ, tài chính và dịch vụ chăm sóc y tế - theo Charles Carmakal, Giám đốc điều hành Mandiant Corp. (công ty con của Tập đoàn An ninh mạng FireEye Inc.), đơn vị được thuê để tiến hành điều tra vụ tấn công đánh cắp dữ liệu y tế của CHS từ tháng 4 đến tháng 6/2014.
Charles Carmakal nhận định: "Bọn chúng sử dụng kỹ thuật tiên tiến nhất để xâm nhập mạng các tổ chức cũng như duy trì thời gian ẩn thân kéo dài mà không bị phát hiện". Dữ liệu y tế CHS bị đánh cắp bao gồm tên, địa chỉ, ngày sinh, số điện thoại bệnh nhân và số an sinh xã hội của những người nhận dịch vụ từ các bác sĩ liên kết với chuỗi bệnh viện của CHS trong 5 năm qua. Tuy nhiên, dữ liệu bị đánh cắp không bao gồm thông tin y tế hay bệnh viện, số thẻ tín dụng hay bất kỳ tài sản trí tuệ nào như là dữ liệu về sự phát triển thiết bị y tế.
Theo trang web của Bộ Y tế và Dịch vụ Nhân sinh Mỹ (HHS), cuộc tấn công vào hệ thống mạng CHS liên quan đến thông tin bệnh nhân được coi là lớn nhất kể từ năm 2009 đến nay. Trước đó, Cơ quan Y tế Montana cũng hứng chịu một cuộc tấn công mạng tác động đến khoảng 1 triệu người.
Theo các chuyên gia an ninh, các nhóm hacker Trung Quốc nổi tiếng với những vụ tấn công xâm nhập mạng tìm kiếm tài sản trí tuệ Mỹ như là: thiết kế sản phẩm hay thông tin được sử dụng trong những cuộc đàm phán thương mại hay chính trị. Các số an ninh xã hội và dữ liệu cá nhân khác thường bị bọn tội phạm mạng đánh cắp để bán trên thị trường chợ đen.
Theo Mandiant Corp., công ty chịu trách nhiệm giám sát thường xuyên khoảng 20 nhóm hacker ở Trung Quốc, trong năm nay các nhà cung cấp dịch vụ y tế Mỹ là tâm điểm theo dõi từ phía chính quyền nước này cũng như bọn tội phạm mạng. Tháng 4/2014, Cục Điều tra liên bang Mỹ (FBI) từng cảnh báo mạng dịch vụ y tế dễ bị hacker tấn công do chế độ bảo mật rất kém.
Mandiant có những nỗ lực giám sát "APT 18" trong suốt 4 năm. Các chuyên gia của CrowdStrike căn cứ vào những mục tiêu mà nhóm hacker này chọn lọc để tin chắc rằng bọn chúng hoặc là được bảo trợ hoặc là hợp tác trực tiếp với chính quyền. CrowdStrike là nhà cung cấp dịch vụ và công nghệ an ninh mạng toàn cầu có trụ sở tại miền Nam bang California và cũng quan tâm theo dõi nhóm hacker "APT 18" trong suốt 4 năm.
Dmitri Alperovitch, Trưởng ban công nghệ của CrowdStrike, khẳng định nhóm "APT 18" cũng chọn mục tiêu tấn công là các nhóm nhân quyền và các công ty hóa chất. CrowdStrike đặt tên gọi cho "APT 18" là "Dynamite Panda" (tạm dịch: Gấu trúc Kiệt xuất) và nhóm được công ty đánh giá là có kỹ năng cao hơn các nhóm hacker khác của Trung Quốc.
Vấn đề các nhóm hacker "mũ đen" được chính quyền Trung Quốc bảo trợ được coi là vô cùng nhạy cảm trong thời gian gần đây. Mối quan hệ giữa Washington và Bắc Kinh trở nên căng thẳng từ tháng 5/2014 sau khi một tòa án Mỹ buộc tội 5 sĩ quan Trung Quốc có hành vi tấn công mạng các công ty Mỹ nhằm đánh cắp những bí mật thương mại nhạy cảm. Trở lại năm 2010, Google báo cáo vụ tấn công mạng nhằm vào hệ thống của công ty có nguồn gốc từ một nhóm hacker có quan hệ với quân đội Trung Quốc (PLA).
Vụ tấn công mang tên “Chiến dịch Rạng Đông”, đã lây nhiễm mã độc cho hơn 30 công ty và khiến cho Google phải xem xét lại mối quan hệ với Trung Quốc. Năm 2011 và 2012, hacker Trung Quốc tiếp tục xâm nhập đánh cắp dữ liệu các công ty công nghệ quốc phòng Israel.
Theo Hãng tin Reuters, bọn chúng thu thập dữ liệu về hệ thống tên lửa Arrow III, các máy bay vũ trang không người lái, rocket đạn đạo và tài liệu kỹ thuật nhạy cảm cũng như hệ thống phòng không di động Iron Dome của Israel. Tháng 7/2014, giới chức an ninh mạng ghi nhận hacker Trung Quốc xâm nhập vào các hệ thống dữ liệu của Đài Loan.
Giới chức Canada mới đây cũng cáo buộc hacker Trung Quốc xâm nhập cơ sở dữ liệu của Ủy ban Nghiên cứu Quốc gia (NRC) - tổ chức nghiên cứu hàng đầu lớn nhất Canada. Trong khi đó, Trung Quốc luôn bác bỏ những cáo buộc trên.
Bộ An ninh Nội địa Mỹ (DHS) nhận định: Vụ CHS không phải là duy nhất và chắc chắn có liên quan đến các nhà cung cấp dịch vụ y tế khác ở Mỹ. Một quan chức DHS cho rằng, hãy còn quá sớm để có thể khẳng định ai thật sự đứng đằng sau vụ tấn công hệ thống mạng CHS.
Về phần mình, giới chức CHS đã tiến hành gỡ bỏ phần mềm độc hại của nhóm "APT 18" ra khỏi hệ thống của mình và đang tiếp tục thực hiện những bước sửa chữa và củng cố bức tường bảo mật nhằm đề phòng những cuộc tấn công tương tự trong tương lai. CHS cũng thông báo vụ việc đến những bệnh nhân theo đòi hỏi của luật pháp
