(CĐ 12) – Phần 1: Phân loại các cuộc tấn công

22/02/2013 11:43

NGỌA HỔ – TÀNG LONG: NĂNG LỰC CHIẾN TRANH MẠNG CỦA TRUNG QUỐC

Phần 1: Phân loại các cuộc tấn công

Các chuyên gia đã chia mục tiêu tấn công thành các nhóm: Chính trị, kinh tế, kỹ thuật và quân sự. Báo cáo này được thực hiện dưới góc độ mô hình tổng quát, tập trung vào toàn bộ mục tiêu của các cuộc tấn công chứ không xem xét riêng từng loại thông tin mà những kẻ tấn công tìm cách đánh cắp. Nếu một băng đảng tội phạm phát động một cuộc tấn công lừa đảo nhằm khai thác các thông tin ngân hàng, và các nhân viên của một cửa hàng thịt vô tình trở thành nạn nhân của cuộc tấn công, thì không có nghĩa là đây là cuộc tấn công nhằm vào cửa hàng thịt.

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left”]hhtl.ml[/headlinebox]

Quán triệt tư tưởng này, chúng tôi đã chia các mục tiêu tấn công thành các nhóm sau:

Chính trị: Các thông tin bị nhắm mục tiêu sẽ hé mở cho quốc gia bảo trợ tấn công những thông tin thể hiện quan điểm chính trị của Chính phủ các nước khác về một loạt các vấn đề bao gồm kinh tế, thương mại và quyền con người. Mục tiêu điển hình là các cơ quan chính phủ, đại sứ quán, cơ quan thương mại, các tổ chức phi chính phủ và các tổ chức chính trị quốc tế như Liên Hiệp Quốc, nhóm G20, Ngân hàng Thế giới và Quỹ Tiền tệ Quốc tế (IMF).

Thương mại: Các thông tin bị tấn công sẽ có giá trị đối với khu vực tư nhân của quốc gia bảo trợ tấn công. Các thông tin bao gồm quyền sở hữu trí tuệ, thiết kế sản phẩm, vị thế đàm phán trong các thương vụ mua bán, các thông tin về thâu tóm và sáp nhập, cũng như các kế hoạch chiến lược (đặc biệt là có liên quan đến quốc gia phát động tấn công).

Tình báo: Các thông tin bị tấn công sẽ được sử dụng cho mục đích bảo vệ an ninh cho các quốc gia bảo trợ tấn công (điều này có thể dẫn đến sự đe dọa hay giám sát chặt chẽ đối với một số nhóm thiểu số, các cá nhân và nhóm chống đối) nhằm cho phép phân tích kỹ thuật, năng lực và những mục đích quân sự của các nước khác.

Các chuyên gia đã chia mục tiêu tấn công thành các nhóm: Chính trị, kinh tế, kỹ thuật và quân sự.

Có một số trở ngại lớn cần vượt qua khi muốn nghiên cứu đầy đủ về quy mô và mục đích của các cuộc tấn công. Một số cuộc tấn công chưa từng được phát hiện, số khác không phải lúc nào cũng được báo cáo công khai và phần lớn không được điều tra bởi chính các chuyên gia am hiểu về các loại hình tấn công này. Chỉ đối phó với những khía cạnh kỹ thuật của cuộc xâm nhập là không đủ: nạn nhân cần biết nguyên nhân bị tấn công, do ai thực hiện, loại dữ liệu nào bị đánh cắp và nơi các dữ liệu có thể được chuyển đến. Trong khi các cơ quan chính phủ như Trung tâm Bảo vệ Cơ sở hạ tầng Quốc gia [04] (CPNI) của Anh và Cục Điều tra Liên bang Mỹ (FBI) [05] đang hợp tác hỗ trợ các tổ chức lớn để xác định các mối đe dọa tiềm năng, giảm nguy cơ các cuộc tấn công thành công, cũng như xác định và điều tra một số vụ tấn công trong một số trường hợp cụ thể, sự hỗ trợ này không dành cho tất cả doanh nghiệp. Sự hỗ trợ này không phải lúc nào cũng sẵn có cho những doanh nghiệp cần giúp đỡ nhất – các doanh nghiệp luôn có những đổi mới và vượt trội trong lĩnh vực cung cấp công nghệ và các sản phẩm cho phép các doanh nghiệp khác sử dụng trong những dự án lớn hơn. Vận mệnh của những doanh nghiệp này phụ thuộc vào sự thành công của quá trình nghiên cứu và phát triển, nhưng họ thường thiếu các nguồn lực ngân sách hoặc chuyên môn cần thiết để bảo vệ mạng lưới trước các mối đe dọa nói trên.

Thậm chí khi các cuộc xâm nhập được điều tra bởi chính các doanh nghiệp hiểu rõ về kẻ tấn công và các động cơ của chúng. Việc công khai những kết quả điều tra thường không nhận được sự quan tâm của các công ty đối tác, hoặc kết quả không được chia sẻ cho các doanh nghiệp cùng lĩnh vực, trong khi đây là đối tượng có thể trở thành nạn nhân của các cuộc tấn công tương tự. Ngoài ra, sự thiếu hiểu biết về các cuộc tấn công có chủ đích của các nhân viên CNTT, tình trạng thiếu chuyên gia phụ trách bảo mật CNTT và đôi khi do hậu quả của việc thuê ngoài các hệ thống CNTT, sự phụ thuộc vào các sản phẩm bảo mật truyền thống, như tường lửa và các chương trình chống mã độc, trong khi các sản phẩm này đều không có hiệu quả trong việc chống lại các cuộc tấn công có chủ đích, thậm chí là các cuộc tấn công đơn giản. Phần lớn áp lực của các nhân viên CNTT trong các doanh nghiệp chủ yếu là để đảm bảo thời gian đáp ứng các dịch vụ và khả năng sẵn sàng của hệ thống hơn là vấn đề an ninh; đồng thời ngân sách dành cho các hoạt động bảo mật như thường xuyên như kiểm tra sự xâm nhập vào hệ thống vẫn chưa được quan tâm đúng mực. Thực tế đáng buồn rằng, đối với nhiều doanh nghiệp, tiền dành cho bảo mật CNTT chỉ được cấp một khi đã xảy ra vấn đề nghiêm trọng, nhưng khi đó thường là quá trễ.

Một số cuộc tấn công chưa từng được phát hiện.

Một vấn đề phổ biến hơn đối với các doanh nghiệp tư nhân là một số nhà quản lý có thái độ không quan tâm đến các vấn đề an ninh. Các phòng ban CNTT có thể quan ngại rằng, việc triển khai một cuộc kiểm tra nhằm tìm kiếm các máy chủ bị tấn công trong mạng lưới của công ty có thể phát hiện ra một loạt các cuộc tấn công và đánh cắp dữ liệu, gây ảnh hưởng đến triển vọng nghề nghiệp của họ. Các thành viên quản lý cấp cao hơn, thành viên hội đồng quản trị có thể chọn không chi tiền cho công tác duy trì an ninh hệ thống do việc này có thể ảnh hưởng đến lợi nhuận, cũng như mức lương và tiền thưởng mà các thành viên có thể nhận được. Thay vào đó, họ sẽ trì hoãn (nếu có thể) bất cứ chi tiêu an ninh quan trọng nào cho đến khi bắt buộc phải chi tiền.

Tại sao lại là “Không gian mạng”?

Rõ ràng, Chính phủ Trung Quốc vô cùng quan tâm đến những quyết định chính trị của các nước khác, cũng như hành động của các nhóm đối lập trong Trung Quốc, vì vậy không có gì ngạc nhiên khi Trung Quốc tiến hành các cuộc tấn công máy tính thông qua email đính kèm mã độc hoặc các đường dẫn độc hại trên diện rộng. Việc này không có gì mới, chỉ là một hình thức mới của gián điệp truyền thống.

Trung Quốc tiến hành các cuộc tấn công máy tính thông qua email đính kèm mã độc.

Cho đến gần đây, giống như phần lớn các nước phát triển khác, Trung Quốc đã chiêu mộ các nhân viên tình báo trực tiếp từ các trường đại học và quân sự, đào tạo họ về nghệ thuật phát triển các mối quan hệ, chiêu mộ những tay sai và và đạo tạo các phương pháp bí mật thu thập thông tin gửi về Bắc Kinh. Những người này có thể được gửi đến các đại sứ quán đặt tại nước ngoài hoặc hoạt động dưới vỏ bọc kinh doanh.
Sự xuất hiện của Internet không có vẻ gì là hồi chuông báo tử cho gián điệp truyền thống, nó chỉ đơn giản là cung cấp một giải pháp thay thế vô cùng hấp dẫn. Việc chuyển các hoạt động gián điệp vào môi trường ảo đem lại một số thuận lợi. Thứ nhất, nó không yêu cầu phải gửi bất cứ ai ra nước ngoài. Đây là một thay đổi quan trọng đối với chính phủ các nước cộng sản, có thể dẫn đến những nghi ngờ về những mục đích lâu dài của thậm chí là các quan chức đáng tin nhất. Có nghĩa là sẽ có ít nhu cầu đầu tư cho quá trình đào tạo kéo dài. Thay vào đó, các hoạt động tấn công có thể được chia nhỏ thành các nhiệm vụ đơn giản và tự động hóa trong chừng mực nào đó, nhằm giảm thiểu nhu cầu tuyển dụng các nhà khai thác có chuyên môn cao. Việc thực hiện các cuộc tấn công này có chi phí thấp và chịu rủi ro thấp hơn so với gián điệp con người: thậm chí nếu mục tiêu đã khá chắc chắn về nguồn gốc của các cuộc tấn công, chính phủ hậu thuẫn cũng có thể tuyên bố là nạn nhân của âm mưu đổ lỗi của các nước phương Tây hoặc đây chỉ là một sự nhầm lẫn.

Nhưng lợi ích quan trọng của hình thức gián điệp này là có thể đánh cắp bất cứ thông tin nào được lưu trữ trên máy tính hay hệ thống có kết nối mạng Internet từ khắp nơi trên thế giới chỉ bằng vài cú nhấp chuột. Thậm chí có những cuộc tấn công được thiết kế để nhằm vào những máy tính không có kết nối Internet. Nếu phần thưởng đủ lớn và thu hút đủ lực lượng tấn công, thì luôn luôn có giải pháp tấn công phù hợp.

Không gian mạng được sử dụng như thế nào?

Tài liệu này không quan tâm “làm thế nào” các cuộc tấn công diễn ra, đây là chủ đề cho báo cáo kỹ thuật về các cuộc tấn công. Tuy nhiên, khi nhằm vào một cá nhân, những kẻ tấn công thường nhằm vào máy tính để bàn hay laptop của đối tượng mục tiêu và gửi email chứa file đính kèm mã độc khai thác (thường là tài liệu pdf của Adobe hay các tập tin của Microsoft Office). Một khi nạn nhân đã mở file đính kèm, hoạt động khai thác được kích hoạt, thường là tải về và tự động cài đặt mã độc gián điệp (Trojan) nhằm cho phép kẻ tấn công có thể truy cập vào hệ thống máy tính của nạn nhân. Những kẻ tấn công cũng sử dụng các lỗ hổng trên trang web cho phép khai thác các lỗ hổng trong trình duyệt web Internet Explorer hoặc Firefox để tải về các mã độc khi người dùng nhấp vào liên kết trong email. Một khi đã thành công xâm nhập vào hệ thống, những kẻ tấn công thường tải về và tiếp tục sử dụng các công cụ tấn công leo thang đặc quyền để chiếm quyền truy cập quản trị của các hệ thống máy chủ nội bộ quan trọng như máy chủ Domain Controllers hay File Servers. Sau khi chiếm được quyền quản trị, những kẻ tấn công thường sử dụng máy tính để bàn hay laptop được điều khiển từ xa trên hệ thống để đối chiếu các dữ liệu đánh cắp và chuyển chúng đến các máy chủ điều khiển đặt bên ngoài.

Không gian mạng với nhiều rủi ro tiềm ẩn.

Trong trường hợp mạng lưới đã được vá hoàn chỉnh và trở thành mục tiêu khó xâm nhập, những kẻ tấn công có thể ứng phó và nâng cao cuộc tấn công một cách đáng kể. Việc này có thể bao gồm khai thác một lỗ hổng zero-day [06] hoặc sử dụng những tiềm lực khác để cài đặt mã độc vào hệ thống, như sử dụng truy cập vật lý để mở đầu cho cuộc tấn công, hoặc thậm chí tấn công khai thác vào chuỗi cung ứng.

Mục tiêu

Mặc dù đã mở cửa rất nhiều trong 15 năm qua, Trung Quốc vẫn chịu sự chi phối khá lớn của Đảng Cộng sản. Đảng kiểm soát quá mức và nhúng tay vào mọi lĩnh vực trong cuộc sống hàng ngày, tuy nhiên mặc dù tập trung quản lý trong nước, Trung Quốc vẫn cẩn thận “để mắt” đến tình hình thế giới, cũng như chính phủ nước ngoài ảnh hưởng như thế nào đối với các tổ chức và công ty trong nước. Việc nắm được quan điểm chính trị của các quốc gia khác về những vấn đề quan trọng có thể ảnh hưởng đến Trung Quốc là chìa khóa cho việc lên kế hoạch, đặc biệt đối với nền kinh tế tập trung vào xuất khẩu hàng hóa giá rẻ.

Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa.

Những chính phủ được Trung Quốc quan tâm nhất thuộc 3 nhóm:

Những nước láng giềng lân cận: Nhật Bản, Đài Loan, khu vực tranh chấp (bán tự trị) Tây Tạng, Mông Cổ và các nước Hồi giáo ở phía Tây như Afghanistan, Kazakhstan, Kyrgyzstan, Pakistan, Tajikistan, Turkmenistan và Uzbekistan

Các quốc gia hùng mạnh có sức ảnh hưởng trên toàn cầu như Mỹ, Nga, Anh, Đức, Pháp và Ấn Độ

Cuối cùng là các nước có liên kết kinh tế chặt chẽ với Trung Quốc, bao gồm Brazil, Iran, Úc, một số tại khu vực châu Phi và Đông Nam Á.

Chắc chắn Trung Quốc sẽ không nhắm đến toàn bộ các cơ quan Chính phủ của từng quốc gia kể trên, mà chỉ quan tâm đến một số lĩnh vực hoạt động của các chính phủ. Thu thập thông tin với quy mô tương ứng như vậy là một nhiệm vụ vô cùng đồ sộ: theo dõi các vấn đề liên quan, xác định những cá nhân có quyền truy cập vào các thông tin đó và thiết kế các cuộc tấn công dưới hình thức và ngôn ngữ thích hợp.

Mối quan tâm thường xuyên khác của chính phủ Trung Quốc là duy trì an ninh trong và ngoài nước. Những kẻ thù trong nội bộ nước Trung Quốc được gọi là “Ngũ Độc” bao gồm: nhóm ly khai người Duy Ngô Nhĩ (nhóm chủ yếu gồm người Hồi giáo ở Đông Bắc Trung Quốc), người Tây Tạng, những nhà ủng hộ tự do dân chủ, ủng hộ Đài Loan độc lập và những tín đồ của phong trào thiền Pháp Luân Công. Duy trì việc theo dõi những nhóm hoạt động này, cũng như những người ủng hộ công khai trong nước và trên thế giới là nhiệm vụ vô cùng to lớn khác. Bộ An ninh Quốc gia giám sát việc thông tin liên lạc giữa những cá nhân và các nhóm, nhiệm vụ được thực hiện dễ dàng hơn thông qua việc phát tán các mã độc gián điệp (Trojan) nhằm theo dõi các thiết bị máy tính. Ít nhất các cơ quan an ninh cũng thường xuyên đánh cắp thông tin đăng nhập và mật khẩu tài khoản email để đăng nhập từ xa và đọc các email. Google đã xác nhận tình trạng này vẫn đang diễn ra đối với tài khoản Gmail của các nhà bất đồng chính kiến tại Trung Quốc. [07]

Trung Quốc muốn phác họa một bức tranh rõ ràng về hoạt động quân sự của các Quốc gia khác.

Trung Quốc muốn phác họa một bức tranh rõ ràng về hoạt động quân sự của các Quốc gia khác nhằm đưa ra những quyết định mang tính chiến lược và chiến thuật cho riêng mình. Việc bí mật cài nhân viên tình báo vào các tổ chức quân sự nước ngoài là vô cùng khó khăn và kéo theo rủi ro đáng kể, do đó các cuộc tấn công email tương đối thụ động là một hình thức thay thế tuyệt vời, do các sự cố tấn công chưa thể được xem là hành động xâm lược có thể dẫn đến một phản ứng quân sự đáp trả. Hiện quốc tế vẫn đang cân nhắc xem liệu có nên coi việc phát động hàng ngàn cuộc tấn công trong thời gian dài là hành động khiêu khích cho một phản ứng quân sự.

Trong khi Trung Quốc đã bị công khai cáo buộc, mặc dù phần lớn không trực tiếp  về việc liên tiếp tiến hành các cuộc tấn công chống lại Chính phủ. Các tổ chức quân sự và nhà thầu quốc phòng các nước, cũng có một số trường hợp về các tổ chức tư nhân bị tấn công. Một số cuộc tấn công nổi bật trong thời gian gần đây bao gồm: chiến dịch “Aurora” [08] tấn công hãng Google, Adobe, Juniper, nhà thầu quốc phòng Mỹ – Northrup Grumman và một số tổ chức khác; chiến dịch “Night Dragon” [09] do hãng bảo mật McAfee phát hiện đã tấn công vào hàng loạt công ty thuộc lĩnh vực năng lượng trên toàn thế giới; và chiến dịch “Shady RAT” [10] tấn công các ngành công nghiệp luyện thép, kỹ thuật hạng nặng, các ngành xây dựng, truyền thông và một số ngành khác.

Chiến dịch “Shady RAT”. Chỉ tìm thấy một máy chủ ra lệnh và điều khiển duy nhất.

Thú vị là, mặc dù công khai báo cáo về những cuộc xâm nhập, McAfee không nhấn mạnh đến thực tế là các phần mềm diệt mã độc không đủ khả năng ngăn chặn các cuộc tấn công tại nơi khởi điểm. Có khả năng là toàn bộ các chiến dịch khác nhau được bắt đầu từ cùng một cuộc tấn công do những đội nhóm và đơn vị quân sự khác nhau thực hiện dưới sự bảo trợ của chính phủ Trung Quốc. Điển hình về một cuộc tấn công được lên kế hoạch tỉ mỉ và liên kết với các cuộc tấn công khác là chiến dịch chống lại hãng RSA [11], theo đó những kẻ tấn công đã đánh cắp thông tin cho phép họ tái tạo phương thức xác thực điện tử SecurID Token được các công ty sử dụng nhằm xác thực những cá nhân đăng nhập vào hệ thống mạng nội bộ từ bên ngoài.

Được trang bị bằng thông tin xác thực đã đánh cắp được, những kẻ tấn công có thể đăng nhập vào mạng lưới công ty như một người dùng hợp lệ. Phạm vi thiệt hại thực sự của vụ vi phạm này đã không được công khai sau đó, chúng ta đều biết rằng Lockheed Martin đã bị tấn công, do đó có thể suy đoán các nhà thầu khác có thể cũng trở thành mục tiêu. Bởi vì chi tiết đầy đủ về những tổn thất không được công bố, chúng ta chỉ có thể suy đoán những loại thông tin bị nhắm mục tiêu. Google từng tuyên bố Sở hữu Trí tuệ đã bị đánh cắp mặc dù không tiết lộ thêm bất kỳ thông tin nào. Nhưng những công ty này đều bị tấn công do cùng một nguyên nhân. Những dữ liệu đã được xác định rằng, bằng cách này hay cách khác đều được sử dụng cho Trung Quốc. Chúng tôi sẽ xem xét ai là người đưa ra yêu cầu đối với các loại dữ liệu này trong phần tiếp theo.

nguyentandung.org lược dịch (Nguồn: Context Information Security)

Chú thích:

04. http://www.cpni.gov.uk/

05. http://www.fbi.gov/

06.  Lỗ hổng bảo mật “zero-day” là lỗ hổng không được công khai và chưa có bản sửa lỗi.

07. http://googleblog.blogspot.com/2010/01/new-approach-to-china.html

08. http://en.wikipedia.org/wiki/Operation_Aurora

09. http://www.mcafee.com/ca/resources/white-papers/wp-global-energy-cyberattacksnight-dragon.pdf

10. http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf

11. http://www.rsa.com/node.aspx?id=3872

Xem nhiều

Tin liên quan

BẠN CÓ THỂ QUAN TÂM

Video