(CĐ 12) – Phần 4: Nó diễn ra như thế nào?

26/02/2013 15:59

NGỌA HỔ – TÀNG LONG: NĂNG LỰC CHIẾN TRANH MẠNG CỦA TRUNG QUỐC

Phần 4: Nó diễn ra như thế nào?

Nếu chúng ta chỉ xem xét các cuộc tấn công mạng của Trung Quốc từng được báo cáo, chúng ta chỉ có thể nhìn thấy phần nổi của tảng băng. Đầu tiên, ta có xu hướng chỉ xem báo cáo của các công ty Anh và Mỹ từng bị tấn công, tuy nhiên chỉ một phần thiểu số rất nhỏ các sự cố được báo cáo, bởi vì các công ty thậm chí không biết rằng họ đã bị tấn công hoặc sợ việc công khai sự cố sẽ gây ảnh hưởng đến thương hiệu, giá trị của công ty hoặc sự nghiệp cá nhân. Cũng có khả năng số lượng lớn các doanh nghiệp vừa và nhỏ trên khắp thế giới không có phản ứng gì về việc sản phẩm – dịch vụ chủ lực của công ty bị đánh cắp.

Mới đây công ty Mandiant đã cung cấp báo cáo đơn vị 61398 đã điều hành một nhóm tin tặc mang tên Nhóm Thượng Hải để tấn công mạng và đánh cắp dữ liệu của 141 tổ chức và công ty trong sáu năm qua.

Các chính phủ thường không thừa nhận việc các dữ liệu đã bị đánh cắp hoặc tránh cáo buộc trực tiếp Trung Quốc do lo ngại phát sinh hậu quả tiêu cực về chính trị và kinh tế. Những nạn nhân là cá nhân đang sinh sống tại Trung Quốc cũng không thể khiếu nại về sự xâm phạm quyền riêng tư, trong khi những người sinh sống ngoài lãnh thổ Trung Quốc khó mà trông cậy vào bất cứ tổ chức nào quan tâm nghiêm túc đến những khiếu nại của họ.

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left”]hhtl.ml[/headlinebox]

Để vạch ra phương hướng và cố gắng nghiên cứu về quy mô của các cuộc tấn công, chúng ta phải bắt đầu bằng sơ đồ cổ điển của chu kỳ tình báo như sau.

Thiết lập các yêu cầu

Như chúng ta đã thấy, Trung Quốc không gặp bất cứ khó khăn gì trong quá trình xác định các yêu cầu. Các yêu cầu được ban hành cho toàn bộ ngành công nghiệp, xã hội và kinh tế nhằm xác định toàn diện các điểm yếu và khu vực cần đẩy mạnh phát triển hơn nữa. Một số ý kiến cho rằng, các yêu cầu chủ yếu tập trung xoay quanh nhiệm vụ phát triển kinh tế, kỹ thuật và thương mại hơn là nhằm mục đích phát triển xã hội, hoàn toàn hợp lý khi nhiệm vụ thực hiện các yêu cầu không chỉ đặt trên vai chính phủ mà còn được hỗ trợ bởi khu vực tư nhân. Tuy nhiên, việc thiết lập các yêu cầu bao gồm nhiều lĩnh vực chứ không chỉ riêng không gian mạng, do đó, sẽ không chính xác nếu xem những nỗ lực này được thực hiện chỉ đơn giản nhằm hỗ trợ các cuộc tấn công điện tử.

Lên kế hoạch và Hướng dẫn

Đây là giai đoạn mà mọi thứ trở nên phức tạp hơn một chút. Việc lên kế hoạch và hướng dẫn các hoạt động diễn ra ở nhiều cấp độ – Đảng, vùng, cấp độ địa phương, trong từng cơ quan chủ chốt của chính phủ, trong từng công ty có tham gia thực hiện các yêu cầu; và đặc biệt là trong quân đội với nhiều bằng chứng cho thấy đang đứng đằng sau phần lớn các cuộc tấn công có mục đích.

Thu thập

Lên kế hoạch cho sự tấn công mạng.

Khu vực này bao gồm toàn bộ quá trình xác định mục tiêu, phát triển mã độc, tiến hành thủ công các cuộc tấn công, lên kịch bản đánh lừa, phát động tấn công, kiểm soát các mã độc đã thành công xâm nhập, leo thang các đặc quyền trên hệ thống bị tấn công, tải lên nhiều công cụ hơn nữa để duy trì và phát triển việc truy cập, tìm kiếm và trích xuất các dữ liệu đang quan tâm, cũng như xóa sạch dấu vết của cuộc tấn công nhằm che giấu các cuộc điều tra.

Quá trình này cũng yêu cầu thiết lập cơ sở hạ tầng (tự đầu tư hay chiếm đoạt) để hỗ trợ cuộc tấn công, các địa chỉ IP và tên miền được cập nhật vào các công cụ tấn công, đào tạo những người điều khiển các cuộc tấn công, kỹ năng về ngôn ngữ, quản lý và một số hình thức kiểm soát chất lượng nhằm cho phép quản lý tiến độ của cuộc tấn công.
Trong khi phần lớn quy trình tấn công được thiết lập tự động hoặc đơn giản hóa và giao cho các đối tượng ít thành thạo hơn về mặt kỹ thuật, thì với quy mô của các cuộc tấn công cần rất nhiều tin tặc có tay nghề cao đảm nhiệm vai trò tư vấn, thực hiện các thao tác thủ công trong cuộc tấn công nhằm duy trì tiến độ của cuộc tấn công, và trong một số trường hợp, chia sẻ thông tin về hướng tấn công mới nhất và những lỗ hổng với những người giữ nhiệm vụ phòng thủ không gian mạng nhằm bảo vệ các hệ thống máy tính của Trung Quốc tránh khỏi các cuộc tấn công tương tự. Gần như chắc chắn rằng, quá trình quản lý sẽ ghi lại các cuộc tấn công cũng như mục tiêu, việc thu thập thông tin trên các hệ thống, cung cấp dữ liệu dưới hình thức đánh giá rủi ro, đồng thời đảm bảo các cuộc tấn công diễn ra liên tục và tập trung vào nhiệm vụ hoàn thành yêu cầu cụ thể. Đây chắc chắn không phải là một chương trình có quy mô nhỏ.

Quy trình tấn công được thiết lập tự động hoặc đơn giản hóa và giao cho các đối tượng ít thành thạo hơn về mặt kỹ thuật

Chế biến và khai thác

Nếu toàn bộ 1.000 cuộc tấn công đều thành công và kết quả chiếm được lượng lớn dữ liệu đánh cắp được từ các hệ thống bị xâm nhập, thì dữ liệu cần đưa về định dạng có thể đọc được (và giải mã nếu cần thiết), có thể thực hiện các yêu cầu tìm kiếm, lưu trữ trong cơ sở dữ liệu và chuyển ngữ về tiếng Trung Quốc – tất cả hoạt động này phải được thực hiện với quy mô lớn trong thời gian thực hoặc gần với thời gian thực nhằm cho phép thông tin được sử dụng một cách nhanh chóng và hiệu quả nhất có thể. Tất nhiên, số lượng thực tế của các vụ xâm nhập thành công tại thời điểm bất kỳ có thể có cường độ cao hơn nhiều so với con số 1.000.

Phân tích và sản xuất

Vấn đề đầu tiên khi phân tích số lượng lớn dữ liệu được dịch từ những ngôn ngữ khác là các công cụ dịch máy móc thường cho chất lượng thấp, đặc biệt là đối với những dữ liệu như email thường sử dụng cách viết bình dân hơn. Vấn đề thứ hai là phần lớn những tài liệu đánh cắp được đều có tính kỹ thuật cao: nếu bạn đánh cắp tài liệu của một nhà sản xuất bộ điều khiển, ít nhất bạn cần có kiến thức cơ bản về bộ điều khiển để có thể xác định giá trị tiềm năng của tập tài liệu và cách tốt nhất để khai thác nó. Nếu có nhiều dữ liệu về bộ điều khiển, bạn sẽ cần nhiều chuyên gia về bộ điều khiển hoặc phải đối diện với nguy cơ dữ liệu bị lỗi thời khi được đưa ra phân tích. Bên cạnh đó, nếu một người nào đó hiểu các bộ điều khiển thì không có nghĩa là họ hiểu các tính năng cải tiến (gizmo), vì vậy một nhóm khác có thể tiếp tục được yêu cầu phân tích các dữ liệu đó. Các chuyên gia phân tích sẽ cung cấp thông tin phản hồi cho các nhà điều hành, có lẽ là “lấy thêm”, hay “không phải, hãy lấy cái khác”. Họ cũng có thể cung cấp các thuật ngữ tìm kiếm tài liệu. Tất cả phân tích này sau đó sẽ được viết vào các báo cáo nhằm bảo vệ các nguồn thông tin.

Sau khi lấy được dữ liệu, các chuyên gia sẽ phân tích và chuyển đổi ngữ.

 

Việc phổ biến

Nếu thông tin là hữu ích, quá trình báo cáo sẽ diễn ra nhanh chóng để đưa thông tin đó đến đúng đối tượng. Việc phổ biến các báo cáo tình báo cho các quan chức tình báo và an ninh cần được tiến hành nhanh chóng do tất cả mọi người tham gia vào quá trình này đều có nhiệm vụ rõ ràng. Nhưng chúng ta có thể giả định (mặc dù không có cơ sở đảm bảo) rằng những thông tin này là tối mật, do đó việc chuyển các thông tin cho các quan chức chính phủ được kiểm soát chặt chẽ và đôi khi gặp một chút khó khăn, đặc biệt nếu các quan chức đang làm việc bên ngoài khu vực Bắc Kinh, bởi vì yêu cầu phải thiết lập các liên kết mã hóa hoặc mạng lưới truyền tin đáng tin cậy để tiến hành quá trình truyền tải các báo cáo.

Nhiệm vụ khó khăn nhất là chuyển các báo cáo có nội dung liên quan đến phát triển thương mại và kỹ thuật đến đúng đối tượng. Những người đáng tin cậy nhất là nhà lãnh đạo các tổ chức bởi vì lòng trung thành của họ đối với Đảng đã được kiểm chứng tương đối, nhưng việc đảm bảo lòng trung thành không có nghĩa là họ có thể hiểu, phân tích và khai thác các thông tin trong báo cáo. Vì vậy, báo cáo hoặc một số phần trong nội dung của nó phải được chuyển xuống cho những người có khả năng hiểu nó. Điều này có nghĩa là gia tăng đáng kể số lượng người biết về các báo cáo, do đó dẫn đến rủi ro vô cùng lớn. Đảng cũng quyết định những doanh nghiệp nào được phép tham khảo các thông tin thu thập được – nếu có 5 công ty cùng sản xuất các bộ điều khiển thì liệu bạn sẽ đưa thông tin về bộ điều khiển thế hệ tiếp theo cho cả 5 nhà sản xuất hay chỉ một trong số họ? Chúng tôi sẽ xem xét giải pháp giải quyết vấn đề này của Đảng ở bên dưới.
Quá trình phổ biến hợp lý sẽ tiếp tục tạo ra yêu cầu nhiều hơn và hỗ trợ tạo ra những yêu cầu tinh tế hơn để nuôi dưỡng quá trình và chuẩn bị cho chu kỳ thu thập dữ liệu tiếp theo.

nguyentandung.org lược dịch (Nguồn: Context Information Security)

Xem nhiều

Tin liên quan

BẠN CÓ THỂ QUAN TÂM

Video