(CĐ 16) – Tiết lộ những đơn vị gián điệp mạng của Trung Quốc (Giới thiệu những phát hiện chính)

17/05/2013 21:57

MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

– Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

– Bộ Quốc phòng Trung Quốc, tháng 01/2013

GIỚI THIỆU NHỮNG PHÁT HIỆN CHÍNH

Chúng tôi nghi ngờ APT1 chính là Cục 2 thuộc Tổng Cục 3 Bộ Tổng Tham mưu (GSD) Quân đội Nhân Trung Quốc (PLA) (总参三部二局), chủ yếu được biết đến Bí danh – Đơn vị 61398 (61398部队).

• Bản chất nhiệm vụ của Đơn vị 61398 được xem là bí mật quốc gia của Trung Quốc; tuy nhiên, chúng tôi tin rằng Đơn vị này tham gia vào các “Hoạt động Mạng Máy tính” có hại.

Ảnh minh họa.

• Đơn vị 61398 đóng quân một phần trên đường Đại Đồng (大同路) thuộc thị trấn Cao Kiều (高桥镇), Khu vực mới Phố Đông (浦东新区) tại Thượng Hải (上海). Tòa nhà trung tâm được xây dựng trên khuôn viên có diện tích 12.139 m2, cao 12 tầng và được xây dựng vào đầu năm 2007.

• Theo chúng tôi ước tính, Đơn vị 61398 có số lượng nhân sự lên đến hàng trăm, thậm chí hàng ngàn người dựa trên kích thước cơ sở hạ tầng vật lý mà Đơn vị đang sở hữu.
Hãng viễn thông China Telecom cung cấp cơ sở hạ tầng truyền thông cáp quang đặc biệt cho đơn vị quốc phòng cho Đơn vị này.

• Nhân viên Đơn vị 61398 được đào tạo về các hoạt động mạng máy tính và bảo mật máy tính cũng như yêu cầu thành thạo tiếng Anh.

• Hãng Mandiant đã lần theo dấu vết các hoạt động của tổ chức APT1 đến 4 hệ thống mạng lớn tại Thượng Hải, hai trong số đó được đặt tại khu vực mới trên Phố Đông, nơi Đơn vị 61398 đang đóng quân.

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left”]cd16gdtq.ml[/headlinebox]

Tổ chức APT1 đã đánh cắp có hệ thống hàng trăm terabyte dữ liệu của ít nhất 141 tổ chức, và đã chứng minh khả năng cũng như tham vọng đánh cắp thông tin từ hàng chục tổ chức cùng một lúc.

• Từ năm 2006, hãng Mandiant đã quan sát 141 doanh nghiệp là nạn nhân các cuộc tấn công của tổ chức APT1 thuộc 20 ngành công nghiệp chính.

• Phương pháp tấn công của tổ chức APT1 hoàn toàn rõ ràng, được rèn dũa qua nhiều năm và được thiết kế nhằm mục đích đánh cắp khối lượng lớn sở hữu trí tuệ có giá trị.

• Một khi APT1 đã thành công xâm nhập vào hệ thống, tổ chức này sẽ định kỳ kiểm tra các mạng lưới bị nhiễm mỗi vài tháng hoặc vài năm một lần, đồng thời đánh cắp số lượng lớn sở hữu trí tuệ, bao gồm các bản thiết kế kỹ thuật, quy trình sản xuất độc quyền, các kết quả thử nghiệm, kế hoạch kinh doanh, tài liệu định giá, các thỏa thuận hợp tác, email và danh sách liên lạc từ ban lãnh đạo các tổ chức nạn nhân.

• Chúng tôi nhận thấy, tổ chức APT1 sử dụng một số kỹ thuật và công cụ độc quyền mà các nhóm tấn công khác chưa từng sử dụng, trong đó bao gồm hai bộ tiện ích được thiết kế nhằm đánh cắp email mang tên GETMAIL và MAPIGET.

Bộ tiện ích được thiết kế nhằm đánh cắp email mang tên GETMAIL và MAPIGET.

• Tổ chức APT1 giữ quyền truy cập vào các mạng máy tính của nạn nhân với thời gian trung bình suốt 365 ngày [4]. Thời gian duy trì cuộc tấn công dài nhất của APT1 nhằm vào hệ thống mạng của nạn nhân kéo dài suốt 1.764 ngày, tương đương 4 năm 10 tháng.

• Trong số các vụ đánh cắp sở hữu trí tuệ quy mô lớn, chúng tôi nhận thấy tổ chức APT1 đã đánh cắp 6,5 terabytes dữ liệu nén từ một tổ chức độc lập trong suốt 10 tháng.

• Vào đầu năm 2011, tổ chức APT1 đã xâm nhập thành công vào ít nhất 17 nạn nhân mới đang hoạt động trong 10 ngành công nghiệp khác nhau.

APT1 tập trung tấn công các tổ chức thuộc một loạt ngành công nghiệp tại các quốc gia sử dụng tiếng Anh.

• Trong số 141 nạn nhân của tổ chức APT1, 87% các tổ chức có trụ sở chính đặt tại các quốc gia sử dụng tiếng Anh là ngôn ngữ bản địa.

• Các ngành công nghiệp mục tiêu của APT1 đều phù hợp với các ngành công nghiệp mà Trung Quốc từng xác định là chiến lược cho sự tăng trưởng, trong đó 4 trên 7 ngành công nghiệp chiến lược mũi nhọn từng được Trung Quốc xác định trong Kế hoạch 5 năm lần thứ 12.

Tổ chức APT1 nắm giữ hệ thống cơ sở hạ tầng các hệ thống máy tính rộng lớn trên khắp thế giới.

• APT1 kiểm soát hàng ngàn hệ thống hỗ trợ cho các hoạt động xâm nhập máy tính của tổ chức.

• Theo sự quan sát của chúng tôi trong hai năm qua, APT1 đã thiết lập ít nhất 937 máy chủ điều khiển (C&C) tại 849 địa chỉ IP riêng biệt đặt ở 13 quốc gia. Phần lớn trong số 849 địa chỉ IP riêng biệt được đăng ký bởi các tổ chức tại Trung Quốc (709) và Mỹ (109).

• Trong 3 năm qua, chúng tôi nhận thấy APT1 sử dụng các tên miền đầy đủ (FQDNs) cho 988 địa chỉ IP riêng biệt.

• Trong khoảng thời gian hai năm (từ tháng 01/2011 đến 01/2013), chúng tôi đã xác định 1.905 trường hợp những thành viên phát động tấn công thuộc tổ chức APT1 đăng nhập vào cơ sở hạ tầng tấn công từ 832 địa chỉ IP khác nhau thông qua chương trình Remote Desktop – công cụ cung cấp cho người điều khiển từ xa khả năng tương tác với hệ thống máy tính khác thông qua một giao diện đồ họa.

• Trong vài năm qua, chúng tôi đã xác nhận 2.551 tên miền đầy đủ được cho là thuộc về nhóm APT1.

Theo kết quả quan sát 1.905 trường hợp các thành viên APT1 kết nối vào cơ sở hạ tầng tấn công của tổ chức, hãng Mandiant nhận thấy hơn 97% trường hợp sử dụng các địa chỉ IP được đăng ký tại Thượng Hải, cũng như các hệ thống được thiết lập sử dụng tiếng Trung Quốc giản thể.

• 1.849 trường hợp trong số 1.905 (97%) trường hợp tổ chức APT1 sử dụng chương trình Remote Desktop để tiến hành các cuộc tấn công, những kẻ tấn công thuộc APT1 đã thiết lập bàn phím sử dụng tiếng Trung Quốc giản thể – bộ gõ Mỹ. Các khách hàng sử dụng Remote Desktop của Microsoft đã định dạng thiết lập này một cách tự động dựa trên ngôn ngữ được lựa chọn trên hệ thống khách hàng. Do đó, những kẻ tấn công thuộc APT1 dường như sử dụng hệ điều hành Microsoft® được định dạng hiển thị phông chữ tiếng Trung Quốc giản thể.

Sử dụng chương trình Remote Desktop để tiến hành các cuộc tấn công. Ảnh chụp từ clip.

• 817 trong số 832 (98%) địa chỉ IP đăng nhập vào các hệ thống kiểm soát của APT1 sử dụng Remote Desktop có nguồn từ Trung Quốc.

• Chúng tôi đã quan sát 767 trường hợp riêng biệt mà những kẻ tấn công thuộc APT1 đã sử dụng “Công cụ Truyền Gói dữ liệu HUC” hoặc HTRAN để giao tiếp qua lại giữa 614 địa chỉ IP định tuyến và các hệ thống máy tính được sử dụng làm cơ sở hạ tầng cho các cuộc tấn công. Trong số 614 địa chỉ IP sử dụng giao tiếp HTRAN:

° 614 địa chỉ IP (100%) được đăng ký tại Trung Quốc.

° 613 trong số 614 địa chỉ (99.8%) được đăng ký tại một trong 4 mạng lưới lớn Thượng Hải.

Quy mô cơ sở hạ tầng của tổ chức APT1 có thể cho thấy, đây là một tổ chức lớn với ít nhất hàng chục, thậm chí là hàng trăm nhân sự đang phục vụ.

• Theo ước tính sơ bộ của chúng tôi, cơ sở hạ tầng tấn công hiện giờ của APT1 bao gồm hơn 1.000 máy chủ.

Các nạn nhân (thuộc nhiều Quốc gia) của nhóm tin tặc APT1.

• Để phục vụ cho khối lượng, khoảng thời gian kéo dài và loại hình hoạt động tấn công như chúng tôi đã quan sát được, các nhà khai thác thuộc tổ chức APT1 cần phải có sự hỗ trợ trực tiếp từ các nhà ngôn ngữ học, chuyên gia nghiên cứu mã nguồn mở, các tác giả phần mềm độc hại, chuyên gia trong các ngành công nghiệp nhằm hỗ trợ chuyển ngữ các yêu cầu tìm kiếm được đưa xuống cũng như chuyển các thông tin đánh cắp được cho những người đưa ra yêu cầu.

• APT1 cũng cần đội ngũ nhân sự khá lớn để mua và bảo trì các thiết bị máy tính, hoặc xử lý các vấn đề tài chính, quản lý cơ sở và hậu cần.

Trong nỗ lực làm sáng tỏ những cá nhân thực sự thực hiện tấn công, Mandiant đã điểm mặt các thành viên nổi trội có liên quan đến các hoạt động của tổ chức APT1.

• Thành viên đầu tiên mang mật danh “UglyGorilla”, từng tham gia tích cực các hoạt động mạng máy tính kể từ tháng 10/2004. Những hoạt động của “UglyGorilla” bao gồm đăng ký các tên miền cho tổ chức APT1 và chế tạo mã độc được sử dụng trong các chiến dịch tấn công của APT1. “UglyGorilla” đã công khai bày tỏ sự quan tâm đối với “các đội quân không gian mạng” Trung Quốc vào tháng 01/2004.

Thành viên mang mật danh “UglyGorilla”.

• Thành viên thứ hai được chúng tôi gọi bằng mật danh “DOTA”, từng đăng ký hàng chục tài khoản email được sử dụng để tiến hành các cuộc tấn công xiên cá (spear phishing) và tấn công đánh lừa (social engineering) nhằm hỗ trợ cho các chiến dịch gián điệp của tổ chức APT1. “DOTA” đã sử dụng số điện thoại Thượng Hải khi đăng ký những tài khoản này.

• Chúng tôi nhận thấy, cả hai thành viên “UglyGorilla” và “DOTA” đều sử dụng chung cơ sở hạ tầng, bao gồm các tên miền đầy đủ (FQDN) và hàng loạt địa chỉ IP thuộc về tổ chức APT1.

Tên miền được UglyGorilla sử dụng.

• Thành viên thứ ba sử dụng mật danh “SuperHard”, là tác giả hoặc thành viên quan trọng đóng góp vào quá trình phát triển các họ mã độc AURIGA và BANGAT mà tổ chức APT1 và các nhóm tấn công kiểu APT khác từng sử dụng. “SuperHard” từng tiết lộ vị trí của anh ta tại Khu vực mới Phố Đông thuộc Thượng Hải.

Thành viên thứ ba sử dụng mật danh “SuperHard”.

Hãng Mandiant đang phát hành hơn 3.000 dấu hiệu về các chiến dịch tấn công của tổ chức APT1.

• Cụ thể, Mandiant đang cung cấp:

° Thông tin mạng của hơn 3.000 hoạt động của APT1, như các tên miền, địa chỉ IP và giá trị nhận diện (hash) các mã độc của tố chức APT1.

° Các mẫu nhận diện tấn công (Sample Indicators of Compromise) và mô tả chi tiết hơn 40 chủng mã độc thuộc kho vũ khí kỹ thuật số của tổ chức APT1.

° Mười ba (13) chứng chỉ mã hóa X.509 đang được tổ chức APT1 sử dụng.

° Bộ sưu tập các video trình chiếu những cuộc tấn công thật sự và các hoạt động xâm nhập của những kẻ tấn công.

Danh sách tên miền được sử dụng.

• Trong số những sản phẩm bảo mật đang được hãng Mandiant cung cấp cho giới doanh nghiệp, Quản lý Phòng thủ Mandiant (Mandiant Managed Defense) và Đáp ứng Tình báo Mandiant (Mandiant Intelligent Response) đã cập nhật trước các Chỉ số APT1 này, và chúng tôi cũng đang chuẩn bị cập nhật các chỉ số vào chương trình Redline™, công cụ điều tra dựa trên máy chủ miễn phí của chúng tôi. Redline có thể được tải về tại địa chỉ http://www.mandiant.com/resources/download/redline.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[4] Đây là thời hạn của 91 trong số 141 tổ chức nạn nhân. Trong các trường hợp còn lại, hoạt động của tổ chức APT1 vẫn tiếp tục kéo dài hoặc chúng tôi vẫn chưa thể xác định ngày cuối cùng APT1 tác động vào hệ thống của các nạn nhân.

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video