(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 3)

05/09/2015 07:00

Một số địa chỉ email có liên quan đến cpyy, tin tặc dường như cũng sử dụng các biệt danh thay thế như cpiyy và cpyy.chen:

Quy Kết – “CPYY”(Kỳ 2)

malware-hacker

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left” w=”55%”]hdtbgdmtq.ml[/headlinebox]

“CPYY”

[email protected]
[email protected]
[email protected]
[email protected]

Tên miền cpyy.net liệt kê “Chen Ping” là tên người đăng ký, đây có thể là tên thật của cpyy vì có tương quan với chữ “cp” trong “cpyy”. Một blog cá nhân của cpyy được tìm thấy tại địa chỉ http://cpiyy.blog.163.com/. Hồ sơ cá nhân trên blog (thể hiện trong Hình 2 bên dưới) mô tả người dùng là nam, sinh ngày 25/05/1979 và làm việc cho “quân đội / công an” (其他 – 军人 / 警察). panda_v16

Trang blog này đã đăng tải hai bài viết trong danh mục “IT” (“CNTT”) cho thấy sự quan tâm của chủ nhân blog đối với các chủ đề về mạng và lập trình. Hồ sơ trên diễn đàn CSDN (diễn đàn công nghệ và dịch vụ do các chuyên gia IT và công ty CNTT lập ra) của người dùng cpiyy cho thấy, cpyy đang nghiên cứu hoặc làm việc liên quan các chủ đề này vào năm 2002 và 2003.

Hồ sơ trên blog cá nhân của cpyy (http://www.tianya.cn/1569234/bbs) được cập
nhật mới nhất vào năm 2007 cho thấy người dùng sinh sống tại Thượng Hải, và có
ngày sinh giống hệt với hồ sơ trên blog 163.com.

cpyy cũng tham gia hoạt động trên mạng xã hội XCar và khai báo đang sống ở Thượng Hải từ đầu năm 2005 đến 2007; anh tiết lộ trong một đăng tải như sau: “nhiệm vụ người lính là bảo vệ đất nước, miễn là đất nước chúng ta an toàn, quân đội chúng ta thật tuyệt vời” , tuyên bố này thể hiện lòng yêu nước, phù hợp với người chọn nghề nghiệp liên quan đến quân đội hay cảnh sát.

panda_v17

Trên diễn đàn XCar, cpyy.chen sử dụng diễn đàn phụ mang tên POLO (tiếng lóng của tin tặc đối với “xe Volkswagen”) để giao tiếp với các người dùng khác như Linxder, peggycat, “Trời sinh không biết lãng mạn” (天生 不懂 浪漫), “một con sói” (一只 大 灰狼), “phiến đá lớn” (大 瓦片), “mùa đông” (冬夜), “Chunni” (春 妮), đu đủ, kukuhaha, Cranbing, “nhiều bụi” (多 尘 子), z11829 , “cảng sao băng” (冰 星 港), “Bách khoa Aberdeen” (理工 仔), “Tôi yêu bánh dứa” (我 爱 菠 罗 派), và “she’s distant” (“cô ấy ở xa”) trong năm 2007.

Mặc dù bề ngoài các cuộc thảo luận về xe ô tô, tuy nhiên có một từ được lặp đi lặp lại trong các nội dung thảo luận, “gói sữa vàng” hay “gói trứng sữa” hay “bịch sữa vàng” (奶 黄 包). Đây có thể là tiếng lóng của giới tin tặc, nhưng rõ ràng nó không mang nghĩa bình thường. Nội dung thảo luận ám chỉ Linxder là “giáo viên” hoặc “chủ nhà” và các người dùng khác là “sinh viên”. Tài liệu tham khảo của Linxder cho thấy phương pháp anh “tìm việc làm” cho họ. Có thể đây là tài liệu tham khảo cho các cuộc tấn công được ngụy trang dưới vỏ bọc xe hơi.

panda_v19

 

panda_v18

Linxder là tên của một tin tặc nhiều khả năng có liên quan đến nhóm COMMENT PANDA trụ sở tại Thượng Hải. Tất cả người dùng Linxder, cpyy và xiaobai đều thảo luận về các chủ đề có liên quan đến lập trình và bảo mật trên trang mạng của cpyy cpyy.org từng tổ chức diễn đàn thảo luận cho Đội Bảo mật mạng 711 (xem bên dưới). cpyy dường như rất quan tâm đến nhiếp ảnh; blog 163.com của anh đăng tải một số bức ảnh do chính cpyy chụp trên các bài blog và trong phần album. Một số hình ảnh này cũng xuất hiện trên trang trang chia sẻ ảnh Picasa (ví dụ minh họa trong Hình 5 và 6) thuộc về người dùng cpyy.chen.

Một album trong trang này được đặt tên là “tôi” đăng tải một số bức ảnh có thể là cpyy, từ năm 2005, 2006 và 2007 trong hình 4 ở trên:

Một tài khoản trên trang rootkit.com – trang web bảo mật phần mềm chuyên sâu phổ biến – thuộc về người dùng cpyy và được truy cập ít nhất kể từ tháng 05/2004. Tài khoản này được đăng ký bằng địa chỉ email [email protected] và địa chỉ email dự phòng [email protected] com; khai báo ngày sinh là 24/05/1979, hoàn toàn phù hợp với các hồ sơ khác của cpyy. Địa chỉ IP 218.242.252.214 liên kết với tài khoản này thuộc sở hữu của Oriental Cable Network – một nhà cung cấp dịch vụ Internet (ISP) tại Thượng Hải. Việc đăng ký tham gia diễn đàn này cho thấy, cpyy có mối quan tâm đối với các chủ đề liên quan đến bảo mật, giống như những thông tin tìm thấy đăng trên blog cá nhân và tài khoản CSDN của anh.

panda_v20-1

Đội bảo mật mạng 711

Một trong những trang web do cpyy đăng ký được sử dụng để lưu trữ một dịch vụ
email trên nền tảng web, cùng với một diễn đàn trên trang www.cpyy.net. Rõ ràng,
cả hai trang này đều được điều hành bởi Đội Bảo mật mạng 711 (711 网络 安全 小组), một nhóm có thể không còn tồn tại, nhưng đã từng được công bố trong các bài báo liên quan đến bảo mật được đăng tải lại trên các trang web tấn công mạng phổ biến của Trung Quốc như xfocus.net.

Một trong những bài viết này có tiêu đề “IMD-based packet filtering firewall to achieve the principles” 5 , tác giả dường như là xiaobai có địa chỉ email [email protected] cn; bài báo đã được công bố trên chuyên mục an ninh 6 mang tên “BIẾT ƠN” (饮水 思 源)do Đại học Giao thông Thượng Hải (SJTU) tổ chức. Chuyên mục này cũng được ClassicWind thường xuyên lui tới; ClassicWind là một tin tặc liên quan đến nhóm COMMENT PANDA trụ sở tại Thượng Hải, hoạt động dưới sự bảo trợ của Quân đội Trung Quốc, được mô tả trong những phần sau của bài phân tích này. Bài viết này cũng cho thấy “Đảng Cộng sản Trung Quốc (ĐCSTQ) và Quân đội Giải phóng Nhân dân (PLA) đặc biệt xem Đại học Giao thông Thượng Hải (SJTU) và khoa Kỹ thuật An ninh Thông tin (SISE) là nguồn nghiên cứu và tuyển dụng chính phục vụ cho việc triển khai các chiến dịch phòng thủ và tấn công mạng”, do đó có thể các thành viên của Đội Bảo mật mạng 711 nhận được sự chú ý của Chính phủ Trung Quốc thông qua tổ chức này.

Ngoài ra, SJTU còn liên quan tới tên miền điều khiển và kiểm soát (C2), checalla.com, sử dụng công cụ kiểm soát từ xa (RAT) 4H vào năm 2008. Tên miền này được đăng ký bởi email [email protected], từng được dùng để đăng tải một bài viết trên GRATEFUL BBS (Hình 7). Bài đăng tải cho thấy httpchen ở khuôn viên quận Minhang (闵 行) của SJTU và sử dụng địa chỉ IP 58.196.156.15 liên kết với Mạng lưới Nghiên cứu và Giáo dục Trung Quốc (CERNET) do Bộ Giáo dục Trung Quốc quản lý. Bài đăng này cũng cho thấy httpchen đang học tại khoa Kỹ thuật An ninh Thông tin thuộc SJTU.

panda_v23

Các liên kết với quân đội

Nhiều bằng chứng cho thấy cpyy có thể liên kết, hoặc là thành viên của Quân đội Trung Quốc – cụ thể là Quân đội PLA. Bên cạnh việc khai báo trên trang cá nhân rằng anh đang làm việc cho “quân đội/cảnh sát” và có liên hệ với Linxder – tin tặc có liên kết với đơn vị tấn công của PLA, trang Picasa của cpyy còn đăng tải nhiều bức ảnh cho thấy mối liên hệ của anh với quân đội.

Đầu tiên, bức ảnh trong album “Thời đại học” (大 学时代) đăng tải hồi tháng 02/2007 cho thấy một số nhân vật mặc quân phục:Không rõ liệu tấm hình này có chụp cpyy không, hay chỉ có bạn bè/người quen/họ hàng của anh.

Một tấm hình từ album “Thời trung học” (中 学时代) đăng hồi tháng
02/2007 cho thấy một người đàn ông – có thể là cpyy trong tấm hình bên trên, được suy đoán dựa trên bộ quần áo mà anh đang mặc trong tấm hình thứ hai đang biểu diễn một động tác thể dục trước một nhóm mặc quân phục giống như người lính và một sĩ quan.

panda_v24

Mặc dù không nhìn rõ nhưng những tấm hình trong album “Sinh nhật năm 2002”
(2002年的生日) được đăng hồi tháng 02/2007 cho thấy, một người đang chủ trì một
bữa tiệc (giống cpyy) trong trang phục áo kaki, có thể là trang phục quân đội.

Tuy nhiên, những tấm hình hay ho nhất lại được tìm thấy trong album “Ký túc xá” (宿舍) và “Văn phòng” (办公室). Một tấm hình về phòng ký túc xá của cpyy cho thấy
hai mũ quân đội, giống như là mũ lưỡi trai loại 07 của PLA.

Album hình này cũng cho thấy phía bên ngoài của tòa nhà với một số chảo vệ tinh lớn:

panda_v25

Tòa nhà và các chảo vệ tinh này cũng xuất hiện trong album “Văn phòng”. Những hình ảnh phản chiếu trên cửa sổ tòa nhà này có thể do lớp sơn phủ ngoài được sử dụng để chống lại việc nghe trộm thông qua các thiết bị giám sát laser microphone và tăng cường độ bảo mật. Điều này hoàn toàn phù hợp với việc lắp đặt thiết bị
quân sự để tiến hành các công việc nhạy cảm.

panda_v26

Trên đây cũng là một tấm hình lấy từ album “Văn phòng” cho thấy một cái gì đó giống như một chảo vệ tinh kích cỡ lớn hơn nằm trước tháp truyền hình Minh Châu Phương Đông – một cảnh đẹp nổi tiếng tại Thượng Hải:

(Còn tiếp)

Ban biên tập

Xem nhiều

Tin liên quan

BẠN CÓ THỂ QUAN TÂM

Video