Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 2.1: HÀNH VI TRỘM CẮP DỮ LIỆU CỦA APT1

APT1 đánh cắp hàng loạt thông tin từ các tổ chức nạn nhân. Những loại thông tin mà tổ chức APT1 đánh cắp liên quan đến:

• Việc sử dụng và phát triển sản phẩm, bao gồm thông tin về kết quả thử nghiệm, thiết kế hệ thống, hướng dẫn sử dụng sản phẩm, danh sách các bộ phận và sao chép công nghệ;

• Quy trình sản xuất, như mô tả các quy trình chế tạo độc quyền, các tiêu chuẩn, và quy trình quản lý chất thải;

APT1 đánh cắp hàng loạt thông tin từ các tổ chức nạn nhân.

• Các kế hoạch kinh doanh, như thông tin về vị thế đàm phán hợp đồng và giá cả các sản phẩm, các sự kiện pháp lý, sáp nhập, liên doanh và mua lại;

• Những phân tích và luận điểm chính sách, như sách trắng và các chương trình nghị sự cũng như biên bản từ các cuộc họp liên quan đến nhân sự cấp cao;

•  Email của các nhân viên cấp cao;

• Thông tin về cấu trúc mạng lưới và thông tin xác thực người dùng.

Mục lục
[ẩn]

Chúng tôi vấp phải rất nhiều khó khăn khi ước tính khối lượng dữ liệu đã bị APT1 đánh cắp trong các cuộc xâm nhập vì nhiều nguyên nhân:

• APT1 đã xóa các kho dữ liệu nén sau khi đánh cắp chúng, để lại các chứng cứ rời rạc và thường bị ghi đè trong quá trình hoạt động kinh doanh bình thường.

• Quy trình giám sát an ninh hệ thống mạng sẵn có hiếm khi ghi lại hoặc xác định các hành vi trộm cắp dữ liệu.

• Khoảng thời gian từ khi diễn ra hành vi đánh cắp dữ liệu đến khi hãng Mandiant bắt đầu cuộc điều tra thường khá lớn, do đó các chứng cứ hỗ trợ theo dấu hành vi đánh cắp dữ liệu đã bị ghi đè lên trong quá trình diễn ra hoạt động kinh doanh bình thường.

• Một số nạn nhân có ý định phân bổ các nguồn lực để khôi phục bảo mật cho hệ thống mạng thay vì tiến hành điều tra và tìm hiểu sự tác động của các vi phạm an ninh.

Thậm chí với những thách thức này, chúng tôi cũng quan sát được APT1 đã đánh cắp hơn 6,5 terabyte dữ liệu nén từ một tổ chức duy nhất trong suốt 10 tháng. Với quy mô các hoạt động của APT1, bao gồm số lượng các tổ chức và ngành công nghiệp bị tấn công, cùng với khối lượng dữ liệu có thể đánh cắp được từ bất kỳ tổ chức độc lập nào, APT1 có khả năng đã đánh cắp hàng trăm terabyte dữ liệu từ các tổ chức nạn nhân.

Mặc dù chúng tôi không có bằng chứng trực tiếp chỉ ra ai hoặc tổ chức nào đã nhận các thông tin mà APT1 đánh cắp được, hoặc làm thế nào người nhận xử lý được khối lượng dữ liệu khổng lồ đến vậy, chúng tôi tin rằng, các thông tin bị đánh cắp có thể được sử dụng nhằm tạo lợi thế cho Trung Quốc và các doanh nghiệp thuộc sở hữu nhà nước. Một ví dụ điển hình như, trong năm 2008, APT1 đã thành công xâm nhập vào mạng lưới của một doanh nghiệp thương mại. Tổ chức APT1 đã cài đặt công cụ tạo ra các tập tin lưu trữ nén, đồng thời trích xuất nội dung các email và tài liệu đính kèm. Trong hơn 2,5 năm, APT1 đã đánh cắp một khối lượng lớn tập tin từ nạn nhân và liên tục truy cập vào các tài khoản email của ban lãnh đạo, bao gồm Giám đốc điều hành (CEO) và Tổng Cố vấn. Trong khoảng thời gian đó, một số hãng tin lớn đã đăng bài viết cho thấy Trung Quốc đã thành công trong vụ đàm phán thương mại, cắt giảm hai con số trên giá mỗi đơn vị hàng hóa với tổ chức nạn nhân. Đây có thể chỉ là sự trùng hợp ngẫu nhiên; tuy nhiên, chúng ta sẽ vô cùng ngạc nhiên khi APT1 vẫn tiếp tục hoạt động gián điệp mạng và đánh cắp dữ liệu, nếu các kết quả thu được không được đưa về các tổ chức khác có thể thu lợi từ chúng.

APT1 trong các Bản tin

Các báo cáo công khai đã chứng thực và gia tăng khả năng quan sát của chúng tôi về hoạt động gián điệp mạng của tổ chức APT1. Tuy nhiên, một vài yếu tố đã gây phức tạp cho quá trình biên soạn và tổng hợp các báo cáo công khai về APT1. Một trong số đó là, các nhà nghiên cứu và nhà báo về an ninh thông tin đã ám chỉ APT1 bằng nhiều tên gọi khác nhau. Bên cạnh đó, nhiều chuyên gia phân tích an ninh mạng chỉ tập trung vào các bài viết mô tả những công cụ được chia sẻ giữa các nhóm chuyên tấn công APT của Trung Quốc mà không phân biệt các nhóm tham gia tấn công.

Nhằm hỗ trợ cho các nhà nghiên cứu trong việc xác định những báo cáo công khai nào đề cập đến tổ chức tấn công mà chúng tôi xác định là APT1, bảng dưới đây cung cấp danh sách các biệt danh của những nhóm chuyên tấn công APT thường xuất hiện trên các phương tiện truyền thông và cách phân loại những biệt danh đề cập đến tổ chức APT1 hoặc các nhóm khác. Ngoài ra, dưới đây là danh sách các báo cáo công khai về những nhóm tiến hành các mối đe dọa tại Trung Quốc mà chúng tôi xác nhận là APT1.

• Báo cáo công khai sớm nhất về cơ sở hạ tầng của APT1 được đề cập trong một ấn phẩm xuất bản năm 2006 do chi nhánh Symantec tại Nhật Bản thực hiện [27]. Báo cáo đã phát hiện ra tên miền sb.hugesoft.org do Ugly Gorilla – một thành viên của tổ chức APT1 (được giới thiệu chi tiết trong báo cáo này) đăng ký.

• Vào tháng 09/2012, Brian Krebs là tác giả của trang blog về tội phạm mạng “Krebs on Security” đã báo cáo về vụ vi phạm an ninh mạng nhằm vào hãng chuyên cung cấp dịch vụ quản trị và giám sát từ xa các hệ thống điều khiển ngành công nghiệp năng lượng – Telvent Canada Ltd (hiện đã đổi tên thành Schneider Electric), dựa trên những công cụ và cơ sở hạ tầng mà các tin tặc đã sử dụng để khai thác và đạt được quyền truy cập vào hệ thống, chúng ta đã gán cho tổ chức APT1 [28].

Bảng xác định những biệt danh của tổ chức APT1 trên các phương tiện truyền thông.

• Một hãng chuyên bảo mật các hệ thống điều khiển công nghiệp SCADA mang tên Digital Bond đã công bố báo cáo về cuộc tấn công lừa đảo chống lại công ty vào tháng 06/2012 [29]. Hãng AlienVault đã cung cấp những phân tích về các mã độc có liên quan [30]. Các chỉ số đề cập trong báo cáo được cho rằng thuộc cơ sở hạ tầng của APT1.

• Trong tháng 11/2012, tác giả Chloe Whiteaker của hãng tin Bloomberg đã có bài viết về nhóm tiến hành các mối đe dọa tại Trung Quốc mang tên “Comment Group”, trong đó mô tả nhiều công cụ khác nhau cũng như các tên miền được sử dụng bởi thành viên APT1 – Ugly Gorilla [31].

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[27] Symantec, “Backdoor.Wualess,” Symantec Security Response (2007), truy cập ngày 03/02/2013.

[28] Brian Krebs, “Chinese Hackers Blamed for Intrusion at Energy Industry Giant Telvent,” Krebs on Security (2012), truy cập ngày 03/02/2013

[29] Reid Wightman, “Spear Phishing Attempt”, Digital Bond (2012), truy cập ngày 03/02/2013.

[30] Jaime Blasco, “Unveiling a spearphishing campaign and possible ramifications,” Alien Vault (2012), truy cập ngày 03/02/2013.

[31] Chloe Whiteaker, “Following the Hackers’ Trail,” Bloomberg, (2012), truy cập ngày 03/02/2013.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên