Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 5: CÁC NHÂN VẬT

APT1 không phải là bóng ma trên không gian số. Trong nỗ lực điều tra về các nhiệm vụ riêng biệt của PLA được thực hiện bởi APT1, chúng tôi quyết định tiết lộ danh tính của một số nhân vật thuộc nhóm APT1. Những đối tượng này đã phạm phải một số sai lầm khi che giấu thông tin, qua đó để lộ hành tung khiến chúng tôi có thể điều tra và lần theo các hoạt động của họ. Một trong số họ là tác giả viết ra những vũ khí mạng, sở hữu những tên miền và tài khoản email của APT1. Những đối tượng này có đóng góp lớn cho nỗ lực chiến tranh mạng của Trung Quốc, đã để lộ vị trí của họ xung quanh khu vực quận Pudong của Thượng Hải, và thậm chí sử dụng số điện thoại tại Thượng Hải khi đăng ký mở tài khoản email tưng được sử dụng cho chiến dịch tấn công xiên cá (spear-phishing).

Đơn vị 61398 trong đó có các nhân vật như là Ugly Gorilla xuất hiện từ năm 2004.

Cách thức xác định một thành viên của APT1 dựa vào quá trình thu thập hàng loạt những mẩu thông tin nhỏ để vẽ lên một bức tranh hoàn chỉnh. Những thông tin này không chỉ tiết lộ về hoạt động của cả nhóm, mà còn giúp chúng ta hình dung cụ thể hơn về những nhóm nhỏ hoặc từng cá nhân trong nhóm. Ta gọi đó là những “nhân vật”. Khi các nhân vật trong APT1 sử dụng các tài nguyên kỹ thuật số như tên miền, địa chỉ IP là họ đã để lại dấu vết trên không gian mạng.

Mục lục
[ẩn]

Một yếu tố khác có ích trong quá trình điều tra là hệ thống Vạn lý Tường lửa (The Great Firewall) của Trung Quốc. Cũng như nhiều tin tặc Trung Quốc, những tin tặc trong nhóm APT1 không muốn bị ràng buộc bởi cơ chế kiểm duyệt của Đảng Cộng sản Trung Quốc thông qua hệ thống này để truy cập vào các trang web như google.com, facebook.com, twitter.com. Ngoài ra, bản chất công việc của các tin tặc yêu cầu họ phải kiểm soát những hạ tầng mạng nằm ngoài phạm vi của Vạn lý Tường lửa. Điều này dẫn đến trường hợp dễ xảy ra nhất là họ sẽ đăng nhập vào tài khoản Facebook và Twitter trực tiếp thông qua hệ thống mà họ dùng để tấn công (vốn nằm ngoài cơ chế kiểm duyệt). Và như vậy, đây chính là cách hiệu quả nhất để xác định danh tính thật của họ.

Vạn lý Tường lửa là gì?

Vạn lý Tường lửa (The Great Firewall) là thuật ngữ dùng để chỉ hệ thống các biện pháp kỹ thuật được triển khai bởi Chính phủ Trung Quốc nhằm kiểm duyệt và ngăn chặn truy cập vào những nội dung nhạy cảm trên Internet. Các nội dung này bao gồm từ khiêu dâm cho đến các tranh luận chính trị, từ các phương tiện truyền thông xã hội hay các trang tin tức đăng tải nội dung chỉ trích Trung Quốc hoặc tiết lộ những tiêu cực của lãnh đạo Trung Quốc. Vạn lý Tường lửa sử dụng các biện pháp như chặn dải địa chỉ IP; ngăn chặn hoặc chuyển hướng những tên miền cụ thể; lọc hoặc ngăn chặn các từ khóa cụ thể trong địa chỉ; và giới hạn tần suất kết nối. Công tác kiểm duyệt của Trung Quốc thường giám sát các trang web, blog, trang mạng xã hội tiếng Trung nhằm phát hiện và gỡ bỏ những nội dung “không phù hợp”. Người dùng Internet Trung Quốc muốn vượt qua cơ chế kiểm duyệt này phải thực hiện một số biện pháp như mã hoá thông tin trên đường truyền. Trung Quốc vẫn đang tiếp tục nâng cấp hệ thống kiểm duyệt, gần đây nhất (tháng 12/2012) là bổ sung khả năng ngăn chặn các kết nối có sử dụng công nghệ mã hóa như mạng riêng ảo (VPN).

Vạn lý tường lửa của Trung Quốc.

Hồ sơ tin tặc nhóm APT1: Ugly Gorilla (Wang Dong/汪东)

Tin tức về “Ugly Gorilla” (UG) xuất hiện từ năm 2004. Một giáo sư tên Zhang Zhaozhong (张召), hiện là một thiếu tướng hải quân về hưu, đã từng tham gia vào quá trình hỗ trợ hình thành chiến lược chiến tranh thông tin tương lai của Trung Quốc. Ông cũng là một người ủng hộ mạnh mẽ cho quá trình “thông tin hóa” tại các đơn vị quân đội và đã xuất bản một số tác phẩm về chiến lược hoạt động quân sự bao gồm “Network Warfare” (网络战争) và “Winning the Information War” (打赢信息化战争). Trong vai trò là Giám đốc bộ phận Thiết bị và Công nghệ Quân sự tại trường Đại học Quốc phòng (国防大学), Giáo sư Zhang được mời tham dự sự kiện “Tầm nhìn 2004: Tình hình Chiến lược Quốc tế” vào tháng 01/2004.

Giáo sư Zhang (张召忠) ngày 16/01/2004

Trong suốt chương trình hỏi đáp trực tuyến được tổ chức bởi trang tin China Military Online (中国军网) thuộc Nhật báo Quân đội Trung Quốc, một thành viên có biệt danh “Greenfield” (绿野) đã đặt ra một câu hỏi đặc biệt:

 “Giáo sư Zhang, tôi đã đọc cuối sách ‘Network Warfare’ của ông và đặc biệt ấn tượng trước những quan điểm và lập luận trong cuốn sách này. Cuốn sách cho biết, quân đội Mỹ đã thành lập một lực lượng mạng đặc trách được biết đến như là một ‘đạo quân mạng’. Trung Quốc có một lực lượng tương tự không? Trung Quốc có quân đội mạng không?” – UglyGorilla 16/01/2004.

Giống như mọi thành viên của diễn đàn China Military Online, “Greenfield” cũng được yêu cầu đăng ký bằng một địa chỉ email và khai báo một số thông tin cá nhân. Thật may mắn, khả năng lưu giữ dữ liệu muôn thuở của Internet đã lưu giữ hồ sơ thông tin chi tiết về người này cho chúng tôi.

Thông tin về thành viên UglyGorilla trên diễn đàn chinamil.

Như vậy, thông tin về nhân vật mà chúng tôi gọi là “UglyGorilla” (UG) lần đầu tiên đã được ghi nhận. Cùng với địa chỉ email của mình, UG đã khai báo “tên thật” là “JackWang”.

Thông tin trên được dịch ra tiếng Anh bởi Google Translate.

Trong một năm, chúng tôi thấy bằng chứng đầu tiên về UG sau các hoạt động của anh ta. Ngày 25/10/2004, UG đã đăng ký tên miền khét tiếng hiện nay là “hugesoft.org”. “hugesoft.org” cùng nhiều tên miền khác của APT1 thuộc quyền sở hữu của UG và vẫn còn hoạt động tại thời điểm báo cáo này được thực hiện. Thông tin đăng ký đã được cập nhật gần đây nhất vào ngày 10/09/2012 và gia hạn tên miền “hugesoft.org” đến năm 2013. Chúng tôi cũng nhận thấy, báo cáo này khiến UG từ bỏ sử dụng “hugesoft.org” cũng như các tên miền liên quan khác nhằm tránh bị theo dõi.

Năm 2007, UG là tác giả của mẫu mã độc đầu tiên trong họ mã độc MANITSME và giống như một nghệ sĩ thực thụ, anh để lại chữ ký nhận dạng trong đoạn mã: “v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”. UG có xu hướng ký xác nhận trên các chuỗi mà anh ta chọn cho tên máy và thậm chí cả trong các giao thức liên lạc được sử dụng cho các cửa hậu. Ví dụ, những tên máy trong những địa chỉ tên miền khác của APT1 như “arrowservice.net” và mới hơn là “msnhome.org” tiếp tục để lại dấu vết của UG (lưu ý chuỗi “ug” trong các tên miền): ug-opm.hugesoft.org; ug-rj.arrowservice.net; ug-hst.msnhome.org.

Mặc dù những dấu vết lộ liễu như vậy đã giảm bớt khi UG có kinh nghiệm hơn, các chữ ký giao thức trong các công cụ của anh như MANITSME và WEBC2-UGX tiếp tục được sử dụng bởi các tin tặc APT1 trụ sở ngoài Thượng Hải.

Việc UG duy trì sử dụng biệt danh “UglyGorilla” trên các tài khoản trực tuyến đã để lại sợi dây tuy mong manh nhưng mạnh mẽ về sự liên quan thông qua nhiều cộng đồng trực tuyến. Hầu hết những nội dung đăng tải về các công cụ tấn công, các chủ đề an ninh thông tin và sự liên hệ với khu vực Thượng Hải là cách thức hợp lý nhằm loại trừ các khẳng định sai. Ví dụ, vào tháng 02/2011, Anonymous đã công khai các tài khoản được đăng ký tại “rootkit.com” bao gồm người dùng “uglygorilla” với địa chỉ email đăng ký là uglygorilla@163.com. Đây cũng là email được sử dụng để đăng ký trên diễn đàn PLA năm 2004 và tên miền hugesoft.org. Đi kèm thông tin tài khoản bị rò rỉ tại rootkit.com là địa chỉ IP 58.246.255.28 được sử dụng để trực tiếp đăng ký tài khoản của UG thuộc dải địa chỉ của APT1 là 58.246.0.0/15.

Một số ít trong những tài khoản này, UG đã khai báo một tên khác “JackWang” như là tên thật của mình. Vào 02/02/2006, một người dùng tên “uglygorilla” đã đăng tải một tập tin có tên “mailbomb_1.08.zip” (một công cụ phát tán thư rác) lên trang web dành cho lập trình viên Trung Quốc – PUDN (www.pudn.com). Chi tiết tài khoản của anh ta bao gồm tên thật “Wang Dong” (汪东).

Tập tin Wang Dong tải lên pudn.com.

Hai điều quan trọng cần chú ý trong điểm này đó là: thứ nhất, tên Trung Quốc được bắt đầu với tên họ, vì vậy “Wang” là tên họ trong chữ 汪东. Thứ hai, có một thực tế phổ biến đối với người Trung Quốc là thường chọn một tên riêng bằng tiếng Anh. Như vậy, “JackWang” không hoàn toàn được dùng như một bí danh.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên