Chủ đề

(Chuyên đề) - MANDIANT – APT1

TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.

Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

 TÓM TẮT

Từ năm 2004, hãng bảo mật Mandiant đã bắt đầu điều tra các cuộc xâm nhập máy tính tại hàng trăm tổ chức trên toàn thế giới. Phần lớn các cuộc xâm nhập đều do các nhóm tin tặc có kỹ năng cao, được gọi là “Mối nguy hiểm cao thường trực” (APT).

Ảnh minh họa.

Chúng tôi từng công bố những chi tiết liên quan đến các cuộc tấn công APT lần đầu tiên trong báo cáo M-Trends phát hành tháng 01/2010. Như chúng tôi từng đánh giá trong báo cáo M-Trends: “Chính phủ Trung Quốc dường như đang ủy quyền tiến hành các hoạt động này, nhưng không có cách nào xác định mức độ tham gia của Chính phủ trong các hoạt động này”. Sau ba năm, chúng tôi đã thu thập được những bằng chứng cần thiết để thay đổi đánh giá trên. Những chi tiết chúng tôi phân tích được trong hàng trăm cuộc điều tra đã thuyết phục chúng tôi rằng, các nhóm tiến hành những hoạt động này chủ yếu có nguồn gốc từ Trung Quốc và Chính phủ Trung Quốc hoàn toàn nhận biết được sự tồn tại của các nhóm tấn công.[3]

Mục lục
[ẩn]

Mandiant vẫn tiếp tục lần theo dấu vết của hàng chục nhóm chuyên tấn công APT trên toàn thế giới; tuy nhiên, báo cáo này chỉ tập trung vào những nhóm hoạt động tích cực nhất trong số này. Chúng tôi gọi nhóm này là “APT1”, đây là một trong hơn 20 nhóm chuyên tấn công APT có nguồn gốc từ Trung Quốc. APT1 là một tổ chức bao gồm những đối tượng, đã tiến hành một chiến dịch gián điệp mạng chống lại hàng loạt các nạn nhân ít nhất từ năm 2006. Theo quan sát của chúng tôi, đây là một trong những nhóm gián điệp mạng hoạt động tích cực nhất về số lượng các thông tin đánh cắp được. Quy mô và tác động của các chiến dịch tấn công do tổ chức APT1 tiến hành đã buộc chúng tôi thực hiện báo cáo này.

Các hoạt động mà chúng tôi đã trực tiếp quan sát được có khả năng chỉ là một phần nhỏ trong số các hoạt động gián điệp mạng mà APT1 đã tiến hành. Mặc dù khả năng tiếp cận các hoạt động của tổ chức APT1 còn nhiều hạn chế, chúng tôi đã phân tích những vụ tấn công của nhóm nhắm vào gần 150 nạn nhân trong 7 năm qua. Từ công tác hỗ trợ nạn nhân chống lại các cuộc tấn công, chúng tôi đã lần theo dấu vết của tổ chức APT1 đến 4 hệ thống mạng lớn tại Thượng Hải, hai trong số đó nằm tại Khu vực mới Phố Đông (Pudong New Area). Chúng tôi đã phát hiện số lượng đáng kể các cơ sở hạ tầng tấn công của APT1, cũng như các máy chủ điều khiển (C&C) và phương thức hoạt động của nhóm (bao gồm các công cụ, chiến thuật và quy trình hoạt động). Trong nỗ lực làm sáng tỏ những cá nhân thực sự đứng sau các vụ tấn công, Mandiant bạch hoá thông tin ba thành viên nổi bật thuộc tổ chức APT1. Các đối tượng này hành động như những quân nhân, có thể chỉ đơn thuần là thực hiện những yêu cầu mà người khác giao cho.

Phân tích đã đưa chúng tôi đi đến kết luận rằng, tổ chức APT1 có khả năng được chính phủ bảo trợ, và đây chính là một trong những tổ chức tấn công mạng hàng đầu tại Trung Quốc. Chúng tôi tin rằng APT1 có khả năng phát động một chiến dịch gián điệp mạng lâu dài và vô cùng rộng lớn bởi vì tổ chức này nhận được sự hỗ trợ trực tiếp từ chính phủ. Trong quá trình tìm kiếm để xác định tổ chức đứng sau hoạt động này, chúng tôi đã phát hiện Đơn vị 61398 thuộc Quân đội Giải phóng Nhân dân Trung Quốc (PLA) có nhiệm vụ, khả năng và các nguồn lực tương tự như APT1. Đơn vị 61398 của PLA cũng được xác định đóng tại cùng khu vực với căn cứ hoạt động của tổ chức APT1.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[3] Những kết luận của chúng tôi dựa trên các nguồn thông tin mở và mật có nguồn gốc từ những quan sát của hãng Mandiant. Không có bất kỳ thông tin nào trong báo cáo này có được từ việc truy cập hay được chứng thực bởi các thông tin tình báo mật.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên