Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 3.2: CÁC BƯỚC PHỤ ĐỂ THỰC HIỆN TẤN CÔNG MÁY TÍNH CỦA TRUNG QUỐC

 

Các bước phụ khác


Khi kẻ xâm nhập của APT có bàn đạp bên trong mạng và có được các tài khoản hợp lệ [33], sẽ giúp cho kẻ xâm nhập dễ dàng hoạt động trong hệ thống mà không bị phát hiện:

• Họ có thể kết nối vào các tài nguyên chia sẻ trên hệ thống khác.

• Họ có thể thực thi các lệnh trên hệ thống khác bằng công cụ “psexec” trong bộ công khai Microsoft Sysinternals hoặc công cụ có sẵn Windows Task Scheduler (“at.exe”).

Những hoạt động này rất khó bị phát hiện vì các nhà quản trị hệ thống cũng sử dụng kỹ thuật này để thực thi các tác vụ trong mạng của họ.

Các bước phụ sau khi đã điều khiển được máy tính của đơn vị 61398.

Duy trì Sự hiện diện

Trong giai đoạn này, kẻ xâm nhập sẽ thực hiện các bước nhằm bảo đảm việc kiểm soát liên tục và dài hạn đối với các hệ thống quan trọng trong mạng từ xa. APT1 thực hiện điều này bằng 3 cách.

Mục lục
[ẩn]

1. Cài đặt các backdoors mới lên nhiều hệ thống

Trong suốt thời gian hoạt động trong hệ thống mạng (có thể là nhiều năm), APT1 thường xuyên cài đặt các backdoor mới vào các hệ thống mới chiếm thêm được trong mạng. Nếu một backdoor bị phát hiện và bị xóa, họ vẫn có những backdoor khác để sử dụng. Chúng tôi thường xuyên phát hiện nhiều họ backdoor của APT1 rải rác trong hệ thống mạng của nạn nhân khi APT1 hiện diện ở đó trong một vài tuần.

2. Sử dụng các tài khoản truy cập VPN hợp lệ

Thành viên APT nói riêng và các tin tặc nói chung luôn tìm kiếm các thông tin tài khoản hợp lệ để mạo danh thành người dùng hợp pháp. Chúng tôi đã theo dõi thấy APT1 sử dụng các tài khoản và mật khẩu ăn cắp được để đăng nhập vào hệ thống VPN của nạn nhân khi các hệ thống VPN này chỉ được bảo vệ bới một cơ chế xác thực duy nhất. Từ đó họ có thể làm bất cứ điều gì mà người dùng hợp lệ được phép làm với hệ thống mạng này.

3. Đăng nhập vào các cổng thông tin điện tử

Khi được trang bị các thông tin đánh cắp, APT1 cũng cố gắng tấn công vào phần đăng nhập của các cổng thông tin điện tử mà các hệ thống mạng cung cấp. Bao gồm không chỉ các trang web mà còn nhắm vào các hệ thống email chạy trên nền web như Outlook Web Access.

Hoàn tất Sứ mệnh

Tương tự các nhóm APT chúng tôi theo dõi, APT1 tìm các tập tin chúng quan tâm sau đó đóng gói các tập tin này vào những tập tin dạng nén trước khi đánh cắp chúng. Tiện ích lưu trữ RAR thường được các kẻ xâm nhập APT sử dụng nhằm đảm bảo các tập tin nén luôn được bảo vệ bởi lớp mật khẩu. Đôi khi APT1 sử dụng các đoạn mã được viết sẵn để hỗ trợ quá trình này như minh họa trong hình 19. (“XXXXXXXX” được thay thế trong các kịch bản thực tế).

Một đoạn mã đánh cắp các tập tin và lưu trữ vào các tập tin RAR của APT1.

Sau khi tạo được các tập tin nén thông qua RAR, những kẻ tấn công sẽ chuyển các tập tin ra ngoài mạng bằng các cách khác nhau bao gồm việc sử dụng giao thức truyền file FTP hoặc bằng các cổng hậu được mở sẵn. Trong nhiều trường hợp các tập tin RAR quá lớn kẻ tấn công chia nhỏ chúng trước khi truyền đi. Hình minh họa 19 cho thấy câu lệnh với tùy chọn “-v200m” có nghĩa là tập tin RAR sẽ được chia nhỏ thành các phần có dung lượng 200MB.

Các tập tin APT1 đánh cắp được nén bằng RAR trước khi chuyển tới Trung Quốc.

Không giống hầu hết các nhóm APT chúng tôi theo dõi, APT1 sử dụng hai phần mềm đánh cắp thư điện tử mà chúng tôi tin rằng do APT1 tự phát triển. Thứ nhất là GETMAIL, được thiết kế đặc biệt để trích xuất các thư điện tử, tập tin đính kèm và các thư mục từ các tập tin lưu trữ “PST” của Microsoft Outlook.

Các tập tin lưu trữ của Microsoft Outlook có thể lớn, thông thường được lưu trữ theo năm cho các email. Chúng có thể quá lớn để truyền ra ngoài một cách nhanh chóng, những kẻ xâm nhập có thể không quan tâm tới việc đánh cắp tất cả các hộp thư. GETMAIL cho phép APT1 có thể chỉ lấy các thư trong khoảng thời gian mà chúng chọn. Trong một trường hợp chúng tôi quan sát thấy một kẻ tấn công quay trở lại một hệ thống bị xâm nhập mỗi tuần một lần trong vòng bốn tuần để đánh cắp các thư của các tuần trước đó.

Trong khi GETMAIL đánh cắp thư trong các tập tin lưu trữ của Outlook thì tiện ích thứ 2 MAPIGET được thiết kế đặc biệt để đánh cắp các thư chưa được lưu trữ mà vẫn nằm trên một máy chủ Microsoft Exchange. Để đánh cắp thành công, MAPIGET cần có tài khoản người dùng và mật khẩu được máy chủ Exchange chấp nhận. MAPIGET trích xuất thư từ các tài khoản cụ thể thành các tập tin văn bản (đối với phần nội dung của thư) và các tập tin riêng lẻ đính kèm nếu có.

Tiếng Anh như một ngôn ngữ thứ hai

Thư có tiêu đề “It’s legit” của APT1 không phải là dấu hiệu cho thấy tất cả nhân lực của APT1 đều thông thạo tiếng Anh, mặc dù một vài người trong số họ thông thạo tiếng Anh. Vũ khí mạng của APT1 có các đặc điểm cho thấy chúng được lập trình bởi những người có ngôn ngữ mẹ không phải là tiếng Anh. Đây là vài ví dụ về sai ngữ pháp được sử dụng của các công cụ của APT1 trong những năm qua.

Bảng ví dụ các cụm từ ngữ pháp không chính xác trong phần mềm độc hại APT1.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[33] Mandiant sử dụng thuật ngữ “credentials” để chỉ một tài khoản với mật khẩu hợp lệ dùng được.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên