Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 4.1: BẰNG CHỨNG CƠ SỞ HẠ TẦNG RỘNG LỚN CỦA ĐƠN VỊ 61398

Phần mềm máy chủ C2 trên hạ tầng Hop

Đôi khi, kẻ tấn công APT1 đã cài đặt các thành phần máy chủ C2 trên hệ thống cơ sở hạ tầng hop của họ thay vì chuyển tiếp kết nối đến máy chủ C2 ở Thượng Hải. Trong trường hợp này, họ không cần phải sử dụng một công cụ proxy như HTRAN để tương tác với các hệ thống nạn nhân. Tuy nhiên, những kẻ xâm nhập vẫn cần giao tiếp với (thường là giao diện đồ họa) phần mềm máy chủ C2 chạy trên hop. Chúng tôi đã quan sát thấy những kẻ xâm nhập APT1 đăng nhập vào điểm hop, khởi động máy chủ C2, chờ cho các kết nối gửi đến, và sau đó tiến hành ra lệnh cho các hệ thống nạn nhân.

Theo kết quả điều tra của Công ty An ninh mạng Mandiant, trong tòa nhà 12 tầng này có đủ chỗ cho 2.000 người làm việc.

Các biến thể WEBC2 có thể bao gồm một thành phần máy chủ cung cấp một giao diện C2 đơn giản cho kẻ xâm nhập. Điều này giúp kẻ xâm nhập không phải chỉnh sửa thủ công các trang web. Thay vào đó, thành phần này nhận được kết nối từ backdoors ở nạn nhân, hiển thị chúng cho kẻ xâm nhập và sau đó dịch các lệnh từ kẻ xâm nhập vào các thẻ HTML mà backdoors ở nạn nhân sẽ đọc và thực thi.

Máy chủ APT1

Trong hai năm qua, chúng tôi đã xác nhận 937 máy chủ APT1 C2 còn đang hoạt động chạy trên 849 địa chỉ IP riêng biệt. Tuy nhiên, chúng tôi có bằng chứng cho thấy APT1 đang chạy hàng trăm, thậm chí hàng ngàn các máy chủ khác (xem phần Tên miền dưới đây). Các chương trình hoạt động như máy chủ của APT1 chủ yếu là: (1) FTP, để truyền các tập tin, (2) Web, chủ yếu cho WEBC2; (3) RDP, giao diện điều khiển đồ họa từ xa của một hệ thống, (4) HTRAN, proxy và (5) Các máy chủ C2 liên kết với các họ backdoor khác nhau (được nêu trong Phụ lục C: Malware Arsenal).

Sự phân bố toàn cầu của máy chủ APT1 đã được xác nhận.

Tên miền

Hệ thống tên miền (DNS) là danh bạ của Internet. Giống như cách mà mọi người đặt tên liên lạc vào di động của họ và không còn cần phải nhớ số điện thoại, DNS cho phép mọi người nhớ những cái tên như “google.com” thay vì địa chỉ IP. Khi một người nhập “google.com” vào trình duyệt web, hệ thống sẽ dịch DNS thành một địa chỉ IP để máy tính của người đó có thể giao tiếp với Google. Tên có thể được dịch thông qua DNS đến các địa chỉ IP được gọi là Tên miền Đúng quy cách Đầy đủ (Fully Qualified Domain Names – FQDNs).

Truy vấn DNS được sử dụng để phân giải các tên miền của APT1 tới nhiều IP máy chủ C2.

Ngoài các địa chỉ IP đã thảo luận ở trên, cơ sở hạ tầng của APT1 còn bao gồm các FQDNs. FQDNs đóng một vai trò quan trọng trong các chiến dịch xâm nhập của họ vì APT1 nhúng FQDNs như địa chỉ C2 vào trong các backdoors của họ. Trong nhiều năm qua, chúng tôi đã xác nhận 2551 FQDNs liên quan tới APT1. Trong số này, chúng tôi đã soạn ra các FQDNs liên quan đến nạn nhân theo tên và cung cấp 2046 tên trong Phụ lục D. Bằng cách sử dụng FQDNs thay vì địa chỉ IP định sẵn như địa chỉ C2, kẻ tấn công có thể linh động quyết định nơi nhận các kết nối C2 từ một backdoor nhất định. Điều đó có nghĩa, nếu họ bị mất kiểm soát của một điểm hop cụ thể (địa chỉ IP) họ có thể “chỉ định” địa chỉ C2 FQDN đến một địa chỉ IP khác và khôi phục việc kiểm soát của họ với backdoors ở nạn nhân. Sự linh hoạt này cho phép những kẻ tấn công điều hướng hệ thống nạn nhân đến vô số các máy chủ C2 và tránh bị chặn.

FQDNs của APT1 có thể được chia thành ba loại: (1) miền chính chủ, (2) miền bên thứ ba, và (3) các tên miền chiếm đoạt được.

Miền chính chủ (APT1 Zone Registrations).

Miền chính (Registered Zones) chủ

Một miền DNS đại diện cho một tập hợp các FQDNs kết thúc với cùng tên và thường được đăng ký thông qua một công ty đăng ký tên miền và được quản lý bởi một chủ sở hữu duy nhất. Ví dụ, “hugesoft.org” là một FQDN đồng thời còn đại diện cho một miền. Các FQDNs “ug-co.hugesoft.org” và “7cback.hugesoft.org” là một phần của miền “hugesoft.org” và được gọi là”tên miền con”. Người đăng ký “hugesoft.org” có thể thêm nhiều tên miền con như họ muốn và quyết định phân giải địa chỉ IP của các FQDNs này. APT1 đã đăng ký ít nhất 107 miền kể từ năm 2004.

Trong các miền này, chúng tôi đã biết hàng ngàn FQDNs đã được phân giải tới hàng trăm địa chỉ IP (mà chúng tôi nghi ngờ là hop) và trong một số trường hợp đã được phân giải ra địa chỉ IP nguồn của APT1 ở Thượng Hải. Miền đầu tiên chúng tôi đã thấy là “hugesoft.org”, được đăng ký thông qua công ty eNom, Inc trong tháng 10 năm 2004. Người đăng ký cung cấp “[email protected]” như một địa chỉ email. Thông tin đăng ký hiện vẫn có thể xem được trong dữ liệu “whois” công khai vào ngày 03/02/2013, bao gồm:

Domain Name:HUGESOFT.ORG
Created On:25-Oct-2004 09:46:18 UTC
Registrant Name:huge soft
Registrant Organization:hugesoft
Registrant Street1:shanghai
Registrant City:shanghai
Registrant State/Province:S
Registrant Postal Code:200001
Registrant Country:CN
Registrant Phone:+86.21000021
Registrant Email:[email protected]

Các thông tin cung cấp để đăng ký không cần phải chính xác cho khi đăng ký thành công miền. Ví dụ, “Thượng Hải” không phải là một tên đường. Tuy nhiên, điều đáng nói là Thượng Hải xuất hiện trong việc đăng ký miền đầu tiên được biết tới của APT1, cùng với một số điện thoại bắt đầu với “86” mã quốc tế của Trung Quốc. Trong thực tế, Thượng Hải đã được liệt kê trong ít nhất là 24/107 miền đăng ký (22%). So sánh điều này với tần suất mà các thành phố khác xuất hiện trong thông tin đăng ký miền của APT1:

Những địa chỉ được dùng đăng ký ngoài Thượng Hải, Trung Quốc.

Một số thông tin đăng ký sai hoàn toàn.Ví dụ, xem xét các thông tin đăng ký cung cấp cho miền “uszzcs.com” vào năm 2005:

Victor [email protected] +86.8005439436
Michael Murphy
795 Livermore St.
Yellow Spring,Ohio,UNITED STATES 45387

Ở đây, một số điện thoại với một tiền tố Trung Quốc (“+86″) đi kèm với một địa chỉ ở Mỹ. Vì Mỹ sử dụng tiền tố “+1″, một người sống ở Ohio cung cấp một số điện thoại bắt đầu với “86” là rất khó đúng. Ngoài ra, tên của thành phố được viết không chính xác, như nó phải là “Yellow Springs” thay vì “Yellow Spring”. Điều này có thể do lỗi chính tả, trừ trường hợp người đăng ký đánh vần tên của thành phố không chính xác nhiều lần, cả hai đều cho các miền “uszzcs.com” và “attnpower.com”. Điều này cho thấy rằng người đăng ký thực sự nghĩ “Yellow Spring” là đúng chính tả và anh ta hoặc cô ta, trên thực tế không sống hoặc làm việc ở Yellow Springs, Ohio.

Nhìn chung, sự kết hợp của một số lượng tương đối cao của “Thượng Hải” với các ví dụ thông tin sai rõ ràng sai trong đăng ký khác cho thấy một phần chiến dịch đăng ký tên miền thiếu sự phối hợp từ năm 2004 đến nay, trong đó một số đăng ký đã cố gắng không sử dụng địa điểm đăng ký Thượng Hải, nhưng một số khác thì không. Điều này được hỗ trợ bởi thông tin theo ngữ cảnh trên Internet cho địa chỉ email “[email protected]” xuất hiện trong thông tin đăng ký cho 7/107 miền. Trên các trang web “www.china-one.org”, địa chỉ email “[email protected]” xuất hiện như là thông tin liên lạc cho Công ty TNHH CNTT Shanghai Kai Optical, một công ty xây dựng các trang web ở Thượng Hải nằm bên kia sông so với PLA 61398.

Một địa chỉ email dùng để đăng ký các tên miền của APT1 cũng là địa chỉ liên lạc cho một công ty ở Thượng Hải.

Các cách đặt tên miền

Khoảng một nửa các miền của APT1 được biết đến đã được đặt tên theo ba chủ đề: tin tức, công nghệ và kinh doanh. Những chủ đề này giúp các địa chỉ C2 của APT1 trông rất lành. Tuy nhiên, chúng tôi tin rằng hàng trăm FQDNs trong các miền này đã được tạo chủ đích cho các cuộc xâm nhập của APT1 (Lưu ý: các chủ đề này không phải là đặc trưng riêng cho APT1 hoặc thậm chí APT nói chung).

Các miền có chủ đề tin tức bao gồm tên của các phương tiện truyền thông nổi tiếng như CNN, Yahoo và Reuters. Tuy nhiên, họ cũng bao gồm các tên tham khảo các nước nói tiếng Anh, như “aunewsonline.com” (Australia), “canadatvsite.com” (Canada), và “todayusa.org” (US). Dưới đây là một danh sách các miền đăng ký theo chủ đề tin tức của APT1:

Các miền có chủ đề công nghệ đề cập tới các công ty công nghệ nổi tiếng (AOL, Apple, Google, Microsoft), các nhà cung cấp phần mềm chống virus (McAfee, Symantec) và các sản phẩm công nghệ khác (Blackberry, Bluecoat). APT1 cũng sử dụng các tên chung chung hơn, đề cập đến các chủ đề như phần mềm:

Cuối cùng, một số miền được APT1 sử dụng phản ánh chủ đề kinh doanh. Các tên cho trang web mà các chuyên gia có thể truy cập:

Mục lục
[ẩn]

Không có miền nào nằm trong vòng kiểm soát của APT1 mãi mãi. Trong một chiến dịch kéo dài trong nhiều năm, không phải lúc nào APT1 cũng gia hạn hết các miền nằm trong cơ sở hạ tầng tấn công của họ. Ngoài ra, trong khi một số miền được để tự hết hạn, những miền khác đã được chuyển giao cho các tổ chức mà các tên miền đã cố gắng bắt chước. Ví dụ, trong tháng 9/2011, Yahoo đã đệ đơn khiếu nại “zheng youjun” ở “Arizona, USA”, người đăng ký miền “myyahoonews.com” của APT1 [34], Yahoo đã cáo buộc “tên miền <myyahoonews.com> gây nhầm lẫn cho thương hiệu YAHOO! của bên nguyên” và “[zheng youjun] đã đăng ký và sử dụng tên miền <myyahoonews.com> với mục đích xấu”. Để đáp lại, Diễn đàn Trọng tài Quốc gia phát hiện ra trang web “myyahoonews.com” tại thời điểm đã được phân giải thành “một trang web lừa đảo, giống với trang web WorldSID thực… trong một nỗ lực lừa đảo để thu thập các thông tin đăng nhập từ người sử dụng.” Không ngạc nhiên khi “zheng youjun” đã không trả lời. Sau đó, việc kiểm soát miền “myyahoonews.com” đã được chuyển giao từ APT1 tới Yahoo.

Dịch vụ Bên thứ ba

Dịch vụ bên thứ ba được APT1 sử dụng phổ biến là “DNS động”. Đây là dịch vụ cho phép người dùng đăng ký tên miền con dưới các miền mà người khác đã đăng ký và cung cấp. Qua nhiều năm, APT1 đã đăng ký hàng trăm FQDNs theo cách này. Khi họ cần chuyển việc phân giải địa chỉ IP của một FQDN, họ chỉ cần đăng nhập vào dịch vụ này và cập nhật việc phân giải địa chỉ IP thông qua một giao diện nền web.

Ngoài việc sử dụng DNS động, gần đây chúng tôi còn phát hiện APT1 đã tạo ra các FQDN kết thúc với “appspot.com”, điều đó cho thấy họ đang sử dụng dịch vụ App Engine của Google.

Các FQDNs chiếm đoạt được

Các kẻ tấn công APT1 thường sử dụng các FQDNs liên quan đến các trang web hợp pháp đặt trên các điểm hop. Chúng tôi xem các tên miền này là đã bị “chiếm đoạt” vì chúng được đăng ký bởi chủ thể khác với các mục đích hợp pháp, nhưng đã bị APT1 tận dụng cho các mục đích xấu. APT1 sử dụng các FQDNs chiếm đoạt được cho hai mục đích chính. Thứ nhất, họ đặt mã độc(thường trong tập tin zip) lên các trang web hợp pháp đặt trên các điểm hop và gửi các email lừa đảo kèm với đường dẫn chứa các FQDN hợp pháp đó. Thứ hai, họ nhúng các FQDN chiếm đoạt được như địa chỉ C2 trong các backdoors của họ.

BẰNG CHỨNG VỀ CƠ SỞ HẠ TẦNG RỘNG LỚN

Như đã lưu ý ở trên, chúng tôi đã xác nhận sự tồn tại của 937 máy chủ (có các ứng dụng đang lắng nghe kết nối) đặt tại 849 địa chỉ IP riêng biệt, với phần lớn các địa chỉ IP đăng ký từ các tổ chức ở Trung Quốc (709), tiếp đến là Mỹ (109). Trong ba năm qua chúng tôi đã theo dõi các FQDNs của APT1 phân giải thành 988 địa chỉ IP riêng biệt mà chúng tôi tin đó không phải là các địa chỉ IP “sinkhole” [35] hay “domain parking” [36]:

• Mỹ: 559
• Trung Quốc: 263
• Đài Loan: 25
• Hàn Quốc: 22
• Anh: 14
• Canada: 12
• Khác: 83

Phần rất lớn các địa chỉ IP một lần nữa lại thuộc về hệ thống mạng gốc của APT1, cho thấy trong một số trường hợp các kẻ xâm nhập APT1 liên lạc trực tiếp với các hệ thống của nạn nhân từ hệ thống của họ ở Thượng Hải, bỏ qua hạ tầng hop của họ:

Các FQDNs của APT1 phân giải ra các địa chỉ IP nằm trong các khối mạng của Trung Quốc.

Các thống kê này cho thấy có hơn 400 địa chỉ IP của Mỹ có thể chứa các máy chủ APT1 đang hoạt động mà Mandiant chưa có điều kiện kiểm chứng cụ thể. Thêm vào đó, mặc dù chúng tôi nắm được hơn 2500 FQDNs của APT1, vẫn còn rất nhiều các FQDNs của APT1 chúng tôi chưa chỉ ra được sự liên kết với APT1 đang phân giải ra rất nhiều IP khác. Chúng tôi ước tính sơ bộ hạ tầng hop hiện tại của APT1 có hơn 1000 máy chủ.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[34]  Diễn đàn Trọng tài Quốc gia Khiếu nại Yahoo! Inc với Zheng số FA1109001409001 (31/10/2011) (Tyrus R.Atkinson, Jr., người tham dự)

[35]  Sinkhole là một máy chủ nhận các kết nối chuyển hướng cho các tên miền độc hại đã biết. Các kết nối thử đến FQDN C2 được chuyển hướng tới sinkhole khi miền độc hại đã được đăng ký lại bới các tổ chức nghiên cứu hoặc các công ty bảo mật dưới sự phối hợp với các công ty đăng ký tên miền.

[36]  Một vài địa chỉ IP được sử dụng cho “domain parking” khi người đăng ký gốc bị mất kiểm soát miền hoặc tên miền FQDN đã được đăng ký, ví dụ như khi miền hết hạn. Các địa chỉ IP này thường đặt các trang quảng cáo.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên