Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 1.1: SUY ĐOÁN NHỮNG NĂNG LỰC VÀ NHIỆM VỤ HOẠT ĐỘNG MẠNG MÁY TÍNH CỦA ĐƠN VỊ 61398 (61398部队)

Những tài liệu đã công bố cho thấy, Cục 2 thuộc Tổng Cục 3 Bộ Tổng Tham mưu PLA là Đơn vị Quân sự Bí mật (MUCD) 61398, thường được biết đến với tên gọi Đơn vị 61398 [10]. Các tài liệu cũng cho thấy Đơn vị 61398 được giao nhiệm vụ triển khai các hoạt động mạng máy tính (CNO) [11]. Viện Nghiên cứu Dự án 2049 trong năm 2011 đã công bố báo cáo cho thấy, Đơn vị 61398 “dường như là đơn vị quan trọng nhất của Tổng Cục 3, được giao nhiệm vụ tấn công Mỹ và Canada, chủ yếu tập trung vào tình báo chính trị, kinh tế và quân sự [12]. Nghiên cứu của chúng tôi ủng hộ nhận định này, đồng thời cho rằng các hoạt động CNO của Đơn vị 61398 không chỉ giới hạn nhằm vào hai nước Mỹ và Canada, mà còn mở rộng ra bất kỳ tổ chức nào sử dụng tiếng Anh là ngôn ngữ chính thức.

Đơn vị 61398 hoạt động nhằm vào 2 nước Mỹ và Canada.

MUCD là gì?

Các đơn vị quân sự Trung Quốc được xem là Đơn vị Quân sự bí mật (MUCD) đặt tên bằng chuỗi gồm 5 chữ số nhằm che giấu tên gọi thực sự của các đơn vị này khi tương tác, đồng thời thiết lập một chuẩn quy chiếu nhằm hỗ trợ dễ dàng cho việc thông tin liên lạc và các hoạt động (ví dụ, “Đơn vị 81356 đang di chuyển đến mục tiêu”, đơn giản hơn nhiều so với “Tiểu đoàn 1, Trung đoàn 125, Sư đoàn 3, Tập đoàn quân 14 đang di chuyển đến mục tiêu”). Các Đơn vị Quân sự Bí mật cũng được sử dụng trong các ấn phẩm chính thức và trên Internet khi đề cập đến đơn vị. Các con số MUCD thường hiển thị bên ngoài khu đóng quân của một đơn vị, cũng như trên đồng phục, cờ và văn phòng phẩm của đơn vị.

Nguồn: Thời báo Quân đội Trung Quốc ngày công bố báo cáo cho thấy, Đơn nay: Truyền thống và Chuyển đổi cho thế kỷ vị 61398 “dường như là đơn vị 21 – Dennis J. Blasko

Xác định Cục 2 thuộc Tổng Cục 3 Bộ Tổng Tham mưu là Đơn vị 61398

Sự quan tâm của PLA trong việc duy trì sự tách bạch giữa Cục 2 thuộc Tổng Cục 3 Bộ Tổng Tham mưu và MUCD 61398 được thể hiện một phần thông qua kết quả tìm kiếm trên Internet đối với các tài liệu chính thức của Chính phủ Trung Quốc khi nhắc đến Cục 2 và Đơn vị 61398.

Mục lục
[ẩn]

Mặc dù đối mặt với nhiều thách thức khi tìm kiếm sự liên kết giữa Chính phủ Trung Quốc và Đơn vị 61398 trên Internet, chúng tôi đã phát hiện những tài liệu tham khảo trực tuyến cho thấy Cục 2 thuộc Tổng Cục 3 Bộ Tổng Tham mưu thực sự là Đơn vị 61398. Cụ thể, Google đã lập bảng chỉ mục tham khảo cho Đơn vị 61398 xuất hiện trong các diễn đàn và các bản sơ yếu lý lịch. Một khi bị phát hiện bởi bộ máy kiểm duyệt của Đảng Cộng sản Trung Quốc, những tài liệu hoặc bài viết này có thể sẽ bị chỉnh sửa hoặc loại bỏ khỏi Internet. Hình 3 cho thấy những kết quả tìm kiếm của Google cho truy vấn Đơn vị 61398 và những “kết quả thành công” phản hồi (lưu ý rằng những liên kết xuất hiện trong các kết quả tìm kiếm có thể bị loại bỏ vào thời điểm công bố báo cáo này):

Hình: Các kết quả tìm kiếm của Google cho thấy thẩm quyền của Đơn vị 61398 đã bị rò rỉ.

Những Yêu cầu đối với Nhân sự của Đơn vị 61398

Đơn vị 61398 dường như chủ động tập hợp và đào tạo lực lượng nhân sự sử dụng tiếng Anh hàng loạt những chủ đề về không gian mạng. Các nhân viên hiện thời và cựu nhân viên từ đơn vị đã công khai đề cập đến những lĩnh vực quan trọng. Ví dụ, một sinh viên tốt nghiệp ngành Truyền thông Bí mật, Li Bingbing (李兵兵) đã công khai thừa nhận sự liên kết của anh với Đơn vị 61398 trong bài báo được xuất bản vào năm 2010 khi thảo luận về việc nhúng các thông tin liên lạc bí mật trong văn bản Microsoft Word. Một ví dụ khác là thông tin tiểu sử của nhà ngôn ngữ học tiếng Anh – Wang Weizhong (王卫忠) cung cấp cho Phòng Thương mại Hà Bắc (河北), đã mô tả quá trình đào tạo ông nhận được khi làm việc tại vị trí nhà ngôn ngữ học tiếng Anh cho Đơn vị 61398. Những ví dụ trên cùng hàng loạt dẫn chứng khác đã tiết lộ chuyên môn hoạt động của Đơn vị 61398 và được liệt kê chi tiết trong Bảng 1 bên dưới.

Bảng 1: Những nguồn tin từ Trung Quốc tiết lộ lĩnh vực hoạt động chuyên môn trong Đơn vị 61398.

Ngoài ra, còn có bằng chứng cho thấy Đơn vị 61398 tích cực tuyển dụng những tài năng mới từ các khoa Khoa học và Kỹ thuật của các trường Đại học như Viện Nghiên cứu Công nghệ Harbin (哈尔滨工业大学) và Đại học Khoa học và Công nghệ Máy tính Chiết Giang (浙江大学计算机学院). Phần lớn “mã nghề nghiệp” (专业代码) đều cho thấy Đơn vị 61398 đang tìm kiếm nguồn nhân lực đáp ứng các yêu cầu cao về kỹ thuật máy tính. Đơn vị cũng đưa ra yêu cầu trình độ tiếng Anh thông thạo. Bảng 2 cung cấp 2 ví dụ về mã nghề nghiệp tuyển dụng trong Đơn vị 61398, cùng với những yêu cầu về khóa đào tạo đại học bắt buộc và sự thông thạo trong mỗi ngành nghề [18].

Bảng 2: Hai mã nghề nghiệp và khóa đào tạo đại học dành cho những sinh viên có dự định ứng tuyển vào các vị trí tại Đơn vị 61398.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[10] Mark A. Stokes, Jenny Lin và L.C. Russell Hsiao, “Cơ sở hạ tầng Trinh sát Mạng và Tình báo Tín hiệu Quân đội Nhân dân Trung Quốc”, Viện Nghiên cứu Dự án 2049 (2011)

[11] Bộ Quốc phòng Mỹ xác định các hoạt động mạng máy tính là “bao gồm tấn công mạng máy tính, phòng thủ mạng máy tính và liên quan đến các hoạt động cho phép khai thác mạng máy tính. Còn được gọi là CNO.

• Tấn công mạng máy tính. Các hành động được thực hiện thông qua việc sử dụng mạng máy tính nhằm gây rối, từ chối, làm giảm hoặc phá hủy các thông tin trên hệ thống mạng và máy tính. Còn được gọi là CNA.

• Phòng thủ mạng máy tính. Các hành động nhằm bảo vệ , giám sát, phân tích, phát hiện và đáp ứng các hoạt động trái phép nhằm vào các mạng máy tính và hệ thống thông tin Bộ Quốc phòng. Còn được gọi là CND.

• Khai thác mạng máy tính. Những khả năng thu thập tình báo và hoạt động có thể tiến hành thông qua việc sử dụng các mạng máy tính để thu thập dữ liệu từ mục tiêu hoặc các mạng lưới và hệ thống thông tin tự động của kẻ thù. Còn được gọi là CNE.

[12] Mark A. Stokes, Jenny Lin và L.C. Russell Hsiao, “Cơ sở hạ tầng Trinh sát Mạng và Tình báo Tín hiệu Quân đội Nhân dân Trung Quốc”, Viện Nghiên cứu Dự án 2049 (2011)

[13] Li Bing-bing, Wang Yan-Bo, and Xu Ming, “Phương pháp che giấu thông tin trên Word 2007 dựa trên hình ảnh bao phủ”, Tạp chí của Đại học Tứ Xuyên (Phiên bản Khoa học Tự nhiên) 47 (2010)

[14] Phòng Thương mại Hà Bắc, Tiểu sử thành viên Wang Weizhong (2012)

[15] Zeng Fan-jing, Yu Yun-xiang, và Chang Li, “The Implementation of Overlay File System in Embedded Linux”, Tạp chí số 7 của Đại học Kỹ thuật Thông tin (2006)

[16] Zhao Ji-yong, Peng Fei, và Geng Chang-suo, “ADC’s Performance and Selection Method of Sampling Number of Bits,” Tạp chí Công nghệ Truyền thông Quân sự 26 (2005)

[17] Chen Qiyun, Chen Xiuzhen, Chen Yiqun, và Fan Lei, “Quantization Evaluation Algorithm for Attack Graph Based on Node Score,” Kỹ thuật máy tính 36 (2010)

[18] Hai trường đại học Trung Quốc tổ chức những sự kiện tuyển dụng cho Đơn vị 61398:

Đại học Chiết Giang
Viện Nghiên cứu Công nghệ Harbin

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net