Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 3: APT1 – VÒNG ĐỜI TẤN CÔNG

APT1 sử dụng một phương pháp tấn công được xác định rõ ràng, rèn luyện qua nhiều năm và được thiết kế để lấy cắp một lượng lớn các tài sản sở hữu trí tuệ. APT1 bắt đầu tấn công sử dụng kỹ thuật lừa đảo dạng xiên cá (spear phishing), sau đó triển khai các mã độc đặc chế, và kết thúc bằng việc tạo ra và chuyển các tập tin đã được nén về Trung Quốc. APT1 sử dụng tiếng Anh rất thành thạo trong các email giả mạo. APT1 đã phát triển các vũ khí mạng trong hơn 7 năm, với kết quả là việc nâng cấp liên tục các vũ khí này như một phần của vòng đời phát hành phần mềm của họ. Khả năng của APT1 trong việc thích ứng với môi trường và phát tán ra nhiều hệ thống giúp họ hoạt động hiệu quả trong môi trường các doanh nghiệp có những mối quan hệ tin tưởng lẫn nhau.

Mô hình Vòng đời tấn công của Mandiant.

Những cuộc tấn công này nằm gọn trong một mô hình hoạt động tuần hoàn là điều chúng tôi sẽ mô tả trong bộ khung mô hình Vòng đời Tấn công Mandiant (Mandiant’s Attack Lifecycle). Trong mỗi giai đoạn chúng tôi sẽ thảo luận về các kỹ thuật đặc trưng của APT1 để minh họa cho sự kiên trì và quy mô hoạt động của họ. (Xem phụ lục B: “APT and the Attack Lifecycle” để thấy tổng quan các bước hành động được hầu hết các nhóm APT thực hiện trong từng giai đoạn của Vòng đời Tấn công).

Mục lục
[ẩn]

Khởi tạo Xâm nhập (The Initial Compromise)

Khởi tạo xâm nhập gồm các phương thức được kẻ tấn công sử dụng lần đầu để rà soát bảo mật hệ thống mạng của các tổ chức mục tiêu. Như hầu hết các nhóm APT khác, tấn công xiên cá là kỹ thuật được sử dụng phổ biến nhất của APT1. Các email giả mạo thường chứa một tập tin đính kèm độc hại hoặc đường dẫn đến một tập tin độc hại. Tiêu đề và nội dung email thường liên quan đến người nhận. APT1 cũng tạo ra các tài khoản webmail sử dụng tên những người có thật và quen thuộc với người nhận như đồng nghiệp, giám đốc điều hành của công ty, nhân viên bộ phận CNTT hoặc tư vấn của công ty – và sử dụng các tài khoản này để gửi email. Một ví dụ thực tế, đây là một email mà APT1 gửi đến nhân viên Mandiant:

Email giả mạo nhằm tấn công xiên cá của APT1.

Thoạt nhìn, các email này là của Giám đốc điều hành Mandiant, Kevin Mandia. Tuy nhiên, xem xét kỹ lưỡng hơn nữa cho thấy email không được gửi từ tài khoản email Mandiant, mà từ “kevin.mandia@rocketmail.com”. Rocketmail là một dịch vụ webmail miễn phí. Tài khoản “kevin.mandia@rocketmail.com” không thuộc về ông Mandia. Thay vào đó, một thành viên của APT1 có thể đăng ký tài khoản cho cuộc tấn công lừa đảo này. Nếu bất cứ ai đã nhấp vào liên kết ngày hôm đó (may mắn là không có ai làm việc này), máy tính của họ đã có thể tải về một tập tin ZIP độc hại tên là “Internal_ Discussion_Press_Release_In_Next_Week8.zip”. Tập tin này có chứa một file thực thi độc hại cài đặt một backdoor của APT1 mà chúng tôi gọi là WEBC2-TABLE.

Mặc dù vậy, các tập tin đính kèm hoặc liên kết với email lừa đảo của thành viên APT1 không phải lúc nào cũng ở định dạng ZIP, đây là cách thức sử dụng nhiều nhất, như chúng tôi đã quan sát trong nhiều năm qua. Dưới đây là một số mẫu tên tập tin mà APT1 đã sử dụng với các tập tin ZIP độc hại của chúng:

Các tập tin ZIP độc hại.

Ví dụ tên tập tin bao gồm các chủ đề quân sự, kinh tế và ngoại giao, cho thấy mục tiêu của APT1 gồm rất nhiều ngành công nghiệp. Một số tên cũng chung chung (ví dụ, “updated_office_contact_v1.zip”) và có thể được sử dụng cho các mục tiêu trong bất kì ngành công nghiệp nào.

APT1 tương tác với người nhận.

Trong một vài trường hợp, người nhận email không nghi ngờ đã trả lời các nội dung lừa đảo, và tin rằng họ đã liên lạc với những người quen của họ. Trong một trường hợp, một người trả lời, “Tôi không chắc việc này có hợp lệ hay không, nên tôi đã không mở nó.” Trong vòng 20 phút, một người nào đó trong APT1 đã hồi âm với một email ngắn gọn: “Việc này là hợp lệ.”

Bạn sẽ nhấn vào cái này chứ?

Một số thành viên APT1 đã tạo ra những phần mềm độc hại chứa trong các tập tin ZIP làm chúng trông giống như những tập tin Adobe PDF bình thường. Đây là một ví dụ:

Tập tin PDF mà bạn nghĩ nó là bình thường, nhưng phần mở rộng thật sự nó lại là EXE.

Đây không phải là 1 tập tin PDF bình thường. Nó trông như là một tập tin có phần mở rộng là PDF nhưng thực sự tên tập tin này bao gồm 119 kí tự khoảng trắng sau đuôi “.pdf” và kết thúc là chuỗi “.exe” – đây mới là phần mở rộng thực sự của tập tin. APT1 thậm chí đã thay đổi biểu tượng của phần mềm độc hại này thành biểu tượng của Adobe cho hoàn hảo. Thực tế tập tin này là một trojan phục vụ backdoor do APT1 tạo ra mà chúng tôi gọi là WEBC2-QBP.

Thiết lập bàn đạp bên trong

Thiết lập bàn đạp bên trong đảm bảo việc kiểm soát được hệ thống mạng của mục tiêu từ bên ngoài. APT1 thiết lập một bàn đạp bên trong khi người dùng nhận email mở một tập tin độc hại và bị cài đặt backdoor. Backdoor là phần mềm cho phép một kẻ xâm nhập thực thi các lệnh vào hệ thống từ xa. Đa số các trường hợp, Backdoor APT sẽ kết nối về máy chủ “chỉ huy và kiểm soát” (C2) của kẻ xâm nhập. Những kẻ xâm nhập APT sử dụng kỹ thuật này vì bình thường tường lửa chỉ ngăn chặn những phần mềm độc hại bên ngoài mạng giao tiếp với hệ thống bên trong, còn việc ngăn chặn phần mềm độc hại từ bên trong mạng giao tiếp với hệ thống bên ngoài thì lại không được kiểm soát chặt chẽ.

Cửa hậu được cài đặt lên các hệ thống bị xâm nhập và thường xuyên kết nối với các máy chủ C2.

Thỉnh thoảng những kẻ xâm nhập APT1 sử dụng những backdoor công khai như Poison Ivy và Gh0st RAT, còn đa phần họ sử dụng những backdoor tự tạo. Chúng tôi đã ghi lại được 42 họ backdoor APT1 đã sử dụng trong “Phụ lục C: Bộ suy tập mã độc”, đây là những backdoor chúng tôi cho rằng chưa từng xuất hiện công khai.

Ngoài ra chúng tôi đã cung cấp 1,007 chuỗi nhận dạng MD5 có liên quan tới phần mềm độc hại của APT1 trong phụ lục E. Chúng tôi sẽ mô tả Backdoor của APT1 trong hai mục: “Beach Backdoors” và “Standard Backdoors.”

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net