Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 5.1: TIẾT LỘ THÊM MỘT SỐ HỒ SƠ TIN TẶC TRUNG QUỐC

Hồ sơ tin tặc nhóm APT1: DOTA

Một nhân vật khác trong nhóm APT1 là “dota” (DOTA), biệt danh được sử dụng để tạo ra hầu hết các tài khoản khác nhau dùng trong việc tấn công vào các cơ sở hạ tầng. DOTA có thể được lấy từ tựa của trò chơi “Defense of the Ancients” thường được viết tắt là DotA mặc dù chúng tôi vẫn chưa tìm ra bất kỳ liên kết nào với trò chơi này.

Một nhân vật khác trong nhóm APT1 là DOTA: một fan hâm một của Harry “Poter”?

Chúng tôi đã theo dõi DOTA tạo ra hàng tá tài khoản, bao gồm d0ta010@hotmail.com và dota.d013@gmail.com và thường thấy anh ta tạo một loạt các tài khoản liên tiếp (ví dụ: dota.d001 đến dota.d015) trên các dịch vụ web email. Hầu hết những tài khoản này thường được sử dụng trong các cuộc tấn công lừa đảo hoặc làm địa chỉ email khi đăng ký vào các dịch vụ khác. Ví dụ, DOTA (từ địa chỉ IP của APT1 là 58.247.26.59) với thiết lập bàn phím tiếng Hoa giản thể đã sử dụng địa chỉ email d0ta001@hotmail.com thông qua một máy chủ trung gian tại Mỹ để đăng ký tài khoản Facebook “do.ta.5011” (ID của tài khoản Facebook: 100002184628208).

Mục lục
[ẩn]

Một số dịch vụ như Gmail của Google yêu cầu người dùng cung cấp số điện thoại trong quá trình đăng ký, theo đó dịch vụ sẽ gửi tin nhắn văn bản có chứa mã xác minh. Người dùng sau đó phải nhập mã xác minh này vào trang web để hoàn tất quá trình đăng ký. Trong một lần theo dõi trên một máy tính bị nhiễm, DOTA đã sử dụng số điện thoại “159-2193-7229” để nhận tin nhắn xác minh từ Google, sau đó anh ta nhập thông tin này vào trang web của Google chỉ sau vài giây.

Những số điện thoại tại Trung Quốc được xắp xếp theo một hệ thống phân cấp bao gồm mã vùng, tiền tố và dãy số điện thoại, tương tự như số điện thoại tại Mỹ, với các thông số mã vùng cho phép xác định nhà cung cấp dịch vụ di động. Số điện thoại “159-2193-7229” được phân tách thành “159” là mã vùng, tương ứng với hãng viễn thông China Mobile và tiền tố “2193” cho biết đây là một số điện thoại tại Thượng Hải. Điều này có nghĩa là số điện thoại này được phân phối bởi China Mobile cho người dùng ở Thượng Hải. Tốc độ phản hồi của DOTA cũng cho thấy anh ta sử dụng điện thoại tại thời điểm đó.

Chúng tôi cũng nhận thấy DOTA sử dụng các tên Rodney và Raith để liên lạc qua các email bằng tiếng Anh lưu loát với các mục tiêu khác nhau bao gồm các tổ chức quân sự Đông Nam Á tại Malaysia và Philippines. Hiện không rõ tài khoản Gmail này có chuyên được sử dụng cho các nhiệm vụ CNO (Computer Network Operations) của anh ta hay không, nhưng nhiều lưu lượng truy cập cho thấy tài khoản này được sử dụng trong cả các cuộc tấn công lừa đảo đơn giản cũng như trong các chiến dịch lừa đảo tinh vi qua email bằng kỹ năng xã hội.

DOTA: một fan hâm một của Harry “Poter”?

DOTA dường như là một fan hâm mộ của nhân vật “Harry Potter”, với việc thường xuyên thiết lập “Harry” và “Poter” như là câu trả lời cho các câu hỏi bảo mật như “Ai là giáo viên ưa thích của bạn?” hay “Ai là người bạn thân thời thơ ấu của bạn?” khi đăng ký tài khoản email poter.spo1@gmail.com và thiết lập địa chỉ email phụ là dota.sb005@gmail.com.

Hộp thư đến của tài khoản dota.d001@gmail. Đây là hình ảnh chụp lại màn hình khi DOTA truy xuất vào tài khoản Gmail trên máy tính bị lây nhiễm thuộc hạ tấng được dùng để tấn công của nhóm APT1

Khi tạo ra hàng tá hoặc hàng trăm tài khoản trong cộng đồng trực tuyến hoặc trên các hệ thống của nạn nhân, việc quản lý mật khẩu trở thành một công việc khó khăn. Do đó, hầu hết các thành viên trong nhóm tin tặc APT1 sử dụng những mật khẩu dựa trên các khuôn mẫu (pattern), chẳng hạn như chuỗi ký tự cạnh nhau trên bàn phím “1qaz2wsx” hay chọn một mật khẩu dễ nhớ như “rootkit” làm mật khẩu sử dụng trên diễn đàn an ninh thông tin rootkit.com. Giống như nhiều tin tặc tron nhóm APT1, DOTA thường sử dụng chuỗi ký tự cạnh nhau làm mật khẩu như “1qaz@WSX#EDC”. Ngoài ra, có một mật khẩu “2j3c1k” được DOTA thường xuyên sử dụng không dựa trên khuôn mẫu, mặc dù anh ta có thể không phải là thành viên duy nhất trong nhóm APT1 sử dụng mật khẩu này. Chữ cái “j”, theo sau là các chữ cái “c” và “k” giống như dạng viết tắt (“j”/“c”/“k”) cho cơ cấu ju/chu/ke (cục/sở/khoa – 局/处/科) được áp dụng rộng rãi trong các tổ chức thuộc Bộ Tổng Tham mưu Quân đội Nhân dân Trung Quốc (PLA). Dự án 2049 mô tả cơ cấu tổ chức của PLA như sau: “Các lãnh đạo cấp Cục giám sát từ 6 đến 14 đơn vị hoặc văn phòng trực thuộc [chu; 处], các đơn vị/văn phòng dưới Cục được chia ra thành các khoa [ke; 科]”. Với cơ cấu này, mật khẩu “2j3c1k” có khả năng là viết tắt của Cục 2 (tức là Đơn vị 61398), Sở 3, Khoa 1, đồng thời cho thấy những người sử dụng khuôn mẫu này đang làm việc cùng nhau và tự nhận họ có liên quan với Cục 2.

Việc điều tra nhân vật DOTA để lần ra một cá nhân cụ thể là rất khó khăn; các dấu vết trong hoạt động của nhân vật này không có liên kết rõ ràng tới một cá nhân nào ngoài đời thực. Tuy nhiên, Mandiant có thể thấy một mối quan hệ rõ ràng giữa UG và DOTA. Cụ thể, chúng tôi đã quan sát hai tin tặc này sử dụng cùng một cơ sở hạ tầng mạng, tên miền, và cả dải địa chỉ IP của nhóm APT1. Việc phối hợp sử dụng các cơ sở hạ tầng này cùng với những nghi vấn có liên quan đến Đơn vị 61398 nhấn mạnh rằng, ít nhất UG và DOTA có quen biết nhau và thậm chí là đồng nghiệp.

Hồ sơ tin tặc nhóm APT1: SuperHard (Mei Qiang/梅强)

Nhân vật thứ ba và cũng là nhân vật cuối cùng được Mandiant tiết lộ mang bí danh “SuperHard” (SH). SH được biết đến như nhân vật chuyên viết ra các công cụ tấn công, là người tạo ra hoặc có đóng góp đáng kể cho các họ mã độc AURIGA và BANGAT. Tương tự UglyGorilla, SH có xu hướng để lại dấu tích trong các công cụ. Điển hình, thuộc tính VS_VERSIONINFO của các tập tin thực thi (portable executable – PE) thường đặt là “SuperHard”, hoặc các bản sao tập tin cmd.exe bị thay đổi từ “Microsoft corp.” thành “superhard corp.”.

Thông tin trên mạng xã hội của SuperHard.

Ngoài ra nhiều công cụ của SH có chứa mô-đun trình điều khiển (driver modules) được thiết kể để nạp vào lõi (kernel) của Windows kiểm soát các thành phần hệ thống. Mặc dù không phải chỉ nhóm APT1 có thể chế tạo được công cụ có tính năng này, nhưng nó cho thấy trình độ chuyên môn cao của SH đủ để xếp tin tặc này vào nhóm nhỏ những chuyên gia phát triển cao cấp của APT1. Thông thường, các công cụ của SH được sử dụng bởi những thành viên khác trong nhóm APT1, và trong một số trường hợp, bởi các nhóm APT khác mà Mandiant theo dõi. Vì vậy, trong nhóm APT1, SH dường như không trực tiếp thực hiện các chiến dịch tấn công mà chủ yếu tham gia vào quá trình nghiên cứu và phát triển.

Một số thông tin về SuperHard.

Trong quá trình lần theo dấu vết của SH, Mandiant may mắn có được quyền truy cập đến những tài khoản trên rootkit.com được tiết lộ bởi Anonymous. Tài khoản “SuperHard_M” được đăng ký tại địa chỉ IP 58.247.237.4, thuộc dải địa chỉ IP của APT1, và sử dụng địa chỉ email “mei_qiang_82@sohu.com”. Mandiant cũng quan sát thấy nhân vật DOTA trao đổi email với một tài khoản tên mei_qiang_82. Tên “Mei Qiang” (梅强) khá phổ biến tại Trung Quốc. Ngoài ra, do cư dân mạng Trung Quốc thường hay gắn thêm hai chữ số năm sinh vào tên tài khoản, từ đó có thể nhận định nhân vật SuperHard có tên thật là Mei Qiang và sinh năm 1982. Tuy nhiên do có rất nhiều tài khoản trực tuyến với tên “Mei Qiang” cũng khai năm sinh là 1982, nên rất khó để xác định danh tính cụ thể của nhân vật này.

Hộp thư của SuperHard.

Mei Qiang (SuperHard) xuất bản 2 tạp chí cùng với Zhu Yue Fei.

Rất may, Mandiant đã dựa vào địa chỉ email để lần ra một số trang web và diễn đàn mà đối tượng này đã đăng ký tham gia. Rất nhiều tài khoản trong số đó tiết lộ các chi tiết giúp khẳng định liên kết giữa SH với địa chỉ email “mei_qiang_82@sohu.com” và nhóm APT1. Điển hình như việc SH đã đề nghị viết mã độc Trojans để kiếm tiền, hay sự tham gia vào hoạt động nghiên cứu về mã độc lõi Windows (vô tình cũng được “GreenField”, tức UG bình luận), hay gần đây nhất là trở thành cư dân tại Khu Tân Phố Đông Thượng Hải.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net