Chủ đề

(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

KẾT LUẬN

Là một quốc gia luôn giám sát chặt chẽ việc sử dụng Internet, chính phủ Trung Quốc không thể không phát hiện ra nhóm tin tặc hoạt động tại khu vực mới Phố Đông, Thượng Hải. Việc phát hiện ra APT1 thậm chí còn dễ dàng hơn do quy mô và sự kéo dài của các cuộc tấn công mà chúng tôi đã quan sát, ghi nhận trong báo cáo này. Tuy nhiên, kết luận có khả năng nhất đó là APT1 có thể phát động một chiến dịch gián điệp mạng quy mô và dai dẳng bởi vì nhận được sự ủng hộ và hợp tác toàn diện từ chính phủ. Với nhiệm vụ, nguồn lực và vị trí của Đơn vị 61398 của PLA, chúng tôi kết luận rằng, Đơn vị 61398 của PLA chính là APT1.

APT1 chính là Đơn vị 61398.

Kết hợp những quan sát trực tiếp của chúng tôi với những phát hiện được nghiên cứu kỹ lưỡng; chúng tôi tin rằng sự thật chỉ có hai khả năng:

Hoặc

Đây là một tổ chức bí mật, nằm ngay bên ngoài Đơn vị 61398, có nguồn lực với nhân sự là những người nói tiếng Trung tại đại lục, có truy cập trực tiếp vào cơ sở hạ tầng viễn thông tại Thượng Hải để thực hiện một chiến dịch gián điệp mạng dai dẳng nhằm vào các tập đoàn và thực hiện các nhiệm vụ tương tự như nhiệm vụ của Đơn vị 61398.

Hoặc

APT1 chính là Đơn vị 61398

Bảng dưới đây sẽ tóm tắt những điểm tương đồng giữa APT1 và Đơn vị 61398 của PLA.

Điểm trùng hợp giữa nhóm APT1 và Đơn vị 61398.

PHỤ LỤC A:
CÁCH THỨC ĐỂ MANDIANT PHÂN BIỆT CÁC NHÓM ĐE DỌA?

Mandiant sử dụng thuật ngữ “nhóm đe dọa” (threat group) để chỉ một tập hợp những kẻ xâm nhập cùng làm việc nhằm mục tiêu và xâm nhập các mạng lưới quan tâm. Những đối tượng này có thể chia sẻ cùng một bộ các nhiệm vụ, phối hợp các mục tiêu, chia sẻ các công cụ và cách thức. Họ làm việc cùng nhau để đạt được quyền truy cập các mục tiêu của mình và đánh cắp dữ liệu. Từ đó, nhóm được định nghĩa bởi con người và không phải bởi cách thức.

Mục lục
[ẩn]

Tuy nhiên, việc định nghĩa nhóm đe dọa dựa trên xem xét hoạt động xâm nhập không đơn giản. Việc không nhìn thấy người đang ngồi đằng sau bàn phím khiến cho rất khó để có thể xác định được hai vụ việc xâm nhập khác nhau được tiến hành bởi cùng một người, bởi hai người đang làm việc cùng nhau, bởi hai người không liên quan thực hiện xâm nhập một mạng lưới thậm chí là cùng 1 máy tính. Các nhóm khác nhau có thể sử dụng cách thức xâm nhập tương tự và các công cụ phổ biến, đặc biệt là những thứ được phổ biến rộng rãi trên Internet, như pwdump, HTRAN, hoặc Gh0st RAT. Hơn nữa, có thể có sự chồng chéo giữa các nhóm bởi việc chia sẻ phần mềm mã độc hoặc các mã khai thác mà họ là tác giả, hoặc thậm chí là chia sẻ nhân sự. Đối tượng xâm nhập có thể là một cá nhân nào đó được thuê bởi nhiều nhóm. Cuối cùng, nhiều nhóm có thể cùng làm việc vào một thời điểm để xâm nhập cùng nhằm một mục tiêu.
Tuy nhiên, có khả năng xác định được một nhóm đe dọa trong những nhóm khác nếu có đầy đủ thông tin, kinh nghiệm phân tích và công cụ kỹ thuật kết hợp cùng nhau. Tương tự như trường hợp ngoài thế giới thực: tưởng tượng một tên trộm để lại dấu vết gây án tại nhiều hiện trường vụ án khác nhau. Đối tượng trong các vụ trộm có thể khác nhau trong nhiều tình tiết:

• Cách thức tên trộm xâm nhập;

• Công cụ sử dụng để mở két;

• Cho dù tên trộm cẩn thận lựa chọn một vật cụ thể để đánh cắp, hay lấy hết mọi thứ với niềm tin hắn thu gom được vài thứ có giá trị

• Cho dù tên trộm có thể cẩn thận nghiên cứu mục tiêu của hắn, vô hiệu hóa các báo động và cố gắng xóa bỏ mọi chứng cứ như dấu vân tay; hoặc dù hắn không thật sự cẩn thận mà chỉ đơn giản dựa vào hành động lén lút vừa đủ để không bị bắt.

Các nhà khoa học pháp chứng có thể phân tích nhiều hiện trường vụ án và có khả năng dựa vào bằng chứng đằng sau một hiện trường vụ án để đưa ra kết quả là tên trộm này hoặc tên khác.

Với cách thức tương tự, các kẻ xâm nhập mạng để lại rất nhiều “dấu vân tay” số. Những kẻ này có thể gửi nhiều email lừa đảo từ một địa chỉ email hoặc IP xác định. Những email đó có thể có các dòng tiêu đề theo một mẫu nhất định. Các tập tin có các tên gọi, mã MD5, thời gian, các thành phần chỉnh sửa và các thuật toán mã hóa xác định. Các “cửa hậu” có thể được đưa vào các địa chỉ IP điều khiển và ra lệnh hay các tên miền. Trên đây chỉ là một vài ví dụ trong vô số sự liên kết mà các nhà phân tích điều tra máy tính xem xét khi cố phân biệt một nhóm đe dọa trong các nhóm khác.

“Dấu vân tay” số không phải là tất cả trong việc đưa ra một kết qua phân tích. Tính hiệu lực và giá trị của chúng chỉ được xem như các chỉ số trong việc xác định các nhóm đe dọa phụ thuộc phần lớn vào khả năng độc đáo của họ. Lấy ví dụ, việc sử dụng công cụ được phổ biến rộng rãi như HTRAN thì không độc đáo và không hữu ích – bởi chính bản thân công cụ – như một chỉ số xác định ra nhóm đe dọa cụ thể. Ngược lại, việc sử dụng một loại “cửa hậu” xác định được tùy chỉnh lại chưa từng được thấy ở đâu khác là một dấu hiệu xác định rõ ràng hơn nhiều – mặc dù nhìn chung vẫn chưa đủ, về phía công cụ này, đây là một kết quả có tính xác thực.

Ở cấp độ cơ bản nhất, chúng tôi cho rằng 2 sự việc xâm nhập được kết luận do cùng một nhóm thực hiện khi chúng tôi tập hợp đủ các chỉ số xác định giúp khẳng định sự nghi ngờ rằng cùng một người hay một nhóm người đã tham gia thực hiện.

PHỤ LỤC B:
APT VÀ VÒNG ĐỜI TẤN CÔNG

Trong khi hầu hết các vụ xâm nhập máy tính tuân theo một chuỗi các bước đơn giản chung trong vòng đời tấn công, thì vòng đời tấn công của các nhóm APT Trung Quốc có một số khác biệt phục vụ cho các mục đích dài hạn và chuyên biệt. Các phần dưới đây ứng với các giai đoạn của mô hình Vòng đời Tấn công Mandiant và đưa ra cái nhìn tổng quan về các hoạt động trong mỗi giai đoạn. Hầu hết các giai đoạn nằm giữa “Thiết lập Bàn đạp bên trong” và “Hoàn tất Sứ mệnh” không nhất thiết phải tuân theo trình tự này. Thực tế khi đã xâm nhập thành công vào một mạng, các nhóm APT sẽ tiếp tục lặp lại chu kỳ thăm dò, xác định dữ liệu quan trọng, di chuyển qua lại để truy cập dữ liệu, và đánh cắp chúng để “Hoàn tất sứ mệnh”. Các hành động này vẫn tiếp diễn cho đến khi các tin tặc rút lui hoàn toàn khỏi hệ thống mạng.

Khởi tạo xâm nhập

Khởi tạo Xâm nhập gồm các phương thức được kẻ tấn công sử dụng lần đầu để rà soát bảo mật hệ thống mạng của các tổ chức mục tiêu. Những kẻ xâm nhập APT thường nhắm mục tiêu là các người dùng cá nhân trong môi trường mạng của nạn nhân. Theo quan sát, tấn công xiên cá (spear phising) là kỹ thuật được sử dụng phổ biến nhất. Các thông điệp giả mạo thường chứa một tập tin đính kèm độc hại, đường dẫn đến một tập tin hoặc trang web độc hại. Ít thông dụng hơn, những kẻ xâm nhập APT có thể sẽ liên lạc với các nạn nhân tiềm năng và gửi những nội dung độc hại thông qua các mạng xã hội hoặc các chương trình tin nhắn nhanh. Một chiến thuật phổ biến khác thường được sử dụng là tấn công thông qua xâm nhập trang web, trong đó kẻ tấn công chèn các mã độc vào trang web mà các tổ chức mục tiêu có thể sẽ truy cập. Khi họ truy cập vào trang web này trong quá trình làm việc bình thường, họ có thể bị tấn công nếu máy tính của họ có các lỗ hổng mà kẻ tấn công có thể lợi dụng để thực thi các mã khai thác. Các nhóm APT cũng có thể khai thác các máy chủ web bị lỗi và tải lên các webshell để chiếm quyền truy cập vào mạng nội bộ của mục tiêu, hoặc tìm kiếm các lỗ hổng kỹ thuật khác trong các hệ thống cơ sở hạ tầng công khai của mục tiêu.

Thiết lập Bàn đạp bên trong

Thiết lập bàn đạp bên trong đảm bảo cho nhóm APT truy cập và kiểm soát được một hoặc nhiều máy tính trong hệ thống mạng của tổ chức mục tiêu từ bên ngoài. Các nhóm APT có thể sử dụng những backdoor công khai (Gh0st RAT và Poison Ivy là các mẫu thường thấy), các backdoor “ngoài luồng” thu được từ những trang web của tin tặc hoặc thông qua các mối quan hệ cá nhân, và các backdoor “đặc chế”. Những backdoor này thường thiết lập một kết nối ra ngoài từ hệ thống mạng của nạn nhân đến một máy tính được các kẻ tấn công điều khiển. Các phương thức giao tiếp được các loại backdoor sử dụng bao gồm nhiều loại từ không mã hóa hoặc mã hóa đơn giản cho đến việc sử dụng các loại mã hóa phức tạp. Những backdoor này sẽ cung cấp cho các nhóm APT quyền truy cập cơ bản đến hệ thống, thường thông qua giao diện dòng lệnh hoặc đồ họa.

Khởi tạo backdoor (cửa sau) để lần xâm nhập tiếp theo dễ dàng hơn..

Leo thang Đặc quyền

Leo thang Đặc quyền bao gồm việc thu thập các thông tin cho phép truy cập vào nhiều nguồn tài nguyên trong môi trường mạng của nạn nhân. Thông thường sẽ là thông tin các tài khoản và mật khẩu, nhưng cũng có thể bao gồm các chứng chỉ số công khai PKI, phần mềm VPN, các máy tính đặc quyền, hoặc những nguồn tài nguyên khác cần có để truy cập vào dữ liệu hoặc các hệ thống quan trọng. Những kẻ xâm nhập APT (và những kẻ xâm nhập nói chung) thích sử dụng kỹ thuật nâng quyền tài khoản khi có thể, như Quản trị Domain, các tài khoản dịch vụ với quyền Domain, các tài khoản quản trị cục bộ và các tài khoản đặc quyền. Điều này thường được thực hiện bằng việc lấy các mã hoá của mật khẩu từ máy trạm, máy chủ, hoặc Domain Controller (ưu tiên). Các kẻ tấn công có thể có được mật khẩu các tài khoản bằng cách giải mã các mã hoá của mật khẩu. Ngoài ra, họ có thể sử dụng các mã hoá của mật khẩu để thực hiện kỹ thuật tấn công “pass-the-hash” cho đăng nhập vào hệ thống sử dụng mã hoá mật khẩu mà không cần biết mật khẩu ban đầu. Một số các công cự công khai có thể dễ dàng thực hiện cả hai kỹ thuật tấn công giải mã các mã hoá của mật khẩu và pass-the-hash.

Trinh sát nội bộ

Trong giai đoạn Trinh sát Nội bộ, kẻ xâm nhập thu thập thông tin về môi trường mạng của nạn nhân. Những kẻ xâm nhập APT sử dụng các lệnh hệ thống có sẵn (Như lệnh “net” của hệ điều hành Windows) thu thập thông tin về hệ thống mạng nội bộ bao gồm các máy trạm, các liên kết tin cậy, các tài khoản, và các nhóm người dùng. Để tìm kiếm các dữ liệu quan trọng, họ có thể liệt kê danh sách thư mục hoặc mạng chia sẻ, hoặc tìm kiếm dữ liệu dựa trên phần mở rộng, từ khóa, hoặc ngày chỉnh sửa lần cuối của tập tin. Dữ liệu quan trọng có thể có nhiều loại, nhưng thông thường là các văn bản, nội dung của các tài khoản thư điện tử, hoặc cơ sở dữ liệu. Vì vậy, các máy chủ chứa tập tin, máy chủ thư điện tử, và các máy chủ domain controller là các mục tiêu của hoạt động trinh sát nội bộ. Một số nhóm APT sử dụng các đoạn mã tự tạo để tự động hóa quá trình trinh sát và tìm kiếm các dữ liệu quan trọng.

Di chuyển Qua lại

Hầu hết các trường hợp, các hệ thống bị xâm nhập lúc đầu không chứa các dữ liệu mà kẻ xâm nhập muốn. Vì vậy, họ phải di chuyển đến các máy tính có chứa dữ liệu hoặc cho phép truy cập vào nó. Các nhóm APT sử dụng các tài khoản người dùng hợp pháp hoặc các công cụ để thực hiện tấn công pass-the-hash nhằm chiếm quyền truy cập đến những máy tính khác và các thiết bị bên trong hệ thống mạng của nạn nhân. Họ thường sử dụng các tài khoản thu được kết hợp với công cụ “psexec” hoặc Windows Task Scheduler (lệnh “at”) để thực thi các lệnh và cài đặt các phần mềm độc hại lên các hệ thống khác từ xa.

Duy trì Truy xuất

Trong giai đoạn này, kẻ xâm nhập sẽ thực hiện các bước nhằm bảo đảm việc kiểm soát từ xa đối với các hệ thống quan trọng trong bên trong hệ thống mạng. Các nhóm APT thường cài đặt các backdoor mới (ví dụ, các backdoor khác với loại được cài đặt ở giai đoạn “Thiết lập Bàn đạp bên trong”) trong môi trường mạng này trong suốt thời gian tấn công. Họ có thể cài các họ malware khác nhau lên nhiều máy tính và sử dụng hàng loạt các vị trí điều khiển và kiểm soát, nhằm các mục đích dự phòng và gây khó khăn cho việc xác định và loại bỏ các phần mềm độc hại của họ. Ngoài ra họ có thể thiết lập các phương thức truy cập khác vào hệ thống mạng mà không cần dùng các backdoor, để họ có thể duy trì quyền truy cập ngay cả khi các nhân viên an ninh phát hiện và loại bỏ các phần mềm độc hại của họ. Phương pháp này có thể bao gồm việc sử dụng các chứng chỉ PKI (khóa công khai) và tài khoản VPN hợp lệ, cho phép các kẻ xâm nhập truy cập như một người dùng hợp lệ vào hệ thống mạng của doanh nghiệp và các tài nguyên nội bộ. Trong một số trường hợp các thành viên APT đã phá vượt qua được cơ chế xác thực hai bước để duy trì quyền truy cập đến hệ thống mạng nạn nhân và tài nguyên của nó.

Hoàn thành sứ mệnh

Mục đích của các vụ xâm nhập APT là lấy cắp dữ liệu, bao gồm các tài sản sở hữu trí tuệ, các hợp đồng hoặc tài liệu thương thảo, các chính sách hoặc biên bản ghi nhớ nội bộ, Khi các nhóm APT tìm thấy các tập tin quan trọng trên các hệ thống bị xâm nhập, họ thường nén lại thành một tập tin trước khi tải về. Công cụ nén RAR thường được dùng để thực hiện điều này, nhưng cũng có khi sử dụng các công cụ nén phổ biến như ZIP hoặc 7-ZIP. Thành viên APT không chỉ nén dữ liệu mà còn thường xuyên đặt mật khẩu cho các tập tin nén. Họ sử dụng nhiều phương thức để chuyển các tập tin này ra ngoài hệ thống mạng nạn nhân, bao gồm FTP, các công cụ truyền tải tập tin đặc chế, hoặc sử dụng các backdoor hiện có.

PHỤ LỤC C (DỮ LIỆU SỐ):
KHO MÃ ĐỘC

Nội dung phụ lục này là dữ liệu số có thể tìm thấy tại địa chỉ:

http://www.mandiant.com/apt1

Trong này bao gồm thông tin về các họ mã độc mà nhóm APT1 đã sử dụng

PHỤ LỤC D (DỮ LIỆU SỐ):
TÊN MIỀN

Nội dung phụ lục này là dữ liệu số, bao gồm danh sách các tên miền mà nhóm APT1 đã sử dụng như một phần của hạ tầng mạng tấn công

PHỤ LỤC E (DỮ LIỆU SỐ):
MÃ NHẬN DẠNG MD5

Nội dung phụ lục này là dữ liệu số có thể tìm thấy tại địa chỉ:

http://www.mandiant.com/apt1

Trong này bao gồm các mã nhận dạng MD5 của những mã độc mà nhóm APT1 đã từng sử dụng trong các cuộc tấn công.

PHỤ LỤC F (DỮ LIỆU SỐ):
CHỨNG CHỈ SỐ SSL

Nội dung phụ lục này là dữ liệu số có thể tìm thấy tại địa chỉ: http://www.mandiant.com/apt1

Trong này bao gồm các chứng chỉ số SSL được sử dụng trên các máy chủ điều khiển trong hạ tầng tấn công của tin tặc

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net