2013/03/01

Trung Quốc tổ chức tin tặc lấy trộm kỹ thuật tiền tiến Tây Phương


Ban Biên Tập No Firewall
Kỹ sư Nguyễn Ngọc Bảo
2013/03/1


Việc các nhóm tin tặc đặt căn cứ tại ngoại ô Thượng Hải Trung Quốc, được sự hỗ trợ bởi nhà cầm quyền CS Trung Quốc và tung ra hàng loạt các chiến dịch nhằm tấn công điện tử các quốc gia Tây Phương từ cả chục năm nay để lấy trộm các dữ kiện về kỹ thuật tiền tiến về quốc phóng, kỹ nghệ hàng không và không gian, khai thác dầu hỏa, kỹ thuật nano (nano technology), … là những sự kiện đã từ lâu được các giới chức về quốc phòng, an ninh Tây Phương đặc biệt quan tâm theo dõi, nhưng cho đến nay vẫn còn thiếu những dữ kiện rõ rệt để chứng minh một cách không thể chối cãi được. Vào đầu tuần lễ 18/2/2013 , sau một cuộc điều tra rất công phu kéo dài nhiều năm trời, công ty chuyên về an ninh điện tử mandiant (www.mandiant.com), cố vấn về an ninh mạng cho chính phủ Hoa Kỳ đã công bố một bản tường trình dài 74 trang về nhóm tin tặc APT1 (đơn vị 61398) cùng với 2 bản phụ lục công phu về các cách thức kỹ thuật (htran, rat,..) và các malware do nhóm tin tặc Trung Quốc APT1 xử dụng để tấn công.


Nhóm malware WEBC2 xử dụng bởi APT1

Qua bản tường trình này (http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf), có 141 cơ quan, hãng xưởng với 87% tại các quốc gia tiếng Anh bị tấn công, trải rộng trên 20 lãnh vực kỹ thuật tiền tiến. APT1 đã lấy được 6,5 terabytes (6.500.000 Mega octets) từ một cơ quan nạn nhân trong vòng 10 tháng.



Đây là một lần hiếm có, người ta thấy việc truy lùng trên mạng có thể dẫn đến việc xác định được người thật ngoài đời với 3 lý lịch tin tặc khác nhau :

Người thứ nhất có bí danh trên mạng là  Ugly Gorilla (Wang Dong) hay là giáo sư Zhang ngoài đời, một phó đề đốc về hưu của Quân Đội Giải Phóng Nhân Dân Trung Quốc GPNDTQ.



Người thứ hai  có bí danh trên mạng DOTA, số điện thoại của Dota đã bị khám phá ra (số 159-2193-7229), cũng như trương mục điện thư và chỉ danh Facebook. Trương mục gmail của Dota bị tấn công và phơi bày trong bản tường trình.



Người thứ ba có bí danh SuperHard (tên là Mei Quang), chuyên viết nhu liệu tấn công (nhóm các malware Auriga, Bangat), số trương mục gmail của SuperHard  bị khám phá cùng số địa chỉ IP trong vùng Thượng Hải dùng để tấn công.

@IP = 58.247.237.4

Email = mei_qiang_82@sohu.com

Ngoài ra người ta còn thấy hình tòa nhà nơi hoạt động của nhóm APT1 (hay là của đơn vị bí mật 61398 của Quân Đội GPNDTQ) cùng rất nhiều dữ kiện khác về sơ đồ tổ chức, cách thức hoạt động cùng các nhu liệu xử dụng cũng đã được công bố.

Cho đến nay, những dữ kiện điều tra trên mạng hầu như rất khó có thể dẫn đến việc khám phá ra con người thật, nếu không có thêm những cuộc điều tra ngoài đời nhằm phối kiểm và nối những dữ kiện điện tử (địa chỉ IP, nhu liệu xử dụng, các hộp thư điện tử, các liên lạc trao đổi trên các diễn đàn,…) với một số hành tung khác (định vị nơi hội họp, liên lạc, mạng xã hội, tìm ra những người thật ngoài đời mà đương sự thường gặp gỡ).  Những việc này thuộc loại gián điệp chỉ có thể làm được nếu có những phương tiện theo dõi tối tân (nghe lén điện thoại, xử dụng vệ tinh để định vị và nhân sự tại chổ để theo dõi, chụp hình).



Việc truy lùng này đạt được nhiều kết quả cụ thể nhờ vào một số điểm sau, một phần rút ra từ bản tường trình của Mandiant :

a) Những trao đổi các tin tặc qua điện thư gmail hay qua các nhu liệu thu thập được  (collect) và phân giải (reverse engineerring) cho thấy các tin tặc để lại nhiều lỗi về chính tả và văn phạm mà một người nói tiếng Anh bình thường không phạm phải. Cùng một số dữ kiện nối với các vụ tấn công trước đây, có liên hệ đến Trung Quốc đã bị phát giác và điều tra;



b) Những chỉ dấu bị nhiễm mã độc IOC (Indicator of Compromise với 3000 IOC), về các chứng chỉ SSL (Certificate), dùng bởi các máy chủ của nhóm APT1 để liên lạc và điều khiển (C& C Command and Control),  cho thấy mandiant đã thu thập được rất nhiều chi thiết kỹ thuật về nhóm APT1 về, cũng như các công ty bình phong hoạt động cho APT1. Việc này không thể làm được nếu chỉ đơn thuần kiểm soát lưu lượng mạng (internet traffic)  thuộc phạm vi trách nhiệm các công ty viễn thông Tây Phương tại lục địa Hoa Kỳ, mà chắc chắn phải thu thập ngay từ các nút mạng (Interexchange node) các công ty viễn thông nối mạng với Trung Quốc.



c) Việc xác định được tòa nhà nơi hoạt động của nhóm tin tặc APT1, cùng việc xác định được lý lịch của 3 tin tặc cho thấy hầu như chắc chắn mandiant  có được sự hỗ trợ của các cơ quan an ninh mạng Hoa Kỳ. Vì tin tặc APT1 tấn công qua các máy đệm (cả ngàn máy chủ proxy bị chiếm trên khắp thế giới), do đó nếu không thu thập lưu lượng tại các tuyến liên lạc (backbone) chung quanh vùng Thượng Hải (như các tuyến viễn thông của Đại Hàn, Nhật Bản, Đài Loan), cùng một số kỹ thuật định vị, chắc chắn là không thể truy tìm ra các địa chỉ IP gốc.


Tòa nhà tại Thượng Hải của đơn vị QĐNDTQ 61398 (bản tường trình Mandiant)

d) Việc truy tìm ra một số dữ kiện mật như trưng bày trương mục email của Dota cho thấy mandiant đã xử dụng một số biện pháp đặc biệt nhằm thu thập được những điạ chỉ, bạch hóa nội dung trong trương mục điện thư gmail vốn được bảo vệ bằng mã hóa và định danh 2 bậc.

e) Sau cùng việc xác định được với rất nhiều dữ kiện khả tín là nhóm APT1 có gốc là đơn vị tối mật 61398 của QĐNDTQ cho thấy mandiant đã thu thập được nhiều tài liệu ngoài đời về mục tiêu, cấu trúc, cách thức hoạt động của đơn vị này để có thể quy kết là nhóm APT1.



Bản tường trình của Mandiant được công bố vào đầu tuần lễ 18/2/2013 trong bối cảnh một cuộc chiến điện tử ngày càng rõ nét giữa Hoa Kỳ và Trung Quốc. Từ nhiều năm, Các điều tra về các cuộc tấn công nhằm vào các công ty Hoa Kỳ như Google (Aurora 1/2010), văn phòng Thương Mại (11/2011), cơ quan NASA (3/2012), các công ty về quốc phòng , dầu hỏa, điện lực, đều dẫn đến ít nhiều một số nhóm tin tặc liên hệ hay đặt căn cứ tại Trung Quốc. Trong tuần lễ trước đó, một bản lượng gíá về tình báo quốc gia của Hoa Kỳ (National Intelligence Estimate) đã báo động là các hệ thống điện toán  các cơ quan, các hãng xưởng Hoa Kỳ đều là mục tiêu tấn công của tin tặc một cách đều đặn từ nhiều năm qua. Bản tường trình được xếp vào loại mật đã nêu đích danh Trung Quốc là gốc xuất phát các cuộc tấn công. Bản tường trình cũng nêu Nga, Do Thái và Pháp là những quốc gia có những nỗ lực về tình báo kinh tế (economic intelligence) qua mạng, nhưng những nỗ lực rất nhỏ so với nỗ lực của Trung Quốc. Do đó, tổng thống Hoa Kỳ Obama đã ký một sắc lệnh ngày 12/2 nhằm tăng cường an ninh hệ thống điện toán các hạ tầng chiến lược của Hoa Kỳ (dầu hỏa, điện lực, trung tâm nguyên tử, hàng không và không gian, …)  qua việc yêu cầu các cơ quan, hãng xưởng cùng chia xẻ những dữ kiện mật liên hệ đến các cuộc tấn công (cách thức tấn công, các loại tài liệu bị lấy cắp, địa chỉ IP, loại malware xử dụng,…). Chính phủ Hoa Kỳ đã đề ra một số biện pháp trả đũa như đệ đơn tố cáo càc hành vi tấn công một cách chính thức lên các cơ quan quốc tế có thẩm quyền, trục xuất các nhân viên ngoại giao liên hệ, từ chối không cấp chiều khán, theo dõi các nguồn chuyển tiền, … Ngoài ra nhiều nhân vật quan trọng trong hành pháp và lập pháp Hoa Kỳ đã kêu gọi Hoa Kỳ cần tấn công ngược lại (counter hack) Trung Quốc. Trong các giới chuyên về an minh mạng, người ta biết là các võ khí mạng (cyber arms) rất tinh vi như Stuxnet (2010), Flame (2012) hầu như chắc chắn là do Hoa Kỳ và Do Thái chế tạo ra để tấn công các trung tâm nguyên tử Ba Tư.

No comments:

Post a Comment