(Chuyên đề) - MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 4: CƠ SỞ HẠ TẦNG CỦA APT1

APT1 duy trì một cơ sở hạ tầng rộng lớn các máy tính trên khắp thế giới. Chúng tôi có bằng chứng cho thấy rằng APT1 đang kiểm soát hàng ngàn hệ thống nhằm hỗ trợ cho các cuộc tấn công này. Mặc dù họ kiểm soát hệ thống ở nhiều quốc gia nhưng các cuộc tấn công của họ có nguồn gốc từ bốn mạng lớn ở Thượng Hải – hai trong số đó được xác định ở khu Pudong Mới, trụ sở của Đơn vị 61398. Hầu hết các địa chỉ IP của APT1 đều tập trung trong phạm vi Thượng Hải, cùng với các thiết lập bố trí bàn phím tiếng Trung Quốc giản thể trên các hệ thống tấn công của APT1 đã để lộ đúng vị trí và ngôn ngữ của nhóm vận hành. Để giúp quản lý số lượng lớn các hệ thống mà họ kiểm soát, APT1 đã đăng ký hàng trăm tên miền, phần lớn trong số đó cũng trỏ đến một khu vực của Thượng Hải. Các tên miền và địa chỉ IP cùng sử dụng hạ tầng chỉ huy và kiểm soát của APT1 phối hợp nhằm che dấu nguồn gốc khi tấn công những mục tiêu sử dụng tiếng Anh của APT1.

APT1 duy trì một cơ sở hạ tầng rộng lớn các máy tính trên khắp thế giới.

Nguồn gốc Hệ thống mạng của APT1

Mục lục
[ẩn]

Chúng tôi thường xuyên được khách hàng hỏi tại sao không chặn tất cả các địa chỉ IP Trung Quốc kết nối hệ thống mạng để ngăn chặn nguy cơ. Để hiểu nó một cách đơn giản, rất dễ dàng cho APT1 để nhảy hoặc “hop” thông qua hệ thống trung gian và như vậy họ hầu như không bao giờ kết nối trực tiếp với mạng của nạn nhân từ hệ thống của họ tại Thượng Hải. Sử dụng cơ sở hạ tầng rộng lớn, họ có thể làm cho các nạn nhân thấy cuộc tấn công bắt nguồn từ hầu như bất kỳ quốc gia nào mà họ lựa chọn. Các hệ thống trong loại cơ sở hạ tầng chuyển hướng mạng này được gọi là các “điểm hop” hoặc các “hop”. Điểm hop thường là các hệ thống bị xâm nhập trước đây, một số trường hợp đã được APT1 sử dụng trong nhiều năm nhằm che dấu nguồn gốc cho các cuộc tấn công của họ. Các hệ thống này thuộc về các nạn nhân gián tiếp, những đối tượng bị xâm nhập nhằm chiếm quyền truy xuất vào cơ sở hạ tầng, trái ngược với các nạn nhân trực tiếp, những đối tượng bị xâm nhập nhằm đánh cắp dữ liệu và tài sản sở hữu trí tuệ của họ.

APT1 nhảy qua các hệ thống "hop point" trước khi truy cập vào hệ thống nạn nhân.

Chúng tôi đã quan sát thấy một số hoạt động của APT1 sau khi họ đi vào lãnh
thổ Hoa Kỳ (trên không gian mạng). Họ truy cập điểm hop bằng cách sử dụng một loạt các kỹ thuật, thông dụng nhất là Remote Desktop và FTP. Trong khoảng thời gian hai năm (tháng 01/2011 đến tháng 01/2013), chúng tôi xác nhận 1905 trường hợp của APT1 đăng nhập vào cơ sở hạ tầng hop của họ từ 832 địa chỉ IP khác nhau sử dụng Remote Desktop. Remote Desktop cung cấp cho người sử dụng từ xa một giao diện đồ họa tương tác với hệ thống tương tự như người sử dụng thực sự ngồi tại hệ thống và có quyền truy cập trực tiếp vào máy tính, bàn phím và chuột. Trong số 832 địa chỉ IP, 817 (98,2%) là của Trung Quốc và thuộc chủ yếu bốn khối mạng lớn ở Thượng Hải mà chúng ta sẽ đề cập đến như hệ thống mạng gốc của APT1.

Khối mạng tương ứng với địa chỉ IP mà APT1 sử dụng điểm truy cập hop.

Đáng chú ý là thông tin đăng ký cho khối mạng thứ hai và thứ ba trên bao gồm thông tin liên lạc ở cuối:

person: yanling ruan
nic-hdl: YR194-AP
e-mail: sh-ipmaster@chinaunicom.cn
address: No.900,Pudong Avenue,ShangHai,China
phone: +086-021-61201616
fax-no: +086-021-61201616
country: cn

Thông tin đăng ký của hai khối mạng đã cho thấy nó thuộc khu Pudong của Thượng Hải, nơi PLA 61398 đặt trụ sở chính.

15 trong số 832 địa chỉ IP đã được đăng ký bởi các tổ chức ở Mỹ (12), Đài Loan (1), Nhật Bản (1) và Hàn Quốc (1). Chúng tôi đã xác nhận rằng một số trong các hệ thống này là một phần của cơ sở hạ tầng hop của APT1 và không thuộc quyền sở hữu hợp pháp của APT1 – nói cách khác, APT1 truy cập vào một hop qua các hop trung gian khác thay vì truy cập trực tiếp từ Thượng Hải.

Để giúp người sử dụng cảm thấy thoải mái nhất, giao thức Remote Desktop đòi hỏi các ứng dụng của khách hàng chuyển tiếp một số chi tiết quan trọng đến máy chủ, bao gồm cả tên máy khách hàng của họ và cách bố trí bàn phím. 1849 trong 1905 (97%) phiên Remote Desktop của APT1 từ xa chúng tôi quan sát thấy trong hai năm qua, các thiết lập bố trí bàn phím là “Trung Quốc (giản thể) – Mỹ”. Cấu hình Remote Desktop của Microsoft được thiết lập tự động dựa trên các ngôn ngữ được lựa chọn trên hệ thống sử dụng để truy xuất, làm cho nó gần như chắc chắn về việc APT1 quản lý cơ sở hạ tầng hop đang làm như vậy với thiết lập đầu vào là Trung Quốc giản thể – Simplified Chinese (zh-cn) .”Trung Quốc giản thể” là một tập hợp sắp xếp hợp lý lại bộ ký tự truyền thống Trung Quốc đã được sử dụng từ những năm 1950, có nguồn gốc ở Trung Quốc đại lục. Đài Loan và các thành phố như Hồng Kông vẫn còn sử dụng bộ ký tự “Trung Quốc phồn thể (Traditional Chinese)” (zh-tw).

Sự tập trung quá nhiều của địa chỉ IP Thượng Hải và việc cài đặt ngôn ngữ tiếng Hoa giản thể đã chỉ ra rõ ràng rằng những kẻ xâm nhập APT1 là người nói tiếng Trung Quốc đại lục và đã sử dụng các mạng lớn ở Thượng Hải. Thay thế duy nhất là APT1 đã cố ý tiến hành một chiến dịch lừa dối lâu năm để mạo danh những người nói tiếng Trung Quốc từ Thượng Hải trong những nơi mà nạn nhân không có khả năng phát hiện ra – và không tạo ra sai lầm nào có thể cho biết danh tính “thực sự” của họ.

Tương tác với các Backdoors (Cửa hậu)

Như chúng tôi chỉ đề cập, kẻ tấn công APT1 thường sử dụng các hop để kết nối và kiểm soát các hệ thống của nạn nhân. Backdoors ở nạn nhân thường xuyên kết nối đến các điểm hop, chờ lệnh điều khiển từ kẻ tấn công. Tuy nhiên, qua cách thức hoạt động này thường chỉ ra các công cụ mà họ sử dụng.

Cập nhật WEBC2 thủ công

Như được đề cập trong phần “Vòng đời tấn công” trước, các biến thể backdoor WEBC2 tải về và biên dịch dữ liệu được lưu trữ giữa các thẻ trong trang HTML để nhận các lệnh. Họ thường tải về các trang HTML từ một hệ thống trong cơ sở hạ tầng hop của APT1. Chúng tôi đã quan sát những kẻ xâm nhập APT1 đăng nhập vào máy chủ WEBC2 và chỉnh sửa thủ công các trang HTML mà backdoors sẽ tải về. Vì các lệnh thường được mã hóa và khó nhớ, những kẻ xâm nhập APT1 thường không gõ những chuỗi này mà thường sao chép và dán chúng vào các tập tin HTML. Họ thường tạo ra các lệnh được mã hóa trên hệ thống của mình trước khi dán chúng vào một tập tin HTML được lưu trữ bởi các điểm hop. Ví dụ, chúng tôi quan sát thấy một kẻ tấn công APT dán chuỗi “czo1NA==” vào một trang HTML. Đó là chuỗi là phiên bản mã hóa base64 “s:54″, có nghĩa là “ngừng trong 54 phút” (hoặc giờ, tùy thuộc trên backdoor cụ thể). Ngoài việc chỉnh sửa thủ công tập tin HTML trên một điểm hop, chúng tôi cũng đã quan sát thấy những kẻ xâm nhập APT1 tải lên các file HTML mới (đã chỉnh sửa).

HTRAN

Khi kẻ tấn công APT1 không sử dụng WEBC2, họ cần một giao diện người dùng “điều khiển và kiểm soát” (C2) để họ có thể ra lệnh cho backdoor. Giao diện này đôi khi chạy trên hệ thống tấn công cá nhân của họ, mà thường là ở Thượng Hải. Trong trường hợp này, khi một backdoor ở nạn nhân tiếp xúc với một hop, việc liên lạc cần được chuyển tiếp từ hop tới hệ thống của kẻ xâm nhập ở Thượng Hải để backdoor có thể giao tiếp với phần mềm máy chủ C2. Chúng tôi đã quan sát 767 trường hợp riêng biệt trong đó những kẻ xâm nhập APT1 sử dụng công cụ công khai “HUC Packet Transmit Tool” hoặc HTRAN trên một hop. Như mọi khi, đây là các hành vi sử dụng được xác nhận sử dụng và có khả năng chỉ chiếm một phần nhỏ trong hoạt động tổng thể của APT1.

Tiện ích HTRAN là chỉ đơn thuần là một thành phần trung gian, tạo điều kiện thuận lợi cho các kết nối giữa nạn nhân và kẻ tấn công có sử dụng các điểm hop.

Công cụ HTRAN trên các điểm hop của APT1 và có vai trò hoạt động như máy chủ trung gian.

Điển hình sử dụng HTRAN là khá đơn giản: kẻ tấn công phải xác định địa chỉ IP gốc (của máy trạm ở Thượng Hải) và một cổng mà trên đó chấp nhận các kết nối. Ví dụ lệnh sau, đã được APT1 thực hiện, sẽ lắng nghe các kết nối đến cổng 443 trên hop và tự động chuyển đến địa chỉ IP Thượng Hải 58.247.242.254 trên cổng 443:

htran -tran 443 58.247.242.254 443

Trong 767 địa chỉ được quan sát sử dụng HTRAN, những kẻ xâm nhập APT1 cung cấp 614 địa chỉ IP riêng biệt có khả năng định tuyến. Nói cách khác, họ đã sử dụng các bước nhảy của họ để hoạt động như là người trung gian giữa các hệ thống nạn nhân và 614 địa chỉ khác nhau. 613/614 các địa chỉ này là một phần của hệ thống mạng gốc của APT1:

Các khối mạng tương ứng với địa chỉ IP được sử dụng để nhận giao tiếp HTRAN.

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@vovanthuong.org
Xem thêm:
Thích và chia sẻ bài này trên