trăm terabyte dữ liệu từ ít nhất 141 tổ chức xuyên khắp một tập hợp đa dạng các nền công nghiệp, bắt đầu từ đầu năm 2006. Đáng chú ý, chúng tôi đã chứng kiến hàng tá các tổ chức là mục tiêu của APT1 cùng một lúc. Một khi nhóm đó thiết lập được sự truy cập tới mạng của một nạn nhân, thì họ tiếp tục truy cập nó một cách định kỳ qua vài tháng hoặc vài năm để ăn cắp dung lượng lớn sở hữu trí tuệ đáng giá, bao gồm cả các bản thiết kế công nghệ, các qui trình sản xuất sở hữu độc quyền, các kết quả kiểm thử, các kế hoạch kinh doanh, các tài liệu định giá, các thỏa thuận đối tác, các thư điện tử và danh sách liên hệ từ lãnh đạo của các tổ chức nạn nhân. Chúng tôi tin tưởng rằng hoạt động rộng rãi mà chúng tôi đã trực tiếp quan sát thấy chỉ đại diện cho một phần nhỏ của sự gián điệp không gian mạng mà APT1 đã thực hiện.
APT1 đặt ra sự “Thường trực” trong APT
Kể từ năm 2006 chúng tôi đã từng thấy APT1 không ngớt mở rộng sự truy cập của nó tới các nạn nhân mới. Hình 10 chỉ ra khung thời gian của 141 sự tổn thương mà chúng tôi nhận thức được; từng dấu mốc trong hình đại diện cho một nạn nhân riêng rẽ và chỉ ra năm được khẳng định sớm nhất về hoạt động của APT1 trong mạng của các tổ chức đó26. Với bản chất tự nhiên sớm nở tối tàn của bằng chứng điện tử, nhiều ngày tháng của hoạt động APT1 được biết trước đó được chỉ ra ở đây không đánh giá đúng sự bền lâu của sự hiện diện của APT1 trong mạng.
Hình 10: Khung thời gian chỉ ra thời gian hoạt động của APT1 được biết sớm nhất trong các mạng của 141 tổ chức theo đó Mandiant đã quan sát thấy APT1 tiến hành gián điệp không gian mạng.
26 Hình 10 chỉ rằng chúng tôi đã từng thấy APT1 gây tổn thương cho số lượng ngày một nhiều các tổ chức mỗi năm, điều có thể phản ánh một sự gia tăng trong hoạt động của APT1. Tuy nhiên, sự gia tăng này cũng có thể đơn giản phản ánh sự nhìn thấy đang mở rộng của Mandiant trong các hoạt động của APT1 khi công ty đã trưởng thành và
Một khi APT1 đã làm tổn thương một mạng, họ lặp đi lặp lại giám sát và ăn cắp dữ liệu sở hữu độc quyền và các giao tiếp truyền thông từ nạn nhân nhiều tháng hoặc thậm chí nhiều năm. Đối với các tổ chức trong Hình 10, chúng tôi đã thấy rằng APT1 đã duy trì sự truy cập tới mạng của các nạn nhân trung bình 356 ngày27. Khoảng thời gian dài nhất mà APT1 đã duy trì truy cập tới mạng của một nạn nhân là 1.764 ngày, hoặc 4 năm và 10 tháng. APT1 từng không liên tục hoạt động hàng ngày trong khoảng thời gian đó; tuy nhiên, trong đa số lớn các trường hợp mà chúng tôi đã quan sát thấy, APT1 đã liên tục tiến hành ăn cắp dữ liệu miễn là chúng có sự truy cập tới mạng.
Trọng tâm các nền công nghiệp và vị trí địa lý của APT1
Các tổ chức bị APT1 ngắm đích trước hết tiến hành các hoạt động của họ bằng tiếng Anh. Tuy nhiên, chúng tôi cũng thấy nhóm đó ngắm một số nhỏ các nạn nhân không nói tiếng Anh. 87% các nạn nhân của APT1 mà chúng tôi đã quan sát thấy đặt trụ sở ở các nước nơi mà tiếng Anh là ngôn ngữ bẩm sinh (xem Hình 11). Điều này bao gồm 115 nạn nhân nằm ở Mỹ và 7 nạn nhân ở Canada và Anh. Trong phần còn lại 19 nạn nhân, 17 sử dụng tiếng Anh như là ngôn ngữ đầu tiên cho các hoạt động. Chúng bao gồm các cơ quan cộng tác và phát triển quốc tế, các chính phủ nước ngoài mà ở đó tiếng Anh là một trong nhiều ngôn ngữ chính thức, và các cơ quan đầu não quốc gia mà trước nhất tiến hành việc kinh doanh của họ bằng tiếng Anh. Chỉ có 2 nạn nhân dường như vận hành bằng việc sử dụng một ngôn ngữ không phải tiếng Anh. Biết rằng sự thông thạo tiếng Anh được yêu cầu đối với nhiều thành viên của Đơn vị 61398 của PLA, chúng tôi tin tưởng rằng 2 nạn nhân không nói tiếng Anh là sự bất bình thường đại diện cho các trường hợp mà ở đó APT1 đã tiến hành các tác vụ bên ngoài các hoạt động thông thường của họ.
nhận thức của các nạn nhân về hoạt động gián điệp không gian mạng trong các mạng của họ được cải thiện.
27 Điều này dựa vào 91 trong số 141 tổ chức nạn nhân được nêu. Trong các trường hợp còn lại, hoạt động của APT1 hoặc đang tiếp diễn hoặc chúng tôi không thấy trong những ngày tháng được biết mới nhất về hoạt động của APT1 trong mạng đó.
Khoảng thời gian dài nhất theo đó APT1 đã liên tục truy cập mạng của một nạn nhân:
Hình 11: Vị trí địa lý các nạn nhân của ATP1. Trong trường hợp các nạn nhân ở dạng đa quốc gia, thì vị trí được chỉ ra phản ánh hoặc chi nhánh của tổ chức mà APT1 đã gây tổn thương (khi được biết), hoặc là vị trí của các trụ sở chính của tổ chức đó.
APT1 đã thể hiện khả năng và ý định ăn cắp từ hàng tá các tổ chức khắp một dải rộng lớn các nền công nghiệp hầu như đồng thời cùng một lúc. Hình 12 đưa ra một cách nhìn về ngày tháng được biết sớm nhất về hoạt động của APT1 chống lại tất cả 141 nạn nhân mà chúng tôi đã nhận diện, được tổ chức theo 20 nền công nghiệp chính mà họ đại diện. Các kết quả gợi ý rằng nhiệm vụ của APT1 là cực kỳ rộng lớn; nhóm đó không ngắm đích các nền công nghiệp một cách có hệ thống, mà nhiều khả năng hơn ăn cắp từ một dải khổng lồ các nền công nghiệp một cách liên tục. Vì các tổ chức được đưa vào trong hình chỉ đại diện cho một phần các nạn nhân của APT1 mà chúng tôi đã khẳng định trực tiếp, nên dải các nền công nghiệp mà APT1 ngắm đích có thể thậm chí rộng lớn hơn so với những phát hiện của chúng tôi gợi ý.
Hơn nữa, phạm vi các hoạt động song song của APT1 ngụ ý là nhóm đó có các tài nguyên nhân sự và kỹ thuật đáng kể để sắp đặt bố trí. Trong tháng đầu của năm 2011, ví dụ, Hình 12 chỉ ra rằng APT1 làm tổn thương thành công 17 nạn nhân mới hoạt động trong 10 nền công nghiệp khác nhau. Khi chúng tôi đã thấy rằng nhóm đó vẫn tích cực trong mạng của từng nạn nhân trung bình gần 1 năm sau ngày bị tổn thương đầu tiên, chúng tôi suy luận rằng APT1 đã làm hại tới 17 lỗ hổng mới đó trong khi cùng một lúc duy trì sự truy cập tới và tiếp tục ăn cắp các dữ liệu từ một số nạn nhân bị tổn thương trước đó.
Hình 12: Khung thời gian của các hoạt động gián điệp không gian mạng của APT1 chống lại các tổ chức của giới công nghiệp. Các điểm trong từng thanh đại diện cho thời gian được biết sớm nhất theo đó APT1 đã làm tổn thương một tổ chức mới trong nền công nghiệp đó.
Chúng tôi tin tưởng rằng các tổ chức trong tất cả các nền công nghiệp có liên quan tới các ưu tiên chiến lược của Trung Quốc là những mục tiêu tiềm tàng của chiến dịch gián điệp không gian mạng toàn diện của APT1. Trong khi chúng tôi rõ ràng đã thấy nhóm ngắm đích một số nền công nghiệp này nặng hơn các nền công nghiệp khác (xem Hình 13), thì những quan sát thấy được của chúng tôi khẳng định rằng APT1 đã ngắm đích ít nhất 4 trong số 7 nền công nghiệp chiến lược đang nổi lên mà Trung Quốc đã nhận diện trong Kế hoạch 5 năm lần thứ 12 của nó28.
Hình 13: Số lượng các nạn nhân của APT1 theo nền công nghiệp. Chúng tôi đã xác định được nền công nghiệp của từng tổ chức dựa vào việc rà soát lại sự phân loại các nền công nghiệp của tổ chức theo hệ thống Hoover29. Chúng tôi cũng đã cân nhắc nội dung của các dữ liệu mà APT1 đã ăn cắp trong từng trường hợp, ở mức độ mà thông tin này là sẵn sàng.
28 Joseph Casey and Katherine Koleski, Backgrounder: China’s 12th Five-Year Plan, U.S.-China Economic & Security Review Commission (2011), 19, http://www.uscc.gov/researchpapers/2011/12th-
FiveYearPlan_062811.pdf, accessed February 3, 2013. 29 http://www.hoovers.com/
APT1 ăn cắp dữ liệu
APT1 ăn cắp một dải rộng lớn các thông tin từ các nạn nhân của mình. Các dạng thông tin mà nhóm đã ăn cắp có liên quan tới:
• phát triển và sử dụng sản phẩm, bao gồm thông tin về các kết quả kiểm thử, các thiết kế hệ thống, các sách chỉ dẫn sản phẩm, các danh sách các phần và các công nghệ mô phỏng;
• các thủ tục sản xuất, như các mô tả các qui trình sở hữu độc quyền, các tiêu chuẩn và các qui trình quản lý rác thải;
• các kế hoạch kinh doanh, như thông tin về các quan điểm thương thảo và định giá sản phẩm của hợp đồng, các sự kiện pháp lý, các vụ sát nhập, các liên danh và các mua sắm;
• các quan điểm về chính sách và các phân tích, như các sách trắng, và các chương trình nghị sự và các biên bản từ các cuộc họp có liên quan tới nhân sự cấp cao;
• các thư điện tử của các nhân viên cấp cao; và
• các ủy quyền của người sử dụng và thông tin về kiến trúc mạng
Thường là khó cho chúng tôi để đánh giá bao nhiêu dữ liệu APT1 đã ăn cắp trong các vụ thâm nhập trái phép của họ vì một vài lý do:
• APT1 xóa các lưu trữ được nén sau khi họ ăn cắp vặt chúng, để lại chỉ bằng chứng lần vết mà thường bị ghi đè trong các hoạt động nghiệp vụ thông thường.
• Việc giám sát an ninh mạng đã tồn tại từ trước rồi hiếm khi ghi lại hoặc nhận diện ra được sự ăn cắp dữ liệu.
• Sự bền lâu về thời gian giữa ăn cắp dữ liệu và điều tra của Mandiant thường quá lớn, và bằng chứng lần vết ăn cắp dữ liệu bị ghi đè trong thủ tục nghiệp vụ thông thường.
• Một số nạn nhân có ý định trong việc chỉ định các tài nguyên để phục hồi an ninh mạng của họ tại chỗ với việc điều tra và việc hiểu tác động của lỗ hổng an ninh.
Thậm chí với những thách thức đó, chúng tôi đã quan sát thấy APT1 ăn cắp tới 6.5 terabyte các dữ liệu được nén từ một tổ chức duy nhất trong khoảng thời gian 10 tháng. Đưa ra phạm vi mục tiêu, cùng với lượng dữ liệu mà họ rõ ràng có khả năng ăn cắp từ bất kỳ tổ chức duy nhất nào, APT1 có khả năng đã ăn cắp hàng trăm terabyte từ các nạn nhân của nó.
Dù chúng tôi không có bằng chứng trực tiếp chỉ ra ai nhận thông tin mà APT1 ăn cắp hoặc cách mà người nhận xử lý một lượng dữ liệu khổng lồ như vậy, thì chúng tôi cũng tin tưởng rằng thông tin ăn cắp được này có thể được sử dụng cho ưu thế rõ ràng của PRC và các doanh nghiệp nhà nước của Trung Quốc. Như một ví dụ, trong năm 2008, APT1 đã gây tổn thương cho mạng của một công ty có liên quan tới một nền công nghiệp
Ăn cắp dữ liệu lớn nhất của APT1 từ một tổ chức duy nhất:
6.5 Terabyte
bán sỉ. APT1 đã cài đặt các công cụ để tạo ra các lưu trữ tệp được nén và để trích tách các thư điện tử và tệp gắn kèm. Qua 2 năm rưỡi sau, APT1 đã ăn cắp được một số lượng tệp không được biết từ nạn nhân và đã truy cập lặp đi lặp lại các tài khoản thư điện tử của vài lãnh đạo, bao gồm cả CEO và Tổng Cố vấn. Cũng trong cùng khoảng thời gian này, các tổ chức tin tức chính đã nói rằng Trung Quốc đã thương thảo thành công giảm được 2 con số về giá với một đơn vị của tổ chức nạn nhân về một trong những hàng hóa chủ chốt của mình. Điều này có thể là sự trùng khớp ngẫu nhiên; tuy nhiên, có lẽ là ngạc nhiên nếu APT1 có thể tiếp tục thực hiện kém một ủy thác gián điệp không gian mạng và ăn cắp dữ liệu rộng rãi như vậy nếu các kết quả các nỗ lực của nhóm đó không tìm được cách thức của chúng trong tay của các thực thể có khả năng thương mại hóa dựa vào chúng.
Tin tức về APT1
Việc báo cáo công khai làm chứng và mở rộng cho các quan sát của chúng tôi về hoạt động gián điệp không gian mạng của APT1. Tuy nhiên, vài yếu tố làm phức tạp cho qui trình biên soạn và tổng hợp các báo cáo công khai về APT1. Một mặt, các nhà nghiên cứu và phóng viên về an ninh thông tin tham chiếu tới APT1 theo các tên khác nhau. Bổ sung thêm, nhiều nhà phân tích an ninh không gian mạng tập trung vào việc viết về các công cụ được chia sẻ giữa nhiều nhóm APT của Trung Quốc mà không phân biệt giữa các tác nhân khác nhau mà sử dụng chúng.
Để hỗ trợ cho các nhà nghiên cứu trong việc nhận diện được các báo cáo công khai nào mô tả nhóm các mối đe dọa mà chúng tôi xác định như là APT1, Bảng 3 đưa ra một danh sách các tên hiệu nhóm APT thường xuyên xuất hiện trong giới truyền thông và phân biệt được các tên hiệu mô tả APT1 và các tên hiệu không phải của nó. Bổ sung thêm, bên dưới là một danh sách các báo cáo công khai về các tác nhân của các mối đe dọa của Trung Quốc mà chúng tôi đã khẳng định như là tham chiếu tới APT1.
• Báo cáo công khai được biết tới sớm nhất về hạ tầng của APT1 là một xuất bản phẩm năm 2006 từ đơn vị Symantec của Nhật30. Báo cáo đưa ra tên máy chủ sb.hugesoft.org, nó được đăng ký cho một người của APT1 được biết tới như là Ugly Gorilla (con Gorilla xấu xí) (được thảo luận sau trong báo cáo này).
• Vào tháng 09/2012, Brian Krebs của blog tội phạm không gian mạng “Krebs on Security” (Krebs về An ninh) đã nêu về một lỗ hổng an ninh ở công ty Telvent Canada Ltd (bây giờ là Schneider Electric) mà chúng tôi đã quy cho APT1 dựa vào các công cụ và hạ tầng mà các tin tặc đã sử dụng để khai thác và giành được sự truy cập tới hệ thống31.
30 Symantec, “Backdoor.Wualess,” Symantec Security Response (2007),
http://www.symantec.com/ja/jp/security_response/print_writeup.jsp?docid=2006-101116-1723-99, accessed February 3, 2013.
31 Brian Krebs, “Chinese Hackers Blamed for Intrusion at Energy Industry Giant Telvent,” Krebs on Security (2012) http://krebsonsecurity.com/2012/09/chinese-hackers-blamed-for-intrusion-at-energy-industry-giant-telvent/, accessed February 3, 2013
Bảng 3: Xác định các tên hiệu của APT1 trong tin tức
Tên hiệu Nhận định
Comment Crew Được khẳng định là APT1 Comment Group Được khẳng định là APT1
Shady Rat Có thể là APT1 (chưa được khẳng định)
Nitro Attacks Không phải APT1; được qui cho nhóm APT bị theo dõi khác Elderwood Không phải APT1; được qui cho nhóm APT bị theo dõi khác Sykipot Không phải APT1; được qui cho nhóm APT bị theo dõi khác Aurora Không phải APT1; được qui cho nhóm APT bị theo dõi khác Night Dragon Không phải APT1; được qui cho nhóm APT bị theo dõi khác
• Một công ty an ninh SCADA có tên là Digital Bond đã xuất bản một báo cáo về phishing xiên cắm (spear phishing) chống lại công ty vào tháng 06/201232. AlienVault đã đưa ra phân tích về phần mềm độc hại có liên quan33. Các chỉ số được đưa vào trong báo cáo đã được quy như là một phần của hạ tầng của APT1.
• Vào tháng 11/2012, Chloe Whiteaker của Bloomberg là tác giả của một mẩu tin về một nhóm các mối đe dọa của Trung Quốc gọi là “Comment Group” (Nhóm Bình luận), đã mô tả các công cụ và các miền khác nhau được cá nhân Ugly Gorilla của APT1 sử dụng34.
32 Reid Wightman, “Spear Phishing Attempt,” Digital Bond (2012),
https://www.digitalbond.com/blog/2012/06/07/spear-phishing-attempt/, accessed February 3, 2013.