APT1: Hạ tầng

Một phần của tài liệu Mandiant report about APT1 of china to US (Trang 46)

rằng APT1 kiểm soát bằng tay hàng ngàn hệ thống để hỗ trợ cho các cuộc tấn công của họ, và đã trực tiếp quan sát thấy sự kiểm soát của họ đối với hàng trăm hệ thống. Dù họ kiểm soát các hệ thống ở hàng tá các quốc gia, thì các cuộc tấn công của họ xuất phát từ 4 mạng lớn ở Thượng Hải – 2 trong số đó nằm trực tiếp ở Khu Mới của Pudong, là nhà của Đơn vị 61398. Số lượng khổng lồ các địa chỉ IP của APT1 được tập trung ở dải đó của Thượng Hải, đi cùng với các thiết lập hình thức bàn phím tiếng Trung Quốc được đơn giản hóa (Simplified Chinese), hé lộ vị trí và ngôn ngữ thực sự của những người vận hành. Để giúp quản lý số lượng khổng lồ các hệ thống mà họ kiểm soát, APT1 đã đăng ký hàng trăm tên miền, đa số trong số đó cũng chỉ tới địa điểm Thượng Hải. Các tên miền và các địa chỉ IP cùng tạo nên khung chỉ huy và kiểm soát của APT1 mà chúng quản lý trong sự dàn phối để ngụy trang gốc gác thật của chúng khỏi các mục tiêu nói tiếng Anh của chúng.

Gốc gác mạng của APT1

Chúng tôi thường xuyên được hỏi vì sao là một biện pháp an ninh không hiệu quả khi chỉ phải khóa tất cả các địa chỉ IP ở Trung Quốc không cho kết nối tới các mạng của họ. Đơn giản là, là dễ dàng đối với những kẻ tấn công của APT1 để nhảy qua hoặc “nhảy lò cò” thông qua các hệ thống trung gian sao cho chúng hầu như không bao giờ kết nối trực tiếp tới mạng của một nạn nhân từ các hệ thống của họ ở Thượng Hải. Sử dụng hạ tầng mênh mông của họ, họ có khả năng làm cho các nạn nhân cảm thấy dường như một cuộc tấn công xuất phát từ hầu như bất kỳ nước nào mà họ chọn. Các hệ thống ở dạng này của hạ tầng tái định tuyến mạng được gọi là “các điểm nhảy lò cò” hoặc “nhảy lò cò”. Các điểm nhảy lò cò là các hệ thống thường xuyên nhất bị tổn thương mà APT1 sử dụng, trong một số trường hợp nhiều năm, vì sự ngụy trang cho các cuộc tấn công của họ với những người chủ sở hữu các hệ thống không có tri thức. Các hệ thống đó thuộc về các nạn nhân của các bên thứ 3, những người bị tổn thương vì sự truy cập tới hạ tầng, ngược lại với các nạn nhân trực tiếp, những người bị tổn thương về các dữ liệu và sở hữu trí tuệ của họ.

Hình 21: APT1 nhảy qua các hệ thống “điểm nhảy lò cò” trước khi truy cập tới các hệ thống của các nạn nhân.

Chúng tôi đã quan sát thấy một số hoạt động của APT1 sau khi họ vượt qua để vào được lãnh thổ Mỹ (một cách ảo). Họ truy cập các điểm nhảy lò cò bằng việc sử dụng các kỹ thuật khác nhau, phổ biến nhất là Remote Desktop (Truy cập máy trạm từ xa) và FTP (Giao thức truyền tệp). Trong khoảng hơn 2 năm (từ tháng 01/2011 tới tháng 01/2013) chúng tôi đã khẳng định được 1.905 trường hợp các tác nhân của APT1 đăng nhập vào hạ tầng nhảy lò cò của họ từ 832 địa chỉ IP khác nhau với Remote Desktop. Remote Desktop cung cấp cho một người sử dụng ở xa một giao diện đồ họa tương tác với một hệ thống. Kinh nghiệm là tương tự như việc người sử dụng đó thực sự ngồi một cách vật lý ở hệ thống và có được sự truy cập trực tiếp tới máy tính để bàn, bàn phím và con chuột. Trong số 832 địa chỉ IP, thì 817 (98.2%) là của Trung Quốc và đa số áp đảo thuộc về 4 khối mạng lớn ở Thượng Hải mà chúng tôi sẽ tham chiếu tới như là các mạng ở nhà của APT1.

Bảng 8: Các khối mạng tương ứng với các địa chỉ IP mà APT1 đã sử dụng để truy cập các điểm nhảy lò cò của họ.

Số lượng Khối mạng Chủ đăng ký

445 223.166.0.0 - 223.167.255.255 Mạng Thượng Hải của China Unicom 217 58.246.0.0 - 58.247.255.255 Mạng Thượng Hải của China Unicom 114 112.64.0.0 - 112.65.255.255 Mạng Thượng Hải của China Unicom 12 139.226.0.0 - 139.227.255.255 Mạng Thượng Hải của China Unicom 1 114.80.0.0 - 114.95.255.255 Mạng Thượng Hải của China Unicom 1 101.80.0.0 - 101.95.255.255 Mạng Thượng Hải của China Unicom 27 Các ISP Trung Quốc khác (không ở Thượng Hải)

Lưu ý là, thông tin đăng ký của các khối mạng 2 và 3 ở trên bao gồm thông tin liên hệ này ở cuối:

cá nhân: nic-hdl: e-mail: địa chỉ: điện thoại: số fax: quốc gia: yanling ruan YR194-AP sh-ipmaster@chinaunicom.cn No.900,Pudong Avenue,ShangHai,China +086-021-61201616 +086-021-61201616 cn

Thông tin đăng ký cho 2 khối mạng đó gợi ý rằng chúng phục vụ Khu Mới của Pudong ở Thượng Hải, nơi đặt trụ sở của Đơn vị 61398 của PLA.

15 trong số 832 địa chỉ IP khác được đăng ký cho các tổ chức tại Mỹ (12), Đài Loan (1), Nhật (1) và Hàn Quốc (1). Chúng tôi đã khẳng định rằng một số hệ thống đó là một phần của hạ tầng nhảy lò cò của APT1 và APT1 không phải là chủ sở hữu hợp pháp - nói cách khác, APT1 đã truy cập điểm nhảy lò cò này từ điểm nhảy lò cò khác, và ngược với việc truy cập điểm nhảy lò cò trực tiếp từ Thượng Hải.

Để làm cho kinh nghiệm của một người sử dụng càng trong suốt có thể càng tốt, giao thức Remote Desktop đòi hỏi các ứng dụng máy trạm phải chuyển tiếp vài chi tiết quan trọng tới máy chủ, bao gồm cả hostname của máy trạm và hình thức bàn phím của máy trạm. 1.849 trong tổng số 1.905

(97%) phiên làm việc Remote Desktop của APT1 chúng tôi đã quan sát thấy trong 2 năm qua, thiết lập hình thức bàn phím là “bàn phím tiếng Trung Quốc (được đơn giản hóa) – Mỹ” (“Chinese (Simplified) - US Keyboard”). Máy trạm Remote Desktop của Microsoft thiết lập cấu hình cho thiết lập này một cách tự động dựa vào ngôn ngữ được chọn trong hệ thống máy trạm, làm cho nó gần như chắc chắn là các tác nhân của APT1 đang quản lý hạ tầng nhảy lò cò đang làm như vậy với các thiết lập đầu vào với tiếng Trung Quốc được đơn giản hóa (Simplified Chinese (zh-cn)). “Tiếng Trung Quốc được đơn giản hóa” là một tập hợp được tối ưu hóa các ký tự tiếng Trung Quốc truyền thống đã và đang được sử dụng kể từ những năm 1950, xuất phát ở Trung Hoa lục địa. Đài Loan và các vùng tự trị như Hong Kong vẫn còn sử dụng các bộ ký tự “tiếng Trung Quốc Truyền thống” (“Traditional Chinese” (zh-tw)).

Sự tập trung áp đảo của các địa chỉ IP ở Thượng Hải và các thiết lập ngôn ngữ tiếng Trung Quốc được đơn giản hóa rõ ràng chỉ ra rằng những kẻ thâm nhập của APT1 là những người nói tiếng Trung Quốc đại lục với sự truy cập rồi vào các mạng lớn ở Thượng Hải. Lựa chọn khác duy nhất là APT1 đã và đang có chủ ý tiến hành một chiến dịch lừa gạt nghi binh dài nhiều năm để ngụy trang cho những người nói tiếng Trung Quốc từ Thượng Hải tại những địa điểm nơi mà các nạn nhân là không được kỳ vọng một cách hợp lý để có được bất kỳ khả năng nhìn thấy được nào - và không mắc một sai lầm duy nhất nào có thể chỉ ra sự nhận diện “đích thực” của họ.

Tương tác với các cửa hậu

Như chúng tôi vừa lưu ý, những kẻ tấn công của APT1 thường sử dụng các điểm nhảy lò cò để kết nối tới và kiểm soát các hệ thống của nạn nhân. Các cửa hậu của nạn nhân thường kết nối ra ngoài tới các điểm nhảy lò cò, chờ thời cơ kẻ tấn công ở đó để trao cho các điểm đó mệnh lệnh. Tuy nhiên, chính xác cách mà điều này làm việc thường là đặc thù với các công cụ mà họ đang sử dụng. CÁC BẢN CẬP NHẬT WEBC2 BẰNG TAY

Như được đề cập tới trong phần “Vòng đời các cuộc tấn công” ở trước đó, các biến thể cửa hậu của WEBC2 tải về và biên dịch các dữ liệu được lưu trữ giữa các thẻ trong các trang HTML như là các lệnh. Chúng thường tải về các trang HTML từ một hệ thống bên trong hạ tầng nhảy lò cò của APT1. Chúng tôi đã quan sát thấy những kẻ thâm nhập trái phép của APT1 đăng nhập vào các máy chủ WEBC2 và soạn thảo các trang HTML bằng tay mà các cửa hậu sẽ tải về. Vì các lệnh thường được mã hóa và khó đọc được từ bộ nhớ, những kẻ thâm nhập trái phép của APT1 thường không gõ các chuỗi đó, mà thay vào đó sao chép và dán chúng vào các tệp HTML. Họ có khả năng tạo ra các lệnh được mã hóa trong các hệ thống của riêng họ trước khi truyền chúng vào một tệp HTML được điểm nhảy lò có đó đặt chỗ. Ví dụ, chúng tôi đã quan sát thấy một kẻ tấn công của APT dán chuỗi “czo1NA==” vào một trang HTML. Chuỗi đó là phiên bản mã hóa base64 của “s:54”, nghĩa là “ngủ trong 54 phút” (hoặc hàng tiếng, phụ thuộc vào cửa hậu đặc biệt). Tại chỗ soạn thảo bằng tay một tệp HTML ở một điểm nhảy lò cò, chúng tôi cũng đã quan sát thấy những kẻ thâm nhập trái phép của APT1 tải lên các tệp HTML mới (được soạn thảo rồi).

HTRAN

Khi những kẻ tấn công của ATP1 không sử dụng WEBC2, thì chúng yêu cầu một giao diện người sử dụng “chỉ huy và kiểm soát” (C2) sao cho chúng có thể đưa ra các lệnh tới cửa hậu đó. Giao diện này đôi khi chạy trong hệ thống tấn công cá nhân của chúng, thường là ở Thượng Hải. Trong những trường hợp đó, khi cửa hậu của một nạn nhân tạo liên hệ với một điểm nhảy lò cò, thì các giao tiếp đó cần phải được chuyển tiếp từ điểm nhảy lò cò đó tới hệ thống của kẻ thâm nhập trái phép ở Thượng Hải sao cho cửa hậu đó có thể nói chuyện được với phần mềm máy chủ C2 đó. Chúng tôi đã quan sát thấy 767 trường hợp riêng rẽ mà ở đó những kẻ tấn công của APT1 đã sử dụng công cụ truyền gói HUC (“HUC Packet Transmit Tool”), hay HTRAN trong một điểm nhảy lò cò. Như thường lệ, hãy lưu ý rằng những sử dụng đó là những sử dụng được khẳng định, và có khả năng chỉ đại diện cho một phần nhỏ trong toàn bộ hoạt động của APT1.

Tiện ích HTRAN chỉ là một kẻ đứng chặn giữa đường, tạo thuận lợi cho các kết nối giữa nạn nhân và kẻ tấn công mà đang sử dụng điểm nhảy lò cò đó.

Hình 22: Công cụ HTRAN nằm trong các điểm nhảy lò cò của APT1 và hành động như một kẻ chặn giữa đường

Sử dụng thông thường của HTRAN khá đơn giản: kẻ tấn công phải chỉ định địa chỉ IP gốc (của máy trạm của anh hoặc chị ta ở Thượng Hải), và một cổng (port) trong đó để chấp nhận các kết nối. Ví dụ, lệnh sau đây từng được một tác nhân của APT1 đưa ra, sẽ nghe các kết nối đến cổng 443 ở điểm nhảy lò cò và tự động ủy quyền cho chúng tới địa chỉ IP ở Thượng Hải 58.247.242.254 ở cổng 443:

htran -tran 443 58.247.242.254 443

Trong 767 sử dụng HTRAN được quan sát thấy, những kẻ thâm nhập trái phép của APT1 đã cung cấp 614 địa chỉ IP xoay tròn riêng biệt. Nói cách khác, chúng đã sử dụng các điểm nhảy lò cò của chúng để hoạt động như người đứng chặn giữa đường giữa các hệ thống của nạn nhân và 614 địa chỉ khác. Trong số các địa chỉ đó, 613 trong số 614 là phần của các mạng ở nhà của APT1:

Bảng 9: Các khối mạng tương ứng các địa chỉ IP được sử dụng để nhận các giao tiếp HTRAN

Số lượng Khối mạng Chủ đăng ký

340 223.166.0.0 - 223.167.255.255 Mạng Thượng Hải của China Unicom 160 58.246.0.0 - 58.247.255.255 Mạng Thượng Hải của China Unicom 102 112.64.0.0 - 112.65.255.255 Mạng Thượng Hải của China Unicom 11 139.226.0.0 - 139.227.255.255 Mạng Thượng Hải của China Unicom

1 143.89.0.0 - 143.89.255.255 Đại học Khoa học và Công nghệ Hong Kong

PHẦN MỀM MÁY CHỦ C2 TRONG HẠ TẦNG NHẢY LÒ CÒ

Đôi khi, những kẻ tấn công của APT1 đã cài đặt các thành phần máy chủ C2 vào các hệ thống trong hạ tầng nhảy lò cò của họ hơn là chuyển tiếp các kết nối ngược về các máy chủ C2 ở Thượng Hải. Trong các trường hợp đó họ không cần sử dụng một công cụ ủy quyền như HTRAN để tương tác với các hệ thống của nạn nhân. Tuy nhiên, điều đó ngụ ý rằng những kẻ thâm nhập trái phép cần phải có khả năng để giao diện với (thường bằng đồ họa) phần mềm máy chủ C2 đang chạy ở điểm nhảy lò cò đó. Chúng tôi đã quan sát thấy những kẻ thâm nhập trái phép của APT đăng nhập vào điểm nhảy lò cò của họ, khởi động máy chủ C2, chờ các kết nối mới tới, và sau đó xử lý để trao các lệnh cho các hệ thống của nạn nhân.

Các biến thể WEBC2 có thể bao gồm thành phần máy chủ mà cung cấp một giao diện C2 đơn giản cho kẻ thâm nhập trái phép. Điều này giúp cho kẻ thâm nhập trái phép không phải soạn thảo các trang web bằng tay. Đó là, thành phần máy chủ này nhận các kết nối từ các cửa hậu của nạn nhân, hiển thị chúng cho kẻ thâm nhập trái phép, và sau đó dịch các lệnh của kẻ thâm nhập trái phép vào các thẻ HTML mà các cửa hậu của nạn nhân đọc.

Máy chủ của APT1

Chỉ trong vòng 2 năm qua, chúng tôi đã khẳng định được 937 máy chủ C2 của APT1 - đó là, các chương trình đang nghe hoặc giao tiếp tích cực - chạy trong 849 địa chỉ IP riêng biệt. Tuy nhiên, chúng tôi có bằng chứng để gợi ý rằng APT1 đang quản lý hàng trăm, và có khả năng là hàng ngàn, các máy chủ khác (xem phần các miền bên dưới). Các máy chủ chủ yếu là: (1) FTP, cho việc truyền các tệp; (2) web, trước hết cho WEBC2; (3) RDP, cho kiểm soát một hệ thống bằng đồ họa từ xa; (4) HTRAN, cho việc ủy quyền; và (5) các máy chủ C2 có liên quan tới các họ cửa hậu khác nhau (được đề cập tới trong Phụ lục C: Kho vũ khí phần mềm độc hại).

Tên miền

Hệ thống tên miền - DNS (Domain Name System) là cuốn sổ điện thoại Internet. Theo cách y hệt mà mọi người lên chương trình cho các liên hệ được đặt tên trong các máy điện thoại di động của họ và không còn cần phải nhớ các số điện thoại nữa, DNS cho phép mọi người nhớ các tên như “google.com” thay vì các địa chỉ IP. Khi một người gõ “google.com” vào một trình duyệt web, thì một biên dịch DNS tới một địa chỉ IP xảy ra sao cho máy tính của người đó có thể giao tiếp được với Google. Các tên mà có thể được dịch thông qua DNS tới các địa chỉ IP được tham chiếu tới như là các Tên Miền Hoàn toàn Đủ tư cách - FQDN (Fully Qualified Domain Names).

Hình 24: Các truy vấn DNS được sử dụng để giải các FQDN của APT1 tới nhiều địa chỉ IP các máy chủ C2

Hạ tầng của APT1 bao gồm các FQDN bổ sung thêm cho các địa chỉ IP được thảo luận ở trên. Các FQDN đóng một vai trò quan trọng trong các chiến dịch thâm nhập trái phép của chúng vì APT1 nhúng các FQDN vào như là các địa chỉ C2 trong các cửa hậu. Trong vài năm gần đây chúng tôi đã khẳng định được 2.551 FQDN được quy cho APT1. Trong số đó, chúng tôi đã biên soạn các FQDN đã ám chỉ các nạn nhân theo tên và 2.046 FQDN được cung cấp trong Phụ lục D. Bằng việc sử dụng các FQDN hơn là các địa chỉ IP được lập trình cứng như là các địa chỉ C2, những kẻ tấn công có thể quyết định một cách năng động hướng các kết nối C2 tới đâu từ một cửa hậu được đưa ra. Đó là, nếu chúng đánh mất sự kiểm soát một điểm nhảy lò cò đặc thù (địa chỉ IP) thì chúng có thể “trỏ” địa chỉ FQDN C2 đó tới một địa chỉ IP khác và lấy lại được sự kiểm soát của chúng đối với các cửa hậu của nạn nhân. Sự mềm dẻo này cho phép kẻ tấn công hướng các hệ thống của nạn nhân tới vô số các máy chủ C2 và tránh được việc bị khóa. Các FQDN của APT1 có thể được nhóm thành 3 chủng loại: (1) các vùng được đăng ký, (2) các vùng của bên thứ 3, và (3) các miền bị tin tặc thâm nhập.

VÙNG ĐƯỢC ĐĂNG KÝ

Một phần của tài liệu Mandiant report about APT1 of china to US (Trang 46)

Tải bản đầy đủ (PDF)

(84 trang)