rằng có những cá nhân thực sự được PLA giao nhiệm vụ ngồi sau các bàn phím của APT1, chúng tôi đã quyết định hé lộ nhận diện một số cá nhân một cách có chọn lọc của APT1. Các tác nhân đó đã thực hiện các lựa chọn an ninh tác chiến tồi tệ, tạo thuận lợi cho nghiên cứu của chúng tôi và cho phép chúng tôi theo dõi các hoạt động của họ. Họ là một số tác giả của các vũ khí số của APT1 và những người đăng ký các FQDN và các tài khoản thư điện tử của APT1. Các tác nhân đó đã thể hiện sự quan tâm trong các nỗ lực chiến tranh không gian mạng của Trung Quốc, đã tiết lộ các địa điểm của họ là ở Khu Mới của Pudong ở Thượng Hải, và thậm chí đã sử dụng một số điện thoại di động ở Thượng Hải để đăng ký các tài khoản thư điện tử được sử dụng trong các chiến dịch phishing xiên cắm.
Các phương pháp cho việc ghi nhận các nhân sự của APT thường liên quan tới sự tổng hợp của nhiều mẩu thông tin nhỏ thành một bức tranh toàn diện duy nhất. Thường thì quan điểm thống nhất này phát hiện không chỉ sự quy kết nhóm, mà còn cả các đống hành vi gắn kết với nhóm đó mà chúng tôi lĩnh hội được hoặc sẽ là các đội nhỏ hoặc các tác nhân cá nhân. Chúng tôi tham chiếu tới chúng như là “những người”. Khi những người của APT1 quản lý các tài nguyên kỹ thuật như các điểm nhảy lò cò và các Tên Miền Đủ Tư cách (FQDN), thì họ từng được quan sát thấy có xung đột trong các hành động của họ giữa họ với nhau bằng việc phối hợp sử dụng các điểm nhảy lò cò, các FQDN và các công cụ tác chiến mạng máy tính – CNO (Computer Network Operation) nhất định (như, phần mềm độc hại) và các cổng.
Một yếu tố bổ sung làm việc có lợi như là những người theo dõi các mối đe dọa là Vạn lý Tường lửa (Great Firewall) của Trung Quốc (GFWoC). Giống như nhiều tin tặc Trung Quốc, những kẻ tấn công của APT1 không thích bị các qui định khắt khe ràng buộc do Đảng Cộng sản Trung Quốc (CPC) đặt ra, nó đã triển khai GFWoC như một biện pháp kiểm duyệt để hạn chế sự truy cập tới các website như google.com, facebook.com và twitter.com. Hơn nữa, bản chất tự nhiên công việc của các tin tặc đòi hỏi họ phải có sự kiểm soát hạ tầng mạng bên ngoài GFWoC. Điều này tạo ra một tình huống nơi mà cách dễ nhất cho họ để đăng nhập vào Facebook và Twitter là trực tiếp từ hạ tầng tấn công của họ. Một khi bị lưu ý, thì điều này là một cách có hiệu quả để phát hiện ra những nhận diện thực sự của họ.
Vạn lý Tường lửa của Trung Quốc là gì?
“Vạn lý Tường lửa” là một khái niệm được sử dụng để mô tả các phương pháp kỹ thuật khác nhau được chính phủ Trung Quốc sử dụng để kiểm duyệt và khóa hoặc hạn chế truy cập tới các dịch vụ và nội dung Internet mà chính phủ xem là nhạy cảm hoặc không phù hợp. Nội dung “không phù hợp” trải từ khiêu dâm cho tới bất đồng quan điểm chính trị, và từ các phương tiện xã hội cho tới các site tin tức mà có thể miêu tả sinh động Trung Quốc hoặc các quan chức Trung Quốc theo chiều tiêu cực. “Vạn lý Tường lửa” sử dụng các phương pháp như việc khóa các địa chỉ IP đặc biệt; việc khóa hoặc tái định tuyến các tên miền đặc thù; việc lọc hoặc khóa bất kỳ URL nào có chứa các từ khóa đích; và có liên quan tới việc hạn
chế hoặc tái thiết lập các kết nối TCP. Các kiểm duyệt của Trung Quốc cũng thường xuyên giám sát các website, blog và phương tiện xã hội tiếng Trung Quốc đối với các nội dung “không phù hợp”, việc loại bỏ nó khi tìm thấy. Kết quả là, các công dân Trung Quốc mà muốn truy cập tới nội dung bị kiểm duyệt và xa hơn là hạn chế truy cập Internet, gần đây nhất (vào tháng 12/2012) bằng việc khóa các dịch vụ bổ sung và việc hạn chế hoặc khóa sử dụng các công nghệ mã hóa như các Mạng Riêng Ảo (VPN).
Hồ sơ tin tặc của APT1: Ugly Gorilla (Wang Dong/汪东)
Câu chuyện của “Con Gorilla xấu xa” (UG) có từ năm 2004. Sau này là một giáo sư có tên là Zhang Zhaozhong (张召忠), bây giờ là một đô đốc dự bị nghỉ hưu, từng ở trong một tiến trình giúp hình thành tương lai chiến lược chiến tranh thông tin của Trung Quốc40. Giáo sư Zhang từng là người bảo vệ mạnh mẽ cho “tin học hóa” các đơn vị quân đội, và đã xuất bản vài tác phẩm về chiến lược quân sự, bao gồm “Chiến tranh mạng” (网 络 战 争) và “Chiến thắng cuộc chiến tranh thông tin” (打赢信息化 战争). Là Giám đốc của phòng “Công nghệ và Thiết bị Quân sự” (军事科技与装备) tại Đại học Quốc phòng Trung Quốc (国防大学), giáo sư Zhang từng được mời tham gia trong một sự kiện có tên là: “Triển vọng 2004: Tình huống Chiến lược Quốc tế” vào tháng 01/2004.
Hình 26: Giáo sư Zhang (张 召 忠 ), ngày 16/01/2004. Nguồn:
http://www.chinamil.com.cn/site1/gflt/2004- 09/30/content_705216.htm
Trong một phiên hỏi và đáp trực tuyến được Quân sự Trung Quốc Trực tuyến (中国军网) của tờ Nhật báo PLA (解放军报), một người trẻ tuổi với tên hiệu “Greenfield” - cánh đồng xanh (绿野) đã đặt ra một câu hỏi đặc biệt chính xác.
“Giáo sư Zhang, tôi đã đọc cuốn sách 'Chiến tranh Mạng' của ông và đã có ấn tượng sâu sắc về quan điểm và các lý luận trong cuốn sách đó. Được nói rằng quân đội Mỹ đã thiết lập một lực lượng mạng chuyên tâm được tham chiếu tới như là một 'đội quân không gian mạng'. Liệu Trung Quốc có một lực lượng tương tự không? Liệu Trung Quốc có các binh lính không gian mạng không?”.
- UglyGorilla, 16/01/2004
Giống như tất cả những người sử dụng diễn đàn Quân đội Trung Quốc Trực tuyến (chianamil), “Greenfield” đã được yêu cầu ký với một địa chỉ thư điện tử và chỉ định một ít thông tin nhỏ về bản thân ông. Một cách may mắn, xu thế của Internet để làm cho các dữ liệu thành bất tử đã giữ lại được các chi tiết hồ sơ đó cho chúng tôi.
Hình 27: Hồ sơ của UglyGorilla trên chinamil, nguồn: http://bbs.chinamil.com.cn/forum/bbsui.jsp?id=(o)5681
Hình 28: Hồ sở trên chinamil của UglyGorilla được translate.google.com/ dịch
Vì thế, người mà chúng tôi gọi là “UglyGorilla” (UG) từng được ghi chép lại đầu tiên. Bổ sung thêm vào địa chỉ thư điện tử của anh ta, UG đã liệt kê “tên thật” của ông là “JackWang”.
Trong vòng một năm, chúng tôi đã thấy được bằng chứng đầu tiên về việc UG mài dũa các công cụ của ông. Vào ngày 25/10/2004, UG đã đăng ký vùng mà bây giờ đã nổi tiếng là “hugesoft.org”. Vùng “hugesoft.org” và nhiều tên máy chủ (hostname) được quy là của APT1 đã giữ được tích cực và dưới sự sở hữu chủ liên tục của UG, và vẫn còn tích cực cho tới thời điểm báo cáo này được viết. Thông tin đăng ký đã được cập nhật gần đây nhất là vào ngày 10/09/2012, mở rộng thời hạn đăng ký cho vùng này trong năm 2013. Chúng tôi có thể thấy UG sẽ từ bỏ vùng này và các vùng được quy kết khác như là kết quả của báo cáo này, trong một nỗ lực để ngăn chặn việc theo dõi và quy kết xa hơn.
Vào năm 2007, UG đã làm tác giả cho mẫu được biết tới đầu tiên của họ các phần mềm độc hại MANITSME, giống như một nghệ sỹ tốt, để lại chữ ký có thể nhận diện được rõ ràng của ông trong mã: “v1.0 Không nghi ngờ gì để thâm nhập bạn. Được UglyGorilla viết, ngày 29/06/2007” [sic]. Xu thế của UG để ký tác phẩm của ông thể hiện trong các chuỗi mà ông chọn cho các tên máy chủ
Con gà thịt là gì?!?
Tiếng lóng của tin tặc Trung Quốc: “rouji” (肉鸡) - Gà thịt n. - Một máy tính bị lây nhiễm
Các chuỗi ví dụ từ các mẫu của MANITSME: “d:\My Documents\Visual Studio
Projects\rouji\SvcMain.pdb”
Các ví dụ từ các phần mềm độc hại khác… “connecting to rouji”
(hostname) và thậm chí trong các giao thức truyền thông mà các cửa hậu của ông sử dụng. Ví dụ, các tên máy chủ trong các FQDN khác được quy cho APT1 như “arrowservice.net” và thậm chí cái mới hơn “msnhome.org” tiếp tục để lại dấu vết của UG (lưu ý chữ “ug” trong các miền):
• ug-opm.hugesoft.org
• ug-rj.arrowservice.net
• ug-hst.msnhome.org
Dù các dạng liên kết quy kết rõ ràng đó giảm dần khi UG trở nên có kinh nghiệm hơn, thì các chữ ký giao thức các công cụ của ông như MANITSME và WEBC2-UGX tiếp tục được các tin tặc của APT1 sử dụng nằm bên ngoài Thượng Hải.
Sử dụng nhất quán của UG tên người sử dụng (username) “UglyGorilla” xuyên khắp các tài khoản Web khác nhau đã để lại một manh mối mỏng nhưng mạnh về sự quy kết thông qua nhiều cộng đồng trực tuyến. Trong hầu hết các trường hợp, nội dung như là các công cụ thâm nhập, các chủ đề an ninh thông tin, và sự liên quan với địa danh Thượng Hải là các cách thức hợp lý để loại trừ dương tính giả. Ví dụ, vào tháng 02/2011, sự mở ra tất cả các tài khoản được đăng ký của “rootkit.com” được Anonymous xuất bản đã bao gồm cả người sử dụng “uglygorilla” với địa chỉ thư điện tử được đăng ký uglygorilla@163.com. Đây là thư điện tử y hệt được sử dụng để đăng ký cho diễn đàn PLA 2004 và vùng hugesoft.org. Được đưa vào trong thông tin tài khoản bị rò rỉ của rootkit.com từng là địa chỉ IP 58.246.255.28, nó đã được sử dụng để đăng ký tài khoản của UG trực tiếp từ dải ở nhà của APT1 được thảo luận trước đó rồi: 58.246.0.0/15.
Trong một ít các tài khoản đó, UG đã liệt kê thứ gì đó khác với “JackWang” như là tên thực của ông. Vào ngày 02/02/2006, một người sử dụng có tên là “uglygorilla” đã tải lên một tệp có tên là “mailbomb_1.08.zip” (một công cụ thư điện tử đánh đống) lên site PUDN (www.pudn.com) của các lập trình viên Trung Quốc. Các chi tiết tài khoản của ông từ PUDN đã đưa vào tên thật là “Wang Dong” (汪东 ).
Hình 29: Các tệp được tải lên pudn.com của Wang Dong
Quan trọng để lưu ý 2 điều ở thời điểm này. Trước tiên, các tên Trung Quốc bắt đầu bằng họ. Vì thế “Wang” là tên trong 汪东. Thứ 2, thực tế khá phổ biến đối với người Trung Quốc, thậm chí ở Trung Quốc, để chọn một tên thánh tiếng Anh. Vì thế “JackWang” có lẽ không phải là một tên hiệu.
Hồ sơ tin tặc của APT1: DOTA
Một người khác của APT1 là “dota” (DOTA), được đặt tên vì xu hướng mạnh của anh ta để sử dụng các biến thể của tên đó trong hầu hết tất cả các tài khoản anh ta tạo ra và sử dụng từ hạ tầng tấn công của anh ta. DOTA có thể đã lấy tên của anh ta từ video trò chơi “Phòng thủ của người xưa” mà nó thường được viết tắt là DotA, dù chúng tôi còn chưa quan sát thấy bất kỳ liên kết trực tiếp hoặc tham chiếu trực tiếp nào tới trò chơi đó.
Chúng tôi đã giám sát sự tạo ra hàng tá các tài khoản, bao gồm cả d0ta010@hotmail.com và dota.d013@gmail.com, và thường thấy DOTA đã tạo ra vài tài khoản sau đó (ví dụ dota.d001 tới dota.015) trong các dịch vụ thư điện tử dựa vào web. Thường xuyên nhất các tài khoản đó được sử dụng trong các cuộc tấn công phishing và kỹ thuật xã hội hoặc như là địa chỉ thư điện tử liên hệ khi ký cho các dịch vụ khác. Ví dụ, DOTA (gốc ban đầu từ dải địa chỉ IP ở nhà của APT1 58.247.26.59) với một thiết lập bàn phím tiếng Trung Quốc được đơn giản hóa được sử dụng cho địa chỉ thư điện tử “d0ta001@hotmail.com” từ điểm nhảy lò cò ở Mỹ của anh ta để đăng ký người sử dụng Facebook “do.ta.5011” (id người sử dụng đó: 100002184628208).
Một số dịch vụ, như Gmail của Google, đòi hỏi những người sử dụng cung cấp một số điện thoại trong qui trình đăng ký để họ gửi tới đó một “thông điệp văn bản” xác minh bao gồm một mã xác minh. Người sử dụng sau đó phải đưa vào mã xác minh vào website để hoàn tất đăng ký. Trong một phiên được quan sát thấy trong một máy bị tổn thương, DOTA đã sử dụng số điện thoại “159-2193- 7229” để nhận một thông điệp văn bản xác minh từ Google, mà anh ta sau đó chuyển tới trang của anh ta trong vòng vài giây.
Các số điện thoại tại Trung Quốc được tổ chức theo một tôn ti trật tự bao gồm một mã vùng, tiền tố và số đường điện thoại tương tự như các số điện thoại tại Mỹ, với bổ sung thêm rằng các mã của một số ít vùng được phân bổ để sử dụng với các nhà cung cấp điện thoại di động. Số điện thoại “159-2193-7229” chia thành mã vùng “159”, nó chỉ một điện thoại di động được China Mobile cung cấp, và tiền tố “2193” chỉ một số di động ở Thượng Hải. Điều này có nghĩa rất có khả năng là số đó ban đầu được China Mobile phân bổ để sử dụng ở Thượng Hải. Tốc độ trả lời của DOTA cũng chỉ ra rằng anh ta đã mang trong mình điện thoại khi đó.
Chúng tôi cũng đã quan sát thấy DOTA sử dụng tên Rodney và Raith để giao tiếp thông qua thư điện tử với tiếng Anh thông thạo với các đích khác nhau, bao gồm cả các tổ chức quân đội Đông Nam Á ở Malaysia và Philippines. Còn chưa rõ liệu tài khoản Gmail này có được sử dụng rõ ràng cho việc tạo thuận lợi cho nhiệm vụ CNO của anh ta hay không, nhưng sự liên lạc chỉ ra sự sử dụng của nó cả cho các cuộc tấn công phishing đơn giản, cũng như tấn công qua thư điện tử tinh vi phức tạp hơn và dựa vào kỹ thuật xã hội.
DOTA: một fan hâm mộ của Harry “Poter”?
Người DOTA cũng dường như là fan hâm mộ của nhân vật nổi tiếng “Harry Potter”, thường xuyên thiết lập cho các tài khoản “các câu hỏi an ninh” như “Ai là giáo viên thời nhỏ tốt nhất của bạn?” và “Ai là bạn thân nhất của bạn thời nhỏ?” về các giá trị “Harry” và “Poter” và tạo các tài khoản như poter.spo1@gmail.com với địa chỉ thư điện tử thay thế thiết lập thành dota.sb005@gmail.com.
Hình 30: dota.d001@gmail.com (xem hộp thư đến)41
Khi tạo hàng tá, hoặc hàng trăm tài khoản trong các cộng đồng trực tuyến và trong các hệ thống của nạn nhân, quản lý mật khẩu trở thành một công việc đáng kể. Hệ quả là, hầu hết những kẻ tấn công của APT1 sử dụng các mật khẩu mà hoặc là dựa vào mẫu, như mẫu bàn phím “1qaz2wsx” hoặc khó quên được, bằng việc sử dụng “rootkit” (một dạng phần mềm độc hại) như một mật khẩu trong site nghiên cứu an ninh thông tin rootkit.com. Giống như nhiều kẻ tấn công của APT1, DOTA thường sử dụng các mẫu dựa vào bàn phím như các mật khẩu như “1qaz@WSX#EDC”. Tuy nhiên, có một mật khẩu “2j3c1k” được DOTA sử dụng nhiều mà không dựa vào một mẫu bàn phím nào, dù anh ta có thể không chỉ là tác nhân duy nhất của APT1 sử dụng nó. Một “j” được đếm, sau đó là một “c” được đếm, và sau đó là một “k” được đếm có khả năng là viết tắt của (“j”/”c”/”k”) cho cấu trúc của tổ chức ju/chu/ke (局/处/科) (được dịch thành Phòng/Bộ phận (hoặc Văn phòng)/Bộ phận) được sử dụng rộng rãi trong các tổ chức của GSD của PLA. Dự án 2049 mô tả cấu trúc tổ chức điển hình của PLA như là, “các giám đốc mức phòng... giám sát giữa 6 và 14 vị trí hoặc văn phòng trực thuộc [chu; 处]... Các vị trí/các văn phòng dưới các phòng được chia tiếp thành các phần [ke; 科]42”. Đưa 41 Đây là hình chụp màn hình khi DOTA truy cập tài khoản Gmail của anh ta trong lúc đang sử dụng một hệ thống bị
tổn thương trong hạ tầng tấn công của APT1.
42 Mark A. Stokes, Jenny Lin, and L.C. Russell Hsiao, “The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure,” Project 2049 Institute (2011): 6-7,
ra mẫu này, có khả năng là mật khẩu “2j3c1k” là viết tắt cho Phòng 2 [Đơn vị 61398], Bộ phận 3, Phần 1, thể hiện rằng những người sử dụng các mẫu đó đang làm việc cùng nhau và bản thân họ là các nhân viên của Phòng 2.
Ý định theo dõi người DOTA ngược về một cá nhân đặc biệt là khó khăn; dấu vết hoạt động của anh ta không liên kết rõ ràng tới một nhận diện thế giới thực nào. Tuy nhiên, Mandiant đã có khả năng