5. Hồ sơ hoạt động của một vụ thâm nhập trái phép tiên tiến trong không gian mạng
5.3. Trích lấy dữ liệu từ mạng nội bộ
Việc phản ánh những chuẩn bị theo các phương pháp của họ, những người vận hành này đã sử dụng 7 máy chủ sắp xếp theo kiểu cái trước cái sau để chuyển các dữ liệu ra khỏi mạng của công ty, gợi ý rằng tốc độ từng là một ưu tiên trong pha này của hoạt động. Sự di chuyển các dữ liệu ra khỏi mạng nội bộ là pha có thể bị tổn thương nhất trong toàn bộ hoạt động vì các công cụ phòng vệ mà công ty đã có tại chỗ trong phạm vi mạng của mình và từng là điểm duy nhất mà họ đã dò tìm được ra trong quá trình hiện diện nhiều ngày của chúng trong mạng khi chuẩn bị cho hành động này.
Pha cuối cùng của hoạt động trích lấy dữ liệu đã bắt dầu vào buổi chiều (giờ địa phương đối với hãng này), sau khi tất cả các dữ liệu được nhắm tới đã được đón sẵn trên các máy chủ host ngay lập tức.
Trước khi bắt đầu việc trích lấy, những người vận hành đã chuẩn bị đặc biệt cẩn thận: thiết lập một
106 Of note, the RAR archives were all exactly 650MB in size, the maximum capacity of a standard CD ROM, indicating a possible future storage or transfer medium.
kênh C2 bao quát toàn bộ, kiểm thử các kết nối của họ, có lẽ diễn tập lại các thủ tục của họ, và kiểm tra băng thông rộng sẵn sàng của họ trước khi bắt đầu trích lấy thực sự.
• Sau khi bắt đầu việc trích lấy từ một máy chủ thư điện tử duy nhất, những người vận hành đã đánh số tất cả các máy chủ thư điện tử trong các khu vực đích. Điều này là đáng kể vì yêu cầu của họ đã sử dụng qui ước đặt tên nội bộ theo tiêu chuẩn của công ty cho những máy chủ này theo vùng địa lý nơi mà các máy chủ đã được đặt, biết rằng chỉ giành được thông qua sự trinh sát mạng một cách chi tiết cao độ107. Lệnh đã trả về một danh sách vài tá máy chủ, 75% trong số đó họ đã sử dụng trong hoạt động này hoặc như các điểm đón sẵn hoặc như các điểm trích lấy dữ liệu.
• Các đội này đã tham gia vào hoạt động được chuẩn bị để thực sự trích lấy bằng việc hướng từng chiếc trong số các máy chủ mà có thể được sử dụng để chuyển dữ liệu ra khỏi công ty truy cập vào một tệp video lớn (hơn 20MB) từ một máy chủ nội bộ không bị nhắm tới hoặc có liên quan trong toàn bộ hoạt động này. Trong từng trường hợp, kết nối đã được chấm dứt bởi những kẻ tấn công sau khi nhận được chỉ một phần ngắn của video. Điều này đã cắt đứt việc tải về gợi ý họ đã không có ý định xem các nội dung của bản thân tệp đó, nhưng hình như kiểm thử băng thông rộng sẵn sàng cho việc truyền khối lượng lớn các dữ liệu.
Những kẻ tấn công, hoạt động với một tài khoản hợp lệ của người sử dụng, đã kiểm soát một trong những máy tính để bàn của công ty mà họ đã sử dụng như một nút C2 để hướng nhiều máy chủ tham gia vào trong toàn bộ hoạt động trích lấy (các nhà phân tích của công ty đã xác định tổng số 4 máy tính để bàn được sử dụng như là các nút C2). Nút C2 đặc biệt này đã kết nối tới nhiều máy chủ nội bộ, bao gồm cả một máy chủ đón sẵn, 2 máy chủ host ngay lập tức được biết khác, và một địa chỉ IP bên ngoài nằm tại Mỹ.
• Một trong những máy chủ host C2 nội bộ đã thiết lập một kết nối tới một người sử dụng DSL của một nhà cung cấp dịch vụ Internet có trụ sở ở Mỹ. Kết nối có ủy quyền proxy này vẫn được duy trì ở trạng thái mở cho toàn bộ pha trích lấy dữ liệu. Trong thời gian đó, nút này đã kết nối thông qua RDP vào ít nhất 8 máy chủ host bên ngoài, một trong số đó từng nằm tại Hong Kong108.
• Phân tích nghiên cứu của tiến trình giao thông trong vụ việc này chỉ ra rằng những kẻ tấn công đã chuyển một khối lượng lớn các dữ liệu từ các máy chủ đón sẵn tới những máy được sử dụng như một điểm chuyển tiếp cho sự trích lấy ra khỏi các mạng của công ty (kết nối giữa các “máy chủ host trích lấy” và “các điểm đón nhận” ở Hình 7).
Những người vận hành của Đội 1 có trách nhiệm cho việc thâm nhập vào sự phòng vệ an ninh thông tin
107 Organizations with networks dispersed over large geographic regions often use a naming convention for their servers that identifies the physical location of the server, followed by internal company organizational details or a code to represent the server’s role, e.g. a print server located in Montana in the XY Division may be internally named
“MTXYP012.” In this case, the attackers knew the exact convention that their target used and searched for all of the servers in the geographic area where their targeted data was located.
108 The Hong Kong connection was unsuccessful and probably accidental given the careful steps taken to use US-based servers to receive the data once it started flowing. The probable accident does potentially identify one of the adversary’s external resources, possibly used to receive data from the US servers once the operation was complete.
có thể đã diễn tập lại phần của họ đối với hoạt động này bằng việc sử dụng các tệp vô thưởng vô phạt trước khi bắt đầu thực sự trích lấy dữ liệu, rồi sau đó đã cố gắng gửi 3 tệp lưu trữ dạng RAR thông qua các phiên truyền tệp FTP độc lập.
Phân tích hoạt động của các kênh chỉ huy của những người vận hành chỉ ra rằng họ đã gặp phải những vấn đề nghiêm trọng với 2 máy chủ host bên ngoài định thu nhận dữ liệu trích lấy từ mạng của công ty này. Họ cũng định tùy biến phần mềm FTP dành cho máy chủ và máy trạm, nhưng đã thất bại vì những lý do không rõ ràng. Những người vận hành đã bỏ qua một trong những máy chủ này và phần mềm FTP tùy biến, hình như vì tốc độ truyền dữ liệu chậm và không đáng tin cậy, và đã tiếp tục với phần mềm máy chủ FTP tiêu chuẩn chạy trên 5 máy chủ host nữa từ xa tin cậy được cho phần còn lại của việc trích lấy dữ liệu.
Trong ngày cuối cùng của hoạt động này, cũng khoảng vào giờ như vậy buổi chiều mà họ đã bắt đầu từng ngày trước đó, những người vận hành đã thiết lập một kết nối FTP từ một trong những máy chủ trích lấy nội bộ tới một máy chủ host bên ngoài. Họ đã kiểm tra rằng kênh giao tiếp của họ đã làm việc phù hợp bằng việc tải lên một tệp kích thước 0 byte đi sau một tệp kích thước lớn hơn nhiều. Hình như được thỏa mãn rằng kết nối này đã hoạt động phù hợp, những người vận hành đã đăng xuất khỏi máy chủ nội bộ này.
• Những người vận hành đã kết nối lại trong nửa giờ đồng hồ tới chính máy chủ nội bộ đó, và sử dụng đúng những ủy nhiệm định chuyển tệp RAR đầu tiên được mã hóa có chứa các dữ liệu sở hữu độc quyền của công ty. 2 phút sau, họ đã định chuyển tệp khác, và sau đó đăng xuất. Vài phút sau đó, họ đã kết nối lại và định chuyển một tệp thứ 3. Trong mỗi trường hợp, các kết nối FTP đã kết thúc sớm vì những lý do không rõ. Dường như là trong khi những việc truyền các tập nhỏ là thành công qua kênh này, thì những lần truyền các tệp lớn đã không thành.
• Họ sau đó đã kết nối tới trường đại học Mỹ thứ 2 và đã thành công trong việc chuyển bằng tay các tệp RAR lớn có sử dụng phần mềm máy chủ FTP không bị sửa đổi. Ngắn gọn, những người vận hành đã thiết lập một loạt vụ truyền được tự động hóa, dư thừa tới 5 máy chủ host ở xa, tất cả đều chạy cùng phần mềm máy chủ này, trong một nỗ lực để tối đa hóa tốc độ thành công của nỗ lực chính trích lấy dữ liệu.
Nhân viên an ninh thông tin đã dò tìm ra và đã khóa việc trích lấy giữa chừng nhưng không phải là trước khi những khối lượng đáng kể dữ liệu của công ty đã đi khỏi mạng.
Các hệ thống ngăn ngừa thâm nhập trái phép trên mạng của công ty sau đó đã chuyển sang cảnh báo và khóa hoạt động tiếp tục và trong vòng 5 tiếng sau đó các hệ thống này đã tiếp tục dò tìm ra được những ý định của những người vận hành đang quay lại, gợi ý rằng họ đã bị ngắt giữa chừng trước khi hoàn tất việc trích lấy đầy đủ như theo kế hoạch. Các nhà phân tích an ninh thông tin với hãng này không có biện pháp nào để xác định được tổng số kích thước dự định của hoạt động trích lấy dữ liệu này.