Các dịch vụ tình báo nước ngoài đã phát hiện rằng thông tin không phổ biến của khu vực tư nhân và của chính phủ Mỹ, từng không với tới được hoặc đòi hỏi nhiều năm chuẩn bị nhân lực hoặc công nghệ để có được, thì bây giờ có thể truy cập được, kiểm kê được, và ăn cắp được với sự dễ dãi tương đối bằng việc sử dụng các công cụ hoạt động mạng. Hoàn vốn đầu tư bây giờ cho việc nhằm vào các thông tin nhạy cảm của Mỹ theo cách này (giành được tin tình báo) có thể là cao một cách phi thường trong khi những rào cản để vào (các kỹ năng và công nghệ được yêu cầu để triển khai một hoạt động) là khá thấp. Nhiều quốc gia đang trong quá trình phát triển các khả năng để hoặc đáp trả một cách tự vệ đối với mối đe dọa này hoặc xây dựng tay chơi ban đầu đứng đằng sau nhiều hoạt động được lưu ý trong báo cáo của giới truyền thông, và các quan chức Mỹ đang ngày càng nhận thức được một cách công khai rằng các hoạt động thu thập tình báo và khai thác mạng của Trung Quốc là một trong những thách thức phản gián tốn kém nhất của quốc gia.
Sự phát triển của Trung Quốc đối với khả năng của các hoạt động mạng máy tính mở rộng vượt ra khỏi những sự chuẩn bị đối với các hoạt động thời chiến. PLA và các tổ chức an ninh nhà nước đã bắt đầu sử dụng khả năng này để nâng cao nỗ lực khai thác mạng máy tính phạm vi rộng cho các mục đích thu thập tình báo chống lại Mỹ và nhiều quốc gia trên thế giới, theo những tuyên bố của các quan chức Mỹ, những cáo buộc của các chính phủ nước ngoài bị nhắm tới, và một cơ quan truyền thông trong những sự kiện này.
Về lâu dài, chiến dịch bền bỉ để thu thập các thông tin nhạy cảm nhưng không phổ biến từ chính phủ Mỹ và các mạng công nghiệp quốc phòng của Mỹ có sử dụng các kỹ thuật khai thác mạng máy tính, từ lâu được qui cho Trung Quốc, đã trích ra thành công ít nhất 10-20 terabytes dữ liệu từ các mạng của chính phủ Mỹ từ năm 2007, theo những đánh giá của Không quân Mỹ và con số này có lẽ đã gia tăng trong 2 năm qua, dù không có con số nào được sẵn sàng một cách công khai.
Tướng James Cartwright, khi còn phục vụ như Chỉ huy chiến đấu của Chỉ huy Chiến lược Mỹ, đã chứng thực trước một ủy ban của Quốc hội rằng Trung Quốc đang tích cực tham gia vào trinh sát không gian mạng bằng việc thâm nhập các mạng máy tính của các cơ quan chính phủ Mỹ cũng như các công ty tư nhân. Ông lưu ý xa hơn rằng tình báo đã thu thập được từ những chiến dịch trinh sát máy tính này có thể được sử dụng cho vô số mục đích, bao gồm việc xác định những điểm yếu trong các mạng, hiểu cách mà các nhà lãnh đạo tại Mỹ suy nghĩ, phát hiện các mẫu giao tiếp của các cơ quan chính phủ Mỹ và các công ty tư nhân, và lấy các thông tin có giá trị được lưu trữ trên khắp các mạng98. Một sự xem xét lại phạm vi, trọng tâm và độ phức tạp của toàn bộ chiến dịch nhằm chống lại Mỹ
97 The content of the following section is based upon analysis of media but also upon the deep experience and insights that Northrop Grumman Corporation has gained as a major provider of information security services and its own experience defending a large, geographically dispersed enterprise. Northrop Grumman's appreciation of the nature of cyber threats directed at the United States is grounded in deep, real world experience, and the incidents and insights presented here are derived from open source research and the company's familiarity in the aggregate dealing with a variety of advanced cyber security issues. The incidents and adversary patterns of operation presented here should not be construed to refer to any specific company or government agency unless explicitly stated otherwise.
98 “China’s Military Modernization And Its Impact On The United States And The Asia-Pacific,” Hearing before The U.S.- China Economic And Security Review Commission, March 29-30, 2007, p. 7; Available at http://www.uscc.gov/hearings/2007hearings/transcripts/mar_29_30/mar_29_30_07_trans.pdf
và, ngày một gia tăng, một nhóm các quốc gia khác trên thế giới gợi ý một cách mạnh mẽ rằng những hoạt động này được đỡ đầu hoặc hỗ trợ của nhà nước. Những người vận hành dường như có sự truy cập tới các tài nguyên tài chính, nhân lực và phân tích mà chúng vượt quá những gì các hoạt động tội phạm không gian mạng có tổ chức hoặc các nhóm tin tặc hoạt động một cách độc lập có lẽ có thể truy cập được một cách thường xuyên qua nhiều năm liền. Hơn nữa, các chủng loại dữ liệu bị ăn cắp vốn dĩ không có giá trị về tiền như các số thẻ tín dụng hoặc thông tin tài khoản ngân hàng mà chúng thường xuyên là trọng tâm của các tổ chức tội phạm không gian mạng. Các thông tin kỹ nghệ cao về quốc phòng, các thông tin liên quan tới quân sự, hoặc các tài liệu phân tích chính sách của chính phủ thường không dễ dàng biến thành tiền đối với bọn tội phạm không gian mạng trừ phi chúng có một khách hàng là nhà nước quốc gia, làm cho hoạt động “được nhà nước đỡ đầu” trở thành mặc định, bất chấp tư cách của những người vận hành thực sự ngồi ở bàn phím là ai.
Phạm vi các hoạt động tác chiến này, tri thức sâu về các mạng có chủ đích, và số lượng lớn các chủ đề của các dữ liệu được trích xuất gợi ý rằng những kẻ tấn công đang hỗ trợ các khách hàng đã tham gia vào nghiên cứu kỹ nghệ có liên quan tới quốc phòng, các chuyên gia về chính sách có quan tâm trong các mối quan hệ Mỹ - Trung Quốc, và những người lên kế hoạch quân sự thu thập tình báo về các hệ thống và các hoạt động thông tin quân sự của Mỹ.
Các quan chức chính phủ Mỹ đánh giá rằng hoạt động này, tổng hợp lại, về lâu dài có tiềm năng làm xói mòn vị thế của Mỹ như một người lãnh đạo thế giới trong đổi mới sáng tạo và cạnh tranh khoa học
& công nghệ S&T (Science & Technology) và việc thu thập các dữ liệu kỹ nghệ quốc phòng của Mỹ có thể đã phục vụ cho kẻ nhận thông tin nhiều năm R&D và số lượng tiền đầu tư đáng kể99.
Các hoạt động này thành công một phần vì giới công nghiệp và các mẫu an ninh thông tin của chính phủ Mỹ hiện hành phần lớn dựa vào những kiểm soát có tác động trở lại như các mô hình các nhà cung cấp chống virus truyền thống dựa vào các chữ ký, các biện pháp host (máy chủ lưu trữ quản lý) hoặc bảo vệ mạng thông thường mà thường không phù hợp để chống lại những kẻ tấn công tiên tiến. Khi một nhà cung cấp sản phẩm hoặc cộng đồng nghiên cứu phát hiện những chỗ bị tổn thương mới, thì các nhà cung cấp phần mềm an ninh nhanh chóng phân tích nó và sản xuất ra “các chữ ký”, hoặc những trình bày được mã hóa của những kết quả được sử dụng trước đối với một cuộc tấn công chống lại chỗ bị tổn thương mới đó. Những chữ ký này được áp dụng cho các thiết bị kiểm soát mạng như các Hệ thống Ngăn chặn và Dò tìm Thâm nhập Trái phép IDS/IPS (Intrusion Detection and Prevention Systems) và các tường lửa, và trên những máy tính cá nhân như các qui định chống virus hoặc các chữ ký IDS/IPS của máy chủ host. Việc bổ sung các chữ ký một cách tiên phong vào các hệ thống này mà không có sự biết trước về một chỗ bị tổn thương hoặc có thể một cuộc tấn công mẫu được quan sát hoặc được tạo ra từ các phòng thí nghiệm, là khó và thường không được khuyến khích.
• Nhiều tổ chức bất đắc dĩ phải vá các hệ thống và phần mềm chống lại các chỗ bị tổn thương mà đối với chúng đã không có sự khai thác nào được tung ra một cách công khai. Những tổ chức lớn hơn với những thực tế an ninh chín chắn hơn hoặc nhiều tài nguyên hơn thường sử dụng các chữ ký, hoặc các mô hình hành xử phức tạp, được áp dụng cho các hệ thống Quản lý Thông tin
99 Jeff Bliss, ‘‘China’s Spying Overwhelms U.S. Counterintelligence,’’ Bloomberg, April 2, 2007. | Shane Harris, “China’s Cyber-Militia,” The National Journal, Saturday, May 31, 2008, available online at:
http://www.nationaljournal.com/njmagazine/cs_20080531_6948.php
và Sự cố An ninh SEIM (Security Event and Information Management) hoặc Phân tích Hành vi Mạng NBA (Network Behavioral Analysis) nhưng những kỹ thuật này thường được cung cấp bởi những hệ thống dựa vào các thành phần có chữ ký, chúng, cũng vậy, chịu một số yếu điểm.
• Các hệ thống NBA chỉ ra hứa hẹn lớn hơn khi chuyển sang tìm kiếm hành vi không bình thường, tuy nhiên, thường có tổng chi phí quản lý lớn hơn nhiều và một tỷ lệ cảnh báo sai cao trong phương thức này.
• Sự quản lý hệ thống và mạng theo truyền thống là một hành động bù trừ về hiệu năng, chi phí và an ninh và sự khôn ngoan nói chung chỉ ra sự lưỡng lự chắc chắn nào đó để tiến hành những thay đổi về vận hành chức năng, thường là các hệ thống manh tính sống còn.
Những người vận hành khai thác mô hình phòng vệ có phản ứng trở lại này và họ có những tài nguyên cần thiết để phát triển và khai thác trước những chỗ bị tổn thương còn chưa được biết mà thường bị bỏ qua bởi các phần mềm bảo vệ đầu cuối và các hệ thống IDS/IPS dựa vào chữ ký. Cộng đồng hàn lâm của Trung Quốc và các nhóm tin tặc - như nhiều nhóm tin tặc trên thế giới - được tập trung mạnh vào việc nghiên cứu những chỗ bị tổn thương mới ngày số 0.
• Có câu chuyện mang tính giai thoại từ các nguồn của giới công nghiệp an ninh thông tin rằng các nhà nghiên cứu của Trung Quốc cũng có thiện chí mua các công cụ tấn công ngày số 0 từ các nguồn của bên thứ 3, dù điều này không được kiểm chứng một cách độc lập.
• Các khai thác ngày số 0 được mua bán trên nhiều thị trường tư nhân và nhà nước mà không có sự tham gia của các nhà cung cấp các phần mềm của các nạn nhân, thường với vài chục ngàn USD cho một chỗ bị tổn thương100.
Toàn bộ nỗ lực này dường như cấu thành từ nhiều nhóm và cá nhân có kỹ năng hoạt động chống lại những mục tiêu khác nhau, biết rằng nhịp độ và mật độ hoạt động có chủ đích cao được ghi nhận cho tới nay (xem Dòng thời gian của các vụ Thâm nhập Trái phép Được cho là của Trung Quốc ở bên dưới). Những người vận hành này, khả năng một số có quan hệ với chính phủ hoặc các tổ chức quân đội của Trung Quốc và những kẻ khác có lẽ là những tin tặc hành nghề tự do, có sự truy cập tới các lập trình viên phần mềm có khả năng phát triển những khai thác các lỗi ngày số 0 và sử dụng các công cụ mà thường được tạo ra trên các máy tính với các thiết lập tiếng Trung Quốc hoặc các bộ công cụ của các lập trình viên nói tiếng Trung Quốc.
• Những kẻ địch có liên quan tới vấn đề này sẽ thành công vì họ có khả năng duy trì một sự hiện diện trong một mạng có chủ đích trong những khoảng thời gian dài, cho phép họ thiết lập một kết nối tới một máy tính bị tổn thương trên mạng khi được yêu cầu hành động đối với các hoạt động như trinh thám sơ đồ mạng, xác định nơi đâu có những thông tin có giá trị cao, hoặc tiến hành phân tích mạng chuyên nghiệp và mạng xã hội để hỗ trợ cho những chiến dịch lan truyền phishing trong tương lai.
• Thông tin sau được khai thác thường xuyên nhất để làm giả các thư điện tử đặc biệt, trông dường như là như hợp pháp gửi tới những người sử dụng được nhắm tới thường tham chiếu tới
100 See for example: http://www.securityfocus.com/columnists/470 and http://www.eweek.com/c/a/Security/Hackers- Selling-Vista-ZeroDay-Exploit/ for additional background.
một dự án hoặc cuộc gặp hiện hành mà với chúng thì người nhận có liên quan. Những thư điện tử này thường chứa hoặc các phần mềm độc hại được nhúng bên trong một tệp đính kèm hoặc những đường liên kết tới các Website độc hại101.
• Phạm vi và độ phức tạp của đích ngắm có liên quan tới nỗ lực này gợi ý rằng có lẽ điều này được hỗ trợ từ bộ máy công quyền quản lý việc thu thập chín chắn, có khả năng đối chiếu so sánh và phổ biến các ưu tiên thu thập cho các đội đa dạng của những người vận hành, các nhà phân tích tình báo, và các lập trình viên phần mềm độc hại. Những cá nhân này hình như là một sự pha trộn của các nhân viên quân sự không mặc quân phục, những người vận hành tình báo dân sự, và cả những tin tặc tự do kỹ thuật cao.
Những dạng tấn công này thường bắt đầu với một thông điệp thư điện tử với một tệp đính kèm có chứa cả mã nguồn khai thác và những mẩu phần mềm nhỏ khác mà chúng sẽ trao cho kẻ tấn công sự kiểm soát máy tính của các nạn nhân. Trong khi tệp này, thường là một hình ảnh, tài liệu, hoặc bảng tính được mở bằng chương trình có thể bị tổn thương trên máy tính của nạn nhân (vật trung gian cho lối vào) vì những người vận hành thường có khả năng biết các mối quan hệ tin cậy (như các mạng chuyên ngành của họ) của một nhân viên (hoặc nhóm các nhân viên) bằng việc phân tích ai là người mà họ thường gửi thư điện tử tới. Những kẻ thâm nhập trái phép sau đó làm giả các thư điện tử như thật từ những thành viên hoặc nhóm bên trong mạng cá nhân mà mục tiêu có thể sẽ mở102.
Hình 6: Một ví dụ về một thư điện tử tấn công mà đã được gửi cùng một lúc tới nhiều hãng thương mại của Mỹ. Thông tin nhận dạng và hội nghị đã được sửa đổi từ gốc.
101Brian Grow, Keith Epstein and Chi-Chu Tschang, “The New E-spionage Threat,” BusinessWeek, April 10, 2008, available online at: http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm
102 Brian Grow, Keith Epstein and Chi-Chu Tschang, “The New E-spionage Threat,” BusinessWeek ,April 10, 2008, available online at: http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm
Hội nghị được tham chiếu trong ví dụ thư điện tử trong Hình 6 từng là hợp pháp, nhưng site tải về được kết nối tới lại không hợp pháp. Mẫu đăng ký và các tệp chương trình, khi được tải về và được giải nén, đã trao cho kẻ tấn công sự kiểm soát hoàn toàn từ xa máy tính của người sử dụng bị nhằm tới. Những người vận hành có nhiệm vụ nhằm đích trước đó đã xác định nhân viên này của công ty và tất cả những người nhận khác, khi ai đó có thể có quan tâm trong chủ đề của thư điện tử này và tải về mẫu bằng việc nghiên cứu sự hiện diện trực tuyến của anh hoặc chị ta: các danh sách những người tham dự hội nghị, những đăng ký tới các nhóm tin, các site mạng xã hội như Facebook và Linkedin, và những xuất bản phẩm công khai về công việc.
• Những người vận hành thường sử dụng lại các hồ sơ của nhân viên được tạo ra từ sự trinh sát này trong nhiều ý định có chủ đích hoặc vì người sử dụng này không mở tệp gắn kèm lần đầu hoặc chỉ đơn giản vì họ là một “mục tiêu dễ dàng”, người thường mở những thư điện tử này và vì thế bày ra một vật trung gian cho lối vào tin cậy được đối với những kẻ thâm nhập trái phép.
• Sự thâm nhập ban đầu này với các đính kèm thư điện tử và độc hại thường chỉ là pha đầu tiên của một chiến dịch cao cấp khi những người sử dụng là đích ngắm là đầu tiên và những dữ liệu trên các máy tính của họ thường thực sự không phải là mục tiêu để thu thập. Việc ngắm đích vào những người chủ của dữ liệu của mục đích thu thập thực sự của kẻ tấn công gia tăng rủi ro dò tìm ra và sự triển khai có khả năng của những kiểm soát ngặt nghèo hơn xung quanh các dữ liệu mà chúng đang tìm kiếm để lấy ra, làm cho những ý định sau khó khăn hơn.
Phân tích các dữ liệu nghiên cứu có liên quan tới những vụ thâm nhập được cho là từ những nhà vận hành một cách tinh vi phức tạp được nhà nước bảo trợ gợi ý rằng trong một số hoạt động thì nhiều cá nhân có thể tham gia, có trách nhiệm về những nhiệm vụ đặc chủng như là việc giành được và thiết lập được sự truy cập mạng, nghiên cứu các phần của một mạng đích để xác định thông tin có giá trị, và việc tổ chức để trích lấy dữ liệu ra.
Một vai trò nữa là một lối vào hoặc “đội đột phá khẩu” chỉ có trách nhiệm với việc giành được lối vào và duy trì một sự hiện diện mềm dẻo, có dự trữ trong mạng đích (về cơ bản “bỏ cái khóa đi” và đảm bảo không chỉ cái cửa đó được duy trì là mở, mà còn có nhiều cửa sẵn sàng nếu một cửa đang được sử dụng “bị đóng lại”). Một khi đội đột phá khẩu đã thiết lập thành công sự truy cập vào mạng, thì có khả năng một đội hoặc cá nhân thứ 2 tiến hành trinh sát dữ liệu và cuối cùng định vị được và lấy ra được các dữ liệu đích.
Những lý do cho việc sử dụng các cá nhân hoặc các nhóm khác nhau có thể vì những kỹ năng đặc biệt được yêu cầu cho từng pha của một sự thâm nhập trái phép hoặc vì những lý do “chia lô”: đội hoặc người vận hành đầu tiên không cần biết các chi tiết của những gì đang được ngắm tới của đội hoặc cá nhân thứ 2, vì thế lý tưởng mà nói, nâng cao được toàn bộ an ninh của hoạt động. Tuy nhiên, những giải thích này đa phần là phỏng đoán khi độ trung thực của các dữ liệu trong những vụ này hầu như không bao giờ cung cấp được sự nhìn thấu vào bên trong những giao tiếp truyền thông nội bộ, sự nhận dạng, hoặc động lực của các mối quan hệ của những người thực sự đứng đằng sau những vụ thâm nhập trái phép này.
• Dạng cấu trúc hướng nhiệm vụ này đòi hỏi những tập hợp nhiều kỹ năng, có lẽ đòi hỏi vài cá nhân để hoàn tất một hoạt động. Mô hình này, nếu chính xác, cũng ngụ ý một số biện pháp về