3. Các thực thể chính trong hoạt động mạng máy tính Trung Quốc
3.7. Sự hợp tác của các tin tặc với nhà nước
Trong khi chính phủ Trung Quốc dường như bất đắc dĩ sử dụng hoạt động tin tặc như một công cụ CNO, thì có lẽ có một thiện chí để thành lập các mối quan hệ trực tiếp với các cá nhân hoặc các nhóm nhỏ những người có kỹ năng cao trong cộng đồng các tin tặc. Chính phủ Trung Quốc cũng có thể có khả năng tham gia vào các hãng thương mại được cấu thành từ các tin tặc có kinh nghiệm và hoạt động như các nhóm an ninh thông tin hợp pháp trên danh nghĩa. Sự tham gia này trải rộng từ sự tuyển chọn công việc đơn giản của các bộ an ninh trong chính phủ trên các Website của các tin tặc cho tới sự hỗ trợ có thể từ các lập trình viên viết mã nguồn mũ đen cho những thâm nhập trái phép có tổ chức vào các mạng thương mại và chính phủ của Mỹ.
Các nhà nghiên cứu về an ninh thông tin mũ trắng dựa vào các công ty thương mại (những người đang theo đuổi công khai nghiên cứu hợp pháp trong lĩnh vực này) đang phát triển các cơ sở khách hàng chính phủ một cách mạnh mẽ đối với sự hỗ trợ về phần cứng và có thể cả phần mềm. Nhiều nhóm nổi tiếng nhất từ trước trong cả thập kỷ và những người đứng đầu của họ hoặc đã giải tán hoặc đã tự họ chuyển thành các hãng an ninh hợp pháp. Các nhóm lớn như Xfocus và Black Eagle Base đã tự biến dạng họ thành các hoạt động thương mại, dù vẫn sát cánh với các mục tiêu về an ninh thông tin và an ninh của nhà nước.
• NSFocus, một hãng an ninh thông tin thương mại nổi tiếng, đã tiến hóa thành Liên minh Quân đội Xanh, một nhóm tin tặc nổi tiếng trước đó hoạt động tích cực từ 1997 qua 2000; Website của NSFocus vẫn còn giữ logo của Liên minh Quân đội Xanh và danh sách các thành viên sáng lập của nó đặc trưng cho một số tin tặc nổi tiếng nhất tại Trung Quốc80.
• Xfocus, một công ty an ninh thông tin thương mại mà đã phát triển từ một nhóm tin tặc, hàng năm tài trợ cho Xcon, một trong những “hội nghị các tin tặc” lớn nhất tại Trung Quốc trong quan hệ đối tác với NSFocus và Venus Technology.
• Các nhà chức trách của Phòng An ninh Nhà nước tỉnh Henan đánh sập Website của các tin tặc mũ đen Patriot Eagle Base và đã bắt các thành viên của nó vào tháng 02/2006. Tuy nhiên, nhóm này đã hoạt động trở lại 6 tháng sau với cái tên Black Eagle Honker Base khi các thành viên của nó đưa ra một tuyên bố nói rằng nhóm đã thề tập trung những nỗ lực của nó vào việc huấn luyện mọi người cho nhà nước và làm việc để cải thiện nền công nghiệp an ninh mạng của nhà nước, gợi ý một mối quan hệ hợp tác có khả năng với các nhà chức trách nhà nước như là một
80 Scott Henderson, The Dark Visitor, p.29
điều kiện để thả họ81.
• Lãnh đạo của Black Eagle cũng bày tỏ sự đánh giá cao đối với Phòng An ninh Nhà nước ((guojia anquan ju) và Ủy ban Khoa học và Công nghệ Quốc phòng (COSTIND, và bây giờ được đổi tên thành SASTIND82) đối với chỉ dẫn giáo dục mà họ đã cung cấp cho các thành viên khi còn bị giam cầm. Thực thể sau, đã có trách nhiệm với việc giám sát chính sách công nghiệp quốc phòng, thường không được tham chiếu tới trong mối quan hệ với các nhóm tin tặc hoặc các hoạt động của chúng83.
Các cá nhân, hoặc có thể các nhóm, đã tham gia trong việc khai thác các mạng máy tính chống lại các mạng của Mỹ đã có được các phần mềm độc hại được phát triển bởi các lập trình viên mũ đen hoặc thế giới ngầm. Khả năng có được các mã nguồn tùy biến này chỉ ra rằng những người vận hành này có các mối quan hệ để lựa chọn các thành viên của thế giới ngầm của các tin tặc.
Trong một sự việc được thao diễn, các lập trình viên mũ đen được liên kết với các diễn đàn của các tin tặc Trung Quốc đã cung cấp các phần mềm độc hại cho những kẻ thâm nhập trái phép nhằm vào một hãng thương mại của Mỹ vào đầu năm 2009. Các kỹ thuật và công cụ được sử dụng bởi nhóm này hoặc các cá nhân là tương tự như những gì đã được quan sát trong những mưu toan thâm nhập trước đó chống lại cũng chính công ty đó vào năm trước, theo phân tích khoa học của họ.
• Phân tích khoa học cũng gợi ý nhóm này được cấu thành từ nhiều thành viên với các mức độ kỹ năng khác nhau, hoạt động với các lịch trình định sẵn và các thủ tục hoạt động theo tiêu chuẩn và có thiện chí tiến hành các bước chi tiết để ngụy trang các hoạt động của họ trên máy tính đích.
• Nghiên cứu nguồn tin mở theo tên màn hình của lập trình viên đã tạo ra phần mềm độc hại được sử dụng trong cuộc tấn công đầu năm 2009 đã phát hiện rằng cá nhân đó hình như là một người nói tiếng Trung Quốc gốc mà đã đưa ra chương trình ghi lại việc gõ bàn phím với các yếu tố rootkit cho một thảo luận rộng rãi trên Website của nhóm tin tặc nổi tiếng Trung Quốc là EvilOctal.
• Lập trình viên đã tạo ra tài liệu PDF được sử dụng như tệp gắn kèm để mang theo phần mềm độc hại với một công cụ mà chỉ sẵn sàng bằng tiếng Trung Quốc được gọi là FreePic2Pdf, phiên bản 1.26; Tài liệu này đã được sửa đổi để cài lén một khai thác ngày số 0 mà đã nhằm vào chỗ bị tổn thương còn chưa được biết trước đó trong Adobe Acrobat84.
• Dựa vào sự cài đặt thành công trên hệ thống của nạn nhân sau khi người sử dụng mở tệp đính kèm, phần mềm độc hại ngựa Trojan đã bắt đầu cố gắng theo chu kỳ để kết nối với máy tính khác ở nước ngoài, bản chất là chuyển đi một tín hiệu để cho phép những kẻ tấn công biết rằng
81 OSC, CPP20060810443001, “Patriot Hacker Website 'Restored' After ‘Guidance,” 10 August 2006
82 In March 2008, the Commission on Science and Technology for National Defense (COSTIND) was reorganized and subordinated to the Ministry of Information Industry and Technology (MIIT) and is now called State Administration on Science and Technology for National Defense (SASTIND).
83 OSC, FEA20060811026153, “PRC Patriot Hacker Website Restored After Guidance,” 10 August 2006.
84 See details on this vulnerability at: http://www.adobe.com/support/security/advisories/apsa09-01.html and http://www.kb.cert.org/vuls/id/905281.
một máy tính đã bị tấn công thành công. Những kẻ thâm nhập trái phép chỉ hoàn tất kết nối này khi chúng đã sẵn sàng để bắt đầu pha hoạt động tiếp sau thông qua các giao tiếp truyền thông được mã hóa với máy tính của nạn nhân.
• Những người vận hành đã làm việc theo 3 ca, chu kỳ 24 giờ đồng hồ đưa ra các mệnh lệnh trinh sát tương đương với những gì được quan sát trong các cuộc tấn công trước đó.
• Khi những khác biệt đáng kể đã được nhận biết giữa máy tính này và các hệ thống đã bị tổn thương trước đó trên cùng một mạng, thì đội tấn công sẽ trích ra một số lượng nhỏ dữ liệu để xác định cấu hình của phần mềm an ninh được cài đặt và khả năng của chúng để truy cập các dữ liệu đích trên mạng của công ty.
• Những người vận hành đã cài đặt một rootkit, mà nó trao cho kẻ tấn công sự truy cập được trao quyền tới một máy tính của nạn nhân trong khi duy trì việc không bị phát hiện ra, gợi ý rằng những kẻ tấn công đã định che đậy một cách lâu dài việc sử dụng máy tính của nạn nhân.
Những kẻ tấn công đã thiết lập cấu hình cho rootkit để chạy vào lần khởi động lại hệ thống lần sau, ngụy trang một cách thành công các tệp, các chương trình, các kết nối mạng và các thiết lập đăng ký của những người vận hành, tuy nhiên, lỗi của người vận hành đã tạo ra một vấn đề trong việc chạy rootkit và đã khóa những kẻ tấn công khỏi máy tính đích, kết thúc sự hoạt động, theo phân tích của các nhà nghiên cứu.
• Mã nguồn của rootkit vẫn còn chưa có công khai, gợi ý rằng kẻ tấn công đã giành được nó một cách trực tiếp từ lập trình viên hoặc ai đó với sự truy cập trực tiếp tới cá nhân người này.
Người tạo ra khai thác ngày số 0 khác đã sử dụng để nhằm vào các công ty Mỹ vào mùa thu năm 2008 đã phát triển mã nguồn tại Trung Quốc và trên một máy tính với bộ ký tự tiếng Trung Quốc như là ngôn ngữ mặc định đã chỉ ra rằng cá nhân này cũng hình như là một người nói thành thạo hoặc là người gốc nói tiếng Trung Quốc. Ít chi tiết bổ sung về nhận dạng lập trình viên này từ phân tích của các nhà nghiên cứu nhưng nó củng cố cho sự xác nhận rằng một mối quan hệ đang tồn tại giữa các lập trình viên mũ đen Trung Quốc và các cá nhân có trách nhiệm cho những thâm nhập trái phép trong các mạng của Mỹ.
• Các công ty Mỹ đã bắt đầu nhận được những làn sóng nhỏ các thư điện tử giống như spam với một tệp gắn kèm của Microsoft WordPad (.wri) có chứa một mẩu nhỏ phần mềm độc hại mà nó đã hành động như một Trojan, cho phép những kẻ tấn công giành được sự truy cập toàn phần đối với các máy tính đích, một dấu xác nhận của sự khai thác mạng máy tính được cho là được làm tại Trung Quốc. Phần mềm độc hại này đã khai thác một chỗ bị tổn thương ngày số 0 trong ứng dụng Microsoft WordPad85.
• Tệp gắn kèm được gửi vào các cuộc tấn công thư điện tử có 2 thành phần: một tài liệu mang ngôn ngữ tiếng Anh mà sẽ là một mẫu template hợp đồng thông thường cho một hãng bảo vệ để sử dụng với một nhà thầu phụ, và mã nguồn khai thác tiếng Trung Quốc được chèn vào bên trong tài liệu làm vật mang đó.
• Khi người nhận thư điện tử spam định mở tệp .pdf đính kèm, thì tệp này cài đặt cả phần mềm
85 See Microsoft Security Advisory 960906.
độc hại và một dịch vụ cửa hậu trên máy tính đích mà đã được thiết kế để chạy lần sau khi mà người sử dụng đăng nhập vào.
Phần mềm độc hại, được gửi theo một làn sóng các cuộc tấn công lan truyền phishing chống lại một loạt các công ty Mỹ, đã nhằm vào việc cung cấp cho kẻ thâm nhập trái phép khả năng truy cập và kiểm soát từ xa các máy tính đích, một đặc tính thông thường khác của các hoạt động khai thác mạng máy tính được cho là từ Trung Quốc.
• Dịch vụ mới được cài đặt này kết nối tới một máy chủ bên ngoài mạng của công ty bị tấn công và cho phép kẻ thâm nhập trái phép chiếm quyền kiểm soát máy tính của nạn nhân từ xa với các khả năng truy cập và hoạt dộng y hệt như khi họ đang ngồi với bàn phím của người sử dụng.
Việc lập trình các lỗi trong phần mềm độc hại được sử dụng trong lúc diễn ra chiến dịch vào mùa thu năm 2008 và khả năng của những kẻ thâm nhập trái phép nhanh chóng có được một phiên bản mới như một chương trình thay thế, gợi ra một cách mạnh mẽ đây từng là lần đầu tiên phiên bản mới hơn đã được sử dụng bởi những kẻ tấn công này.
• Khả năng của họ để có được một phiên bản thay thế một cách nhanh chóng có thể là kết quả của việc có được sự truy cập tới lập trình viên hoặc ai đó quản lý một kho các công việc của lập trình viên. Nếu điều sau mà là đúng, thì nó ngụ ý về sự tồn tại của sự hỗ trợ hạ tầng cho các cá nhân nhằm vào các mạng thương mại và chính phủ Mỹ. Tuy nhiên, điều này là phỏng đoán và đòi hỏi nghiên cứu xa hơn để làm rõ bằng chứng.
• Phiên bản ban đầu của phần mềm độc hại đã được biên dịch vào cuối tháng 10/2008 và được những kẻ thâm nhập trái phép sử dụng trong vài tuần. Khoảng thời gian ngắn này giữa ngày tạo ra và lần sử dụng đầu tiên ngụ ý rằng kẻ thâm nhập trái phép (hoặc những kẻ thâm nhập trái phép) đã có những phương tiện để có được phần mềm độc hại ngày số 0 được tùy biến một cách nhanh chóng.
• Khi họ gặp phải những vấn đề vận hành với mã nguồn, những kẻ thâm nhập trái phép đã nhanh chóng có được một phiên bản cũ hơn của phần mềm độc hại, được biên dịch vào tháng 01/2008 và đã phục hồi lại công việc của họ với một vài ngày chậm trễ.