2. Các hoạt động mạng máy tính của Trung Quốc khi có xung đột
2.1. Các mạng và các cơ sở dữ liệu hậu cần
Trong một cuộc xung đột, các mạng hậu cầu dựa vào NIPRNET có lẽ sẽ là một mục tiêu ưu tiên cao cho CNA và CNE của Trung Quốc. Các hệ thống thông tin tại các điểm nút hub hậu cần chính yếu hoặc tại khu vực hoạt động AOR (Area of Operations) của Chỉ huy Thái bình dương của Mỹ USPACOM (US Pacific Command) hoặc các vị trí dựa vào CONUS hỗ trợ các hoạt động của USPACOM hình như để chinh phục các hoạt động CNA và CNE của Trung Quốc trong một cuộc xung đột. Trung Quốc đã xác định “cái đuôi” hậu cần dài của quân đội Mỹ và đã mở rộng thời gian cho việc xây dựng lực lượng khi những chỗ bị tổn thương về chiến lược và các trọng tâm sẽ được khai thác.
• Những đánh giá của PLA về các chiến dịch của Mỹ tại Iraq (cả Bão táp Sa mạc và Chiến dịch Tự do cho Iraq), tại Balkans, và Afghanistan xác định thời gian hậu cần và triển khai lực lượng như những điểm yếu, sự đứt quãng của nó sẽ dẫn tới cung ứng chậm hoặc thiếu. Những đánh giá này một cách tổng hợp dường như không gợi ý rằng việc đánh bại các hệ thống hậu cần sẽ dẫn tới sự thất bại về quân sự của Mỹ một cách đương nhiên de facto (những người chuyên nghiệp của PLA có lẽ giả thiết rằng Mỹ sẽ triển khai việc khắc phục sự cố và các giải pháp hiện
Christensen, “Windows and War: Trend Analysis and Beijing’s Use of Force,” in New Directions in the Study of China’s Foreign Policy, Alastair Iain Johnston and Robert Ross, eds. Stanford University Press, 2006.
đại đối với những trở ngại này), mà đúng là những sự ngắt quãng này sẽ “mua thời gian” đối với PLA như được lưu ý ở trên.
• Các dữ liệu hậu cần mà những người lên kế hoạch của PLA quan tâm tới hình như là những lĩnh vực như là lịch trình triển khai các đơn vị đặc chủng, tỷ lệ cung cấp lại và lịch di chuyển trang thiết bị, các đánh giá về tính sẵn sàng của các đơn vị, tính sẵn sàng và lịch nhổ trại, các kế hoạch của hải quân, các lệnh giao nhiệm vụ của không quân cho các hoạt động tiếp nhiên liệu, và tình trạng hậu cầu của các cơ sở tại chiến trường Tây Thái Bình Dương.
• Xuất bản phẩm chung của Mỹ 4-0: Hậu cần chung lưu ý rằng “Sự phân tán toàn cầu của liên quân và sự nhanh chóng nổi lên của các mối đe dọa đã làm cho thông tin thời gian thực và gần như thời gian thực là sống còn để hỗ trợ cho các hoạt động quân sự. Kế hoạch, sự thực thi, và sự kiểm soát hậu cần chung phụ thuộc vào sự truy cập liên tục để ra các quyết định có hiệu quả. Sự truy cập có bảo vệ tới các mạng là cấp bách để duy trì tính sẵn sàng của liên quân và cho phép phản ứng nhanh chóng và chính xác để đáp ứng dược các yêu cầu của liên quân JFC”45.
• Sự quen thuộc tiềm tàng của Trung Quốc với sơ đồ mạng có liên quan tới Chỉ huy Vận tải của Mỹ USTRANSCOM (US Transportation Command) hoặc các đơn vị hậu cần có liên quan trên NIPRNET có thể giúp cho các nhiệm vụ CNE có ý định truy cập và lọc ra các dữ liệu có liên quan tới lực lượng này được chia theo pha thời gian và các dữ liệu triển khai (TPFDD) của một sự tình cờ cụ thể hoặc kế hoạch hoạt động. TPFDD là “dấu chân” hậu cần đối với sự tiếp nối của việc di chuyển cung cấp và dựa vào một sự diễn đạt các ưu tiên về nhân sự và trang thiết bị của những người chỉ huy để di chuyển một doanh trại chiến đấu.
Trung Quốc có thể có ý định nhằm vào những mạng có tiềm năng bị tổn thương với các cổng dân sự chiến lược, các máy đầu cuối xuất xưởng, hoặc các ga tiếp tế mà đang hỗ trợ di chuyển quân đối với các tiếp tế và nhân sự sống còn.
Việc duy trì kiểm soát sự di chuyển có hiệu quả trong một cuộc động viên chủ chốt vốn dĩ là phức tạp.
Những ngắt quãng của các hệ thống thông tin tại các nút chủ chốt, đặc biệt là “hạ nguồn” tại các máy đầu cuối hoặc các sân bay, trong khi không phải là thảm họa, thì có thể tạo ra những sự chậm trễ đáng kể khi mà giao thông trên đường tới vị trí đích bị ảnh hưởng sẽ ép làm chậm lại hoặc dừng, tương tự như sự chậm trễ giao thông theo các tầng mà nó có thể gây ra từ một sự cố nhỏ vào giờ cao điểm vậy.
• Xuất bản phẩm chung của Mỹ 4-0: Hậu cần chung cũng chỉ ra rằng “quản lý tài nguyên lợi dụng thông tin có uy tín (chính xác, thời gian thực, và thấy được một cách rộng rãi) và các xu thế thực thi để thông báo các quyết định về những thuộc tính của kiểm kê trang thiết bị xuyên khắp chuỗi cung cấp. Việc duy trì các mức độ lưu kho hợp lý và trách nhiệm giữa các nút cung cấp chiến lược và chiến thuật để đáp ứng được các yêu cầu của các lính chiến”46.
• Nhiều cơ sở dữ liệu hậu cần trên NIPRNET có các giao diện web cho phép dễ dàng truy cập, nhưng có thể chỉ cần những người vận hành của PLA làm tổn thương một mật khẩu yếu thông qua việc ghi bàn phím hoặc khai thác những chỗ bị tổn thương bằng tấn công SQL trên Website
45 US Joint Publication 4-0: Joint Logistics, 18 July 2008, US Department of Defense, p.I-5 available at:
http://www.dtic.mil/doctrine/jel/new_pubs/jp4_0.pdf 46 US Joint Publication 4-0: Joint Logistics, p. JP-40
đó để giành lấy sự truy cập giống như của người sử dụng.
• Sự truy cập dài lâu tới NIPRNET thông qua các kỹ thuật CNE – và tới các thông tin hậu cần hỗ trợ cho TPFDD đối với một loạt các kế hoạch chiến tranh một các đặc biệt – cũng cho phép PLA tập hợp được một bức tranh tình báo hiện hành một cách chi tiết về các gói triển khai lực lượng của Mỹ đối với những sự bất ngờ cụ thể.
Chiến lược cơ bản về CNE/CNA của PLA chống lại các cơ sở dữ liệu hậu cần trên NIPRNET hình như là một sự kết hợp của các cuộc tấn công lên các phân khúc mạng được chọn để hạn chế cả tiến trình và có thể làm hỏng nội dung của các dữ liệu không được mã hóa. Một cuộc tấn công lên các hệ thống thông tin hậu cần có thể bắt đầu bằng việc khai thác trước đó những máy chủ bị tổn thương trên mạng được tổ chức như một dạng dự trữ chiến tranh trong trường hợp có khủng hoảng47.
• Nếu những người vận hành của PLA nhằm vào một đơn vị hoặc phân khúc mạng mà không xác thực giao thức HTTP (giao thức Internet thông thường) thông qua một máy chủ ủy quyền proxy nằm trong mạng, thì họ sẽ có khả năng vận hành tự do hơn nhiều trên mạng. Một kẻ tấn công trong môi trường này có thể kết nối ra ngoài tới một nút C2 từ xa và tải về các công cụ bổ sung hoặc trích lọc ra (hoặc đưa thêm vào) các dữ liệu mà không có yêu cầu đối với những ủy quyền của người sử dụng đích thực.
Báo cáo về các cuộc tấn công lên các mạng của Mỹ đã quy cho Trung Quốc gợi ý rằng những người vận hành này chiếm khả năng đích để xác định những người sử dụng cụ thể trong một đơn vị hoặc tổ chức dựa vào chức năng công việc hoặc sự truy cập được đoán chừng tới các thông tin.
Sự truy cập mà khai thác những ủy quyền hợp pháp của người sử dụng có thể cho phép kẻ tấn công rà soát lại các thư mục tệp và nhằm vào một cách tiềm tàng các tệp cụ thể cho việc trích ra hoặc sửa đổi, phụ thuộc vào các yêu cầu nhiệm vụ và các mức độ INFOCON của Mỹ. Như một sự lựa chọn, những người vận hành có thể sử dụng sự truy cập này cho việc giám sát một cách bị động giao thông mạng cho các mục đích thu thập tình báo. Việc sử dụng các máy tính này trong thời bình có thể cho phép những kẻ tấn công chuẩn bị một sự dự trữ các máy tính bị tổn thương mà có thể được sử dụng khi có một khủng hoảng.
• Những người vận hành CNO của Trung Quốc hình như có được sự tinh vi về kỹ thuật để làm giả và tải rootkit lên và che giấu các phần mềm truy cập từ xa, tạo ra được sự truy cập sâu thường xuyên tới máy chủ bị tổn thương và làm cho việc dò tìm ra cực kỳ là khó khăn.
• Một cuộc tấn công “thượng nguồn” lên các mạng của các nhà thầu dân sự cung cấp hỗ trợ hậu cần tới các đơn vị hoạt động cũng có tiềm năng làm ảnh hưởng lớn và là tiềm năng dễ dàng hơn chống lại các công ty nhỏ hơn mà thường thiếu các tài nguyên hoặc sự tinh thông đối với an ninh và giám sát mạng phức tạp.
• Nhiều chỗ bị tổn thương được nêu ở trên có thể được giảm thiểu nhiều nếu mạng sử dụng một máy chủ ủy quyền proxy, triển khai các khối tường lửa đối với sự truy cập không có ủy quyền, các khối truy cập có ủy quyền mà không có sự xác thực hợp lệ đối với người sử dụng, và ngăn
47 The attack techniques may shift as changes to US INFOCON levels limits accessibility of some applications or external connections and prioritization on network traffic affects the types of inbound traffic permitted through firewalls.
ngừa những ủy quyền của người sử dụng khỏi bị lộ cho các tin tặc.
Những người vận hành CNO của Trung Quốc cũng có thể định tấn công vào những nhận thức Mỹ về tính hợp lệ của dữ liệu trong các mạng này bằng việc tải lên những hồ sơ giả hoặc làm hỏng các hồ sơ đang tồn tại, có thể để dò tìm ra một cách có chủ ý từ trước. Sự phát hiện này có thể sinh ra một sự xem xét lại tốn người và tài nguyên đối với các hồ sơ hoặc các tệp khác trong cơ sở dữ liệu của đơn vị chống lại một bản sao sao lưu tốt đã được biết trước khi đơn vị này phục hồi lại được các hoạt động bình thường, tạo ra một cách tiềm tàng sự chậm trễ phải trả giá trong hoạt động. Nếu dạng tấn công này được dàn dựng chống lại một số nút cung cấp lớn hoặc sống còn, thì ảnh hưởng có thể sẽ là đáng kể.
• Việc tải các tệp lên hoặc việc truy cập các hồ sơ đang tồn tại trong các cơ sở dữ liệu hậu cần dựa trên NIPRNET có thể đòi hỏi những người vận hành của PLA gây tổn thương một máy tính trong mạng cục bộ LAN được nhằm tới và có khả năng vận hành với những ủy quyền của người sử dụng cục bộ, một khả năng được quan sát trong những lần thâm nhập trái phép trước đó của các mạng của Mỹ mà được cho là từ Trung Quốc.
• Sự phát hiện ra dạng tấn công này có thể có một ảnh hưởng lớn hơn trong các lực lượng Mỹ từ một quan điểm về các hoạt động tâm lý hoặc quản lý nhận thức hơn là việc nhằm vào một cách được định xứ hơn để định tuyến lại đồ tiếp tế.
• Chỉ một số hạn chế những tổn thương thực sự có thể được yêu cầu phải có một ảnh hưởng không cân xứng trong nhịp độ hoạt động của Mỹ nếu những lo ngại về an ninh thông tin đòi hỏi kiểm tra tính đúng đắn mất thời gian đối với các cơ sở dữ liệu hậu cần hoặc khác từ những người quản trị các hệ thống và từ các nhân viên hậu cần ỏ khắp các cơ sở quân sự hoặc trong CONUS.