Tin tức về “Ugly Gorilla” (UG) xuất hiện từ năm 2004. Một giáo sư tên Zhang Zhaozhong (张召), hiện là một thiếu tướng hải quân về hưu, đã từng tham gia vào quá trình hỗ trợ hình thành chiến lược chiến tranh thông tin tương lai của Trung Quốc.
Ông cũng là một người ủng hộ mạnh mẽ cho quá trình “thông tin hóa” tại các đơn vị quân đội và đã xuất bản một số tác phẩm về chiến lược hoạt động quân sự bao gồm “Network Warfare” (网络战争) và “Winning the Information War” (打赢信息化战争). Trong vai trò là Giám đốc bộ phận Thiết bị và Công nghệ Quân sự tại trường Đại học Quốc phòng (国防大学), Giáo sư Zhang được mời tham dự vào sự kiện “Tầm nhìn 2004: Tình hình Chiến lược Quốc tế” vào tháng 01/2004.
Kỳ 1: Nghệ sĩ “Ugly Gorilla” (Wang Dong)
Trong suốt chương trình hỏi đáp trực tuyến được tổ chức bởi trang tin China Military Online (中国军网) thuộc Nhật báo Quân đội Trung Quốc, một thành viên có biệt danh “Greenfield” (绿野) đã đặt ra một câu hỏi đặc biệt:
“Giáo sư Zhang, tôi đã đọc cuối sách ‘Network Warfare’ của ông và đặc biệt ấn tượng trước những quan điểm và lập luận trong cuốn sách này. Cuốn sách cho biết, quân đội Mỹ đã thành lập một lực lượng mạng đặc trách được biết đến như là một ‘đạo quân mạng’. Trung Quốc có một lực lượng tương tự không? Trung Quốc có quân đội mạng không?” – UglyGorilla 16/01/2004
Ảnh minh họa
Giống như mọi thành viên của diễn đàn China Military Online, “Greenfield” cũng được yêu cầu đăng ký bằng một địa chỉ email và khai báo một số thông tin cá nhân. Thật may mắn, khả năng lưu giữ dữ liệu muôn thuở của Internet đã lưu giữ hồ sơ thông tin chi tiết về người này cho chúng tôi.
Như vậy, thông tin về nhân vật mà chúng tôi gọi là “UglyGorilla” (UG) lần đầu tiên đã được ghi nhận. Cùng với địa chỉ email của mình, UG đã khai báo “tên thật” là “JackWang”.
Trong một năm, chúng tôi thấy bằng chứng đầu tiên về UG sau các hoạt động của anh ta. Ngày 25/10/2004, UG đã đăng ký tên miền khét tiếng hiện nay là “hugesoft.org”. “hugesoft.org” cùng nhiều tên miền khác của APT1 thuộc quyền sở hữu của UG và vẫn còn hoạt động tại thời điểm báo cáo này được thực hiện. Thông tin đăng ký đã được cập nhật gần đây nhất vào ngày 10/09/2012 và gia hạn tên miền “hugesoft.org” đến năm 2013. Chúng tôi cũng nhận thấy, báo cáo này khiến UG từ bỏ sử dụng “hugesoft.org” cũng như các tên miền liên quan khác nhằm tránh bị theo dõi.
Hồ sơ của “Ugly Gorilla”
Năm 2007, UG là tác giả của mẫu mã độc đầu tiên trong họ mã độc MANITSME và giống như một nghệ sĩ thực thụ, anh để lại chữ ký nhận dạng trong đoạn mã: “v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”. UG có xu hướng ký xác nhận trên các chuỗi mà anh ta chọn cho tên máy và thậm chí cả trong các giao thức liên lạc được sử dụng cho các cửa hậu. Ví dụ, những tên máy trong những địa chỉ tên miền khác của APT1 như “arrowservice.net” và mới hơn là “msnhome.org” tiếp tục để lại dấu vết của UG (lưu ý chuỗi “ug” trong các tên miền): ug-opm.hugesoft.org; ug-rj.arrowservice.net; ug-hst.msnhome.org.
Mặc dù những dấu vết lộ liễu như vậy đã giảm bớt khi UG có kinh nghiệm hơn, các chữ ký giao thức trong các công cụ của anh như MANITSME và WEBC2-UGX tiếp tục được sử dụng bởi các tin tặc APT1 trụ sở ngoài Thượng Hải.
Giáo sư Zhang Zhaozhong
Việc UG duy trì sử dụng biệt danh “UglyGorilla” trên các tài khoản trực tuyến đã để lại sợi dây tuy mong manh nhưng mạnh mẽ về sự liên quan thông qua nhiều cộng đồng trực tuyến. Hầu hết những nội dung đăng tải về các công cụ tấn công, các chủ đề an ninh thông tin và sự liên hệ với khu vực Thượng Hải là cách thức hợp lý nhằm loại trừ các khẳng định sai. Ví dụ, vào tháng 02/2011, Anonymous đã công khai các tài khoản được đăng ký tại “rootkit.com” bao gồm người dùng “uglygorilla” với địa chỉ email đăng ký là uglygorilla@163.com. Đây cũng là email được sử dụng để đăng ký trên diễn đàn PLA năm 2004 và tên miền hugesoft.org. Đi kèm thông tin tài khoản bị rò rỉ tại rootkit.com là địa chỉ IP 58.246.255.28 được sử dụng để trực tiếp đăng ký tài khoản của UG thuộc dải địa chỉ của APT1 là 58.246.0.0/15.
Một số ít trong những tài khoản này, UG đã khai báo một tên khác “JackWang” như là tên thật của mình. Vào 02/02/2006, một người dùng tên “uglygorilla” đã đăng tải một tập tin có tên “mailbomb_1.08.zip” (một công cụ phát tán thư rác) lên trang web dành cho lập trình viên Trung Quốc – PUDN (www.pudn.com). Chi tiết tài khoản của anh ta bao gồm tên thật “Wang Dong” (汪东).
Hai điều quan trọng cần chú ý trong điểm này đó là: thứ nhất, tên Trung Quốc được bắt đầu với tên họ, vì vậy “Wang” là tên họ trong chữ 汪东. Thứ hai, có một thực tế phổ biến đối với người Trung Quốc là thường chọn một tên riêng bằng tiếng Anh. Như vậy, “JackWang” không hoàn toàn được dùng như một bí danh.
trandaiquang.net lược dịch (Nguồn: Mandiant)
