Mới đây, bản báo cáo của hãng bảo mật Mandiant đã tiết lộ thông tin về nhóm tin tặc biệt danh APT1, được cho là phục vụ cho Đơn vị 61398 thuộc quân đội Trung Quốc (PLA), đã thực hiện nhiều hoạt động tấn công mạng nhằm vào doanh nghiệp của Mỹ.
Qua đó, báo cáo cũng đi sâu phân tích và tiết lộ danh tính của một vài nhân vật chủ chốt của nhóm tin tặc này. Đoạn nội dung sau được trích từ nội dung bản báo cáo:
Bản báo cáo của hãng bảo mật Mandiant
APT1 không phải là bóng ma trên không gian số. Trong nỗ lực điều tra về các nhiệm vụ riêng biệt của PLA được thực hiện bởi APT1, chúng tôi quyết định tiết lộ danh tính của một số nhân vật thuộc nhóm APT1. Những đối tượng này đã phạm phải một số sai lầm khi che giấu thông tin, qua đó để lộ hành tung khiến chúng tôi có thể điều tra và lần theo các hoạt động của họ. Một trong số họ là tác giả viết ra những vũ khí mạng, sở hữu những tên miền và tài khoản email của APT1. Những đối tượng này có đóng góp lớn cho nỗ lực chiến tranh mạng của Trung Quốc, đã để lộ vị trí của họ xung quanh khu vực quận Pudong của Thượng Hải, và thậm chí sử dụng số điện thoại tại Thượng Hải khi đăng ký mở tài khoản email tưng được sử dụng cho chiến dịch tấn công xiên cá (spear-phishing).
Cách thức xác định một thành viên của APT1 dựa vào quá trình thu thập hàng loạt những mẩu thông tin nhỏ để vẽ lên một bức tranh hoàn chỉnh. Những thông tin này không chỉ tiết lộ về hoạt động của cả nhóm, mà còn giúp chúng ta hình dung cụ thể hơn về những nhóm nhỏ hoặc từng cá nhân trong nhóm. Ta gọi đó là những “nhân vật”. Khi các nhân vật trong APT1 sử dụng các tài nguyên kỹ thuật số như tên miền, địa chỉ IP là họ đã để lại dấu vết trên không gian mạng.
Các nạn nhân của nhóm tin tặc APT1
Một yếu tố khác có ích trong quá trình điều tra là hệ thống Vạn lý Tường lửa (The Great Firewall) của Trung Quốc. Cũng như nhiều tin tặc Trung Quốc, những tin tặc trong nhóm APT1 không muốn bị ràng buộc bởi cơ chế kiểm duyệt của Đảng Cộng sản Trung Quốc thông qua hệ thống này để truy cập vào các trang web như google.com, facebook.com, twitter.com. Ngoài ra, bản chất công việc của các tin tặc yêu cầu họ phải kiểm soát những hạ tầng mạng nằm ngoài phạm vi của Vạn lý Tường lửa. Điều này dẫn đến trường hợp dễ xảy ra nhất là họ sẽ đăng nhập vào tài khoản Facebook và Twitter trực tiếp thông qua hệ thống mà họ dùng để tấn công (vốn nằm ngoài cơ chế kiểm duyệt). Và như vậy, đây chính là cách hiệu quả nhất để xác định danh tính thật của họ.
Chúng tôi sẽ lần lượt đăng tải hồ sơ của một số thành viên chủ chốt trong nhóm APT1.
trandaiquang.net lược dịch (Nguồn: Mandiant)
Không có nhận xét nào:
Đăng nhận xét