MANDIANT – APT1
TIẾT LỘ VỀ MỘT TRONG NHỮNG ĐƠN VỊ GIÁN ĐIỆP MẠNG CỦA TRUNG QUỐC

“Gián điệp kinh tế Trung Quốc đã vượt quá giới hạn, tôi tin rằng Mỹ và các đồng minh tại Châu Âu và Châu Á có nghĩa vụ chống lại Bắc Kinh và yêu cầu họ chấm dứt hành động trộm cắp này.
Bắc Kinh đang tiến hành một cuộc chiến tranh thương mại khổng lồ nhằm vào tất cả chúng ta, do đó chúng ta cần đoàn kết để gây áp lực buộc Trung Quốc phải dừng lại. Khi kết hợp lại, Mỹ cùng các đồng minh Châu Âu và Châu Á sẽ tạo ra áp lực đòn bẩy ngoại giao và kinh tế vô cùng to lớn đối với Trung Quốc, vì vậy chúng ta nên sử dụng lợi thế này để chấm dứt mối tai họa này.”[1]

- Dân biểu Mỹ Mike Rogers, tháng 10/2011

“Thật thiếu trách nhiệm và vô căn cứ khi cáo buộc quân đội Trung Quốc phát động các cuộc tấn công mạng mà không có bất cứ bằng chứng thuyết phục nào.”[2]

- Bộ Quốc phòng Trung Quốc, tháng 01/2013

PHẦN 2: APT1 – NHIỀU NĂM TIẾN HÀNH HOẠT ĐỘNG GIÁN ĐIỆP

Những chứng cứ chúng tôi thu thập đã chỉ ra rằng, APT1 đã đánh cắp hành trăm terabytes dữ liệu từ ít nhất 141 tổ chức đang hoạt động trong một loạt ngành công nghiệp kể từ năm 2006. Đáng ngại hơn, APT1 từng phát động tấn công hàng chục tổ chức cùng một lúc. Một khi đã thành công thiết lập quyền truy cập vào hệ thống máy tính của nạn nhân, APT1 sẽ tiếp tục truy cập theo định kỳ vài tháng hoặc vài năm nhằm đánh cắp khối lượng lớn sở hữu trí tuệ có giá trị, bao gồm các bản thiết kế kỹ thuật, quy trình sản xuất độc quyền, các kết quả thử nghiệm, kế hoạch kinh doanh, các tài liệu định giá, thỏa thuận hợp tác, email và danh sách liên lạc từ ban lãnh đạo các tổ chức nạn nhân. Chúng tôi cho rằng, những hoạt động Mandiant trực tiếp theo dõi được chỉ là một phần nhỏ trong số các hoạt động gián điệp mà APT1 đã tiến hành.

APT1 đặt ra mối lo ngại “dai dẳng” về các cuộc tấn công APT

Từ năm 2006 chúng tôi đã chứng kiến APT1 liên tục gia tăng khả năng tiếp cận các nạn nhân mới. Hình 10 cho thấy dòng thời gian xảy ra 141 vụ xâm nhập mà chúng tôi quan sát được, mỗi điểm đánh dấu trên hình đại diện cho một nạn nhân riêng biệt và cho thấy ngày phát hiện sớm nhất cuộc tấn công của APT1 trên hệ thống mạng của tổ chức nạn nhân. [23]

Do tính chất không bền vững của các chứng cứ điện tử, một số ngày phát hiện các cuộc tấn công của APT1 được liệt kê trên hình có thể không đúng với thời gian hoạt động thực tế của APT1 trên các hệ thống bị nhiễm.

Một khi đã thành công xâm nhập vào mạng lưới, tổ chức APT1 sẽ liên tục giám sát và đánh cắp các dữ liệu độc quyền cũng như thông tin liên lạc của nạn nhân trong nhiều tháng, thậm chí nhiều năm. Đối với các tổ chức nạn nhân được liệt kê trong Hình 10, chúng ta thấy rằng APT1 đã giữ quyền truy cập vào mạng lưới máy tính của nạn nhân trung bình trong 356 ngày [24]. Thời gian APT1 duy trì quyền truy cập dài nhất vào hệ thống máy tính nạn nhân là ít nhất 1.764 ngày, tương đương 4 năm 10 tháng. APT1 không liên tục truy cập trong suốt khoảng thời gian này; tuy nhiên trong phần lớn trường hợp chúng tôi quan sát, APT1 đều tiếp tục đánh cắp dữ liệu cũng như truy cập vào các hệ thống bị nhiễm.

Khu vực địa lý và ngành công nghiệp trọng điểm của APT1

Phần lớn các tổ chức bị APT1 nhắm đến đều sử dụng tiếng Anh. Tuy nhiên, chúng tôi cũng nhận thấy một số lượng nhỏ các nạn nhân không sử dụng tiếng Anh. Theo đó, 87% các nạn nhân của APT1 có trụ sở chính đặt tại các quốc gia sử dụng tiếng Anh là ngôn ngữ bản địa (xem hình dưới). Bao gồm 115 nạn nhân tại Mỹ và 7 nạn nhân tại Canada và Anh. Trong số 19 nạn nhân còn lại, 17 nạn nhân sử dụng tiếng Anh như ngôn ngữ chính thức trong các hoạt động. Danh sách các nạn nhân bao gồm các cơ quan phát triển và hợp tác quốc tế, các chính phủ nước ngoài sử dụng tiếng Anh là một trong nhiều ngôn ngữ chính thức, và các tập đoàn đa quốc gia chủ yếu tiến hành các hoạt động kinh doanh bằng tiếng Anh. Chỉ hai nạn nhân bị tấn công sử dụng ngôn ngữ khác ngoài tiếng Anh. Bởi vì thông thạo tiếng Anh là yêu cầu bắt buộc đối với phần lớn nhân viên của Đơn vị 61398 PLA, chúng tôi tin rằng hai nạn nhân không sử dụng tiếng Anh là trường hợp cá biệt đại diện cho các nhiệm vụ vượt ngoài hoạt động bình thường của APT1.

APT1 đã chứng minh khả năng và tham vọng đánh cắp tài liệu từ hàng chục tổ chức đang hoạt động trong một loạt ngành công nghiệp cùng một lúc. Hình dưới đây cung cấp cái nhìn tổng quát về ngày phát hiện sớm nhất các cuộc tấn công của APT1 chống lại 141 nạn nhân, được xếp thành 10 nhóm ngành công nghiệp lớn. Các kết quả cho thấy, nhiệm vụ hoạt động của APT1 rất rộng; tổ chức không phải tấn công các ngành công nghiệp một cách có hệ thống, mà dường như chỉ chú trọng đánh cắp thông tin từ một loạt các ngành công nghiệp. Do các tổ chức được liệt kê trong hình chỉ đại diện cho một phần nhỏ nạn nhân của APT1 mà chúng tôi xác định được, phạm vi của các ngành công nghiệp mà APT1 nhắm đến có thể rộng hơn rất nhiều so với những phát hiện của chúng tôi.

Hơn nữa, phạm vi của các hoạt động song song mà APT1 tiến hành cho thấy tổ chức có nguồn lực nhân sự và kỹ thuật khổng lồ để xử lý các dữ liệu. Ví dụ, hình 12 cho thấy chỉ trong tháng đầu năm 2011, APT1 đã thành công xâm nhập vào 17 nạn nhân mới đang hoạt động trong 10 ngành công nghiệp. Bởi vì tổ chức vẫn duy trì khai thác các mạng lưới máy tính của nạn nhân trung bình gần một năm kể từ ngày xâm nhập thành công, chúng tôi suy ra rằng APT1 vẫn tiến hành 17 vụ xâm nhập mới trong khi vẫn duy trì khai thác dữ liệu của các nạn nhân bị tấn công trước đó.

Chúng tôi tin rằng, tổ chức thuộc những ngành công nghiệp được xác định nằm trong ưu tiên chiến lược của Trung Quốc là những mục tiêu tiềm năng của chiến dịch gián điệp mạng toàn diện do APT1 tiến hành. Chúng tôi nhận thấy APT1 chủ yếu chĩa mũi nhọn tấn công vào các ngành công nghiệp (xem hình dưới), các quan sát cho thấy, tổ chức đã tấn công ít nhất 4 trong 7 ngành công nghiệp mũi nhọn chiến lược mà Trung Quốc đã xác định trong Kế hoạch 5 năm lần thứ 12. [25]

(Còn tiếp, mời bạn đón xem tiếp phần sau)

nguyentandung.org (lược dịch từ mandiant.com).

Chú thích:

[1] “Mike Rogers, phát biểu trước Hạ Viện Mỹ, Ủy ban Tình báo Thường trực, Phiên điều trần: Mối đe dọa mạng và những Nỗ lực đang thực hiện để bảo vệ quốc gia, phiên điều trần ngày 04/10/2011.

[2] “Tin tặc Trung Quốc bị nghi ngờ tấn công vào hệ thống máy tính của hãng tin The Washington Post”, Thời báo The Washington Post, ngày 01/02/2013.

[23] Hình cột thời gian cho thấy số lượng các tổ chức nạn nhân của APT1 mỗi năm ngày càng tăng, điều này phản ánh sự gia tăng trong các hoạt động tấn công của tổ chức APT1. Tuy nhiên, mức tăng này có thể đơn giản chỉ phản ánh khả năng quan sát của Mandiant trong các hoạt động của APT1 ngày càng được nâng cao do công ty ngày càng lớn mạnh, cũng như nhận thức về các hoạt động gián điệp mạng của nạn nhân đã được nâng cao.

[24] Ước tính dựa trên 91 trong số 141 tổ chức nạn nhân được công bố. Trong những trường hợp còn lại, hoạt động của APT1 vẫn đang được tiến hành hoặc chúng tôi không đủ năng lực xác định ngày cuối cùng APT1 hoạt động trên hệ thống bị nhiễm.

[25] Casey Joseph và Katherine Koleski, Nền tảng: Kế hoạch 5 năm lần thứ 12 của Trung Quốc, Ủy ban Đánh giá An ninh và Kinh tế Mỹ – Trung (2011).