Một nhân vật khác trong nhóm APT1 là “dota” (DOTA), biệt danh được sử dụng để tạo ra hầu hết các tài khoản khác nhau dùng trong việc tấn công vào các cơ sở hạ tầng. DOTA có thể được lấy từ tựa của trò chơi “Defense of the Ancients” thường được viết tắt là DotA mặc dù chúng tôi vẫn chưa tìm ra bất kỳ liên kết nào với trò chơi này.

• >> Mỹ sẽ đặt ra giới hạn cho các hoạt động trên mạng của Trung Quốc

• >> Mỹ choáng váng với vũ khí mới của Trung Quốc

• >> Chuyên gia nhận định bản báo cáo của Mandiant chưa đề cập đến những tổ chức gián điệp mạng khác của Trung Quốc

Kỳ 2: Fan hâm mộ Harry Potter – DOTA

Chúng tôi đã theo dõi DOTA tạo ra hàng tá tài khoản, bao gồm [email protected] và [email protected] và thường thấy anh ta tạo một loạt các tài khoản liên tiếp (ví dụ: dota.d001 đến dota.d015) trên các dịch vụ web email. Hầu hết những tài khoản này thường được sử dụng trong các cuộc tấn công lừa đảo hoặc làm địa chỉ email khi đăng ký vào các dịch vụ khác. Ví dụ, DOTA (từ địa chỉ IP của APT1 là 58.247.26.59) với thiết lập bàn phím tiếng Hoa giản thể đã sử dụng địa chỉ email [email protected] thông qua một máy chủ trung gian tại Mỹ để đăng ký tài khoản Facebook “do.ta.5011” (ID của tài khoản Facebook: 100002184628208).

Một số dịch vụ như Gmail của Google yêu cầu người dùng cung cấp số điện thoại trong quá trình đăng ký, theo đó dịch vụ sẽ gửi tin nhắn văn bản có chứa mã xác minh. Người dùng sau đó phải nhập mã xác minh này vào trang web để hoàn tất quá trình đăng ký. Trong một lần theo dõi trên một máy tính bị nhiễm, DOTA đã sử dụng số điện thoại “159-2193-7229” để nhận tin nhắn xác minh từ Google, sau đó anh ta nhập thông tin này vào trang web của Google chỉ sau vài giây.

Chúng tôi cũng nhận thấy DOTA sử dụng các tên Rodney và Raith để liên lạc qua các email bằng tiếng Anh lưu loát với các mục tiêu khác nhau bao gồm các tổ chức quân sự Đông Nam Á tại Malaysia và Philippines. Hiện không rõ tài khoản Gmail này có chuyên được sử dụng cho các nhiệm vụ CNO (Computer Network Operations) của anh ta hay không, nhưng nhiều lưu lượng truy cập cho thấy tài khoản này được sử dụng trong cả các cuộc tấn công lừa đảo đơn giản cũng như trong các chiến dịch lừa đảo tinh vi qua email bằng kỹ năng xã hội.

DOTA: một fan hâm một của Harry “Poter”? DOTA dường như là một fan hâm mộ của nhân vật “Harry Potter”, với việc thường xuyên thiết lập “Harry” và “Poter” như là câu trả lời cho các câu hỏi bảo mật như “Ai là giáo viên ưa thích của bạn?” hay “Ai là người bạn thân thời thơ ấu của bạn?” khi đăng ký tài khoản email [email protected] và thiết lập địa chỉ email phụ là [email protected].

Khi tạo ra hàng tá hoặc hàng trăm tài khoản trong cộng đồng trực tuyến hoặc trên các hệ thống của nạn nhân, việc quản lý mật khẩu trở thành một công việc khó khăn. Do đó, hầu hết các thành viên trong nhóm tin tặc APT1 sử dụng những mật khẩu dựa trên các khuôn mẫu (pattern), chẳng hạn như chuỗi ký tự cạnh nhau trên bàn phím “1qaz2wsx” hay chọn một mật khẩu dễ nhớ như “rootkit” làm mật khẩu sử dụng trên diễn đàn an ninh thông tin rootkit.com. Giống như nhiều tin tặc tron nhóm APT1, DOTA thường sử dụng chuỗi ký tự cạnh nhau làm mật khẩu như “1qaz@WSX#EDC”. Ngoài ra, có một mật khẩu “2j3c1k” được DOTA thường xuyên sử dụng không dựa trên khuôn mẫu, mặc dù anh ta có thể không phải là thành viên duy nhất trong nhóm APT1 sử dụng mật khẩu này. Chữ cái “j”, theo sau là các chữ cái “c” và “k” giống như dạng viết tắt (“j”/“c”/“k”) cho cơ cấu ju/chu/ke (cục/sở/khoa – 局／处／科) được áp dụng rộng rãi trong các tổ chức thuộc Bộ Tổng Tham mưu Quân đội Nhân dân Trung Quốc (PLA). Dự án 2049 mô tả cơ cấu tổ chức của PLA như sau: “Các lãnh đạo cấp Cục giám sát từ 6 đến 14 đơn vị hoặc văn phòng trực thuộc [chu; 处], các đơn vị/văn phòng dưới Cục được chia ra thành các khoa [ke; 科]”. Với cơ cấu này, mật khẩu “2j3c1k” có khả năng là viết tắt của Cục 2 (tức là Đơn vị 61398), Sở 3, Khoa 1, đồng thời cho thấy những người sử dụng khuôn mẫu này đang làm việc cùng nhau và tự nhận họ có liên quan với Cục 2.

Việc điều tra nhân vật DOTA để lần ra một cá nhân cụ thể là rất khó khăn; các dấu vết trong hoạt động của nhân vật này không có liên kết rõ ràng tới một cá nhân nào ngoài đời thực. Tuy nhiên, Mandiant có thể thấy một mối quan hệ rõ ràng giữa UG và DOTA. Cụ thể, chúng tôi đã quan sát hai tin tặc này sử dụng cùng một cơ sở hạ tầng mạng, tên miền, và cả dải địa chỉ IP của nhóm APT1. Việc phối hợp sử dụng các cơ sở hạ tầng này cùng với những nghi vấn có liên quan đến Đơn vị 61398 nhấn mạnh rằng, ít nhất UG và DOTA có quen biết nhau và thậm chí là đồng nghiệp.

trandaiquang.net lược dịch (Nguồn: Mandiant)