Nhân vật thứ ba và cũng là nhân vật cuối cùng được Mandiant tiết lộ mang bí danh “SuperHard” (SH). SH được biết đến như nhân vật chuyên viết ra các công cụ tấn công, là người tạo ra hoặc có đóng góp đáng kể cho các họ mã độc AURIGA và BANGAT.

• >> Chuyên gia cho rằng Mỹ và Trung Quốc nên thỏa hiệp tránh gây xung đột mạng

• >> Trung Quốc chối bỏ năng lực trên không gian mạng

• >> Tin tặc Trung Quốc chỉ là phần nổi của tảng băng chìm trong bối cảnh chiến tranh mạng

Kỳ 3: Kẻ chế tạo vũ khí – SuperHard

Tương tự UglyGorilla, SH có xu hướng để lại dấu tích trong các công cụ. Điển hình, thuộc tính VS_VERSIONINFO của các tập tin thực thi (portable executable – PE) thường đặt là “SuperHard”, hoặc các bản sao tập tin cmd.exe bị thay đổi từ “Microsoft corp.” thành “superhard corp.”. Ngoài ra nhiều công cụ của SH có chứa mô-đun trình điều khiển (driver modules) được thiết kể để nạp vào lõi (kernel) của Windows kiểm soát các thành phần hệ thống.

Mặc dù không phải chỉ nhóm APT1 có thể chế tạo được công cụ có tính năng này, nhưng nó cho thấy trình độ chuyên môn cao của SH đủ để xếp tin tặc này vào nhóm nhỏ những chuyên gia phát triển cao cấp của APT1. Thông thường, các công cụ của SH được sử dụng bởi những thành viên khác trong nhóm APT1, và trong một số trường hợp, bởi các nhóm APT khác mà Mandiant theo dõi. Vì vậy, trong nhóm APT1, SH dường như không trực tiếp thực hiện các chiến dịch tấn công mà chủ yếu tham gia vào quá trình nghiên cứu và phát triển.

Trong quá trình lần theo dấu vết của SH, Mandiant may mắn có được quyền truy cập đến những tài khoản trên rootkit.com được tiết lộ bởi Anonymous. Tài khoản “SuperHard_M” được đăng ký tại địa chỉ IP 58.247.237.4, thuộc dải địa chỉ IP của APT1, và sử dụng địa chỉ email “[email protected]”. Mandiant cũng quan sát thấy nhân vật DOTA trao đổi email với một tài khoản tên mei_qiang_82. Tên “Mei Qiang” (梅强) khá phổ biến tại Trung Quốc. Ngoài ra, do cư dân mạng Trung Quốc thường hay gắn thêm hai chữ số năm sinh vào tên tài khoản, từ đó có thể nhận định nhân vật SuperHard có tên thật là Mei Qiang và sinh năm 1982. Tuy nhiên do có rất nhiều tài khoản trực tuyến với tên “Mei Qiang” cũng khai năm sinh là 1982, nên rất khó để xác định danh tính cụ thể của nhân vật này.

Rất may, Mandiant đã dựa vào địa chỉ email để lần ra một số trang web và diễn đàn mà đối tượng này đã đăng ký tham gia. Rất nhiều tài khoản trong số đó tiết lộ các chi tiết giúp khẳng định liên kết giữa SH với địa chỉ email “[email protected]” và nhóm APT1. Điển hình như việc SH đã đề nghị viết mã độc Trojans để kiếm tiền, hay sự tham gia vào hoạt động nghiên cứu về mã độc lõi Windows (vô tình cũng được “GreenField”, tức UG bình luận), hay gần đây nhất là trở thành cư dân tại Khu Tân Phố Đông Thượng Hải.

trandaiquang.net lược dịch (Nguồn: Mandiant)