Buzz
Hãy tưởng tượng bạn là một tên trộm. Bạn đã quyết định tấn công một căn hộ sang trọng cao cấp, loại tòa nhà có nhiều bức tranh Picasso trong phòng trên cùng. Bạn có thể dành nhiều tuần hoặc thậm chí là nhiều tháng để rình rập nơi đó, nghiên cứu lịch trình của từng cư dân, phân tích khóa trên tất cả cửa. Bạn có thể lục qua rác để tìm gợi ý về những đơn vị nào có báo động, chạy qua mọi sự biến đổi về mã có thể có. Hoặc bạn cũng có thể đơn giản là lấy chìa khóa của quản lý.
Theo một cáo trạng của Bộ Tư pháp vào thứ Năm, đó là hiệu quả như vậy Trung Quốc đã làm với phần còn lại của thế giới kể từ năm 2014. Đó là khi nhóm tin tặc hàng đầu của nước này APT10—viết tắt của “mối đe dọa kiên trì tiên tiến”—quyết định không chỉ nhắm vào các công ty cá nhân trong những nỗ lực lâu dài của mình để đánh cắp tài sản trí tuệ, mà thay vào đó tập trung vào những nhà cung cấp dịch vụ quản lý gọi là MSPs. Đó là những doanh nghiệp cung cấp cơ sở hạ tầng IT như lưu trữ dữ liệu hoặc quản lý mật khẩu. Khi xâm phạm MSPs, bạn có một con đường dễ dàng hơn vào tất cả những khách hàng này. Họ chính là những người quản lý.
“MSPs là những mục tiêu vô cùng quý giá. Họ là những người bạn trả tiền để có quyền truy cập đặc quyền vào mạng của bạn,” nói Benjamin Read, quản lý cấp cao phân tích về tin tặc mạng tại FireEye. “Đó là một cơ hội tiềm năng để xâm nhập vào hàng trăm tổ chức.”
Để có cái nhìn toàn diện hơn: Các cáo buộc cho biết, bằng cách xâm nhập vào một MSP tại New York, APT10 có khả năng xâm phạm dữ liệu từ các công ty ở một tá quốc gia, từ Brazil đến Các Tiểu Vương quốc Ả Rập Thống nhất. Với một cuộc xâm phạm ban đầu duy nhất, tin tặc Trung Quốc có thể nhảy sang các ngành công nghiệp đa dạng như ngân hàng và tài chính, sinh học công nghệ, điện tử tiêu dùng, chăm sóc sức khỏe, sản xuất, dầu và khí, viễn thông và nhiều lĩnh vực khác nữa. (Toàn bộ cáo trạng nằm ở cuối bài viết này.)
Cáo trạng của DOJ cũng chỉ ra các hoạt động được cho là của APT10 tập trung vào các cơ quan chính phủ và các nhà thầu quốc phòng, từ năm 2006, với một cách tiếp cận truyền thống hơn. Nhưng các cuộc tấn công vào MSP không chỉ thể hiện sự tinh vi của Trung Quốc trong việc xâm phạm mạng; chúng còn chứng minh sự hiệu quả và quyết tâm tàn nhẫn của họ.
"Hơn 90% số vụ án của bộ này về tội danh gián điệp kinh tế trong vòng bảy năm qua đều liên quan đến Trung Quốc," phó tổng giám đốc công tố Rod Rosenstein nói tại một cuộc họp báo chi tiết về cáo trạng. "Hơn hai phần ba số vụ án của bộ liên quan đến việc đánh cắp bí mật thương mại đều liên quan đến Trung Quốc."
Khi căng thẳng giữa Trung Quốc và Hoa Kỳ tiếp tục leo thang về thương mại và các mặt khác, đáng chú ý khi xem xét cận cảnh cách họ đã hoạt động—và liệu có hy vọng ngừng họ không.
Ngã Xuống với MSP
Một cuộc tấn công của APT10 vào MSPs bắt đầu như nhiều cuộc tấn công khác trong những năm gần đây: bằng một email được chế tạo cẩn thận. “Vấn đề ăng-ten C17,” đọc dòng chủ đề của một thông điệp APT10 đánh vào hộp thư của một nhà sản xuất trực thăng, một phần của chiến dịch năm 2006. Phần thân email là yêu cầu đơn giản để mở tệp đính kèm, một tài liệu Microsoft Word có tên là “12-204 Kiểm Tra Tải Bên Cạnh.” Email có vẻ đến từ một công ty công nghệ truyền thông. Tất cả đều rất chính xác.
Nhưng tất nhiên đó không phải là sự thật. Các đính kèm Word trong những cố gắng lừa đảo này chứa mã độc hại, nạp trojan truy cập từ xa tùy chỉnh—cho phép tin tặc truy cập và kiểm soát máy tính—và các trình ghi log phím để đánh cắp tên người dùng và mật khẩu.
Sau khi cài đặt, phần mã độc hại sẽ báo cáo về các miền được kiểm soát bởi APT10. Nhóm sử dụng các nhà cung cấp dịch vụ hệ thống DNS động để lưu trữ những miền đó, giúp họ tránh phát hiện bằng cách cho phép họ thay đổi địa chỉ IP ngay lập tức. Nếu một bộ lọc bảo mật hiểu biết và cố gắng chặn một miền độc hại đã biết, ví dụ, APT10 có thể đơn giản thay đổi địa chỉ IP liên kết và tiếp tục con đường của mình.
Cáo trạng liên bang chủ yếu cung cấp cái nhìn tổng quan từ đó, nhưng các hacker Trung Quốc tuân theo một sách quy tắc khá tiêu biểu. Khi họ đã cài đặt trên máy tính, họ sẽ tải thêm phần mềm độc hại để nâng cao đặc quyền, cho đến khi họ tìm thấy những gì họ đang tìm kiếm: dữ liệu.
Trong trường hợp xâm nhập vào MSPs, phần mềm độc hại này dường như chủ yếu được tạo thành từ các biến thể tùy chỉnh của PlugX, RedLeaves—trước đây đã được liên kết với các nhóm người Trung Quốc—và QuasarRAT, một trojan truy cập từ xa mã nguồn mở. Phần mềm độc hại giả mạo là chính đáng trên máy tính của nạn nhân để tránh phát hiện bởi phần mềm diệt virus, và giao tiếp với bất kỳ trong 1.300 miền duy nhất mà APT10 đã đăng ký cho chiến dịch.
Nói một cách ngắn gọn, các hacker APT đặt mình vào tình thế không chỉ có quyền truy cập vào hệ thống MSP, mà còn có thể di chuyển qua chúng như một quản trị viên có thể làm. Sử dụng những đặc quyền đó, họ sẽ khởi chạy những kết nối giao thức RDP từ xa với máy tính MSP và mạng khách hàng. Hãy tưởng tượng bất kỳ lúc nào một nhân viên IT đã tiếp quản máy tính của bạn để khắc phục sự cố, cài đặt Photoshop, bất cứ điều gì khác. Giống như vậy, ngoại trừ việc thay vì một đồng nghiệp thân thiện, đó là những hacker Trung Quốc săn tìm bí mật.
Và khi họ tìm thấy những bí mật đó? Tin tặc sẽ mã hóa dữ liệu và sử dụng thông tin đăng nhập bị đánh cắp để chuyển nó đến một hệ thống MSP hoặc khách hàng khác trước khi gửi nó trở lại địa chỉ IP của APT10. Họ cũng sẽ xóa các tệp đã bị đánh cắp khỏi máy tính bị xâm nhập, tất cả nhằm mục đích tránh phát hiện. Mọi khi một công ty an ninh riêng tư xác định các miền của APT10, nhóm sẽ nhanh chóng bỏ chúng và chuyển sang những miền khác. Càng im lặng, họ càng có thể ẩn mình lâu dài bên trong một MSP.
“Họ rất tinh vi,” Read nói. “Họ lấy nhiều thành công từ phần ‘kiên trì’ của ‘mối đe dọa kiên trì tiên tiến’ như là ‘tiên tiến’.”
Theo cáo trạng, cuối cùng các hacker đã chiếm đoạt hàng trăm gigabyte dữ liệu từ hàng chục công ty. Trong khi Bộ Tư pháp không đặt tên cụ thể bất kỳ nạn nhân nào, Bộ An ninh Nội địa đã thiết lập một trang cung cấp hướng dẫn cho bất kỳ công ty nào nghĩ rằng họ có thể bị ảnh hưởng, bao gồm cả liên kết đến các công cụ phát hiện xâm nhập. Điều này sẽ hữu ích, vì cáo trạng đối với hai hacker Trung Quốc dường như không làm giảm tầm quan trọng của quốc gia này.
Không Thể Xử Lý Hiệp Ước Hòa Bình
Tất cả điều này có thể có vẻ ngạc nhiên, bởi Hoa Kỳ và Trung Quốc đã đạt được một thỏa thuận ồn ào ba năm trước rằng họ sẽ không xâm phạm lợi ích kinh doanh tư nhân của nhau.
Trong tinh thần công bằng, hoạt động của APT10 được mô tả trong cáo trạng bắt đầu trước sự dừng đọng đó. Nhưng nó cũng không ngừng sau khi thỏa thuận có hiệu lực: Bộ Tư pháp cáo buộc rằng hai công dân Trung Quốc bị buộc tội trong cáo trạng, Zhu Hua và Zhang Shilong, đã hoạt động cho đến năm 2018. Và các cuộc tấn công nổi tiếng khác của Trung Quốc có vẻ bắt đầu vào khoảng thời gian tương tự, như cuộc tấn công vào hệ thống Starwood Preferred Guest, vẫn còn hoạt động trong nhiều năm.
Trong những năm qua, Trung Quốc cũng đã tích cực kiểm tra ranh giới của hiệp ước, nhắm vào các nhà thầu quốc phòng, các công ty luật và các tổ chức khác mà làm nhòe ranh giới giữa công và tư, giữa sở hữu trí tuệ và thông tin bí mật tổng quát hơn. Nó đã tích cực và thành công chiêu mộ các điệp viên ở Hoa Kỳ.
“Không có quốc gia nào đặt ra mối đe dọa rộng lớn, nghiêm trọng và lâu dài hơn đối với kinh tế và cơ sở hạ tầng mạng của quốc gia chúng tôi hơn Trung Quốc. Mục tiêu của Trung Quốc, nói một cách đơn giản, là thay thế Hoa Kỳ trở thành siêu cường hàng đầu thế giới, và họ đang sử dụng các phương pháp bất hợp pháp để đạt được mục tiêu đó,” Giám đốc FBI Christopher Wray nói tại cuộc họp báo vào thứ Năm. “Trong khi chúng tôi hoan nghênh sự cạnh tranh công bằng, chúng tôi không thể và sẽ không dung thứ cho việc hack, trộm cắp hoặc gian lận bất hợp pháp.”
Một lý do khiến Trung Quốc kiên trì: Có thể họ không thấy có gì sai trái. “Từ góc độ của tôi, khu vực này sẽ tiếp tục là một điểm căng thẳng và tranh chấp giữa Hoa Kỳ và Trung Quốc trong tương lai dự kiến,” nói J. Michael Daniel, người đã phục vụ làm người phối hợp an ninh mạng trong chính quyền Obama. “Và vì vậy, câu hỏi chỉ là làm thế nào bạn quản lý khu vực ma sát này một cách có ích cho chúng ta.”
Một phương pháp ngày càng phổ biến dường như là công bố và lên án, không chỉ đối với hacker Trung Quốc mà còn đối với những người từ Nga và Bắc Triều Tiên. Và trong khi nó chắc chắn gửi đi một tín hiệu—và sẽ làm đảo lộn bất kỳ kế hoạch du lịch nào của Zhu và Zhang—điều này một mình có lẽ không làm tổn thương nhiều kế hoạch của Trung Quốc.
“Những nhóm này đang làm ảnh hưởng vào những ưu tiên chiến lược lớn hơn nhiều so với việc hai người có thể đi nghỉ ở California hay không,” Read của FireEye nói.
Ngoài ra, căng thẳng hiện tại giữa Trung Quốc và Hoa Kỳ không chỉ giới hạn ở việc hack. Một cuộc chiến thương mại đang diễn ra, với một nhân viên cấp cao của Huawei đang chờ đợi khả năng bị dẫn độ. Tất cả những lợi ích này lẫn lộn, với sự tăng cường và giảm nhẹ của sự xâm lược trên các mặt trận khác nhau giống như một loại bảng trộn địa chính trị.
Trong khi đó, hacker của Trung Quốc sẽ tiếp tục trộm cắp mọi cơ hội trên thế giới. ít nhất, tuy nhiên, giờ họ có thể ít vô danh hơn một chút khi làm điều đó.
Nội dung
Để tôn trọng sở thích về quyền riêng tư của bạn, nội dung này chỉ có thể xem trên trang web nó xuất phát từ.
Báo cáo bổ sung của Lily Hay Newman.
Những điều Tuyệt vời khác từ MYTOUR
- Alexa trưởng thành trong năm nay, chủ yếu là do chúng tôi đã trò chuyện với nó
- 8 nhà văn khoa học viễn tưởng tưởng tượng về tương lai làm việc mạnh mẽ và mới mẻ
- Sự vội vã điên đảo để chiếm đoạt viên thiên thạch được ưa chuộng nhất trên thế giới
- Galileo, krypton, và cách chiều dài thực sự đã xuất hiện
- Mọi thứ bạn muốn biết về hứa hẹn của 5G
- 👀 Đang tìm kiếm những thiết bị công nghệ mới nhất? Kiểm tra những lựa chọn của chúng tôi, các hướng dẫn mua sắm và những ưu đãi tốt nhất suốt cả năm
- 📩 Nhận thêm nhiều điều bí mật hơn với bản tin hàng tuần Backchannel của chúng tôi
