Cách tin tặc Trung Quốc tấn công mạng máy tính của các tổ chức Mỹ bị đọc vị

(ICTPress) - David Sanger, David Barboza, và Nicole Perlroth của tờ Thời báo New York vừa công bố một báo cáo lớn về các vụ tấn công của người Trung Quốc đối với các công ty Mỹ.

Times đã có trong tay bản báo cáo của Mandiant, một hãng an ninh mạng mà trước đây Times đã thuê khi tờ báo này bị tấn công.

Báo cáo này cho biết Dota, một thành viên ẩn danh của nhóm các tin tặc Trung Quốc đã lấy đi các dữ liệu của nhiều công ty, tổ chức của Mỹ.

Nhóm này đã đột nhập vào các hệ thống máy tính của Thời báo New York, Tạp chí Wall Street, Báo Bưu điện, Washington, Coca Cola, hãng công nghệ an ninh RSA, Bộ Năng lượng Mỹ, và công ty năng lượng  Schneider Electric.

Hãng nghiên cứu an ninh Mandiant đã chụp lại được Dota đã thao tác như thế nào. Đây là một bằng chứng khá thuyết phục, cho thấy tin tặc đã đăng ký một địa chỉ thư điện tử mới (thậm chí là tin tặc cung cấp cả số điện thoại để thẩm định tin nhắn SMS), thâm nhập vào các máy tính cá nhân và lấy đi các dữ liệu.

Chúng ta hãy nhìn vào màn hình của một tin tặc có tên là Dota. Để bắt đầu, tin tặc đã tạo ra một địa chỉ Gmail mới và khai quốc gia của mình là Mỹ.

Nhưng khi tin tặc nhận được tin nhắn thẩm định trên điện thoại tin tặc lại thông báo là đang ở Trung Quốc.

Bên trong một trong những tài khoản thư điện tử của tin tặc này, chúng ta thấy Dota đã sử dụng sự thẩm định để tạo ra nhiều các địa chỉ khác. Cũng có những tin nhắn bị chặn thông báo là địa chỉ này đã được sử dụng trong các nỗ lực tấn công giả mạo (phishing).

Gmail thậm chí cảnh báo với kẻ tấn công rằng tài khoản của anh ta có thể gặp vấn đề “gần đây đã bị thâm nhập từ Trung Quốc”.

Dota hiện đang sử dụng một server Ghost Rat, một phần của phần mềm độc hại có thể được sử dụng để truy cập vào các máy tính từ xa và lấy đi các dữ liệu của các tổ chức. Tin tặc đang kiểm tra điều này trên máy tính riêng để đảm bảo nó hoạt động.

Lúc này tin tặc ở trong một lệnh WEBC-2 và kiểm soát server. Phần mềm này tương tự như Ghost Rat trừ việc bạn tương tác với phần mềm nhờ một dòng lệnh.

Một công cụ gọi là HTRAN là hơn cả một cách cho một tin tắc giao tiếp với các máy tính nhiễm phần mềm độc hại.

Sử dụng các ủy nhiệm đăng nhập bị đánh cắp, tin tặc nằm trong một server thư điện tử Microsoft Exchange. Các số bên tay trái liên quan tới các thư điện tử cụ thể và các con số bên phải cho thấy kích thước của từng thư điện tử.

Bên trong một trong các server riêng của mình, tin tặc đã di chuyển một số công cụ phần mềm đến một máy tính của nạn nhân qua FTP.

Sử dụng công cụ “LIGHTBOLT”, Dota có thể xem và tải các tệp về mà thường thì không thể nhìn thấy trên Internet.

Với các tệp bị đánh cắp mà đã được mua lại, tin tặc đã chuyển cho họ tất cả ngược trở lại máy tính của riêng mình.

Dưới đây là đoạn video đầy đủ mà Mandiant chỉ ra:

Không những chỉ ra cách thức tấn công, Mandiant còn định vị tòa nhà thực hiện các tấn công là tòa nhà ở đường Datong, xung quanh có nhà hàng, các cửa hiệu và một công ty nhập khẩu rượu, là trụ sở của đơn vị 61398, Quân đội Trung Quốc. Số bằng chứng pháp lý số ngày càng tăng - được các quan chức tình báo Mỹ cho biết đã từng tập trung vào xem xét trong nhiều năm - để lại ít nghi ngờ lại trở thành một phần trăm chủ đạo của các vụ tấn công vào các công ty, tổ chức, và các cơ quan Mỹ, xuất phát bên trong và xung quanh tháp trắng như trong hình ảnh chụp vệ tinh dưới đây được đề cập trong báo cáo của Mandiant.

HY