Hôm nay, The Mandiant® Intelligence Center™ (Trung tâm Tình báo Mandiant) đã công bố một báo cáo chưa từng có vạch trần chiến dịch gián điệp máy tính quy mô doanh nghiệp kéo dài nhiều năm của APT1. APT1 là một trong số hàng chục nhóm đe dọa mà Mandiant theo dõi trên khắp thế giới và chúng tôi coi đây là một trong những nhóm nguy hiểm nhất xét về số lượng thông tin khổng lồ mà nó đã đánh cắp.
Điểm nổi bật của báo cáo bao gồm:
- Bằng chứng liên kết APT1 với Cục 2 của Bộ Tổng tham mưu Quân đội Giải phóng Nhân dân Trung Quốc (PLA) Cục 3 (Chỉ định bìa quân sự 61398).
- Dòng thời gian của hoạt động gián điệp kinh tế APT1 được tiến hành từ năm 2006 chống lại 141 nạn nhân trong nhiều ngành công nghiệp.
- Phương thức hoạt động của APT1 (công cụ, chiến thuật, thủ tục) bao gồm tập hợp các video hiển thị hoạt động thực tế của APT1.
- Dòng thời gian và chi tiết của hơn 40 dòng phần mềm độc hại APT1.
- Dòng thời gian và chi tiết về cơ sở hạ tầng tấn công rộng lớn của APT1.
Mandiant cũng đang phát hành một phụ lục kỹ thuật số với hơn 3.000 chỉ số để tăng cường khả năng phòng thủ trước các hoạt động của APT1. Phụ lục này bao gồm:
- Phân phối kỹ thuật số hơn 3.000 chỉ báo APT1, chẳng hạn như tên miền và hàm băm MD5 của phần mềm độc hại.
- Mười ba (13) chứng chỉ mã hóa X.509 được APT1 sử dụng.
- Một bộ Chỉ số thỏa hiệp APT1 (IOC) và mô tả chi tiết về hơn 40 họ phần mềm độc hại trong kho vũ khí kỹ thuật số của APT1.
- IOC có thể được sử dụng cùng với Redline ™, công cụ điều tra dựa trên máy chủ lưu trữ miễn phí của Mandiant hoặc với Mandiant Intelligent Response® (MIR), công cụ điều tra doanh nghiệp thương mại của Mandiant.
Quy mô và tác động của các hoạt động của APT1 đã thôi thúc chúng tôi viết báo cáo này. Quyết định công bố một phần quan trọng thông tin tình báo của chúng tôi về Đơn vị 61398 là một quyết định khó khăn. Điều bắt đầu như một cuộc thảo luận "nếu như" về chính sách không tiết lộ thông tin truyền thống của chúng tôi nhanh chóng chuyển thành nhận thức rằng tác động tích cực do quyết định phơi bày APT1 của chúng tôi vượt xa nguy cơ mất khả năng thu thập thông tin tình báo của chúng tôi đối với nhóm APT cụ thể này. Đã đến lúc thừa nhận mối đe dọa bắt nguồn từ Trung Quốc và chúng tôi muốn góp phần trang bị và chuẩn bị cho các chuyên gia an ninh để chống lại mối đe dọa này một cách hiệu quả. Vấn đề quy kết luôn là một mắt xích còn thiếu trong hiểu biết của công chúng về bối cảnh hoạt động gián điệp mạng APT. Nếu không thiết lập một kết nối vững chắc với Trung Quốc, sẽ luôn có chỗ cho các nhà quan sát bác bỏ các hành động của APT là không có sự phối hợp, chỉ mang tính chất tội phạm hoặc không quan trọng đối với các mối quan tâm lớn hơn về an ninh quốc gia và kinh tế toàn cầu. Chúng tôi hy vọng rằng báo cáo này sẽ giúp tăng cường hiểu biết và phối hợp hành động trong việc chống lại các vi phạm mạng APT.
Chúng tôi nhận ra rằng không một thực thể nào có thể hiểu được toàn bộ bức tranh phức tạp mà hoạt động gián điệp mạng khốc liệt trong nhiều năm do một nhóm duy nhất tạo ra. Chúng tôi mong muốn được chứng kiến sự gia tăng dữ liệu và các cuộc trò chuyện mà một báo cáo như thế này có thể sẽ tạo ra.
Tham khảo: