Mandiant report about apt1 of china to us

APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng của Trung Quốc. Mandiant xuất bản năm 2013
Mục lục
Tóm tắt..................................................................................................................................................4
Các tác chiến mạng máy tính của Trung Quốc được giao nhiệm vụ cho Đơn vị 61398 của PLA ....11
APT1: Những năm làm gián điệp.......................................................................................................25
APT1: Vòng đời tấn công...................................................................................................................33
APT1: Hạ tầng....................................................................................................................................46
APT1: Nhận diện................................................................................................................................60
Kết luận..............................................................................................................................................69
Phụ lục A: Làm thế nào Mandiant phân biệt được các nhóm các mối đe dọa?..................................71
Phụ lục B: APT và vòng đời của cuộc tấn công.................................................................................73
Phụ lục C (Số): Kho vũ khí phần mềm độc hại .................................................................................76
Phụ lục D (Số): các FQDN.................................................................................................................77
Phụ lục E (Số): Các hàm băm MD5...................................................................................................78
Phụ lục F (Số): Các chứng thực SSL .................................................................................................79
Phụ lục G (Số): Các IOC....................................................................................................................80
Phụ lục H (Số): Video.........................................................................................................................84
Văn phòng Phối hợp Phát triển Môi trường Khoa học & Công nghệ, Bộ Khoa học & Công nghệ Trang 2/84

“Gián điệp kinh tế của Trung Quốc đã đạt được một mức không chấp
nhận được và tôi tin tưởng rằng Mỹ và các đồng minh của chúng ta tại
châu Âu và châu Á có bổn phận phải chống lại Bắc Kinh và yêu cầu họ
dừng sự ăn cắp này.
Bắc Kinh đang ve vẩy một cuộc chiến tranh thương mại số đông mà tất
cả nhằm vào chúng ta, và chúng ta sẽ tập hợp lại cùng nhau để gây sức
ép buộc họ phải dừng. Được kết hợp lại, Mỹ và các đồng minh của
chúng ta tại châu Âu và châu Á có lợi thế đáng kể về ngoại giao và kinh
tế hơn Trung Quốc, và chúng ta sẽ sử dụng điều này vì lợi thế của
chúng ta để đặt dấu chấm hết cho tai họa này”1
.
- Đại diện Mỹ Mike Rogers, tháng 10/2011.
“Là không chuyên nghiệp và vô căn cứ để kết tội quân đội
Trung Quốc tiến hành các cuộc tấn công mạng mà không có bất
kỳ bằng chứng thuyết phục nào”2
.
- Bộ Quốc phòng Trung Quốc, tháng 01/2013
Dịch sang tiếng Việt: Lê Trung Nghĩa, letrungnghia.foss@gmail.com
Dịch xong: 25/06/2013
Bản gốc tiếng Anh: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
1 Mike Rogers, Tuyên bố cho Ủy ban Lựa chọn Thường trực về Tình báo, điều trần mở: Các mối đe dọa về không
gian mạng và những nỗ lực liên tục để bảo vệ quốc gia, điều trần, ngày 04/10/2011,
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/100411CyberHearingRogers.pdf, truy cập
được ngày 06/02/2013.
2 “Các tin tặc Trung Quốc bị tình nghi trong cuộc tấn công các máy tính của Bưu điện”. Tờ Bưu điện Washington,
ngày 01/02/2013, technology/chinese-hackers-suspected-in-attack-on-the-posts-computers/2013/02/01/d5a44fde-
6cb1-11e2-bd36-c0fe61a205f6_story.html, truy cập được vào ngày 01/02/2013.

Tóm tắt
Kể từ năm 2004, Mandiant đã nghiên cứu các lỗ hổng an ninh máy tính ở hàng trăm tổ chức trên
khắp thế giới. Đa số các lỗ hổng an ninh đó được qui cho các tác nhân của các mối đe dọa cao cấp
được tham chiếu tới như là “Mối đe dọa Thường trực Cao cấp” - APT (Advanced Persistent
Threat). Chúng tôi lần đầu tiên đã xuất bản các chi tiết về APT trong báo cáo M-Trends của chúng
tôi vào tháng 01/2010. Như chúng tôi đã nêu trong báo cáo, về sự liên quan của nó. “Bây giờ, 3 năm
sau, chúng tôi đã có bằng chứng yêu cầu phải thay đổi đánh giá của chúng tôi. Các chi tiết chúng tôi
đã phân tích trong hàng trăm cuộc điều tra thuyết phục chúng tôi rằng các nhóm tiến hành các hoạt
động đó trước hết nằm ở Trung Quốc và chính phủ Trung Quốc nhận thức được về chúng3
.
Mandiant tiếp tục theo dõi hàng tá các nhóm APT trên khắp thế giới; tuy nhiên, báo cáo này đặt
trọng tâm vào sự mắn đẻ nhất của các nhóm đó. Chúng tôi tham chiếu tới nhóm này như là “APT1”
và đây là một trong hơn 20 nhóm APT với gốc gác tại Trung Quốc. APT1 là tổ chức độc nhất vô nhị
của những người vận hành mà đã tiến hành một chiến dịch gián điệp không gian mạng chống lại
một dải rộng lớn các nạn nhân ít nhất là kể từ năm 2006. Từ những quan sát thấy được của chúng
tôi, đây là một trong những nhóm gián điệp không gian mạng nổi tiếng nhất về số lượng lớn các
thông tin ăn cắp được. Phạm vi và ảnh hưởng của các hoạt động của APT1 đã lôi cuốn chúng tôi
viết báo cáo này. Hoạt động mà chúng tôi đã trực tiếp quan sát thấy có khả năng chỉ đại diện cho
một phần nhỏ gián điệp không gian mạng mà APT1 đã tiến hành. Dù sự nhìn thấy được của chúng
tôi đối với các hoạt động của APT1 còn chưa hoàn tất, thì chúng tôi cũng đã phân tích những thâm
nhập trái phép của các nhóm đó chống lại gần 150 nạn nhân trong vòng 7 năm. Từ quan điểm lợi
thế độc nhất của chúng tôi trong việc trả lời cho các nạn nhân, chúng tôi đã lần vết APT1 ngược về
4 mạng lớn tại Thượng Hải, 2 trong số đó đặt trực tiếp tại Khu Mới Pudong.”
Chúng tôi đã phát hiện được một số lượng đáng kể những công cụ liên quan tới các cuộc tấn công
của APT1 như hạ tầng, chỉ huy và kiểm soát, các công cụ, chiến thuật và các thủ tục. Trong một nỗ
lực để nhấn mạnh, có những cá nhân thực sự đứng đằng sau các bàn phím đó, Mandiant đang hé lộ
3 cá nhân mà chúng tôi đã quy kết cho APT1. Các nhà vận hành đó, giống như các binh lính, có lẽ
chỉ đang tuân lệnh từ những người khác đưa ra cho họ.
Phân tích của chúng tôi đã dẫn chúng tôi tới kết luận rằng APT1 có khả năng được chính phủ bảo
trợ và là một trong các tác nhân thường trực nhất các mối đe dọa không gian mạng của Trung Quốc.
Chúng tôi tin tưởng rằng APT1 có khả năng tiến hành một chiến dịch gián điệp không gian mạng
tăng cường và diễn ra lâu dài như vậy, phần lớn vì nó nhận được sự hỗ trợ trực tiếp của chính phủ.
Trong việc tìm cách nhận diện tổ chức đứng đằng sau hoạt động này, nghiên cứu của chúng tôi thấy
rằng Đơn vị 61398 của Quân Giải phóng Nhân dân Trung Hoa - PLA (People's Liberation Army) là
3 Các kết luận của chúng tôi dựa vào các nguồn thông tin mở, không bí mật được dẫn chiếu từ những quan sát thấy
được của Mandiant. Không thông tin nào trong báo cáo này có liên quan tới sự truy cập tới hoặc sự khẳng định của
tình báo bí mật.

tương tự với APT1 về nhiệm vụ, các khả năng và các tài nguyên của nó. Đơn vị 61398 của PLA
cũng nằm chính xác ở cùng khu vực mà từ đó hoạt động của APT1 dường như được khởi phát.

NHỮNG PHÁT HIỆN CHỦ CHỐT
APT1 được tin tưởng là Phòng 2, Tổng cục 3, Bộ Tổng tham mưu của PLA (总
参三部二局), nó được biết một cách phổ biến là Đơn vị Quân sự Chỉ định Bao
trùm - MUCD (Military Unit Cover Designator) là Đơn vị 61398 (61398 部队).
• Bản chất tự nhiên công việc của “Đơn vị 61398” được Trung Quốc coi là một bí mật nhà
nước; tuy nhiên, chúng tôi tin tưởng nó tham gia vào “Tác chiến Mạng Máy tính” gây hại.
• Đơn vị 61398 một phần nằm ở đường Datong (大同路) ở Gaoqiaozhen (高桥镇), nằm ở
Khu Mới của Pudong (浦东新区) ở Thượng Hải (上海). Tòa nhà trung tâm trong khu nhà
này là một khu đất 130.663 dặm vuông cao 12 tầng và được xây dựng vào đầu năm 2007.
• Chúng tôi ước tính rằng Đơn vị 61398 có hàng trăm nhân viên, và có lẽ có hàng ngàn người
dựa vào kích cỡ hạ tầng của Đơn vị 61398.
• Hãng China Telecom đã cung cấp hạ tầng truyền thông cho đơn vị này với danh nghĩa quốc
phòng.
• Đơn vị 61398 yêu cầu các nhân viên của nó phải được huấn luyện về các tác chiến mạng
máy tính, an ninh máy tính và cũng yêu cầu các nhân viên của nó phải thành thạo tiếng Anh.
• Mandiant đã theo dõi hoạt động của APT1 đối với 4 mạng lớn tại Thượng Hải, 2 trong số đó
phục vụ cho Khu Mới của Pudong, nơi đặt Đơn vị 61398.
APT1 đã ăn cắp một cách có hệ thống hàng trăm terabyte dữ liệu từ ít nhất 141
tổ chức, và đã thể hiện khả năng và ý định ăn cắp từ hàng tá các tổ chức đồng
thời cùng một lúc4
.
• Kể từ năm 2006, Mandiant đã quan sát thấy APT1 làm tổn thương 141 công ty trải trong 20
nền công nghiệp chủ chốt.
• APT1 có một phương pháp luận tấn công được xây dựng tốt, được mài dũa qua các năm và
được thiết kế để ăn cắp dung lượng lớn sở hữu trí tuệ có giá trị.
• Một khi APT1 đã thiết lập được sự truy cập, chúng theo định kỳ viếng thăm lại mạng của
các nạn nhân qua vài tháng hoặc vài năm và ăn cắp sở hữu trí tuệ với nhiều chủng loại, bao
gồm các thiết kế công nghệ, các qui trình sản xuất sở hữu độc quyền, các kết quả kiểm thử,
các kế hoạch kinh doanh, các tài liệu báo giá, các thỏa thuận đối tác và các danh sách thư
điện tử và các mối liên hệ từ lãnh đạo của các tổ chức của các nạn nhân.
• APT1 sử dụng một số công cụ và kỹ thuật mà chúng tôi còn chưa quan sát thấy các nhóm
khác đang sử dụng, bao gồm 2 tiện ích được thiết kế để ăn cắp thư điện tử - GETMAIL và
4 Chúng tôi tin tưởng rằng hoạt động rộng lớn mà chúng tôi đã trực tiếp quan sát thấy được thể hiện chỉ một phần nhỏ
sự gián điệp không gian mạng mà APT1 đã tiến hành. Vì thế, Mandiant đang thiết lập các mức độ thấp hơn các
hoạt động của APT1 trong báo cáo này.

MAPIGET.
• APT1 đã duy trì sự truy cập tới các mạng của các nạn nhân trung bình là 356 ngày5
. Khoảng
thời gian dài nhất mà APT1 đã duy trì truy cập tới mạng của một nạn nhân từng là 1.764
ngày, hoặc 4 năm và 10 tháng.
• Trong số các vụ ăn cắp phạm vi lớn khác về sở hữu trí tuệ, chúng tôi đã quan sát thấy APT1
ăn cắp 6.5 terabyte dữ liệu được nén từ một tổ chức duy nhất trong khoảng 10 tháng.
• Trong tháng đầu tiên của năm 2011, APT1 đã thành công gây tổn thương cho ít nhất 17 nạn
nhân mới, hoạt động trong 10 nền công nghiệp khác nhau.
APT1 tập trung vào việc gây tổn thương cho các tổ chức xuyên khắp một dải
rộng lớn các nền công nghiệp ở các quốc gia nói tiếng Anh.
• Trong số 141 nạn nhân của APT1, 87% trong số họ có trụ sở ở các nước nơi mà tiếng Anh là
ngôn ngữ bẩm sinh.
• Các nền công nghiệp mà ATP1 ngắm tới trùng khớp với các nền công nghiệp mà Trung
Quốc đã xác định như là chiến lược đối với sự tăng trưởng của họ, bao gồm 4 trong số 7 nền
công nghiệp chiến lược đang nổi lên mà Trung Quốc đã xác định trong Kế hoạch 5 năm lần
thứ 12 của mình.
APT1 duy trì một hạ tầng mở rộng các hệ thống máy tính khắp thế giới.
• APT1 kiểm soát hàng ngàn hệ thống để hỗ trợ cho các hoạt động thâm nhập trái phép các
máy tính của họ.
• Trong 2 năm qua chúng tôi đã quan sát thấy APT1 thiết lập tối thiểu 937 máy chủ Chỉ huy
và Kiểm soát được đặt chỗ ở 849 địa chỉ IP khác nhau tại 13 quốc gia. Đa số các địa chỉ IP
duy nhất trong 849 địa chỉ đó từng được đăng ký cho các tổ chức ở Trung Quốc (709), tiếp
đến là Mỹ (109).
• Trong 3 năm qua chúng tôi đã quan sát thấy APT1 sử dụng đầy đủ các tên miền đủ tư cách -
FQDN (Fully Qualified Domain Names) trong việc giải 988 địa chỉ IP duy nhất.
• Trong khoảng thời gian 2 năm qua (từ tháng 01/2011 đến tháng 01/2013) chúng tôi đã khẳng
định 1.905 trường hợp các tác nhân của APT1 đăng nhập vào hạ tầng tấn công của họ từ 832
địa chỉ IP khác nhau với sự truy cập bằng Remote Desktop (máy để bàn ở xa), một công cụ
cung cấp cho một người sử dụng ở xa với một giao diện đồ họa tương tác tới một hệ thống.
• Trong vài năm qua chúng tôi đã khẳng định 2.551 FQDN được cho là của APT1.
Trong hơn 97% của 1.905 lần Mandiant đã quan sát thấy những kẻ thâm nhập
trái phép của APT1 kết nối tới hạ tầng tấn công của họ, thì APT1 đã sử dụng các
5 Điều này dựa vào 91 trong số 141 tổ chức nạn nhân. Trong các trường hợp còn lại, hoạt động của APT1 hoặc đang
diễn ra hoặc chúng tôi còn chưa thấy trong những ngày tháng được biết mới nhất về hoạt động của APT trên mạng.

địa chỉ IP được đăng ký tại Thượng Hải và các hệ thống được thiết lập để sử
dụng tiếng Trung Quốc.
• 1.849 trong số 1.905 (97%) phiên làm việc của Remote Desktop mà APT1 đã tiến hành dưới
sự quan sát của chúng tôi, thì thiết lập hình thức bàn phím của những người vận hành của
APT1 là “Bàn phím tiếng Trung (được đơn giản hóa) – Mỹ”. Máy trạm Remote Desktop của
Microsoft cấu hình cho thiết lập này một cách tự động dựa vào ngôn ngữ được lựa chọn
trong hệ thống máy trạm. Vì thế, những kẻ tấn công của APT1 có khả năng để hệ điều hành
Microsoft của họ được cấu hình để hiển thị các phông chữ Trung Quốc được đơn giản hóa.
• 817 trong số 832 (98%) các địa chỉ IP đăng nhập vào các hệ thống được APT1 kiểm soát
bằng việc sử dụng Remote Desktop có liên quan ngược về Trung Quốc.
• Chúng tôi đã quan sát thấy 767 trường hợp riêng rẽ trong đó những người thâm nhập trái
phép của APT1 đã sử dụng “Công cụ Truyền Gói HUC” (HUC Packet Transmit Tool) hoặc
HTRAN để giao tiếp giữa 614 địa chỉ IP có khả năng định tuyến riêng biệt và các hệ thống
của các nạn nhân của họ bằng việc sử dụng hạ tầng tấn công của họ. Trong số 614 địa chỉ IP
khác biệt nhau được sử dụng cho các giao tiếp HTRAN thì:
◦ 614 trong số 614 (100%) từng được đăng ký tại Trung Quốc.
◦ 613 (99.8%) từng được đăng ký tới 1 trong 4 khối mạng của Thượng Hải.
Kích cỡ hạ tầng của APT1 ngụ ý một tổ chức rộng lớn với ít nhất hàng tá, có
hàng trăm người vận hành tiềm năng
• Chúng tôi ước tính dè dặt rằng hạ tầng tấn công hiện hành của APT1 bao gồm hơn 1.000
máy chủ.
• Đưa ra số lượng đó, khoảng thời gian và dạng hoạt động tấn công mà chúng tôi đã quan sát
thấy được, thì những người vận hành của APT1 có thể cần phải được hỗ trợ trực tiếp từ các
nhà ngôn ngữ học, các nhà nghiên cứu nguồn tin mở, các tác giả phần mềm độc hại, các
chuyên gia của giới công nghiệp mà dịch các yêu cầu tác vụ từ những người yêu cầu sang
cho những người vận hành, và những người mà sau đó truyền các thông tin ăn cắp được
sang cho những người yêu cầu.
• APT1 cũng có thể cần một lượng lớn các nhân viên CNTT chuyên tâm cho việc giành được
và duy trì thiết bị máy tính, những người mà họ điều khiển tài chính, quản lý cơ sở và hậu
cần (như, việc vận chuyển đồ).
Trong một nỗ lực để nhấn mạnh rằng có những cá nhân thực sự đứng đằng sau
các bàn phím, Mandiant hé lộ 3 cá nhân có liên quan tới hoạt động của APT1.
• Người thứ nhất, “UglyGorilla”, từng tích cực trong các hoạt động mạng máy tính kể từ
tháng 10/2004. Các hoạt động của anh ta bao gồm việc đăng ký các miền được ghi nhận cho

APT1 và là tác giả của các phần mềm độc hại được sử dụng trong các chiến dịch của APT1.
“UglyGorilla” đã thể hiện công khai sự quan tâm của anh ta trong “các binh lính không gian
mạng” của Trung Quốc vào tháng 01/2004.
• Người thứ 2, một tác nhân chúng tôi gọi là “DOTA”, đã đăng ký hàng tá tài khoản thư điện
tử được sử dụng để tiến hành kỹ thuật mạng xã hội và lan truyền các cuộc tấn công phishing
xiên cắm (spear phishing) để hỗ trợ cho các chiến dịch của APT1. “DOTA” đã sử dụng một
số điện thoại ở Thượng Hải trong khi đăng ký các tài khoản đó.
• Chúng tôi đã quan sát thấy cả “UglyGorilla” và “DOTA” đều sử dụng cùng y hệt hạ tầng
chia sẻ, bao gồm các dải IP và FQDN mà chúng tôi đã ghi nhận là của APT1.
• Người thứ 3, sử dụng tên hiệu “SuperHard”, là người tạo ra hoặc người đóng góp đáng kể
cho họ các phần mềm độc hại AURIGA và BANGAT mà chúng tôi đã quan sát thấy sử dụng
ở các nhóm của APT1 và các nhóm APT khác. “SuperHard” tiết lộ vị trí của anh ta là ở Khu
Mới của Pudong ở Thượng Hải.
Mandiant đang tiết lộ hơn 3.000 chỉ số để nhấn mạnh cách phòng thủ chống lại
các hoạt động của APT1.
• Đặc biệt, Mandiant đang cung cấp các điều sau đây:
◦ Phân phối số của hơn 3.000 chỉ số APT1, như các tên miền, các địa chỉ IP và các hàm
băm MD5 của các phần mềm độc hại.
◦ Các chỉ số ví dụ về sự tổn thương - IOC (Indicator of Compromise) và các mô tả chi tiết
của hơn 40 họ phần mềm độc hại trong kho vũ khí số của APT1.
◦ 13 chứng thực mã hóa X.509 được APT1 sử dụng.
◦ Một biên dịch của các video chỉ các phiên của những người tấn công thực tế và các hoạt
động thâm nhập trái phép của họ.
• Trong khi các khách hàng đang tồn tại rồi đối với các sản phẩm mức chuyên nghiệp của
Mandiant, Mandiant Managed Defense (Phòng thủ do Mandiant Quản lý) và Mandiant
Intelligent Response (Đáp trả Tình báo Mandiant), đã có sự truy cập trước tới các chỉ số của
APT1, chúng tôi cũng đang làm cho chúng sẵn sàng để sử dụng với Redline (đường đỏ),
công cụ điều tra dựa vào máy chủ đặt chỗ tự do của chúng tôi. Redline có thể được tải về tại
địa chỉ: http://www.mandiant.com/resources/download/redline.

Kết luận
Phạn vi và độ dài lâu khổng lồ của các cuộc tấn công dai dẳng chống lại một tập hợp rộng lớn các
nền công nghiệp từ một nhóm được nhận diện khác thường nằm ở Trung Quốc để lại ít nghi ngờ về
tổ chức đứng đằng sau APT1. Chúng tôi tin tưởng tổng số bằng chứng mà chúng tôi cung cấp trong
tài liệu này nhấn mạnh tuyên bố rằng APT1 là Đơn vị 61398. Tuy nhiên, chúng tôi thừa nhận có
một khả năng không chắc chắn khác:
Một tổ chức bí mật, giàu tài nguyên và những người hoàn toàn nói tiếng Trung Quốc đại lục
với sự truy cập trực tiếp tới hạ tầng viễn thông nằm ở Thượng Hải tham gia vào chiến dịch
gián điệp máy tính phạm vi chuyên nghiệp, nhiều năm ngay bên ngoài các cánh cửa của Đơn
vị 61398, thực hiện các tác vụ tương tự như với nhiệm vụ được biết rõ của Đơn vị 61398.
Vì sao chúng tôi tiết lộ APT1
Quyết định xuất bản một phần đáng kể tri thức của chúng tôi về Đơn vị 61398 từng là một một
quyết định thận trọng. Những gì đã bắt đầu khi một thảo luận “điều gì xảy ra nếu” về chính sách
không tiết lộ theo truyền thống của chúng tôi nhanh chóng biến thành sự hiện thực hóa rằng ảnh
hưởng tích cực tạo ra từ quyết định của chúng tôi để tiết lộ APT1 đã nặng hơn so với rủi ro về khả
năng của chúng tôi để thu thập tình báo về nhóm APT đặc biệt này. Đã tới lúc thừa nhận mối đe dọa
đang xuất phát tại Trung Quốc, và chúng tôi đã muốn làm một phần để trang bị và chuẩn bị cho
những người chuyên nghiệp về an ninh đấu tranh với mối đe dọa đó một cách có hiệu quả. Vấn đề
quy kết từng luôn là một liên kết còn thiếu trong sự hiểu biết chung bức tranh gián điệp không gian
mạng của APT. Không có việc thiết lập một kết nối cứng cáp tới Trung Quốc, sẽ luôn có chỗ cho
những người quan sát bỏ qua các hành động của APT như là không được điều phối, chỉ là tội phạm
về bản chất tự nhiên, hoặc là ngoại vi đối với những quan tâm về an ninh quốc gia và kinh tế toàn
cầu rộng lớn hơn. Chúng tôi hy vọng rằng báo cáo này sẽ dẫn tới sự hiểu biết gia tăng và hành động
được phối hợp để đối phó với các lỗ hổng mạng của APT.
Cùng lúc, có những khả năng sụt giảm đối với việc xuất bản tất cả các thông tin này một cách công
khai. Nhiều kỹ thuật và công nghệ được mô tả trong báo cáo này phần lớn hiệu quả hơn khi những
người tấn công không nhận thức được về chúng. Bổ sung thêm, việc xuất bản các dạng nhất định
các chỉ số làm ngắn đi đột ngột vòng đời của chúng. Khi mà Đơn vị 61398 thay đổi các kỹ thuật của
họ sau khi đọc báo cáo này, không nghi ngờ gì là họ sẽ ép chúng tôi làm việc cật lực hơn để tiếp tục
theo dõi họ với sự chính xác như vậy. Tuy nhiên, hy vọng chân thành của chúng tôi là báo cáo này
có thể tạm thời làm gia tăng các chi phí của các hoạt động của Đơn vị 61398 và cản trở sự tiến bộ
của họ theo một cách có ý nghĩa.
Chúng tôi nhận thức sâu sắc về rủi ro mà báo cáo này đặt ra cho chúng tôi. Chúng tôi mong đợi sự
trả đũa từ Trung Quốc cũng như một làn sóng chỉ trích dữ dội.

Các tác chiến mạng máy tính của
Trung Quốc được giao nhiệm vụ
cho Đơn vị 61398 của PLA
Nghiên cứu và những quan sát của chúng tôi chỉ ra rằng Đảng
Cộng sản Trung Quốc (CPC,中国共产党) đang giao nhiệm vụ
cho Quân Giải phóng Nhân dân Trung Hoa (PLA,中国人民解放
军) ủy quyền làm gián điệp không gian mạng và ăn cắp dữ liệu
một cách có hệ thống chống lại các tổ chức trên thế giới. Phần
này cung cấp các hình ảnh và chi tiết về các cơ sở của Đơn vị
61398, các tham chiếu tiếng Trung thảo luận về việc huấn luyện
và các yêu cầu khóa học của đơn vị, và các giao tiếp tiếng Trung
trong nội bộ ghi chép lại bản chất tự nhiên mối quan hệ của đơn
vị với ít nhất một doanh nghiệp nhà nước. Những chi tiết đó sẽ
đặc biệt phù hợp khi chúng tôi thảo luận về sự tinh thông, nhân
sự, vị trí và hạ tầng của APT1, đi song song với của Đơn vị 61398.
Đảng Cộng sản Trung Quốc
Chỉ huy không gian mạng của PLA được đặt đầy đủ bên trong một cơ quan trong Đảng Cộng sản
Trung Quốc (CPC) và có khả năng lôi kéo các tài nguyên của các doanh nghiệp nhà nước Trung
Quốc để hỗ trợ cho các hoạt động của mình. CPC là quyền lực tối cao tại Trung Quốc đại lục;
không giống như các xã hội phương Tây, trong đó các đảng chính trị nằm dưới quyền của chính
phủ, còn quân đội và chính phủ ở Trung Quốc là nằm dưới quyền của CPC. Trên thực tế, PLA báo
cáo trực tiếp cho Ủy ban Quân sự Trung ương của CPC (CMC, 中央军事委员会)6
. Điều này có
nghĩa là bất kỳ chiến dịch gián điệp không gian mạng chuyên nghiệp nào bên trong PLA đang xảy
ra cũng đều theo chỉ dẫn của các thành viên cao cấp của CPC.
Chúng tôi tin tưởng rằng chỉ huy không gian mạng chiến lược của PLA nằm trong Bộ Tổng Tham
mưu PLA (GSD,总参谋部), đặc biệt là Cục 3 (总参三部)7
. GSD là đơn vị cao cấp nhất của PLA.
Tương tự như Bộ Tổng Tham mưu Liên quân của Mỹ, GSD thiết lập học thuyết và đưa ra chỉ dẫn
tác chiến cho PLA. Trong GSD, Cục 3 có một trọng tâm được kết hợp về tình báo dấu hiệu, các hệ
6 James C. Mulvenon and Andrew N. D. Yang, editors, The People’s Liberation Army as Organization: Reference
Volume v1.0, (Santa Monica, CA: RAND Corporation, 2002), 96,
http://www.rand.org/pubs/conf_proceedings/CF182.html, accessed February 6, 2013.
7 Bryan Krekel, Patton Adams, and George Bakos, “Occupying the Information High Ground: Chinese Capabilities
for Computer Network Operations and Cyber Espionage,” Prepared for the U.S.-China Economic and Security
Review Commission by Northrop Grumman Corp (2012): 10, http://www.uscc.gov/RFP/2012/USCC
%20Report_Chinese_CapabilitiesforComputer_NetworkOperationsandCyberEspionage.pdf, accessed February 6,
2013.

thống của nước ngoài8
. Ước tính có 130.000 người9
chia thành 12 phòng (局), 3 viện nghiên cứu và
16 phòng chức năng và khu vực10
. Chúng tôi tin tưởng rằng Phòng 2 Cục 3 GSD (总参三部二局) là
nhóm APT mà chúng tôi đang theo dõi chính là APT1. Hình 1 chỉ cách mà Phòng 2 ngồi sát thế nào
với các mức cao nhất của CPC. Ở mức này, Phòng 2 cũng ngồi ở đỉnh một tổ chức phạm vi rộng
các văn phòng trực thuộc.
Hình 1: Vị trí của Đơn vị 61398 trong PLA11
.
8 Nhiệm vụ của Cục 3 là sự pha trộn khá thô của các nhiệm vụ do Cơ quan An ninh Quốc gia Mỹ, Viện Ngôn ngữ
Quốc phòng (Defense Language Institute), và các bộ phận của Cơ quan các Hệ thống Thông tin Quốc phòng
(Defense Information Systems Agency) gắn cho.
9 Bryan Krekel, Patton Adams, and George Bakos, “Occupying the Information High Ground: Chinese Capabilities
for Computer Network Operations and Cyber Espionage,” Prepared for the U.S.-China Economic and Security
Review Commission by Northrop Grumman Corp (2012): 47,
http://www.uscc.gov/RFP/2012/USCC20Report_Chinese_CapabilitiesforComputer_NetworkOperationsandCyberE
spionage.pdf, accessed February 6, 2013.
10 Ian Easton and Mark A. Stokes, “China’s Electronic Intelligence Satellite Developments: Implications for U.S. Air
and Naval Operations,” Project 2049 Institute (2011): 5,
http://project2049.net/documents/china_electronic_intelligence_elint_satellite_developments_easton_stokes.pdf,
accessed February 6, 2013.

Suy luận nhiệm vụ và các khả
năng tác chiến mạng máy tính
của Đơn vị 61398 (61398 部队)
Các tham chiếu sẵn sàng một cách công khai
khẳng định rằng Phòng 2, Cục 3 của GSD PLA,
là Đơn vị Quân sự Chỉ định Bao trùm (MUCD)
61398, thường được biết nhiều hơn như là Đơn vị
6139812
. Họ cũng rõ ràng chỉ ra rằng Đơn vị
61398 được giao nhiệm vụ với các tác chiến
mạng máy tính – CNO (Computer Network
Operations)13
. Viện dự án 2049 đã nêu trong năm
2011 rằng Đơn vị 61398 “dường như vận hành
như là thực thể đứng đầu của Cục 3 nhằm vào
Mỹ và Canada, hầu hết có khả năng tập trung vào tình báo có liên quan tới chính trị, kinh tế và quân
sự”14
. Nghiên cứu của chúng tôi ủng hộ điều này và cũng gợi ý các hoạt động CNO của Đơn vị
61398 không chỉ giới hạn cho Mỹ và Canada, mà có khả năng mở rộng tới bất kỳ tổ chức nào nơi
mà tiếng Anh là ngôn ngữ đầu tiên.
Nhận diện Phòng 2 Cục 3 GSD như là Đơn vị 61398
Sự quan tâm mà với nó PLA duy trì sự tách biệt giữa Phòng 2 Cục 3 GSD và MUCD 61398 có thể
một phần được quan sát thấy bằng việc tìm kiếm trên Internet các tài liệu chính thống từ chính phủ
Trung Quốc mà tham chiếu tới cả Phòng 2 và Đơn vị 61398. Hình 2 chỉ ra các kết quả của một
trong những truy vấn đó.
12 Mark A. Stokes, Jenny Lin, and L.C. Russell Hsiao, “The Chinese People’s Liberation Army Signals Intelligence
and Cyber Reconnaissance Infrastructure,” Project 2049 Institute (2011): 8,
http://project2049.net/documents/pla_third_department_sigint_cyber_stokes_lin_hsiao.pdf, accessed February 6,
2013.
13 U.S. Department of Defense defines Computer Network Operations as “Comprised of computer network attack,
computer network defense, and related computer network exploitation enabling operations. Also called CNO.
• computer network attack. Actions taken through the use of computer networks to disrupt, deny, degrade, or
destroy information resident in computers and computer networks, or the computers and networks themselves.
Also called CNA.
• computer network defense. Actions taken to protect, monitor, analyze, detect, and respond to unauthorized
activity within the Department of Defense information systems and computer networks. Also called CND.
• computer network exploitation. Enabling operations and intelligence collection capabilities conducted through
the use of computer networks to gather data from target or adversary automated information systems or
networks. Also called CNE.” U.S. Department of Defense, The Dictionary of Military Terms (New York:
Skyhorse Publishing, Inc.), 112.
14 Mark A. Stokes, Jenny Lin, and L.C. Russell Hsiao, “The Chinese People’s Liberation Army Signals Intelligence
and Cyber Reconnaissance Infrastructure,” Project 2049 Institute (2011): 8,
http://project2049.net/documents/pla_third_department_sigint_cyber_stokes_lin_hsiao.pdf, accessed February 6,
2013.
MUCD là gì?
Các đơn vị quân sự của Trung Quốc là các MUCD, tuần
tự đánh số 5 chữ số, để cung cấp sự nặc danh cơ bản
cho đơn vị theo yêu cầu và như một tham chiếu được
tiêu chuẩn hóa để tạo thuận lợi cho giao tiếp và hoạt
động (như, “Đơn vị 81356 đang dịch chuyển tới mục
tiêu”, so với “Tiểu đoàn 1, Trung đoàn 125, Sư đoàn 3,
Phương diện quân số 14 đang dịch chuyển tới mục
tiêu”). Các MUCD cũng được sử dụng trong các xuất
bản phẩm chính thức và trên Internet để tham chiếu tới
đơn vị đó theo yêu cầu. Các số MUCD thường được
hiển thị bên ngoài các doanh trại của một đơn vị, cũng
như trên quần áo, cờ quạt và nơi đồn trú của đơn vị đó.
Nguồn: Quân đội Trung Quốc Ngày nay: Truyền thống
và Sự biến đổi cho Thế kỷ 21 - Dennis J. Blasko

Hình 2: Không có kết quả nào được tìm thấy khi tìm kiếm “Phòng 2 Cục 3 GSD” và “Đơn vị
61398” trên bất kỳ website nào của chính phủ Trung Quốc.
Bất chấp những thách thức đối với chúng tôi về việc tìm kiếm một liên kết giữa Chính phủ Trung
Quốc và Đơn vị 61398 trên trực tuyến, những phát hiện của chúng tôi thấy các tham chiếu trực
tuyến chỉ ra rằng Phòng 2 Cục 3 GSD, thực sự là Đơn vị 61398. Đặc biệt, Google đã đánh chỉ số
các tham chiếu đối với Đơn vị 61398 trong các diễn đàn và các tóm tắt. Một khi các tham chiếu đó
từng được phát hiện với sự kiểm duyệt của CPC, thì những bài viết và các tài liệu đó có khả năng đã
được sửa đổi hoặc loại bỏ khỏi Internet. Hình 3 chỉ ra các kết quả của tìm kiếm trên Google về đơn
vị 61398 và một số “hits” trả lời (lưu ý rằng các liên kết xuất hiện trong các kết quả tìm kiếm đó có
khả năng sẽ phải bị loại bỏ vào thời điểm mà bạn đọc được báo cáo này):
Hình 3: Các kết quả tìm kiếm của Google chỉ ra “những rò rỉ” về Đơn vị 61398
Các yêu cầu nhân sự của Đơn vị 61398
Đơn vị 61398 dường như là tích cực thu hút và huấn luyện nhân sự nói tiếng Anh, chuyên tâm trong
một loạt rộng lớn các chủ đề không gian mạng. Nhân sự trước đây và hiện hành từ đơn vị này đã
bóng gió công khai về các lĩnh vực trọng tâm đó. Ví dụ, một sinh viên tốt nghiệp về giao tiếp bí
mật, Li Binbing (李兵兵), người công khai thừa nhận sự liên quan của anh ta với Đơn vị 61398, đã
xuất bản một tài liệu vào năm 2010 mà đã thảo luận về các giao tiếp bí mật được nhúng trong các
tài liệu Microsoft Word. Ví dụ khác là thông tin tiểu sử của nhà ngôn ngữ học tiếng Anh Wang
Weizhong (王卫忠), được cung cấp cho Phòng Thương mại Hebei (河北), mô tả việc huấn luyện
mà anh ta đã nhận được như một nhà ngôn ngữ học tiếng Anh trong khi được chỉ định tới Đơn vị
61398. Các ví dụ đó và khác thể hiện các lĩnh vực tinh thông của Đơn vị 61398 được liệt kê trong
Bảng 1 bên dưới.

Bảng 1: Các nguồn tiếng Trung tham chiếu tới các lĩnh vực tinh thông có trong Đơn vị 61398
Dạng tinh thông ở
Đơn vị 61398 (部队)
Nguồn mô tả sự tinh thông đó ở đơn vị 61398
Các giao tiếp bí mật Bài báo trong tạp chí hàn lâm Trung Quốc. Tác giả thứ 2 là Li Bingbing (李兵兵) tham
chiếu tới Đơn vị 61398 như là nguồn của sự tinh thông của anh ta về chủ đề đó15
.
Ngôn ngữ học tiếng
Anh
Tiểu sử của thành viên Phòng Thương mại Hebei Wang Weizhong (王卫忠). Ông mô tả
rằng ông đã nhận được việc huấn luyện của ông như một nhà ngôn ngữ học tiếng Anh
trong dịch vụ của ông ở Đơn vị 61398. (Hebei là một thị xã ở Thượng Hải)16
.
Chi tiết bên trong hệ
thống điều hành
Bài báo trong tạp chí nghiên cứu tiếng Trung. Tác giả thứ 2 Yu Yunxiang (虞云翔) tham
.
Xử lý tín hiệu số Bài báo trong tạp chí nghiên cứu tiếng Trung. Tác giả thứ 2 Peng Fei (彭飞) tham chiếu
tới Đơn vị 61398 như là nguồn của sự tinh thông của anh ta về chủ đề đó18
.
An ninh mạng Bài báo trong tạp chí nghiên cứu tiếng Trung. Tác giả thứ 3 Chen Yiqun (陈依群) tham
.
Bổ sung thêm, có bằng chứng là Đơn vị 61398 xông xáo tuyển tài năng mới từ các phòng Khoa học
và Kỹ thuật của các đại học như Viện Công nghệ Harbin (哈尔滨工业大学) và Trường Khoa học
và Công nghệ Máy tính của Đại học Zhejiang (浙江大学计算机学院). Đa số “các mã nghề nghiệp”
(专业代码) mô tả các vị trí mà Đơn vị 61398 đang tìm kiếm để làm đầy các kỹ năng máy tính đòi
hỏi kỹ thuật cao. Nhóm đó cũng dường như có một yêu cầu thường xuyên về sự thành thạo mạnh
mẽ về tiếng Anh. Bảng 2 đưa ra 2 ví dụ về các mã nghề nghiệp cho các vị trí ở Đơn vị 61398, cùng
với các khóa học đại học và sự thành thạo được yêu cầu có liên quan tới từng nghề nghiệp20
.
15 Li Bing-bing, Wang Yan-Bo, and Xu Ming, “An information hiding method of Word 2007 based on image
covering,” Journal of Sichuan University (Natural Science Edition) 47 (2010),
http://www.paper.edu.cn/journal/downCount/0490-6756(2010)S1-0031-06, accessed February 6, 2013.
16 Hebei Chamber of Commerce, Bio of member Wang Weizhong (2012), http://www.hbsh.org/shej_ejsheqmsg.aspx?
mid=26&uid=06010000&aid=06, accessed February 6, 2013.
17 Zeng Fan-jing, Yu Yun-xiang, and Chang Li, “The Implementation of Overlay File System in Embedded Linux,”
Journal of Information Engineering University 7 (2006), http://file.lw23.com/9/98/984/98401889-9da6-4c38-b9d2-
5a5202fd1a33.pdf, accessed February 6, 2013.
18 Zhao Ji-yong, Peng Fei, and Geng Chang-suo, “ADC’s Performance and Selection Method of Sampling Number of
Bits,” Journal of Military Communications Technology 26, (2005), http://file.lw23.com/f/f1/f14/f14e7b60-3d60-
4184-a48f-4a50dd21927c.pdf, accessed February 6, 2013.
19 Chen Qiyun, Chen Xiuzhen, Chen Yiqun, and Fan Lei, “Quantization Evaluation Algorithm for Attack Graph Based
on Node Score,” Computer Engineering 36 (2010), http://www.ecice06.com/CN/article/downloadArticleFile.do?
attachType=PDF&id=19627, accessed February 7, 2013.
20 Two Chinese universities hosting Unit 61398 recruiting events:
• Zhejiang University: http://www.cs.zju.edu.cn/chinese/redir.php?catalog_id=101913&object_id=106021
• Harbin Institute of Technology: http://today.hit.edu.cn/articles/2004/2-23/12619.htm

Bảng 2: 2 mã nghề nghiệp và các khóa học của đại học được khuyến cáo cho các sinh viên có ý
định xin vào các vị trí ở Đơn vị 61398
Mã nghề nghiệp Sự thành thạo được yêu cầu
080902 - Mạch và
hệ thống
• 101 - Chính trị
• 201 - Tiếng Anh
• 301 - Toán học
• 842 - Mạch tín hiệu và số (hoặc) 840 – Mạch
• Phỏng vấn cộng với một bài kiểm tra nhỏ được viết ra
◦ Tri thức và năng lực toàn diện của nghề nghiệp dựa vào các mạch và hệ thống
◦ Tinh thần và khả năng đồng đội để làm việc với những người khác để phối hợp
◦ Sự thành thạo tiếng Anh
801000 - Thông
tin và kỹ thuật
truyền thông
• 101 - Chính trị
• 201 - Tiếng Anh
• 301 - Toán học
• 844 - Cơ bản về mạch tín hiệu
Kích cỡ và vị trí của các cá nhân và cơ sở của Đơn vị 61398
Dựa vào kích cỡ hạ tầng vật lý của Đơn vị 61398, chúng tôi ước lượng rằng đơn vị đó có hàng trăm
và có thể là hàng ngàn nhân viên. Đây là phép ngoại suy dựa vào những tiết lộ công khai từ bên
trong việc mô tả của Trung Quốc về vị trí và các cài đặt triển khai vật lý có liên quan tới Đơn vị
61398. Ví dụ, các nguồn công cộng khẳng định rằng đầu năm 2007, Nhóm Kỹ thuật Xây dựng
Jiangsu Longhai (江苏龙海建工集团有限公司) đã hoàn tất công việc trong một tòa nhà mới cho
Đơn vị 61398 nằm ở Datong Road 208 bên trong Khu Mới của Pudong ở Thượng Hải (上海市浦东
新区高桥镇大同路 208 号)21
, được tham chiếu tới như là “Tòa nhà Trung tâm của Đơn vị 61398”
(61398 部队中心大楼). Trong tòa nhà cao 12 tầng với diện tích mặt bằng 130.663 dặm vuông,
chúng tôi ước tính rằng khu nhà này chứa các văn phòng cho khoảng 2.000 người. Từ Hình 4 tới
Hình 7 đưa ra toàn bộ quang cảnh và cảnh quan mức đường phố của tòa nhà và vị trí của nó, chỉ ra
kích cỡ của nó. Đây chỉ là một trong vài tòa nhà của đơn vị này, một số trong số đó thậm chí còn
rộng lớn hơn.
21 See http://www.czzbb.net/czzb/YW_Info/YW_ZiGeYS/BaoMingInfo.aspx?
YW_RowID=41726&BiaoDuanBH=CZS20091202901&enterprise_id=70362377-3 for documentation of the
contract award to Jiangsu Langhai Construction Engineering Group for Unit 61398’s Center Building, among
several other buildings; accessed February 5, 2013.

Hình 4: Datong khoảng năm 2006 (trước khi xây dựng Tòa nhà Trung tâm của Đơn vị 61398)
Bản quyền hình ảnh 2013 DigitalGlobe

Hình 5: Datong khoảng năm 2008 (Tòa nhà Trung tâm của Đơn vị 61398 nhìn thấy được ở
208 Datong) Bản quyền hình ảnh 2013 DigitalGlobe

Hình 6: Tòa nhà Trung tâm của Đơn vị 61398 (cửa chính, nhìn thấy các binh lính) Bản quyền
ảnh 2013 của city8.com

Hình 7: Tòa nhà Trung tâm của Đơn vị 61398 208 Datong (quang cảnh hiếm thấy, có khả
năng nhìn thấy khí thải của máy phát điện) Bản quyền hình ảnh 2013 của city8.com

Đơn vị 61398 cũng có một sự phân loại đầy đủ các đơn vị hỗ trợ và hạ tầng vật lý có liên quan,
nhiều trong số đó nằm trên một phần trải rộng của Datong Road (大同路) ở Gaoqiaozhen (高桥镇),
ở Khu Mới của Pudong (浦东新区) ở Thượng Hải (上海)22
. Các đơn vị hỗ trợ đó bao gồm một đơn
vị hỗ trợ hậu cần, phòng khám bệnh nhân ngoại trú, và nhà trẻ, cũng như là các nhà nghỉ nằm cả ở
Gaoqiaozhen và ở các vị trí khác ở Thượng Hải23
. Những tiện nghi đó thường có liên quan tới các
đơn vị quân sự lớn hoặc các đơn vị ở các thứ hạng cao hơn. Sự tiệm cận gần các tiện nghi đó hỗ trợ
cho tranh luận rằng Đơn vị 61398 chiếm một vị thế mức cao trong tôn ti trật tự về tổ chức của PLA
(xem Hình 1: các vị trí của Đơn vị 61398 trong PLA)24
.
Đơn vị 61398 và Doanh nghiệp nhà nước China Telecom đang cùng xây dựng hạ
tầng hoạt động mạng máy tính
Mandiant đã phát hiện tài liệu trực tuyến nội bộ của China Telecom đưa ra các chi tiết về hạ tầng
được cung cấp cho Đơn vị 61398. Bản ghi chép (Hình 8) hé lộ rằng các lãnh đạo của China
Telecom quyết định “cùng xây dựng” với Đơn vị 61398 để khẳng định sự sử dụng kiểm kê của
riêng họ trong xây dựng các đường truyền thông cáp quang dựa vào nguyên tắc rằng việc xây dựng
22 Confirmation of several other Unit 61398 support facilities along Datong Road:
Address: 上海市浦东新区大同路50号 (Pudong New Area, Shanghai, Datong Road 50)
Building Name: 中国人民解放军第61398部队司令部 (People’s Liberation Army Unit 61398 Headquarters)
Source: Chinese phone book listing building name and address; http://114.mingluji.com/minglu/%E4%B8%AD
%E5%9B%BD%E4%BA%BA%E6%B0%91%E8%A7%A3%E6%94%BE%E5%86%9B% E7%AC
%AC61398%E9%83%A8%E9%98%9F%E5%8F%B8%E4%BB%A4%E9%83%A8, accessed February 6, 2013.
Address: 上海市浦东新区大同路118弄甲 (Pudong New Area, Shanghai, Datong Road 118 A)
Building Name: 中国人民解放军第61398部队司令部 (People’s Liberation Army Unit 61398 Headquarters)
Chinese phone book listing building name and address; http://114.mingluji.com/minglu/%E4%B8%AD%E5%9B%BD
%E4%BA%BA%E6%B0%91%E8%A7%A3%E6%94%BE%E5%86%9B
%E7%ACAC61398%E9%83%A8%E9%98%9F%E5%8F%B8%E4%BB%A4%E9%83%A8_0, accessed February 6,
2013.
Address: 上海市浦东新区高桥镇大同路135号 (Pudong New Area, Shanghai Gaoqiao Town, Datong Road 135)
Building Name: 中国人民解放军第61398部队 (People’s Liberation Army Unit 61398)
%E4%BA%BA%E6%B0%91%E8%A7%A3%E6%94%BE%E5%86%9B%E7%AC
%AC61398%E9%83%A8%E9%98%9F_0, accessed February 6, 2013.
Address: 上海市浦东新区高桥镇大同路153号 (Pudong New Area, Shanghai Gaoqiao Town, Datong Road 153)
Building Name: 中国人民解放军第61398部队 (People’s Liberation Army Unit 61398)
%E4%BA%BA%E6%B0%91%E8%A7%A3%E6%94%BE%E5%86%9B%E7%AC
%AC61398%E9%83%A8%E9%98%9F, accessed February 6, 2013.
Address: 上海市浦东新区大同路305号 (Pudong New Area, Shanghai, Datong Road 305)
Building Name: 中国人民解放军第61398部队后勤部 (Logistics Department of the Chinese People’s Liberation Army
Unit 61,398)(Chinese phone book listing building name and address; http://114.mingluji.com/category/%E7%B1%BB
%E5%9E%8B/%E4%B8%AD%E5%9B%BD%E4%BA%BA%E6%B0%91%E8%A7%A3%E6%94%BEE5%86%9B?
page=69, accessed February 6, 2013.
23 Unit 61398 Kindergarden Listed in Shanghai Pudong: http://www.pudong-du.sh.cn/Web/PD/jyzc_school.aspx?
SiteID=45&UnitID=2388

quốc phòng là quan trọng. Bức thư dường như cũng chỉ ra rằng đây là sự cân nhắc đặc biệt đang
được làm vượt ra khỏi “phương pháp cho thuê thông thường” của China Telecom cho Đơn vị
61398. Bổ sung thêm, bản ghi chép làm rõ cụm từ “Đơn vị 61398” với bình luận “(Phòng 2 Cục 3
GSD)”, mà cũng hé lộ mối quan hệ giữa một “phòng truyền thông và kiểm soát rất quan trọng”
(Đơn vị 61398) và một doanh nghiệp nhà nước có ảnh hưởng lớn.
Hình 8: Bản ghi chép của China Telecom thảo luận nguồn của Đơn vị 61398:
http://r9.he3.com.cn/%E8%A7%84%E5%88%92/%E9%81%93%E8%B7%AF%E5%8F%8A
%E5%85%B6%E4%BB%96%E8%A7%84%E5%88%92%E5%9B%BE%E7%BA%B8/%E4%BF
%A1%E6%81%AF%E5%9B%AD%E5%8C%BA/%E5%85%B3%E4%BA%8E%E6%80%BB
%E5%8F%82%E4%B8%89%E9%83%A8%E4%BA%8C%E5%B1%80-%E4%B8%8A
%E6%B5%B7005%E4%B8%AD%E5%BF%83%E9%9C%80%E4%BD%BF
%E7%94%A8%E6%88%91%E5%85%AC%E5%8F%B8%E9%80%9A%E4%BF%A1.pdf25
.
25 Liên kết này có các ký tự tiếng Trung trong nó được thể hiện trong việc mã hóa URL

Báo cáo của bộ phận các công việc kiểm soát kiểm tra thị trường của các Cục
Yêu cầu về sự hợp lực có liên quan tới Phòng 2 Cục 3 GSD
Yêu cầu sử dụng kênh giao tiếp của công ty chúng tôi,
Kính gửi lãnh đạo Wu:
Đơn vị 61398 của PLA (Phòng 2 Cục 3 GSD ) đã viết cho chúng tôi vài ngày trước nói rằng, tuân
theo chỉ huy trung ương “8508” của họ về nhu cầu xây dựng chiến lược chiến tranh [hoặc hạ tầng],
Phòng 2 Cục 3 GSD (Cơ sở Gaoqiao) cần giao tiếp liên lạc với Trung tâm 005 của Thành phố
Thượng Hải (Trung tâm Kiểm soát Mạng Truyền thông nội bộ Thượng Hải bên trong Phòng Cổng
phía Đông) có liên quan tới các công việc truyền thông liên lạc nội bộ. Phòng này đã đặt rồi cáp
quang ở Cổng phía Đông lối vào chính [đầu đường]. Họ cần sử dụng 2 cổng (port) để vào được
kênh truyền thông Cổng phía Đông của công ty chúng ta. Độ dài là khoảng 30m. Cùng lúc, xây
dựng giai đoạn 2 (ở Cơ sở Gaoqiao) cần phải vào được Trung tâm 005 Công viên Truyền thông
Nanhui Thượng Hải của công ty chúng ta (phòng sử dụng đặc biệt). Cáp quang quân sự này đã
được đặt rồi ở lối vào Công viên Truyền thông Nanhui Thượng Hải. Độ dài là 600m. Theo thỏa
thuận của bộ phận chúng ta với nhánh truyền thông của Phòng 2 Cục 3 GSD, quân đội đã hứa trả
tiền nhiều nhất là 40.000 Yuan cho từng cổng. Họ cũng hy vọng Shanghai Telecom sẽ hoàn thành
một cách trơn tru tác vụ này cho quân đội dựa vào nguyên tắc rằng xây dựng quốc phòng là quan
trọng. Sau khi kiểm tra các kênh các khu vực ở trên, công ty chúng ta có sự kiểm kê khá nhiều để
làm thỏa mãn yêu cầu của quân đội.
Đây là gợi ý của chúng ta: vì điều này có liên quan tới xây dựng quốc phòng, và cũng vì Phòng 2
Cục 3 là cơ quan kiểm soát truyền thông quan trọng, chúng ta đồng ý cung cấp các kênh được yêu
cầu theo giá được bên quân đội gợi ý. Vì đây là thanh toán 1 lần, và là khó để sử dụng phương
pháp cho thuê thông thường, chúng ta gợi ý công ty chúng ta chấp nhận thanh toán 1 lần bằng việc
sử dụng lý do về “Cùng xây dựng với quân đội [với China Telecom] các kênh truyền thông” và
cung cấp từ sự kiểm kê của chúng ta. Việc cùng tòa nhà quân đội không can thiệp vào với các
quyền sở hữu độc quyền của chúng ta. Nếu điều gì đó gây đứt đoạn, thì quân đội có trách nhiệm
sửa nó và trả tiền cho những phí tổn. Sau khi bạn đồng ý với gợi ý của chúng ta, thì chúng ta sẽ ký
một thỏa thuận với nhánh truyền thông của 61398 và triển khai nó.
Xin hãy đưa ra một tuyên bố về việc liệu gợi ý ở trên có phù hợp hay không.
[Viết tay] Đồng ý với gợi ý của bộ phận các công việc kiểm soát kiểm tra thị trường của các Cục;
trong thảo thuận rõ ràng [… định nghĩa? (không hợp pháp)...] các trách nhiệm của cả 2 bên.
Hình 9: Bản dịch tiếng Anh ghi chép của China Telecom

Tóm lược về Đơn vị 61398 của PLA
Bằng chứng chúng tôi đã thu thập được về nhiệm vụ và hạ tầng của Đơn vị 61398 của PLA hé lộ
một tổ chức mà:
• Thuê hàng trăm, có lẽ hàng ngàn nhân viên
• Yêu cầu các nhân viên được huấn luyện trong các hoạt động máy tính và mạng máy tính
• Yêu cầu nhân viên tinh thông về tiếng Anh
• Có hạ tầng và các cơ sở phạm vi rộng lớn ở “Khu Mới của Pudong” ở Thượng Hải
• Có lợi ích đối với hạ tầng truyền thông cáp quang đặc biệt được doanh nghiệp nhà nước
China Telecom cung cấp nhân danh của quốc phòng.
Các phần sau đây của báo cáo này chi tiết hóa các hoạt động ăn cắp dữ liệu và gián điệp không gian
mạng của APT1. Phạm vi và sự bền lâu cực rộng của các cuộc tấn công dai dẳng đó để lại ít nghi
ngờ về phạm vi chuyên nghiệp của tổ chức đứng đằng sau chiến dịch này. Chúng tôi sẽ thể hiện
rằng bản chất tự nhiên của các nạn nhân bị APT1 ngắm đích và hạ tầng và chiến thuật của các nhóm
là phù hợp với nhiệm vụ và hạ tầng của Đơn vị 61398 của PLA.

APT1: Những năm làm gián điệp
Bằng chứng của chúng tôi chỉ ra rằng APT1 đã và đang ăn cắp hàng
trăm terabyte dữ liệu từ ít nhất 141 tổ chức xuyên khắp một tập hợp đa
dạng các nền công nghiệp, bắt đầu từ đầu năm 2006. Đáng chú ý, chúng
tôi đã chứng kiến hàng tá các tổ chức là mục tiêu của APT1 cùng một
lúc. Một khi nhóm đó thiết lập được sự truy cập tới mạng của một nạn
nhân, thì họ tiếp tục truy cập nó một cách định kỳ qua vài tháng hoặc vài
năm để ăn cắp dung lượng lớn sở hữu trí tuệ đáng giá, bao gồm cả các
bản thiết kế công nghệ, các qui trình sản xuất sở hữu độc quyền, các kết
quả kiểm thử, các kế hoạch kinh doanh, các tài liệu định giá, các thỏa
thuận đối tác, các thư điện tử và danh sách liên hệ từ lãnh đạo của các tổ
chức nạn nhân. Chúng tôi tin tưởng rằng hoạt động rộng rãi mà chúng
tôi đã trực tiếp quan sát thấy chỉ đại diện cho một phần nhỏ của sự gián
điệp không gian mạng mà APT1 đã thực hiện.
APT1 đặt ra sự “Thường trực” trong APT
Kể từ năm 2006 chúng tôi đã từng thấy APT1 không ngớt mở rộng sự
truy cập của nó tới các nạn nhân mới. Hình 10 chỉ ra khung thời gian
của 141 sự tổn thương mà chúng tôi nhận thức được; từng dấu mốc
trong hình đại diện cho một nạn nhân riêng rẽ và chỉ ra năm được khẳng
định sớm nhất về hoạt động của APT1 trong mạng của các tổ chức đó26
.
Với bản chất tự nhiên sớm nở tối tàn của bằng chứng điện tử, nhiều
ngày tháng của hoạt động APT1 được biết trước đó được chỉ ra ở đây
không đánh giá đúng sự bền lâu của sự hiện diện của APT1 trong mạng.
Hình 10: Khung thời gian chỉ ra thời gian hoạt động của APT1 được
biết sớm nhất trong các mạng của 141 tổ chức theo đó Mandiant đã
quan sát thấy APT1 tiến hành gián điệp không gian mạng.
26 Hình 10 chỉ rằng chúng tôi đã từng thấy APT1 gây tổn thương cho số lượng ngày một nhiều các tổ chức mỗi năm,
điều có thể phản ánh một sự gia tăng trong hoạt động của APT1. Tuy nhiên, sự gia tăng này cũng có thể đơn giản
phản ánh sự nhìn thấy đang mở rộng của Mandiant trong các hoạt động của APT1 khi công ty đã trưởng thành và

Một khi APT1 đã làm tổn thương một mạng, họ lặp đi lặp lại giám sát và
ăn cắp dữ liệu sở hữu độc quyền và các giao tiếp truyền thông từ nạn
nhân nhiều tháng hoặc thậm chí nhiều năm. Đối với các tổ chức trong
Hình 10, chúng tôi đã thấy rằng APT1 đã duy trì sự truy cập tới mạng
của các nạn nhân trung bình 356 ngày27
. Khoảng thời gian dài nhất mà
APT1 đã duy trì truy cập tới mạng của một nạn nhân là 1.764 ngày, hoặc
4 năm và 10 tháng. APT1 từng không liên tục hoạt động hàng ngày trong
khoảng thời gian đó; tuy nhiên, trong đa số lớn các trường hợp mà chúng tôi đã quan sát thấy, APT1
đã liên tục tiến hành ăn cắp dữ liệu miễn là chúng có sự truy cập tới mạng.
Trọng tâm các nền công nghiệp và vị trí địa lý của APT1
Các tổ chức bị APT1 ngắm đích trước hết tiến hành các hoạt động của họ bằng tiếng Anh. Tuy
nhiên, chúng tôi cũng thấy nhóm đó ngắm một số nhỏ các nạn nhân không nói tiếng Anh. 87% các
nạn nhân của APT1 mà chúng tôi đã quan sát thấy đặt trụ sở ở các nước nơi mà tiếng Anh là ngôn
ngữ bẩm sinh (xem Hình 11). Điều này bao gồm 115 nạn nhân nằm ở Mỹ và 7 nạn nhân ở Canada
và Anh. Trong phần còn lại 19 nạn nhân, 17 sử dụng tiếng Anh như là ngôn ngữ đầu tiên cho các
hoạt động. Chúng bao gồm các cơ quan cộng tác và phát triển quốc tế, các chính phủ nước ngoài mà
ở đó tiếng Anh là một trong nhiều ngôn ngữ chính thức, và các cơ quan đầu não quốc gia mà trước
nhất tiến hành việc kinh doanh của họ bằng tiếng Anh. Chỉ có 2 nạn nhân dường như vận hành bằng
việc sử dụng một ngôn ngữ không phải tiếng Anh. Biết rằng sự thông thạo tiếng Anh được yêu cầu
đối với nhiều thành viên của Đơn vị 61398 của PLA, chúng tôi tin tưởng rằng 2 nạn nhân không nói
tiếng Anh là sự bất bình thường đại diện cho các trường hợp mà ở đó APT1 đã tiến hành các tác vụ
bên ngoài các hoạt động thông thường của họ.
nhận thức của các nạn nhân về hoạt động gián điệp không gian mạng trong các mạng của họ được cải thiện.
27 Điều này dựa vào 91 trong số 141 tổ chức nạn nhân được nêu. Trong các trường hợp còn lại, hoạt động của APT1
hoặc đang tiếp diễn hoặc chúng tôi không thấy trong những ngày tháng được biết mới nhất về hoạt động của APT1
trong mạng đó.
Khoảng thời gian dài
nhất theo đó APT1 đã
liên tục truy cập mạng
của một nạn nhân:
4 năm, 10 tháng

Hình 11: Vị trí địa lý các nạn nhân của ATP1. Trong trường hợp các nạn nhân ở dạng đa quốc
gia, thì vị trí được chỉ ra phản ánh hoặc chi nhánh của tổ chức mà APT1 đã gây tổn thương
(khi được biết), hoặc là vị trí của các trụ sở chính của tổ chức đó.
APT1 đã thể hiện khả năng và ý định ăn cắp từ hàng tá các tổ chức khắp một dải rộng lớn các nền
công nghiệp hầu như đồng thời cùng một lúc. Hình 12 đưa ra một cách nhìn về ngày tháng được
biết sớm nhất về hoạt động của APT1 chống lại tất cả 141 nạn nhân mà chúng tôi đã nhận diện,
được tổ chức theo 20 nền công nghiệp chính mà họ đại diện. Các kết quả gợi ý rằng nhiệm vụ của
APT1 là cực kỳ rộng lớn; nhóm đó không ngắm đích các nền công nghiệp một cách có hệ thống, mà
nhiều khả năng hơn ăn cắp từ một dải khổng lồ các nền công nghiệp một cách liên tục. Vì các tổ
chức được đưa vào trong hình chỉ đại diện cho một phần các nạn nhân của APT1 mà chúng tôi đã
khẳng định trực tiếp, nên dải các nền công nghiệp mà APT1 ngắm đích có thể thậm chí rộng lớn
hơn so với những phát hiện của chúng tôi gợi ý.
Hơn nữa, phạm vi các hoạt động song song của APT1 ngụ ý là nhóm đó có các tài nguyên nhân sự
và kỹ thuật đáng kể để sắp đặt bố trí. Trong tháng đầu của năm 2011, ví dụ, Hình 12 chỉ ra rằng
APT1 làm tổn thương thành công 17 nạn nhân mới hoạt động trong 10 nền công nghiệp khác nhau.
Khi chúng tôi đã thấy rằng nhóm đó vẫn tích cực trong mạng của từng nạn nhân trung bình gần 1
năm sau ngày bị tổn thương đầu tiên, chúng tôi suy luận rằng APT1 đã làm hại tới 17 lỗ hổng mới
đó trong khi cùng một lúc duy trì sự truy cập tới và tiếp tục ăn cắp các dữ liệu từ một số nạn nhân bị
tổn thương trước đó.

Hình 12: Khung thời gian của các hoạt động gián điệp không gian mạng của APT1 chống lại
các tổ chức của giới công nghiệp. Các điểm trong từng thanh đại diện cho thời gian được biết
sớm nhất theo đó APT1 đã làm tổn thương một tổ chức mới trong nền công nghiệp đó.

Chúng tôi tin tưởng rằng các tổ chức trong tất cả các nền công nghiệp có liên quan tới các ưu tiên
chiến lược của Trung Quốc là những mục tiêu tiềm tàng của chiến dịch gián điệp không gian mạng
toàn diện của APT1. Trong khi chúng tôi rõ ràng đã thấy nhóm ngắm đích một số nền công nghiệp
này nặng hơn các nền công nghiệp khác (xem Hình 13), thì những quan sát thấy được của chúng tôi
khẳng định rằng APT1 đã ngắm đích ít nhất 4 trong số 7 nền công nghiệp chiến lược đang nổi lên
mà Trung Quốc đã nhận diện trong Kế hoạch 5 năm lần thứ 12 của nó28
.
Hình 13: Số lượng các nạn nhân của APT1 theo nền công nghiệp. Chúng tôi đã xác định được
nền công nghiệp của từng tổ chức dựa vào việc rà soát lại sự phân loại các nền công nghiệp
của tổ chức theo hệ thống Hoover29
. Chúng tôi cũng đã cân nhắc nội dung của các dữ liệu mà
APT1 đã ăn cắp trong từng trường hợp, ở mức độ mà thông tin này là sẵn sàng.
28 Joseph Casey and Katherine Koleski, Backgrounder: China’s 12th Five-Year Plan, U.S.-China Economic &
Security Review Commission (2011), 19, http://www.uscc.gov/researchpapers/2011/12th-
FiveYearPlan_062811.pdf, accessed February 3, 2013.
29 http://www.hoovers.com/

APT1 ăn cắp dữ liệu
APT1 ăn cắp một dải rộng lớn các thông tin từ các nạn nhân của mình. Các dạng thông tin mà nhóm
đã ăn cắp có liên quan tới:
• phát triển và sử dụng sản phẩm, bao gồm thông tin về các kết quả kiểm thử, các thiết kế hệ
thống, các sách chỉ dẫn sản phẩm, các danh sách các phần và các công nghệ mô phỏng;
• các thủ tục sản xuất, như các mô tả các qui trình sở hữu độc quyền, các tiêu chuẩn và các qui
trình quản lý rác thải;
• các kế hoạch kinh doanh, như thông tin về các quan điểm thương thảo và định giá sản phẩm
của hợp đồng, các sự kiện pháp lý, các vụ sát nhập, các liên danh và các mua sắm;
• các quan điểm về chính sách và các phân tích, như các sách trắng, và các chương trình nghị
sự và các biên bản từ các cuộc họp có liên quan tới nhân sự cấp cao;
• các thư điện tử của các nhân viên cấp cao; và
• các ủy quyền của người sử dụng và thông tin về kiến trúc mạng
Thường là khó cho chúng tôi để đánh giá bao nhiêu dữ liệu APT1 đã ăn cắp trong các vụ thâm nhập
trái phép của họ vì một vài lý do:
• APT1 xóa các lưu trữ được nén sau khi họ ăn cắp vặt chúng, để lại chỉ bằng chứng lần vết
mà thường bị ghi đè trong các hoạt động nghiệp vụ thông thường.
• Việc giám sát an ninh mạng đã tồn tại từ trước rồi hiếm khi ghi lại hoặc nhận diện ra được
sự ăn cắp dữ liệu.
• Sự bền lâu về thời gian giữa ăn cắp dữ liệu và điều tra của Mandiant thường quá lớn, và
bằng chứng lần vết ăn cắp dữ liệu bị ghi đè trong thủ tục nghiệp vụ thông thường.
• Một số nạn nhân có ý định trong việc chỉ định các tài nguyên để phục hồi an ninh mạng của
họ tại chỗ với việc điều tra và việc hiểu tác động của lỗ hổng an ninh.
Thậm chí với những thách thức đó, chúng tôi đã quan sát thấy APT1 ăn cắp tới 6.5 terabyte các dữ
liệu được nén từ một tổ chức duy nhất trong khoảng thời gian 10 tháng. Đưa ra phạm vi mục tiêu,
cùng với lượng dữ liệu mà họ rõ ràng có khả năng ăn cắp từ bất kỳ tổ chức duy nhất nào, APT1 có
khả năng đã ăn cắp hàng trăm terabyte từ các nạn nhân của nó.
Dù chúng tôi không có bằng chứng trực tiếp chỉ ra ai nhận thông tin mà
APT1 ăn cắp hoặc cách mà người nhận xử lý một lượng dữ liệu khổng lồ
như vậy, thì chúng tôi cũng tin tưởng rằng thông tin ăn cắp được này có
thể được sử dụng cho ưu thế rõ ràng của PRC và các doanh nghiệp nhà
nước của Trung Quốc. Như một ví dụ, trong năm 2008, APT1 đã gây tổn
thương cho mạng của một công ty có liên quan tới một nền công nghiệp
Ăn cắp dữ liệu lớn
nhất của APT1 từ một
tổ chức duy nhất:
6.5 Terabyte
trong vòng 10 tháng

bán sỉ. APT1 đã cài đặt các công cụ để tạo ra các lưu trữ tệp được nén và để trích tách các thư điện
tử và tệp gắn kèm. Qua 2 năm rưỡi sau, APT1 đã ăn cắp được một số lượng tệp không được biết từ
nạn nhân và đã truy cập lặp đi lặp lại các tài khoản thư điện tử của vài lãnh đạo, bao gồm cả CEO
và Tổng Cố vấn. Cũng trong cùng khoảng thời gian này, các tổ chức tin tức chính đã nói rằng Trung
Quốc đã thương thảo thành công giảm được 2 con số về giá với một đơn vị của tổ chức nạn nhân về
một trong những hàng hóa chủ chốt của mình. Điều này có thể là sự trùng khớp ngẫu nhiên; tuy
nhiên, có lẽ là ngạc nhiên nếu APT1 có thể tiếp tục thực hiện kém một ủy thác gián điệp không gian
mạng và ăn cắp dữ liệu rộng rãi như vậy nếu các kết quả các nỗ lực của nhóm đó không tìm được
cách thức của chúng trong tay của các thực thể có khả năng thương mại hóa dựa vào chúng.
Tin tức về APT1
Việc báo cáo công khai làm chứng và mở rộng cho các quan sát của chúng tôi về hoạt động gián
điệp không gian mạng của APT1. Tuy nhiên, vài yếu tố làm phức tạp cho qui trình biên soạn và
tổng hợp các báo cáo công khai về APT1. Một mặt, các nhà nghiên cứu và phóng viên về an ninh
thông tin tham chiếu tới APT1 theo các tên khác nhau. Bổ sung thêm, nhiều nhà phân tích an ninh
không gian mạng tập trung vào việc viết về các công cụ được chia sẻ giữa nhiều nhóm APT của
Trung Quốc mà không phân biệt giữa các tác nhân khác nhau mà sử dụng chúng.
Để hỗ trợ cho các nhà nghiên cứu trong việc nhận diện được các báo cáo công khai nào mô tả nhóm
các mối đe dọa mà chúng tôi xác định như là APT1, Bảng 3 đưa ra một danh sách các tên hiệu
nhóm APT thường xuyên xuất hiện trong giới truyền thông và phân biệt được các tên hiệu mô tả
APT1 và các tên hiệu không phải của nó. Bổ sung thêm, bên dưới là một danh sách các báo cáo
công khai về các tác nhân của các mối đe dọa của Trung Quốc mà chúng tôi đã khẳng định như là
tham chiếu tới APT1.
• Báo cáo công khai được biết tới sớm nhất về hạ tầng của APT1 là một xuất bản phẩm năm
2006 từ đơn vị Symantec của Nhật30
. Báo cáo đưa ra tên máy chủ sb.hugesoft.org, nó được
đăng ký cho một người của APT1 được biết tới như là Ugly Gorilla (con Gorilla xấu xí)
(được thảo luận sau trong báo cáo này).
• Vào tháng 09/2012, Brian Krebs của blog tội phạm không gian mạng “Krebs on Security”
(Krebs về An ninh) đã nêu về một lỗ hổng an ninh ở công ty Telvent Canada Ltd (bây giờ là
Schneider Electric) mà chúng tôi đã quy cho APT1 dựa vào các công cụ và hạ tầng mà các
tin tặc đã sử dụng để khai thác và giành được sự truy cập tới hệ thống31
.
30 Symantec, “Backdoor.Wualess,” Symantec Security Response (2007),
http://www.symantec.com/ja/jp/security_response/print_writeup.jsp?docid=2006-101116-1723-99, accessed
February 3, 2013.
31 Brian Krebs, “Chinese Hackers Blamed for Intrusion at Energy Industry Giant Telvent,” Krebs on Security (2012)
http://krebsonsecurity.com/2012/09/chinese-hackers-blamed-for-intrusion-at-energy-industry-giant-telvent/,
accessed February 3, 2013

Bảng 3: Xác định các tên hiệu của APT1 trong tin tức
Tên hiệu Nhận định
Comment Crew Được khẳng định là APT1
Comment Group Được khẳng định là APT1
Shady Rat Có thể là APT1 (chưa được khẳng định)
Nitro Attacks Không phải APT1; được qui cho nhóm APT bị theo dõi khác
Elderwood Không phải APT1; được qui cho nhóm APT bị theo dõi khác
Sykipot Không phải APT1; được qui cho nhóm APT bị theo dõi khác
Aurora Không phải APT1; được qui cho nhóm APT bị theo dõi khác
Night Dragon Không phải APT1; được qui cho nhóm APT bị theo dõi khác
• Một công ty an ninh SCADA có tên là Digital Bond đã xuất bản một báo cáo về phishing
xiên cắm (spear phishing) chống lại công ty vào tháng 06/201232
. AlienVault đã đưa ra phân
tích về phần mềm độc hại có liên quan33
. Các chỉ số được đưa vào trong báo cáo đã được
quy như là một phần của hạ tầng của APT1.
• Vào tháng 11/2012, Chloe Whiteaker của Bloomberg là tác giả của một mẩu tin về một
nhóm các mối đe dọa của Trung Quốc gọi là “Comment Group” (Nhóm Bình luận), đã mô
tả các công cụ và các miền khác nhau được cá nhân Ugly Gorilla của APT1 sử dụng34
.
32 Reid Wightman, “Spear Phishing Attempt,” Digital Bond (2012),
https://www.digitalbond.com/blog/2012/06/07/spear-phishing-attempt/, accessed February 3, 2013.
33 Jaime Blasco, “Unveiling a spearphishing campaign and possible ramifications,” Alien Vault (2012),
http://labs.alienvault.com/labs/index.php/2012/unveiling-a-spearphishing-campaign-and-possible-ramifications/,
accessed February 3, 2013.
34 Chloe Whiteaker, “Following the Hackers’ Trail,” Bloomberg, (2012)
http://go.bloomberg.com/multimedia/following-hackers-trail/, accessed February 3, 2013.

APT1: Vòng đời tấn công
APT1 có một phương pháp luận tấn công được xác định tốt, được tôi rèn qua năm tháng và được
thiết kế để ăn cắp lượng khổng lồ sở hữu trí tuệ. Họ bắt đầu với phishing xiên cắm hung hăng, được
xử lý để triển khai các vũ khí số tùy biến, và kết thúc bằng việc xuất khẩu hàng đống tệp được nén
cho Trung Quốc - trước khi bắt đầu cái chu kỳ đó một lần nữa. Họ sử dụng tốt tiếng Anh - với tiếng
lóng có thể chấp nhận - trong các thư điện tử có kỹ thuật xã hội của họ. Họ đã tiến hóa các vũ khí số
của họ hơn 7 năm qua, tạo ra những nâng cấp liên tục như một phần chu kỳ phát hành phần mềm
của riêng họ. Khả năng của họ tùy biến thích nghi cho môi trường của họ và lan truyền khắp các hệ
thống làm cho chúng có hiệu quả trong các môi trường chuyên nghiệp với các mối quan hệ tin cậy.
Các cuộc tấn công đó khớp với một mẫu hoạt động tuần hoàn theo chu kỳ mà chúng tôi sẽ mô tả
trong phần này trong khung mô hình Vòng đời Tấn công của Mandiant. Trong từng giai đoạn chúng
tôi sẽ thảo luận các kỹ thuật đặc thù của APT1 để minh họa cho sự thường trực dai dẳng của chúng
và phạm vi mà ở đó chúng hoạt động. (Xem Phụ lục B: “APT và Vòng đời Tấn công” để có được
tổng quan mức cao về các bước mà hầu hết các nhóm APT tiến hành trong mỗi giai đoạn của Vòng
đời Tấn công).
Hình 14: Mô hình Vòng đời Tấn công của Mandiant
Tổn thương ban đầu
Tổn thương Ban đầu đại diện cho các phương pháp mà những kẻ thâm nhập trái phép sử dụng để
trước hết thâm nhập được vào mạng của một tổ chức đích. Như với hầu hết các nhóm APT, làm
phishing xiên cắm là kỹ thuật được sử dụng phổ biến nhất của APT1. Các thư điện tử phishing xiên
cắm hoặc có chứa tệp gắn kèm độc hại hoặc một đường siêu liên kết tới một tệp độc hại. Dùng chủ
đề và văn bản trong thân của thư điện tử thường là phù hợp với người nhận. APT1 cũng tạo ra các

tài khoản webmail bằng việc sử dụng các tên người có thật - các tên mà quen với người nhận, như
một đồng nghiệp, một lãnh đạo công ty, và một nhân viên phòng CNTT, hoặc cố vấn của công ty -
và sử dụng các tài khoản đó để gửi đi các thư điện tử. Như là một ví dụ của thế giới thực, đây là một
thư điện tử mà APT1 đã gửi đi cho các nhân viên của Mandiant:
Date: Wed, 18 Apr 2012 06:31:41 -0700
From: Kevin Mandia <kevin.mandia@rocketmail.com>
Subject: Internal Discussion on the Press Release
Hello,
Shall we schedule a time to meet next week?
We need to finalize the press release.
Details click here.
Kevin Mandia
Ngày tháng: Thứ tư, ngày 18/04/2012 06:31:41 -0700
Từ: Kevin Mandia <kevin.mandia@rocketmail.com>
Chủ đề: Thảo luận Nội bộ về Thông cáo báo chí
Hello,
Liệu chúng ta có đặt lịch được về thời gian gặp gỡ vào
tuần sau được không?
Chúng ta cần hoàn tất thông cáo báo chí.
Các chi tiết hãy nháy vào đây.
Kevin Mandia
Hình 15: Thư điện tử phishing xiên cắm của APT1
Mới thoáng qua, thư điện tử đó dường như là từ CEO của Mandiant, Kevin Mandia. Tuy nhiên, soi
xét kỹ hơn chỉ ra rằng thư điện tử đó không phải được gửi đi từ một tài khoản thư điện tử của
Mandiant, mà từ “kevin.mandia@rocketmail.com”. Rocketmail là một dịch vụ webmail tự do. Tài
khoản “kevin.mandia@rocketmail.com” không thuộc về ông Mandia. Thay vào đó, một tác nhân
của APT1 có khả năng đã ký cho tài khoản đó một cách đặc biệt cho sự kiện phishing xiên cắm này.
Nếu ai đó đã nháy vào đường liên kết vào ngày đó (mà đã không ai làm thế, may thay), thì máy tính
của họ có thể đã tải về “Internal_Discussion_Press_Release_In_Next_Week8.zip”, là tên của một
tệp ZIP độc hại. Tệp độc hại này có khả năng thực thi được, cài một cửa hậu tùy biến của APT1 mà
chúng tôi gọi là WEBC2-TABLE.
Dù các tệp mà các tác nhân của APT1 gắn vào hoặc liên kết tới các thư điện tử phishing xiên cắm
không phải luôn ở định dạng ZIP, thì điều này là xu thế vượt trội mà chúng tôi đã quan sát thấy
trong vài năm gần đây. Bên dưới là ví dụ các tên tệp mà APT1 đã sử dụng với các tệp ZIP độc hại:
2012ChinaUSAviationSymposium.zip
Employee-Benefit-and-Overhead-Adjustment-Keys.zip
MARKET-COMMENT-Europe-Ends-Sharply-Lower-On-Data-Yields-Jump.zip
Negative_Reports_Of_Turkey.zip
New_Technology_For_FPGA_And_Its_Developing_Trend.zip
North_Korean_launch.zip
Oil-Field-Services-Analysis-And-Outlook.zip
POWER_GEN_2012.zip

Proactive_Investors_One2One_Energy_Investor_Forum.zip
Social-Security-Reform.zip
South_China_Sea_Security_Assessment_Report.zip
Telephonics_Supplier_Manual_v3.zip
The_Latest_Syria_Security_Assessment_Report.zip
Updated_Office_Contact_v1.zip
Updated_Office_Contact_v2.zip
Welfare_Reform_and_Benefits_Development_Plan.zip
Các tên tệp, ví dụ, bao gồm các chủ đề quân sự,
kinh tế và ngoại giao, gợi ý dải rộng lớn các nền
công nghiệp mà APT1 ngắm tới. Một số tên cũng là
chung (như, “updated_office_contact_v1.zip”) và
có thể được sử dụng cho các mục tiêu trong bất kỳ
nền công nghiệp nào. Trong một số trường hợp,
những người nhận thư điện tử mà không có nghi
ngờ gì đã trả lời các thông điệp phishing xuyên
cắm, tin tưởng họ đang giao tiếp với những người
quen của họ. Trong một trường hợp một người đã
trả lời, “Tôi không chắc liệu điều này có là hợp
pháp, nên tôi đã không mở nó”. Trong vòng 20
phút, ai đó tại APT1 đã trả lời với một thư điện tử
súc tích: “Nó là hợp pháp” (“It's legit”).
Hình 16: Sự tương tác của APT1 với người nhận được một phishing xiên cắm

Liệu bạn có nháy vào nó không?
Một số tác nhân APT1 đã tạo ra các phần mềm độc hại bên trong các tệp ZIP của họ trông giống
như các tệp PDF của Adobe bên dưới. Đây là một ví dụ:
Đây không phải là một tệp PDF. Nó trông giống như tên tệp có phần mở rộng PDF nhưng tên tệp
thực sự bao gồm 119 khoảng trống sau “.pdf” đi theo sau “.exe” - phần mở rộng thực sự của tệp
đó. APT1 đã làm cho biểu tượng của tệp thực thi thành biểu tượng của Adobe để hoàn tất mưu mẹo
đó. Tuy nhiên, tệp này thực sự là một ống nhỏ giọt cho một cửa hậu APT1 tùy biến mà chúng tôi
gọi là WEBC2-QBP.
Thiết lập chỗ đứng
Việc thiết lập chỗ đứng có liên quan tới các hành động đảm bảo sự kiểm soát các hệ thống mạng
đích từ bên ngoài mạng đó. APT1 thiết lập một chỗ đứng một khi những người nhận thư điện tử mở
một tệp độc hại và một cửa hậu được cài đặt vào sau đó. Một cửa hậu là phần mềm mà cho phép
một kẻ thâm nhập trái phép gửi đi các lệnh tới hệ thống đó từ ở xa. Trong hầu hết các trường hợp,
các cửa hậu APT khởi tạo các kết nối đi ra ngoài tới máy chủ “chỉ huy và kiểm soát” - C2
(Command and Control) của kẻ thâm nhập trái phép. Những kẻ thâm nhập trái phép của APT sử
dụng chiến thuật này vì trong khi các tường lửa mạng thường giỏi trong việc giữ cho các phần mềm
độc hại bên ngoài mạng không khởi xướng được sự giao tiếp với các hệ thống bên trong mạng, thì
lại ít tin cậy hơn trong việc giữ cho phần mềm độc hại đã nằm sẵn ở bên trong mạng rồi không giao
tiếp được với các hệ thống bên ngoài.
Hình 17: Các cửa hậu được cài đặt trong các hệ thống bị tổn thương thường khởi xướng các
kết nối với các máy chủ C2
Trong khi những kẻ thâm nhập trái phép của APT1 thỉnh thoảng sử dụng các cửa hậu có sẵn một
cách công khai như Poison Ivy và Gh0st RAT, thì đa số lớn các lần chúng sử dụng những gì dường
như là các cửa hậu tùy biến của riêng chúng. Chúng tôi đã ghi lại 42 họ các cửa hậu trong “Phụ lục

C: Kho vũ khí Phần mềm độc hại” mà APT1 sử dụng mà chúng tôi tin là không sẵn sàng một cách
công khai. Hơn nữa chúng tôi đã đưa ra 1.007 hàm băm MD5 có liên quan tới phần mềm độc hại
APT1 trong Phụ lục E. Chúng tôi sẽ mô tả các cửa hậu của APT1 trong 2 chủng loại: “Các cửa hậu
đầu cầu đổ bộ” và “Các cửa hậu tiêu chuẩn”.
Các cửa hậu đầu cầu đổ bộ
Các cửa hậu đầu cầu đổ bộ thường được đặc trưng
tối thiểu. Chúng đưa ra cho kẻ tấn công một nơi đặt
chân để thực hiện các tác vụ đơn giản như truy xuất
các tệp, thu thập thông tin hệ thống cơ bản và làm
bật dậy nhanh sự thực thi của các khả năng đáng kể
khác hơn so với một cửa hậu tiêu chuẩn.
Các cửa hậu đầu cầu đổ bộ của APT1 thường là
những gì mà chúng tôi gọi là cửa hậu WEBC2. Các
cửa hậu WEBC2 là dạng cửa hậu APT1 có lẽ được
biết tới nhiều nhất, và là lý do vì sao một số công
ty an ninh tham chiếu tới APT1 như là “Comment
Crew” (Đội bình luận). Một cửa hậu WEBC2 được
thiết kế để trích xuất một trang web từ một máy
chủ C2. Nó mong đợi trang web đó có chứa các thẻ
HTML đặc biệt; cửa hậu đó sẽ cố gắng dịch các dữ
liệu giữa các thẻ như là các lệnh. Các phiên bản cũ
hơn của WEBC2 đọc các dữ liệu giữa các bình luận
HTML, dù qua thời gian thì các biến thể WEBC2
đã tiến hóa để đọc được các dữ liệu có bên trong
các dạng thẻ khác. Từ sự quan sát trực tiếp, chúng tôi có thể khẳng định rằng APT1 từng sử dụng
các cửa hậu WEBC2 từ tháng 07/2006. Tuy nhiên, thời gian biên dịch đầu tiên35
mà chúng tôi có đối
với WEBC2-KT3 là 23/01/2004, gợi ý là APT1 từng tạo ra các cửa hậu WEBC2 từ đầu năm 2004.
Dựa vào hơn 400 mẫu các biến thể WEBC2 mà chúng tôi đã tích cóp được, dường như là APT1 có
sự truy cập trực tiếp tới các lập trình viên mà đã thường xuyên phát hành các biến thể WEBC2 mới
hơn 6 năm qua.
Ví dụ, 2 đường dẫn được xây dựng ở đây, đã bị phát hiện trong các ví dụ WEBC2-TABLE, giúp
minh họa cách mà APT1 đã và đang xây dựng rồi các biến thể WEBC2 mới như một phần của một
qui trình phát triển liên tục:
35 “Biên dịch” tham chiếu tới qui trình biến đổi mã nguồn của một lập trình viên thành một tệp mà một máy tính có
thể hiểu và thực thi. Ngày biên dịch truy cập được dễ dàng trong đầu đề PE của tệp thực thi kết quả trừ phi kẻ thâm
nhập trái phép thực hiện các bước bổ sung để làm mờ nó.
Họ phần mềm độc hại là gì?
Một họ phần mềm độc hại là một bộ sưu tập các
phần mềm độc hại trong đó từng mẫu chia sẻ một số
lượng đáng kể mã với tất cả các mẫu khác. Để giúp
minh họa điều này, hãy xem xét ví dụ sau từ thế giới
vật lý. Bây giờ có một dải khổng lồ các máy tính
bảng đang được bán. Chúng bao gồm iPad của
Apple, Galaxy Tab của Samsung và Surface của
Microsoft. Dù chúng tất cả đều là các máy tính
bảng, “dưới các cái mũ” đó, thì chúng là hoàn toàn
khác nhau. Tuy nhiên, người ta có thể mong đợi là
một chiếc iPad 1 và một chiếc iPad 2 chia sẻ một số
thành phần đáng kể - nhiều hơn nhiều so với, ví dụ,
một chiếc iPad 1 và một chiếc Surface của
Microsoft. Vì thế có ý nghĩa để tham chiếu tới “họ”
các máy iPad và “họ” các máy Surface.
Khi nói về các chương trình máy tính, nói chung
nếu chúng chia sẻ nhiều hơn 80% mã y hệt thì
chúng ta coi chúng là một phần của cùng một họ.
Có những ngoại lệ: ví dụ, một số tệp có chứa các
thư viện mã công khai và tiêu chuẩn mà chúng tôi
không tính tới khi tiến hành xác định một họ.

Ví dụ mẫu A
MD5: d7aa32b7465f55c368230bb52d52d885
Ngày biên dịch: 23/02/2012
workcode2008-7-8mumamyworkwinInet_
winApplication2009-8-7mywork
aaaaaaa2012-2-23Releaseaaaaaaa.pdb
Ví dụ mẫu B
MD5: c1393e77773a48b1eea117a302138554
Ngày biên dịch: 07/08/2009
D:workcode2008-7-
8mumamyworkwinInet_ winApplication2009-
8-7myworkaaaaaaa Release
aaaaaaa.pdb
Các họ WEBC2
WEBC2-AUSOV WEBC2-KT3
WEBC2-ADSPACE WEBC2-QBP
WEBC2-BOLID WEBC2-RAVE
WEBC2-CLOVER WEBC2-TABLE
WEBC2-CSON WEBC2-TOCK
WEBC2-DIV WEBC2-UGX
WEBC2-GREENCAT WEBC2-YAHOO
WEBC2-HEAD WEBC2-Y21K
… và nhiều họ vẫn còn chưa được phân loại
Một “đường dẫn được xây dựng” mở ra thư mục từ đó lập trình viên
xây dựng và biên dịch mã nguồn của anh ta. Các ví dụ đó, được biên
soạn hơn 2.5 năm, đã được biên soạn trong một thư mục có tên là
“workcode...mywork”. Các trường hợp “làm việc” gợi ý rằng làm
việc trong WEBC2 là công việc hàng ngày của ai đó và không phải là
dự án phụ hoặc sở thích riêng. Hơn nữa, chuỗi được xây dựng trong
Mẫu A bao gồm “2012-2-23” (ngày 23/02/2012) - nó khớp với ngày
tháng biên soạn của Mẫu A. Chuỗi được xây dựng trong Mẫu B thiếu
“2012-2-23” nhưng bao gồm “2009-8-7” (ngày 07/08/2009) - nó cũng
khớp với ngày tháng biên soạn của Mẫu B. Điều này gợi ý rằng mã
được sử dụng để biên soạn Mẫu A từng được sửa đổi từ mã mà đã
được sử dụng để biên soạn Mẫu B từ 2.5 năm trước đó. Sự tồn tại của
“2008-7-8” (Ngày 08/07/2008) gợi ý rằng mã cho cả 2 mẫu từng được
sửa đổi từ một phiên bản đã tồn tại vào tháng 07/2008, một năm trước
khi Mẫu B được tạo ra. Loạt ngày tháng này chỉ ra rằng việc phát triển
và sửa đổi cửa hậu WEBC2 là qui trình dài hạn và được lặp đi lặp lại.
Các cửa hậu WEBC2 thường trao cho những kẻ tấn công của APT1
một tập hợp ngắn gọn và sơ bộ các lệnh để phát tới các hệ thống của
nạn nhân, bao gồm:
• Mở một trình biên dịch shell lệnh tương tác (thường là
cmd.exe của Windows)
• Tải về và thực thi một tệp
• Ngủ (như, giữ là không tích cực) trong một lượng thời gian
được chỉ định cho các cửa hậu WEBC2 thường được đóng gói
với các thư điện tử phishing xiên cắm.
Một khi được cài đặt, những kẻ thâm nhập trái phép của APT1 có lựa
chọn để nói cho các hệ thống nạn nhân để tải về và thực thi các phần mềm độc hại bổ sung theo lựa

Mandiant report about apt1 of china to us

Mandiant report about apt1 of china to us

Recommended

Recommended

More Related Content

Recently uploaded

Recently uploaded (9)

Featured

Featured (20)

Mandiant report about apt1 of china to us