Biên bản ghi nhớ bị lộ nói Conficker gây hại cho quốc hội (Anh)

Các hệ thống của hạ viện (Anh) bị tấn công

House of Commons systems borked

By John Leyden • Get more f-rom this author

Posted in Anti-Virus, 27th March 2009 13:29 GMT

Free whitepaper – CRM: Realizing business benefit through industry best practices

Theo: http://www.theregister.co.uk/2009/03/27/conficker_parliament_infection/

Bài được đưa lên Internet ngày: 27/03/2009

Lời người dịch: Sâu Windows nổi tiếng là Conficker không chỉ gây thiệt hại cho các tàu chiến của Hoàng gia Anh, mà còn cho cả hệ thống mạng của Quốc hội Anh, các bệnh viện ở Sheffield, hệ thống pháp lý của Houston (Mỹ), quân đội Đức...

Nội dung bài:

Cập nhật: Hệ thống công nghệ thông tin của Hạ viện đã thông báo bị nhiễm bởi siêu sâu nổi tiếng Conficker, mà trước đó nó đã làm lây nhiễm sang hàng triệu máy tính cá nhân chạy Windows và đã làm ảnh hưởng tới hoạt động của các hệ thống của các bệnh viện, quân đội và các hãng lớn.

Blog về chính trị Dizzy Thinks lần đầu tiên đã nói về một biên bản ghi nhớ (bên dưới) được gửi đi cho những người sử dụng mạng công nghệ thông tin của quốc hội vào tối thứ ba đã cảnh báo rằng Conficker đã phá vỡ hoạt động của các hệ thống quốc hội. Sự lây nhiễm đã nhắc nhở hoạt động làm sạch cũng như tạm thời cấm sử dụng các thiết bị lưu trữ hàng loạt, bao gồm cả các máy chơi nhạc MP3, trên các hệ thống của quốc hội.

Gửi tới: Tất cả những người sử dụng có kết nối trực tiếp tới mạng của quốc hội.

Mạng của quốc hội đã bị lây nhiễm virus conficker. Virus này ảnh hưởng tới người sử dụng bằng việc làm chậm lại mạng và bằng việc khoá truy cập đối với một số tài khoản. Chúng tôi đang tiếp tục làm việc với các đối tác bên thứ 3 để loại bỏ nó và chúng tôi cần hành động ngay lập tức để làm sạch các máy tính mà chúng đã bị lây nhiễm.

Chúng tôi đang quét mạng này và nếu chúng tôi xác định bất kỳ thiết bị nào mà chúng tôi tin là bị lây nhiễm với virus này thì chúng tôi sẽ liên hệ với bạn để đảm bảo rằng thiết bị hoặc được loại bỏ khỏi mạng này hoặc được làm sạch và được tải với các phần mềm đúng để ngăn ngừa sự lây nhiễm này tiếp tục tái xảy ra.

Up-dated The House of Commons IT systems has reportedly been infected by the infamous Conficker superworm, which has previously infected millions of Windows PCs and affected the operation of hospitals, military and large corporate systems.

Political blog Dizzy Thinks first reported that a memo (below) sent out to parliamentary IT network users on Tuesday night warned that Conficker had disrupted the operation of parliamentary systems.

The infection has reportedly prompted a clean-up operation as well as a temporary ban on the use of mass storage devices, including MP3 players, on parliamentary systems.

To: All users connecting directly to the Parliamentary Network

The Parliamentary Network has been affected by a virus known as conficker. This virus affects users by slowing down the Network and by locking out some accounts. We are continuining [sic] to work with our third party partners to manage its removal and we need to act swiftly to clean computers that are infected.

We are scanning the Network and if we identify any equipment which we believe is infected with the virus then we will contact you to ensure that the device is either removed f-rom the Network or cleaned and loaded with the correct software to prevent this infection reoccurring.

You can help us to contain this problem and prevent new infection by adhering to the following advice:

Bạn có thể giúp chúng tôi kiềm chế vấn đề này và ngăn ngừa sự lây nhiễm mới bằng việc bám sát vào lời khuyên sau:

• Chúng tôi không thể làm sạch các máy tính cá nhân PC và các máy tính xách tay mà hoặc là không bật hoặc là những thiết bị không được phép. Chúng tôi vì vậy yêu cầu rằng nếu bạn đang chạy một PC hoặc một máy tính xách tay không được phép sử dụng trong mạng này thì bạn hãy bỏ nó ra ngay lập tức.

• Một đặc tính bổ sung của virus này là đối với một vài dạng tập nó có thể nhảy trực tiếp tới mạng này từ một đầu bộ nhớ USB hoặc thiết bị lưu trữ xách tay khác (như các đầu chơi MP3) mà không đụng vào các phần mềm kiểm tra virus. Chúng tôi yêu cầu rằng ở thời điểm hiện tại bạn không sử dụng các đầu bộ nhớ USB hoặc bất kỳ thiết bị lưu trữ xách tay nào trên hệ thống mạng của quốc hội.

• Nếu bạn nhận thấy có vấn đề với thiết bị bạn đang chạy, xin hãy liên hệ với Bàn Dịch vụ PICT theo số 020 7219 **** khi nó mở trở lại vào thứ tư ngày 25 tháng 03 từ 08 giờ sáng.

• Nếu bạn đang kết nối bằng việc sử dụng một trong những thiết bị truy cập từ xa, từ một Văn phòng bầu cử, ví dụ thế, thì một giao tiếp tách biệt sẽ được gửi tới cho bạn.

Giám đốc công nghệ thông tin và truyền thông của quốc hội.

Tuy nhiên một nguồn tin của hạ viện, người đề nghị dấu tên, đã khẳng định với El Reg rằng biên bản ghi nhớ này là chính thống. Ông đã bổ sung rằng việc mạng của hạ viện đã “chạy chậm trong hầu hết tuần này” có lẽ đã không thuận lợi cho các nghị sĩ và những người khác mà họ đồng bộ hoá các máy điện thoại của họ với máy tính để bàn của họ, ông bổ sung.

* We are unable to clean PCs and portable computers which are either not switched on or which are not authorised devices. We therefore ask that if you are running a PC or portable computer not authorised to be on the Network that you take it off immediately.

* An additional c-haracteristic of this virus is that for some types of files it can skip direct to the Network f-rom a USB memory stick or other portable storage device (e.g. mp3 players) without hitting the virus checker software. We ask that for the time being you do not use memory sticks or any other portable storage devices on the Parliamentary Network.

* If you do identify a problem with the equipment you are running, please contact the PICT Service Desk on 020 7219 **** when it reopens on Wednesday 25 March f-rom 8am.

* If you are connecting using one of our remote access services, f-rom a Constituency Office for example, a separate communication will be sent to you.

Director of Parliamentary ICT.

Our call to the service desk was referred upwards. We've left a message with ICT management. Inquiries to the All Parliamentary Internet Group and parliamentary IT lobby group Eurim are also yet to shed any light on the matter.

However one House of Commons source, who requested anonymity, confirmed to El Reg that the memo is genuine. He added that the House of Commons network had been "slow for most of the week" and acting like it was "hand cranked", although its performance had improved a bit by Friday once the clean-up operation got under way. The prohibition of plugging mobile devices into the network was likely to inconvience MPs and other who synchronised their phones with their desktops, he added.

Biên bản ghi nhớ này tới từ một nguồn đáng tin cậy người mà đã bỏ quên đèn trong các hệ thống công nghệ thông tin có liên quan tới quốc hội đang chạy.

Dizzy Thinks trước đó đã nói rằng phòng ICT của quốc hội đã nói với những người sưr dụng răgf PGP đã không tương thích với phần mềm truy cập từ xa của mình, vì những lý do mà El Red và PGP đều không có khả năng hé lộ cho tới giờ.

Đầu tháng này El Reg đã nói rằng cảnh sát đã thất bại để ghi lại một tội phạm, ít nhiều đang điều tra, khi nghị sĩ Alun Michael đã nói một máy tính trong văn phòng của ông đã bị lây nhiễm với phần mềm độc hại. Michael đã có thể dò ra và tự mình loại bỏ phần mềm độc hại này.

Không rõ áp lực nào về phần mềm độc hại đã có liên quan trong cuộc tấn công đó, ít nhiều khả nghi với 2 trường hợp được cho là có điều gì đó có quan hệ với nhau.

An ninh của các máy tính cá nhân PC của quốc hội là nhạy cảm hơn so với các hệ thống văn phòng bình thường vì tính mật của các báo cáo của các nghị sĩ với các cơ quan lập pháp của họ, để nói không có gì ảnh hưởng rằng các hệ thống bị lây nhiễm có thể có trong công việc hàng ngày của quốc hội.

Được biết rằng Colt Telecom cung cấp kết nối và MessageLabs, một đối tác ký kết hợp đồng an ninh, quản lý việc lọc chống spam và chống virus trên các kết nối Internet của quốc hội.

The memo came f-rom a credible source who has shed light on other goings-on involving parliamentary IT systems.

Dizzy Thinks previously reported that the Parliamentary ICT department had told users that PGP was incompatible with its remote access software, for reasons neither El Reg nor PGP have been able to unravel to date.

Earlier this month El Reg reported that police failed to record a crime, much less investigate, when Alun Michael MP reported a computer in his office was infected with malware. Michael was able to detect and remove the malware himself.

It's unclear what strain of malware was involved in that attack, much less whether the two reported incidents are somehow linked.

The security of parliamentary PCs is more sensitive than those of regular office system because of the confidentiality of MPs' correspondence with their constituents, to say nothing of the effect that borked systems might have on the day-to-day business of Parliament.

It's known that Colt Telecom supplies the connectivity and that MessageLabs, a security sub-contractor, handles the anti-spam and anti-virus filtering on the parliamentary internet connection.

Conficker lan truyền thông qua một vài cơ chế cập nhật, tính dễ bị tổn thương nổi tiếng của Windows và các ổ USB bị nhiễm đứng thứ 2. Một khi nó đảm bảo an ninh cho một vị trí trên một mạng bị lây nhiễm, thì sâu đó có thể lây nhiễm một cách rộng rãi sang mạng chia sẻ bằng việc khai thác sự yếu kém của an ninh mật khẩu, một yếu tố chính trong sự lưu hành cao độ bên trong các hệ thống của tổ chức. Việc lan truyền bằng thư điện tử không phải là một trong những đầu mối lây nhiễm được sử dụng bởi Conficker.

Tuy nhiên, như một đối tác ký hợp đồng an ninh mà bạn muốn mong đợi là MessageLabs, với một đội được lưu ý về các chuyên gia chống virus, nằm trong số các đối tác thứ 3 được yêu cầu ra tay và giải quyết các vấn đề lây nhiễm virus trên các hệ thống của quốc hội. Nếu vậy MessageLabs đang có thể còn có những nguyên nhân chưa hiểu rõ về tính bí mật của khách hàng.

Chúng tôi đã đề nghị MessageLabs bình luận hôm thứ năm về vấn đề này, nhưng chúng tôi chưa có câu trả lời.

Thông tin về sự lây nhiễm được nói tới của các hệ thống quốc hội tới đúng lúc khi Conficker quay trở lại, khi những người theo dõi về an ninh đang đếm ngược tới thời điểm bắt đầu của một cơ chế cập nhật mới, sẽ tới trực tuyến đối với các hệ thống bị lây nhiễm bởi phiên bản mới nhất của phần mềm độc hại này vào ngày 01/04. Liệu sự kiện này sẽ có trùng khớp với sự kích hoạt của botnet (tấn công gây nghẽn mạng) về các mục đích gây hại hay không, như việc gửi đi các spam, còn chưa được rõ. Ngay cả hàng động đơn giản về việc lan truyền sâu này đã gây ra sự đổ vỡ khổng lồ rồi.

Bộ Quốc phòng Anh đã thông báo rằng sâu này đã lan truyền qua một số văn phòng của bộ, cũng như các máy tính để bàn trên một loạt các tàu chiến của Hải quân Hoàng gia. Các bệnh viện tại Sheffield đã báo cáo sự lây nhiễm trên hơn 800 máy tính vào hồi tháng 02. Các nạn nhân là các tổ chức khác đối với phần mềm độc hại này bao gồm cả các hệ thống pháp lý tại thành phố Houston (Mỹ) và Bundeswehr (Quân đội Đức).

Một cuốn các câu hỏi đáp thường gặp FAQ về Conficker của F-secure có thể tìm thấy theo đường liên kết bên dưới. Một nhà phân tích kỹ thuật về sâu này có thể thấy trong một tài liệu của SRI International theo đường liên kết ở cuối bài này.

Conficker spreads through several up-date mechanisms, a well-known Windows vulnerability and tainted USB drives being just two. Once it secures a foothold on an infected network, the worm can spread widely across network shares by exploiting weak password security, a major factor in its high prevalence within corporate systems. Spreading by email isn't one of the infection vectors used by Conficker.

Nonetheless, as a security sub-contractor you'd expect MessageLabs, with a noted team of anti-virus experts, to be among the third-party partners asked to roll its sleeves up and sort out the apparent virus infection problems on parliamentary systems. If so MessageLabs is staying schtum, perhaps for understandable reasons of client confidentiality.

We asked MessageLabs for comment on Thursday on the issue, but we're yet to hear back.

News of the reported infection of parliamentary systems comes at a time when Conficker is back under the spotlight, as security watchers count down to the start of a new up-date mechanism, due to come online for systems infected by the latest variant of the malware f-rom 1 April. Whether this event will coincide with the activation of the botnet for malign purposes, such as sending spam, remains unclear. Even in the simple act of spreading the worm has caused huge disruption.

The UK's Ministry of Defence reported that that the worm had spread across some of its offices, as well as desktops aboard various Royal Navy warships. Hospitals in Sheffield reported infection of over 800 computers back in February. Other corporate victims of the malware include judicial systems in the city of Houston and the Bundeswehr (German Army).

A handy FAQ on Conficker by F-secure can be found here. A technical analysis of the worm can be found in a paper by SRI International here. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com