Botnet 'gài bẫy các máy tính cá nhân của chính phủ'

By Darren Waters

Technology editor, BBC News website

Theo: http://news.bbc.co.uk/2/hi/technology/8010729.stm

Bài được đưa lên Internet ngày: 21/04/2009

Lời người dịch: Hơn 70 cơ quan chính phủ quốc gia với gần 2 triệu máy tính chạy hệ điều hành Windows bị lây nhiễm phần mềm độc hại để tạo ra một mạng botnet khổng lồ, trong đó bao gồm cả các cơ quan chính phủ Mỹ và Anh. “Một khi một máy tính bị tổn thương, nó có thể bị ra lệnh để tải về tiếp các phần mềm, mà đặt máy tính này vào thế bị bắt phải phục tùng những kẻ tấn công ác hiểm. Các máy tính cá nhân bị tổn thương có khả năng đọc các địa chỉ thư điện tử, sao chép các tệp, ghi lại các lần gõ bàn phím, gửi đi spam và chụp màn hình máy tính.

Một khi một máy tính duy nhất trong một mạng cơ quan trở thành một phần của botnet thì nó đặt các máy tính khác trong mạng trước những rủi ro.” Không rõ các cơ quan có trách nhiệm đảm bảo an ninh và an toàn mạng và thông tin của Việt Nam có biện pháp gì để chống lại những thứ này? Liệu đã tới lúc Chính phủ phát động một chiến dịch toàn diện vứt bỏ Windows chăng??? Hay chúng ta sẽ ưu tiên thói quen sử dụng hơn là an ninh mạng và thông tin???

Gần 2 triệu máy tính cá nhân toàn cầu, bao gồm cả các máy trong các cơ quan chính phủ Mỹ và Anh, đã bị chiếm dụng bởi các tin tặc hiểm độc.

Almost two million PCs globally, including machines inside UK and US government departments, have been taken over by malicious hackers.

Các chuyên gia an ninh Finjan đã theo dõi mạng khổng lồ của các máy tính cá nhân được kiểm soát từ xa, được gọi là botnet, ngược về tới một băng nhóm tội phạm không gian mạng ở Ukraine.

Một số máy tính cá nhân trong 6 cơ quan chính phủ Anh đã bị tổn thương bởi botnet.

Finjan đã liên hệ tới cảnh sát thành phố với các chi tiết của các máy tính cá nhân của chính phủ và bây giờ đang theo dõi.

Một người phát ngôn cho Văn phòng nội các, mà có trách nhiệm về thiết lập các tiêu chuẩn cho việc sử dụng công nghệ thông tin trong chính phủ, nói có thể không bình luận về các cuộc tấn công cụ thể “vì các lý do anh ninh”.

“Đây chính là chính sách của chính phủ không khẳng định cũng không từ chối nếu một tổ chức riêng rẽ trở thành đối tượng của một cuộc tấn công không nghiên cứu về các nguồn gốc hoặc sự thành công của các cuộc tấn công như thế này”.

Ông bổ sung: “Chúng tôi thường xuyên theo dõi các rủi ro mới và hiện hành và làm việc để tối thiểu hoá ảnh hưởng của chúng bằng việc cảnh báo cho các cơ quan và đưa cho họ những lời khuyên và hướng dẫn để làm việc với mối đe doạ này”.

Botnet làm việc như thế nào?

Đây là lần thứ 2 trong năm các máy tính cá nhân trong các cơ quan chính phủ đã bị hack để hình thành lên một phần của một botnet.

Trong trường hợp này, các máy tính đã bị lây nhiễm với các phần mềm mà cho phép chúng bị chiếm đoạt và bị biến thành nô lệ trong botnet đó vì tính dễ bị tổn thương trong các trình duyệt web.

Security experts Finjan traced the giant network of remotely-controlled PCs, called a botnet, back to a gang of cyber criminals in Ukraine.

Several PCs inside six UK government bodies were compromised by the botnet.

Finjan has contacted the Metropolitan Police with details of the government PCs and it is now investigating.

A spokesman for the Cabinet Office, which is c-harged with setting standards for the use of information technology across government, said it would not comment on specific attacks "for security reasons".

"It is Government policy neither to confirm nor deny if an individual organisation has been the subject of an attack nor to speculate on the origins or success of such attacks."

He added: "We constantly monitor new and existing risks and work to minimise their impact by alerting departments and giving them advice and guidance on dealing with the threat."

How does a botnet work?

It is the second time in a year that PCs inside government departments have been hacked to form part of a botnet.

On this occasion, the machines were infected with software which allowed them to be taken over and enslaved in the botnet due to vulnerabilities in web browsers.

Bị bắt phải phục tùng

Một khi một máy tính bị tổn thương, nó có thể bị ra lệnh để tải về tiếp các phần mềm, mà đặt máy tính này vào thế bị bắt phải phục tùng những kẻ tấn công ác hiểm.

Các máy tính cá nhân bị tổn thương có khả năng đọc các địa chỉ thư điện tử, sao chép các tệp, ghi lại các lần gõ bàn phím, gửi đi spam và chụp màn hình máy tính.

Một khi một máy tính duy nhất trong một mạng cơ quan trở thành một phần của botnet thì nó đặt các máy tính khác trong mạng trước những rủi ro.

Văn phòng nội các có thể sẽ không đưa ra các chi tiết về những gì mà các máy tính bị tổn thương bị ra lệnh phải làm, cũng không đưa ra tên của các cơ quan chính phủ khác nhau mà đã bị thâm nhập.

Tội phạm không gian mạng , những kẻ còn chưa bị bắt, đã bán sự truy cập tới các máy tính bị tổn thương, ý nghĩ chủ yếu sẽ là các máy tính cá nhân trong các công ty, trên diễn đàn của một hacker ở Nga.

Một ngàn máy tính đã bị bán một lúc với giá khoảng từ 50 – 100 USD.

Finjan nói rằng botnet chịu sự kiểm soát của 6 tội phạm, những người có khả năng kiểm soát từ xa các máy tính bị lây nhiễm.

Các tổ chức khác nhau

Gần một nửa các máy tính bị lây nhiễm là tại Mỹ. 6% của botnet, khoảng 114,000 máy tính từ 52 tổ chức khác nhau, là ở nước Anh, trong số đó có một máy tính cá nhân duy nhất trong mạng của BBC.

Nhiều máy bị lây nhiễm sẽ bị bắt bởi các chính sách an ninh thông tin thông thường tại các hãng, như trong trường hợp của BBC, nhưng Finjan nói nhiều máy tính cá nhân của botnet vẫn còn hoạt động.

Hơn 70 cơ quan chính phủ quốc gia khác nhau trên thế giới bị chộp trong mạng hiểm độc này.

Yuval Ben Itzhak, giám đốc công nghệ cho Finjan, đã nói cho BBC News: “Khi chúng tôi nhìn vào tên miền của mạng để xem nơi nào có các [máy tính cá nhân bị tổn thương] thì chúng tôi đã ngạc nhiên thấy nhiều mạng chính phủ, bao gồm cả các máy tính của chính phủ Anh”.

“Rõ ràng chúng ta đã thông báo về việc này và họ bây giờ đã làm việc với nó. Có 6 cơ quan của Anh với ít nhất 1 máy tính trong mỗi cơ quan mà bị nhiễm botnet”.

“Tôi không được phép tự do gọi tên các cơ quan cụ thể này – nhưng đây không phải là câu chuyện duy nhất đối với nước Anh, chúng cũng đã chạy trên nhiều cơ quan chính phủ khác không phải của Anh”.

At the mercy

Once a machine has been compromised, it can be instructed to download further software, which puts the machine at the mercy of malicious hackers.

The compromised PCs are capable of reading e-mail addresses, copying files, recording keystrokes, sending spam and capturing screen shots.

Once a single machine inside a corporate network has been made part of the botnet it puts other machines on the network at risk.

The Cabinet Office would not give details of what the compromised machines had been instructed to do, nor the names of the different government departments that had been infiltrated.

The cyber criminals, who have not been caught, were selling access to the compromised machines, thought to be mainly PCs inside companies, on a hackers' forum in Russia.

One thousand machines were being sold at a time for between $50 and $100.

Finjan reports that the botnet is under the control of six criminals who are able to remotely control the infected machines.

Different organisations

Almost half of the infected machines were in the US. Six percent of the botnet, about 114,000 machines f-rom 52 different organisations, were f-rom the UK, among them a single PC inside the BBC's network.

Many of the infected machines will have been caught by routine information security policies at firms, as it was in the case of the BBC, but Finjan says many of the botnet PCs are still active.

More than 70 different national government agencies f-rom around the world were caught up in the malicious network.

Yuval Ben-Itzhak, chief technology officer for Finjan, told BBC News: "When we looked at the network domain names to see whe-re the [compromised PCs] come f-rom we were surprised to see many government networks, including UK government computers.

"Obviously we reported it and they have now dealt with it. There were six UK agencies with at least one computer in each department that was running the bot.

"I'm not at liberty to name the actual agencies - but this isn't a unique story to the UK, they were running in many other non-UK, government bodies too."

Các cơ quan chính phủ

Một số các cơ quan chính phủ khác nhau có trách nhiệm về an ninh công nghệ thông tin và triển khai khắp nước Anh.

Họ bao gồm Trung tâm bảo trợ đảm bảo thông tin, Cơ quan kỹ thuật quốc gia về đảm bảo thông tin, và Trung tâm bảo vệ hạ tầng Quốc gia CPNI, cơ quan chính phủ mà là một phần của Dịch vụ An ninh Anh và có trách nhiệm cung cấp tư vấn an ninh cho các cơ quan mà thiết lập các dịch vụ sống còn trong nước Anh.

Tất cả các máy tính bị lây nhiễm là các máy tính cá nhân chạy Windows và tính dễ bị tổn thương tập trung vào các lỗ hổng an ninh trong các trình duyệt Internet Explorer và Firefox.

Ngài Ben Itzhak nói: “Thứ duy nhất là số lượng, kích thước của mạng này. Khi chúng tôi nhìn vào một mạng tương tự vào năm ngoái chì chúng là hàng trăm và hàng ngàn. Bây giờ chúng tôi nhìn thấy những botnet kích cỡ khổng lồ”

Giữ mối liên hệ

Một người phát ngôn cho cảnh sát thành phố nói: “Đây là một cuộc điều tra đang được tiến hành. Chúng tôi nhận thức được botnet này và đang thực hiện các biện pháp phù hợp”.

Năm ngoái, CPNI đã nói vói Văn phòng nội các – xem xét độc lập có uỷ quyền rằng việc dừng các cuộc tấn cong như thế này là khó khăn.

Nó nói: “Các cuộc tấn công tương đối thấp về độ phức tạp, nhưng lại hiệu quả cao vì số lượng lớn các máy tính bị tổn thương có liên quan”.

“Khó để bảo vệ chống lại các cuộc tấn công từ chối dịch vụ phức tạ mà không động chạm tới việc sử dụng nghiệp vụ pháp lý”.

CPNI đã khuyến cáo rằng sự bảo vệ tốt nhất chống lại những cuộc tấn công này là việc theo dõi một cách thích đáng mạng.

Government bodies

A number of different government bodies are responsible for IT security and deployment across the UK.

They include the Central Sponsor for Information Assurance, the National Technical Authority for Information Assurance, and the Centre for the Protection of National Infrastructure (CPNI), the government body which is part of the British Security Service and responsible for providing security advice to organisations that make up critical services in the UK.

All of the infected machines were Windows-based PCs and the vulnerability was targeting security holes in Internet Explorer and Firefox.

Mr Ben-Itzhak said: "What is unique is the number, the size of the network. When we looked at a similar network last year they were in the hundreds of thousands. Now we're looking at mega-size botnets."

In contact

A spokeswoman for the Metropolitan Police said: "This is an ongoing investigation. We are aware of this botnet and are taking appropriate action."

Large botnets can be used to co-ordinate attacks to knock parts of the network, or specific websites, offline, called a Distributed Denial of Service attack.

Last year, the CPNI told a Cabinet Office-commissioned independent review that stopping such attacks was difficult.

It said: "The attacks are relatively low in sophistication, but have been highly effective due to the large number of compromised machines involved.

"It is difficult to defend against a sophisticated Distributed Denial of Service attack without impacting legitimate business use."

The CPNI recommended that the best defence against these attacks was appropriate monitoring of the network.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com