Hệ thống gián điệp rộng lớn cướp phá các máy tính tại 103 quốc gia

By JOHN MARKOFF

Published: March 28, 2009

Theo: http://www.nytimes.com/2009/03/29/technology/29spy.html?_r=2&em

Bài được đưa lên Internet ngày: 28/03/2009

Lời người dịch: “Các nhà nghiên cứu, những người có một bản ghi công việc phát hiện các vụ gián điệp các máy tính, ... thì hệ thống này, mà họ đã gọi là Mạng Ma (GhostNet), đã tập trung vào các chính phủ của các nước Nam Á và Đông Nam Á. Các nhà phân tích tình báo nói nhiều chính phủ, trong đó có Trung Quốc, Nga và Mỹ, và các nước khác sử dụng các chương trình máy tính phức tạp để lén lút thu thập các thông tin”.

Trong tài liệu: “Tracking GhostNet: Investigating a Cyber Espionage Network (Theo dõi Mạng Ma: Nghiên cứu một mạng gián điệp không gian ảo), được Trung tâm nghiên cứu Quốc tế Munk của Đại học Toronto, Canada xuất bản vào ngày 29/03/2009 thì trong số 1,295 máy tính bị lây nhiễm có những báo cáo về máy tính chủ, thì nạn nhân là 103 quốc gia trên thế giới, với số lượng máy bị lây nhiễm nhiều nhất là tại Đài Loan, rồi tới Mỹ, Việt Nam và Ấn Độ. Việt Nam đứng hàng thứ 3 thế giới về số lượng các máy tính bị lây nhiễm – 130 chiếc, chiếm tới hơn 10% số máy bị lây nhiễm trong nghiên cứu này, trong đó có 30 máy của Bộ Công thương và 74 máy của PetroVietnam, còn lại là của các cơ quan, tổ chức khác. Thời gian bị lây nhiễm xa nhất là ngày 22/05/2007 và gần nhất là ngày 12/03/2009.

Không rõ các cơ quan đảm bảo về an ninh, an toàn hệ thống và thông tin của Việt Nam có bình luận gì về vấn đề này?

Tải tài liệu “Tracking GoshNet: Investigating a Cyber Espionage Network” về theo địa chỉ: http://www.savefile.com/files/2060034

Ảnh: Các nhà nghiên cứu về vấn đề này:

http://graphics8.nytimes.com/images/2009/03/29/world/29spy_190.jpg

TORONTO – Đa số hoạt động gián điệp điện tử đã thâm nhập các máy tính và đã ăn cắp các tài liệu từ hàng trăm văn phòng chính phủ và tư nhân trên thế giới, trong đó có của Dalai Lama, các nhà nghiên cứu của Canada đã kết luận.

Trong một báo cáo được xuất bản cuối tuần này, các nhà nghiên cứu đã nói rằng hệ thống này đang được kiểm soát từ các máy tính chủ yếu là đặt tại Trung Quốc, nhưng họ không nói chắc rằng chính phủ Trung Quốc đã có liên quan.

Các nhà nghiên cứu, những người đóng tại Trung tâm Munk về các nghiên cứu quốc tế tại Đại học Toronto, đx được yêu cầu bởi văn phòng của Dalai Lama, nhà lãnh đạo Tây Tạng bị đi đày mà Trung Quốc thường xuyên tố giác, để kiểm tra các máy tính của văn phòng này đối với các dấu hiệu về các phần mềm độc hại hoặc có chủ ý ác.

Việc do thám của họ đã mở một cánh cửa vào một hoạt động rộng lớn hơn mà trong ít hơn 2 năm, đã đột nhập ít nhất 1,295 máy tính tại 103 quốc gia, trong đó có nhiều chiếc của các đại sứ quán, các bộ nước ngoài và các văn phòng chính phủ khác, cũng như các trung tâm hải ngoại của Dalai Lama tại Ấn Độ, Brussels, Luân Đôn và New York.

Các nhà nghiên cứu, những người có một bản ghi công việc phát hiện các vụ gián điệp các máy tính, đã nói họ đã tin tưởng rằng để bổ sung cho việc gián điệp về Dalai Lama, thì hệ thống này, mà họ đã gọi là Mạng Ma (GhostNet), đã tập trung vào các chính phủ của các nước Nam Á và Đông Nam Á.

Các nhà phân tích tình báo nói nhiều chính phủ, trong đó có Trung Quốc, Nga và Mỹ, và các nước khác sử dụng các chương trình máy tính phức tạp để lén lút thu thập các thông tin.

Hoạt động gián điệp mới được báo cáo là lớn nhất có liên quan tới những quốc gia bị ảnh hưởng.

Cũng được tin tưởng lần đầu tiên các nhà nghiên cứu đã có khả năng hé lộ công việc của một hệ thống máy tính được sử dụng để thâm nhập trái phép ở phạm vi rộng lớn như thế này.

TORONTO — A vast electronic spying operation has infiltrated computers and has stolen documents f-rom hundreds of government and private offices around the world, including those of the Dalai Lama, Canadian researchers have concluded.

In a report to be issued this weekend, the researchers said that the system was being controlled f-rom computers based almost exclusively in China, but that they could not say conclusively that the Chinese government was involved.

The researchers, who are based at the Munk Center for International Studies at the University of Toronto, had been asked by the office of the Dalai Lama, the exiled Tibetan leader whom China regularly denounces, to examine its computers for signs of malicious software, or malware.

Their sleuthing opened a window into a broader operation that, in less than two years, has infiltrated at least 1,295 computers in 103 countries, including many belonging to embassies, foreign ministries and other government offices, as well as the Dalai Lama’s Tibetan exile centers in India, Brussels, London and New York.

The researchers, who have a record of detecting computer espionage, said they believed that in addition to the spying on the Dalai Lama, the system, which they called GhostNet, was focused on the governments of South Asian and Southeast Asian countries.

Intelligence analysts say many governments, including those of China, Russia and the United States, and other parties use sophisticated computer programs to covertly gather information.

The newly reported spying operation is by far the largest to come to light in terms of countries affected.

This is also believed to be the first time researchers have been able to expose the workings of a computer system used in an intrusion of this magnitude.

Còn đang mạnh, hoạt động này tiếp tục xâm lấn và theo dõi hơn hàng tá các máy tính mới trong một tuần, các nhà nghiên cứu đã nói trong báo cáo của họ, “Theo dõi 'Mạng Ma': Việc nghiên cứu một Hệ thống Mạng Giám điệp”. Họ đã nói rằng họ đã không tìm thấy bằng chứng rằng các văn phòng của chính phủ Mỹ đã bị thâm nhập, dù một máy tính của NATO (Khối liên minh quân sự Bắc Đại Tây Dương) đã bị theo dõi bởi gián điệp trong vòng nửa ngày và các máy tính của Đại sứ quán Ấn Độ tại Washington đã bị thâm nhập.

Phần mềm độc hại là đáng lưu ý cả với sự quét của nó – trong ngôn ngữ lóng của máy tính, nó không chỉ là việc “phishing” đối với các thông tin ngẫu nhiên của người sử dụng, mà “việc săn cá voi” vì những mục tiêu đặc biệt quan trọng – và đối với những khả năng Làm Bạn Lớn. Ví dụ, nó có thể, bật máy quay và các chức năng ghi âm của một máy tính bị lây nhiễm, kích hoạt các màn hình để nhìn và nghe những gì diễn ra trong một căn phòng. Những người điều tra nói họ không biết liệu khía cạnh này của vấn đề có được sử dụng hay không.

Các nhà nghiên cứu đã có khả năng theo dõi các lệnh được đưa ra đối với các máy tính bị nhiễm và thấy các tên tài liệu bị lôi ra bởi hành động gián điệp này, nhưng trong hầu hết các trường hợp các nội dung các tệp bị ăn cắp đã không thể xác đinh được. Tuy nhiên, khi làm việc với những người Tây Tạng, các nhà nghiên cứu đã thấy rằng những cuộc trao đổi đặc biệt đã bị ăn cắp và rằng những kẻ đột nhập không phép đã chiếm được sự kiểm soát các máy tính chủ thư điện tử của tổ chức của Dalai Lama.

Trò chơi gián điệp điện tử đã có ít nhất một số ảnh hưởng thực trên thế giới, họ nói. Ví dụ, họ nói, sau một lời mời bằng thư điện tử đã được gửi bởi văn phòng của Dalai Lama tới một nhà ngoại giao nước ngoài, chính phủ Trung Quốc đã thực hiện một cuộc gọi cho nhà ngoại giao đó làm ngã lòng cuộc viếng thăm. Và một phụ nữ làm việc cho một nhóm thực hiện các liên hệ qua Internet giữa những người Tây Tạng bị phát vãng và các công dân Trung Quốc đã bị dừng bởi các quan chức tình báo Trung Quốc trên đường của người phụ nữ này khi trở về Tây Tạng, bản sao chép cuộc hội thoại trực tuyến của người phụ nữ này đã được chỉ ra và được cảnh báo phải dừng các hoạt động chính trị của người phụ nữ này.

Still going strong, the operation continues to invade and monitor more than a dozen new computers a week, the researchers said in their report, “Tracking ‘GhostNet’: Investigating a Cyber Espionage Network.” They said they had found no evidence that United States government offices had been infiltrated, although a NATO computer was monitored by the spies for half a day and computers of the Indian Embassy in Washington were infiltrated.

The malware is remarkable both for its sweep — in computer jargon, it has not been merely “phishing” for random consumers’ information, but “whaling” for particular important targets — and for its Big Brother-style capacities. It can, for example, turn on the camera and audio-recording functions of an infected computer, enabling monitors to see and hear what goes on in a room. The investigators say they do not know if this facet has been employed.

The researchers were able to monitor the commands given to infected computers and to see the names of documents retrieved by the spies, but in most cases the contents of the stolen files have not been determined. Working with the Tibetans, however, the researchers found that specific correspondence had been stolen and that the intruders had gained control of the electronic mail server computers of the Dalai Lama’s organization.

The electronic spy game has had at least some real-world impact, they said. For example, they said, after an e-mail invitation was sent by the Dalai Lama’s office to a foreign diplomat, the Chinese government made a call to the diplomat discouraging a visit. And a woman working for a group making Internet contacts between Tibetan exiles and Chinese citizens was stopped by Chinese intelligence officers on her way back to Tibet, shown transcripts of her online conversations and warned to stop her political activities.

Các nhà nghiên cứu của Toronto đã nói họ đã lưu ý các cơ quan tăng cường pháp luật quốc tế về hoạt động gián điệp này, mà theo quan điểm của họ đã để lộ ra những nhược điểm cơ bản trong cấu trúc pháp lý của không gian mạng. FBI (cơ quan mật vụ Mỹ) đã từ chối bình luận về hoạt động này.

Mặc dù các nhà nghiên cứu Canada đã nói rằng hầu hết các máy tính đằng sau việc gián điệp này là ở Trung Quốc, họ đã thận trọng đối với việc kết luận rằng chính phủ Trung Quốc có mối liên quan. Việc gián điệp có thể là một hành động phi lợi nhuận, không phải của nhà nước, ví dụ vậy, hoặc một tổ chức được quản lý bởi các cá nhân tại Trung Quốc được biết tới như là “các tin tặc yêu nước”.

“Chúng tôi khá thận trọng về điều này, hiểu biết được sự nhạy cảm của những gì đang xảy ra trong thực tế ngầm dưới mặt đất”, Ronald J. Deibert, một thành viên của nhóm nghiên cứu và là một giáo sư của khoa học chính trị tại Munk, nói. “Điều này cũng có thể là CIA (Cục tình báo trung ương Mỹ), hoặc là những người Nga. Đây là một thực tế tối tăm mà chúng tôi để trên đỉnh”.

Một người phát ngôn cho cơ quan Lãnh sự Trung Quốc ở New York đã bác bỏ ý tưởng rằng Trung Quốc đã có liên quan. “Có những câu chuyện cũ và chúng là vớ vẩn”, người phát ngôn, Wenqi Gao, đã nói. “Chính phủ Trung Quốc phản đối và nghiêm cấm bất kỳ tội phạm mạng nào”.

Các nhà nghiên cứu Toronto, những người đã cho phép một phóng viên của New York Times xem xét các rãnh số gián điệp này, đang xuất bản những phát hiện của họ trê tờ Người giám sát trận chiến thông tin (Information Warfare Monitor), một xuất bản phẩm trực tuyến có liên quan tới Trung tâm Munk.

Cùng lúc, 2 nhà nghiên cứu máy tính tại Đại học Cambridge tại Anh mà cũng đã làm việc một phần về nghiên cứu có liên quan tới những người Tây Tạng, đang đưa ra một báo cáo độc lập. Họ phê bình Trung Quốc, và họ đã cảnh báo rằng các tin tặc khác có thể áp dụng những chiến thuật được sử dụng trong các hoạt động của phần mềm độc hại.

The Toronto researchers said they had notified international law enforcement agencies of the spying operation, which in their view exposed basic shortcomings in the legal structure of cyberspace. The F.B.I. declined to comment on the operation.

Although the Canadian researchers said that most of the computers behind the spying were in China, they cautioned against concluding that China’s government was involved. The spying could be a nonstate, for-profit operation, for example, or one run by private citizens in China known as “patriotic hackers.”

“We’re a bit more careful about it, knowing the nuance of what happens in the subterranean realms,” said Ronald J. Deibert, a member of the research group and an associate professor of political science at Munk. “This could well be the C.I.A. or the Russians. It’s a murky realm that we’re lifting the lid on.”

A spokesman for the Chinese Consulate in New York dismissed the idea that China was involved. “These are old stories and they are nonsense,” the spokesman, Wenqi Gao, said. “The Chinese government is opposed to and strictly forbids any cybercrime.”

The Toronto researchers, who allowed a reporter for The New York Times to review the spies’ digital tracks, are publishing their findings in Information Warfare Monitor, an online publication associated with the Munk Center.

At the same time, two computer researchers at Cambridge University in Britain who worked on the part of the investigation related to the Tibetans, are releasing an independent report. They do fault China, and they warned that other hackers could adopt the tactics used in the malware operation.

“Những gì Trung Quốc đã làm trong năm 2008, thì Nga sẽ làm trong năm 2010 và ngay cả những tội phạm có ngân sách ít từ những quốc gia ít phát triển hơn cũng sẽ làm theo trong quá trình này”, các nhà nghiên cứu ở Cambridge, Shishir Nagaraja và Ross Anderson, đã viết trong báo cáo của họ, “Con rồng rình mò: Sự giám sát Phần mềm độc hại mang tính xã hội của phong trào Tây Tạng”.

Trong mọi trường hợp, đã có những nghi ngờ về sự can thiệp của Trung Quốc mà đã dẫn tới sự phát hiện hoạt động gián điệp này. Mùa hè trước, văn phòng của Dalai Lama đã mời 2 chuyên gia tới Ấn Độ để kiểm tra các máy tính được sử dụng bởi tổ chức của Dalai Lama. Các chuyên gia, Greg Walton, biên tập viên của Information Warfare Monitor, và ngài Nagaraja, một chuyên gia an ninh mạng, đã thấy rằng các máy tính đã bị nhiễm và rằng những kẻ đột nhập không được phép đã đánh cắp các tệp từ các máy tính cá nhân đang phục vụ một số nhóm phát vãng của Tây Tạng.

Trở về Toronto, ngài Walton đã chia sẻ các dữ liệu với các đồng nghiệp tại phòng thí nghiệm máy tính của Trung tâm Munk.

Một trong số họ là Nart Villeneuve, 34 tuổi, một sinh viên tốt nghiệp và tự học thành hacker “mũ trắng” với những kỹ năng kỹ thuật sáng chói. Năm ngoái, ngài Villeneuve đã liên kết phiên bản của Trung Quốc của dịch vụ truyền thông Skype với một hoạt động của chính phủ Trung Quốc mà nó đã nghe trộm một cách có hệ thống về những phiên giao dịch theo thông điệp tức thì (chat) của người sử dụng.

Đầu tháng này, ngài Villeneuve đã lưu ý một xâu ký tự kỳ lạ với 22 ký tự được nhúng trong các tệp được tạo ra bởi các phần mềm độc hại và đã tìm kiếm với Google. Điều này dẫn ông tới một nhóm các máy tính trên đảo Hainan, nằm ngoài Trung Quốc, và tới một Website mà có thể chứng minh là quan trọng mang tính sống còn.

“What Chinese spooks did in 2008, Russian crooks will do in 2010 and even low-budget criminals f-rom less developed countries will follow in due course,” the Cambridge researchers, Shishir Nagaraja and Ross Anderson, wrote in their report, “The Snooping Dragon: Social Malware Surveillance of the Tibetan Movement.”

In any case, it was suspicions of Chinese interference that led to the discovery of the spy operation. Last summer, the office of the Dalai Lama invited two specialists to India to audit computers used by the Dalai Lama’s organization. The specialists, Greg Walton, the editor of Information Warfare Monitor, and Mr. Nagaraja, a network security expert, found that the computers had indeed been infected and that intruders had stolen files f-rom personal computers serving several Tibetan exile groups.

Back in Toronto, Mr. Walton shared data with colleagues at the Munk Center’s computer lab.

One of them was Nart Villeneuve, 34, a graduate student and self-taught “white hat” hacker with dazzling technical skills. Last year, Mr. Villeneuve linked the Chinese version of the Skype communications service to a Chinese government operation that was systematically eavesd-ropping on users’ instant-messaging sessions.

Early this month, Mr. Villeneuve noticed an odd string of 22 c-haracters embedded in files cre-ated by the malicious software and searched for it with Google. It led him to a group of computers on Hainan Island, off China, and to a Web site that would prove to be critically important.

Trong một bối cảnh an ninh rắc rối, trang web mà ngài Villeneuve đã tìm thấy đã không được bảo vệ bởi một mật khẩu, trong khi nhiều phần còn lại của hệ thống này sử dụng mật mã hoá.

Ngài Villeneuve và các đồng nghiệp đã chỉ ra cách mà hoạt động này đã làm việc bằng việc ra lệnh để lây nhiễm một hệ thống trong phòng thí nghiệm máy tính của họ tại Toronto. Vào ngày 12/03, vụ gián điệp đã thực hiện được bả của riêng chúng. Ngài Villeneuve đã theo dõi một loạt các lệnh lung linh trên màn hình máy tính của ông khi ai đó – có lẽ là tại Trung Quốc – đã lục soát qua các tệp. Không tìm thấy những thứ quan tâm, kẻ đột nhập đã sớm biến mất.

Thông qua sự thử nghiệm và lỗi, các nhà nghiên cứu đã học được sử dụng “bảng đen” ngôn ngữ Trung Quốc của hệ thống – một bảng điều khiển có thể với tới được với một trình duyệt web tiêu chuẩn – bằng cách đó một người có thể điều khiển được hơn 1,200 máy tính trên khắp thế giới sau khi đã bị nhiễm.

Sự lây nhiễm xảy ra theo 2 cách. Trong một phương pháp, một người sử dụng nháy lên một tài liệu được gắn kèm với một thông điệp thư điện tử cho phép hệ thống lén lút cài đặt phần mềm sâu vào bên trong hệ điều hành đích. Như một sự lựa chọn, một người sử dụng nháy lên một đường link của web trong một thông điệp thư điện tử và được chộp lây một cách trực tiếp cho một website “bị nhiễm”.

Các nhà nghiên cứu nói họ đã tránh vi phạm bất kỳ luật lệ nào trong 3 tuân giám sát và thử nghiệm tích cực với bảng điều khiển phần mềm không được bảo vệ của hệ thống này. Họ đã cung cấp, trong cố các thông tin khác, một nhật ký của các máy tính bị tổn thương có ngày là 22/05/2007.

Họ đã thấy rằng 3 trong số 4 máy chủ đã ở những tỉnh khác nhau của Trung Quốc – Hainan, Guangdong và Sichuan – trong khi cái thứ tư đã được phát hiện là ở một công ty Web-hosting có trụ sở tại Nam California.

Ngoài những thứ đó, Rafal A. Rohozinski, một trong số các nhà nghiên cứu, nói: “thẩm quyền là khó khăn vì không ai thoả thuận về khung pháp lý quốc tế cho việc có thể theo đuổi các nghiên cứu đối với kết luận logic của họ, mà nó chỉ mang tính cục bộ địa phương cao”.

In a puzzling security lapse, the Web page that Mr. Villeneuve found was not protected by a password, while much of the rest of the system uses encryption.

Mr. Villeneuve and his colleagues figured out how the operation worked by commanding it to infect a system in their computer lab in Toronto. On March 12, the spies took their own bait. Mr. Villeneuve watched a brief series of commands flicker on his computer screen as someone — presumably in China — rummaged through the files. Finding nothing of interest, the intruder soon disappeared.

Through trial and error, the researchers learned to use the system’s Chinese-language “dashboard” — a control panel reachable with a standard Web browser — by which one could manipulate the more than 1,200 computers worldwide that had by then been infected.

Infection happens two ways. In one method, a user’s clicking on a document attached to an e-mail message lets the system covertly install software deep in the target operating system. Al-ternatively, a user clicks on a Web link in an e-mail message and is taken directly to a “poisoned” Web site.

The researchers said they avoided breaking any laws during three weeks of monitoring and extensively experimenting with the system’s unprotected software control panel. They provided, among other information, a log of compromised computers dating to May 22, 2007.

They found that three of the four control servers were in different provinces in China — Hainan, Guangdong and Sichuan — while the fourth was discovered to be at a Web-hosting company based in Southern California.

Beyond that, said Rafal A. Rohozinski, one of the investigators, “attribution is difficult because there is no agreed upon international legal framework for being able to pursue investigations down to their logical conclusion, which is highly local.”

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com