2 trường học Trung Quốc liên can trong các cuộc tấn công Aurora vào Google

TwoChinese schools implicated in Google Aurora attacks

Khôngphải chúng tôi, các đại học của chính phủ, chúng tôichỉ dạy Photoshop ở đây

Notus guv, we only teach Photoshop here

By JohnLeyden • Getmore f-rom this author

Posted in Crime,19th February 2010 12:14 GMT

Theo:http://www.theregister.co.uk/2010/02/19/aurora_china_probe_latest/

Bài được đưa lênInternet ngày: 19/02/2010

Lờingười dịch: Người ta vẫn còn điều tra vụ tấn côngvào Google và 33 hãng phương tây cuối tháng 12 vừa qua.Bạn hãy đọc đoạn này, và tự liên hệ với những gìđang diễn ra ở Việt Nam trong vòng 5 năm trở lại đây.“Sự thực, các cuộc tấn công là tương tự như cáccuộc tấn công gián điệp không gian mạng, có mục đíchvào việc trích bóp ra những bí mật công nghiệp hoặcthâm nhập vào các hệ thống chính phủ mà đã từng xảyra ít nhất 5 năm, nếu không nói là còn lâu hơn. Thườngthì các cuộc tấn công lợi dụng những chỗ bị tổnthương không được vá trong phần mềm trình duyệt, đặcbiệt là IE. Các cuộc tấn công có chủ đích với cáctệp PDF được bẫy vụng về được thiết kế để tậndụng những lỗi có liên quan tới Adobe là thứ được ưachuộng khác”. Một chi tiết quan trọng nữa là tất cảnhững thứ này đều liên quan tới các máy tính chạyWindows. Bạn có thể thấy rõ trong phân tích kỹ thuậtchi tiết của HBGary ởđây.

2 trường học TrungQuốc với các liên kết tới các lực lượng vũ trang đãtrở nên liên can như những nghi phạm trong các cuộc tấncông Chiến dịch Aurora đang diễn ra chống lại Google vàít nhất 33 công ty phương tây khác vào cuối tháng 12.

Các chuyên gia an ninh,bao gồm các những thanh tra từ Cơ quan An ninh Quốc gia(Mỹ), bây giờ coi các cuộc tấn công kể từ tháng 04năm ngoái, gần hơn nhiều so với bị tình nghi trước đó,tời New York Time (NYT) nói. Dù các cuộc tấn công này đượcxuất phát từ Trung Quốc, thì không có cách gì rõ ràngrằng chúng đã được phụ họa bởi chính phủ TrungQuốc. Còn có cả khả năng rằng những kẻ tấn công từbên ngoài Trung Quốc đã chỉ huy, hoặc đã có một sựliên quan, ít nhất trong một số cuộc tấn công.

Tuy nhiên một quanđiểm nổi bật trong điều tra hiện hành đang tập trungvào 2 trường về khoa học máy tính của Trung Quốc - Đạihọc Jiaotong Thượng Hải và Trường dạy nghề Lanxiang -theo những thanh tra dấu tên, NYT nói. Lanxiang là mộttrường dạy nghề có liên quan trong việc huấn luyện mộtsố nhà khoa học máy tính quân sự. Jiaotong là một đạihọc hàng không hàng đầu mà quản lý tốt các khóa họcvề khoa học máy tính.

Các quan chức tại 2trường này nói họ có nghe từ những thanh tra Mỹ. Mộtgiáo sư dấu tên tại trường kỹ thuật an ninh thông tinJiaotong đã nói cho NYT rằng các sinh viên đôi khi tấncông các website phương tây trong khi cũng lưu ý rằng việctấn công các địa chỉ IP của nó bởi các tin tặc bênngoài là phổ biến. Nhân viên tại Lanxiang đã nói cho TheGuardian rằng những sinh viên của mình là những sinh viêntrung học và học các kỹ năng như là Photoshop.

TwoChinese schools with links to the armed forces have become implicatedas suspects in the ongoing Operations Aurora attacks against Googleand at least 33 other western conglomerates last December.

Securityexperts, including investigators f-rom the National Security Agency,now reckon the attacks date f-rom April last year, far earlier thanpreviously suspected, the NewYork Times reports.Although the attacks originated f-rom China, it's by no means clearthat they were orchestrated by the Chinese government. It's evenpossible that hackers f-rom outside China ran, or had an involvementin, at least some of the attacks.

Howeverone prominent strand in the ongoing investigation is focusing on twoChinese computer science facilities - Shanghai Jiaotong Universityand the Lanxiang Vocational School - according to unnamedinvestigators, the NYTreports. Lanxiang is a vocational school involved in training somemilitary computer scientists. Jiaotong is a top flight universitythat runs well-regarded computer science courses.

Officialsat the two schools said they are yet to hear f-rom US investigators.An unnamed professor at Jiaotong's school of information securityengineering told the NYTthat students sometimes hack western websites while also noting thathijacking of its IP addresses by external hackers is commonplace.Staff at Lanxiang toldThe Guardianthat its students were middle-school students learning skills such asPhotoshop.

Hừmmmmmm

Bài viết của JohnMarkoff và David Barboza trên NYT soi sáng các chi tiết nhưđối với những gì có thể dẫn các thanh tra viên tớiviệc nghi ngờ 2 trường này. Markoff là một phóng viên vềdoanh nghiệp cựu trào, người đã viết về sự truy nàtừ những năm 1990 và cuối cùng bắt được tin tặcKevin Mitnick. Con người này bị chỉ trích bởi vài ngườikhông quen biết với Mitnick trong cộng đồng an ninh thôngtin như việc phóng đại những khai thác của tin tặc này.

Tinh thần tốt nhấttrong an ninh máy tính từng được áp dụng tự bản thânhọ cho việc tháo các cuộc tấn công của Chiến dịchAurora mà, một phần, đã tập trung vào các tài khoảnGmail của những người bất đồng quan điểm của TrungQuốc. Khía cạnh này của cuộc tấn công đã nhắc nhởGoogle dọa một cách công khai rời bỏ Trung Quốc và đãbật lên một loạt công việc ngoại giao to lớn giữaTrung Quốc và Mỹ về sự tự do và kiểm duyệt trênInternet. Google sau đó một cách gây tranh cãi đã gọi tớiCơ quan An ninh Quốc gia (NSA) để trợ giúp trong điều tracủa mình.

Sựthực, các cuộc tấn công là tương tự như các cuộc tấncông gián điệp không gian mạng, có mục đích vào việctrích bóp ra những bí mật công nghiệp hoặc thâm nhậpvào các hệ thống chính phủ mà đã từng xảy ra ít nhất5 năm, nếu không nói là còn lâu hơn. Thường thì cáccuộc tấn công lợi dụng những chỗ bị tổn thươngkhông được vá trong phần mềm trình duyệt, đặc biệtlà IE. Các cuộc tấn công có chủ đích với các tệp PDFđược bẫy vụng về được thiết kế để tận dụngnhững lỗi có liên quan tới Adobe là thứ được ưachuộng khác.

Nhiều phân tích chitiết về các cuộc tấn công của Chiến dịch Aurora cònlà bí mật hoặc chưa công bố.

Những gì được biếtlà việc những tin tặc không được xác định đã sửdụng những chỗ bị tổn thương (không được vá) loạizero-day trong IE6, trong các cuộc tấn công có chủ đíchhướng vào việc tấn công những người sử dụng vàoviệc viếng thăm các website bị bẫy, đặc trưng cho mộtkhai thác dựa trên JavaScript. Các site mạng xã hội đượccho là đã bị sử dụng cho công việc thăm dò trinh sát,giúp những kẻ tấn công đưa ra một danh sách các đíchngắm và các bạn bè và các mối liên hệ công việc củahọ. Điều này đã cho phép những bức thư điện tửchứa viên thuộc độc lừa phỉnh được, dường như làđược tới từ những mối liên hệ của một ngườiđích.

Hmmm.

TheNYT article by John Markoff and David Barboza is light on details asto what might have led investigators into suspecting the two schools.Markoff is a veteran business journalist who wrote about the 1990spursuit and eventually capture of hacker Kevin Mitnick. This accountwas criticised by several people unaffiliated with Mitnick in theinformation security community as exaggerating the hacker's exploits.

Thebest minds in computer security have been applying themselves tounpicking the Operation Aurora attacks which, in part, targeted theGmail accounts of Chinese dissidents. This aspect of the attackprompted Google to publicly threaten to quit China and triggered ahuge diplomatic row between China and the US over internet freedomand censorship. Google controversially later called in the NSA tohelp in its investigation.

Intruth, the attacks are similar to cyber-espionage attacks, aimed atextracting industrial secrets or hacking into government systems thathave been going on for at least five years, if not longer. Oftenthese attacks take advantage of unpatched vulnerabilities in browsersoftware, especially IE. Targeted attacks with booby-trapped PDFfiles designed to take advantage of Adobe-related security bugs areanother favourite.

Muchof the detailed analysis of the Operation Aurora attacks remainsprivate or classified.

Whatis known is that as yet unidentified hackers used zero-day(unpatched) vulnerabilities in IE6, in targeted attacks aimed attricking users into visiting booby-trapped websites, featuring aJavaScript-based exploit. Social networking sites are thought to havebeen used for reconnaissance work, helping attackers to draw up alist of targets and their friends and business contacts. This enabledpoison pill emails to be spoofed, so at to appear to come f-rom atarget's contacts.

Một khai thác đãđược sử dụng để bỏ lại một cửa hậu vào các hệthống Windows bị lây nhiễm bị đánh thông qua cuộc tấncông. Cửa hậu này đã thực hiện các kết nối đượcmã hóa tới lệnh và kiểm soát các máy chủ tại Texas,đã thâm nhập các máy chủ Rack, và Đài Loan.

DNS động là tínhnăng chủ chốt của cuộc tấn công, với nhiều lệnh xácđịnh từ xa và các máy chủ kiểm soát hoạt động từcác miền được đăng ký thông qua dịch vụ Peng Yong3322.org tại Trung Quốc. Điều này là theo một phân tíchkỹ thuật chi tiết của các cuộc tấn công từ hãng dịchvụ an ninh không gian mạng HBGarry.

Hãng này - mà đãtriển khai hầu hết các phân tích kỹ thuật chi tiết vềcác cuộc tấn công sẵn sàng một cách công khai - bổsung rằng “trong khi Peng Yong rõ ràng tha thứ cho hoạtđộng tội phạm không gian mạng thông qua các dịch vụmiền của mình, thì điều này khoogn chỉ ra hãng này cóbất kỳ mối liên quan trực tiếp nào với Aurora”.

“Bằngchứng được thu thập xung quanh chiến dịch phần mềmđộc hại gợi ý rằng Chiến dịch Aurora đơn giản làmột ví dụ về sự thâm nhập của phần mềm độc hạicó hiệu quả cao”, nó kết luận. “Không có bằngchứng đáng kể nào để buộc hoạt động này một cáchtrực tiếp cho Chính phủ Trung Quốc. Tuy nhiên, các diễnviên chính đã được xác định có liên quan với cáchoạt động phần mềm độc hại mà sử dụng các hệthống của Trung Quốc và các phần mềm độc hại ngônngữ bẩm sinh”.

Anexploit was used to d-rop a backdoor onto compromised Windows systemshit via the attack. This backdoor made encrypted connections tocommand and control servers in Texas, hacked Rackspace servers, andTaiwan.

DynamicDNS is a key feature of the attack, with many of the thus faridentified command and control servers operating f-rom domainsregistered through Peng Yong’s 3322.org service in China. This isaccording to a detailedtechnical analysis of the attacks f-rom cyber-security servicesfirm HBGary.

Thefirm - which has carried out the most detailed technical analysis ofthe attacks publicly available thus far - adds that "while PengYong is clearly tolerant of cyber crime operating through his domainservices, this does not indicate he has any direct involvement withAurora."

"Evidencecollected around the malware operation suggests that Operation Aurorais simply an example of highly effective malware penetration,"it concludes. "There is not significant evidence to attributethe operation directly to the Chinese Government. However, key actorshave been identified in association with malware operations thatutilize Chinese systems and native language malware." ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com