Virus gián điệp Gauss giống Stuxnet đánh vào các ngân hàng ở Trung Đông

Up-dated 12:29 PM Aug 10,2012

Theo:http://www.todayonline.com/Technology/EDC120810-0000086/Stuxnet-like-spy-virus-Gauss-hits-Middle-East-banks

Bài được đưa lênInternet ngày: 10/08/2012

Lờingười dịch: Kaspersky Lab, một hãng an ninh nổi tiếng cótrụ sở tại Moscow đã vừa phát hiện ra một virus mớitrinh sát không gian mạng (KGM) đã được phát hiện tạiTrung Đông có thể gián điệp các giao dịch ngân hàng vàăn cắp các mật khẩu khi đăng nhập, Gauss, trên hơn2.500 máy tính cá nhân, phần lớn tại Li băng, Israel vàcác vùng lãnh thổ của Palestin. Các mục tiêu bao gồm cácngân hàng của Li băng như BlomBank, ByblosBank và CreditLibanais, cũng như Citibank và hệ thống thanh toán trựctuyến PayPal eBay. “Sau khi xem xét Stuxnet,Duqu và Flame, chúng tôi có thểnói với mức độ chắc chắn cao rằng Gausstới từ chính 'nhà máy' hoặc 'các nhà máy' đó”,Kaspersky nói trên website của mình. “Tất cả các bộcông cụ tấn công đó thể hiện sự cao cấp các hoạtđộng chiến tranh KGM và gián điệp KGM do nhà nước tàitrợ”.

Luân Đôn – Mộtvirus mới trinh sát không gian mạng (KGM) đã được pháthiện tại Trung Đông có thể gián điệp các giao dịchngân hàng và ăn cắp các mật khẩu khi đăng nhập, theoKaspersky Lab, một hãng an ninh máy tính hàng đầu.

Nhấn mạnh tớiGauss, virus nào cũng có thể có khả năng tấn công hạtầng sống còn và nhiều khả năng được xây dựng trongcùng các phòng thí nghiệm như Stuxnet, sâu máy tính đượctin tưởng một cách rộng rãi đã từng được Mỹ vàIsrael sử dụng để tấn công chương trình hạt nhân củaIran, Kaspersky Lab nói ngày hôm qua.

Hãngcó trụ sở ở Moscow này nói hãng thấy Gauss đã lâynhiễm cho hơn 2.500 máy tính cá nhân, phần lớn trong sốchúng là tại Li băng, Israel và các vùng lãnh thổ củaPalestin. Các mục tiêu bao gồm các ngân hàng của Li băngnhư BlomBank, ByblosBank và Credit Libanais, cũng như Citibank vàhệ thống thanh toán trực tuyến PayPal eBay.

Các quan chức củacác ngân hàng Li băng nói họ không biết gì về virus này.Người phát ngôn của PayPal là Anuj Nayar nói công ty đangđiều tra vụ việc nhưng không thấy bất kỳ sự gia tăngnào các “hoạt động giả mạo” do Gauss gây nên. Mộtngười phát ngôn của Citibank đã từ chối bình luận.

Kaspersky Lab có thểkhông điều tra xem ai đứng đằng sau Gauss, nhưng nóivirus này đã có quan hệ với Stuxnet và 2 công cụ giánđiệp KGM có liên quan khác, Flame và Duqu. Bộ Quốc phòngMỹ đã từ chối bình luận.

“Saukhi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói vớimức độ chắc chắn cao rằng Gauss tới từ chính 'nhàmáy' hoặc 'các nhà máy' đó”, Kaspersky nói trên websitecủa mình. “Tất cả các bộ công cụ tấn công đó thểhiện sự cao cấp các hoạt động chiến tranh KGM và giánđiệp KGM do nhà nước tài trợ”.

ÔngJeffrey Carr, một chuyên gia về chiến tranh KGM, người điềuhành hãng an ninh Taia Global, nói Chính phủ Mỹ đã giámsát các ngân hàng của Li băng từ lâu vì những manh mốivề các hoạt động của các nhóm vũ trang và bọn tộiphạm rửa tiền. Ông nói Gauss có khả năng được xâydựng bằng công nghệ được triển khai trong Flame.

LONDON- A new cyber surveillance virus has been found in the Middle Eastthat can spy on banking transactions and steal login and passwords,according Kaspersky Lab, a leading computer security firm.

DubbedGauss, the virus may also be capable of attacking criticalinfrastructure and was very likely built in the same laboratories asStuxnet, the computer worm widely believed to have been used by theUS and Israel to attack Iran's nuclear programme, Kaspersky Lab saidyesterday.

TheMoscow-based firm said it found Gauss had infected more than 2,500personal computers, the bulk of them in Lebanon, Israel and thePalestinian territories. Targets included Lebanon's BlomBank,ByblosBank and Credit Libanais, as well as Citibank and eBay's PayPalonline payment system.
Officials with the Lebanese banks said theywere unaware of the virus. PayPal spokesman Anuj Nayar said thecompany was investigating the matter but was not aware of anyincrease in "rogue activity" as a result of Gauss. ACitibank spokeswoman declined to comment.

KasperskyLab would not speculate on who was behind Gauss, but said the viruswas connected to Stuxnet and two other related cyber espionage tools,Flame and Duqu. The US department of defense declined to comment.

"Afterlooking at Stuxnet, Duqu and Flame, we can say with a high degree ofcertainty that Gauss comes f-rom the same 'factory' or 'factories,'"Kaspersky on its website. "All these attack toolkits representthe high end of nation-state-sponsored cyber-espionage and cyberwaroperations."

MrJeffrey Carr, an expert on cyber-warfare who runs security firm TaiaGlobal, said the US government has long monitored Lebanese banks forclues about the activities of militant groups and drug cartels. Hesaid Gauss was likely built by adapting technology deployed in Flame.

"You'vegot this successful platform. Why not apply it to this investigationinto Lebanese banks and whether or not they are involved in moneylaundering for Hezbollah?" he said.

NewYork's state banking regulator this week accused Britain's StandardC-hartered Plc of violating US anti-money laundering laws by schemingwith Iran to hide more than US$250 billion (S$311.6 billion) oftransactions.

Expertssaid that surveillance viruses like Gauss are perfect tools forgovernment intelligence units to gather information for suchinvestigations, though they did not specifically link Gauss to theStandard C-hartered case.

Accordingto Kaspersky Lab, Gauss can also steal passwords and other data, andsend information about system configurations.

Modulesin the virus have internal names that researchers believe were chosento pay homage to famous mathematicians and philosophers, includingJohann Carl Friedrich Gauss, Kurt Godel and Joseph-Louis Lagrange.

“Bạnđã có nền tảng thành công này. Vì sao không áp dụng nócho điều tra trong các ngân hàng ở Li Băng và dù có haykhông chúng có liên quan tới rửa tiền cho Hezbollah?”,ông nói.

Luậtsư ngân hàng bang New York tuần này đã tố cáo StandardC-hartered PLC của Anh vi phạm các luật chống rửa tiềncủa Mỹ bằng việc giúp Iran dấu hơn 250 tỷ USD giaodịch.

Các chuyên gia nóirằng các virus trinh sát như Gauss là các công cụ tuyệtvời cho các đơn vị tình báo của chính phủ thu thậpthông tin cho những điều tra như vậy, dù họ đã khôngliên hệ đặc biệt Gaus tới vụ của Standard C-hartered.

Theo Kaspersky Lab, Gausscũng có thể ăn cắp các mật khẩu và các dữ liệukhác, và gửi thông tin về các cấu hình hệ thống.

Các module trong virusđó có các cái tên nội bộ mà các nhà nghiên cứu tintưởng đã được chọn để tưởng nhớ tới các nhàtoán học và triết học nổi tiếng, bao gồm cả JohannCarl Friedrich Gauss, Kurt Godel và Joseph-Louis Lagrange.

KasperskyLab nói hãng đã gọi là virus Gauss vì nó là tên của mộtmodule quan trọng nhất, triển khai các khả năng ăn cắpdữ liệu của virus.

Mộttrong những nhà nghiên cứu hàng đầu của hãng nói Gausscũng có một module có tên là “Godel” có thể đưa mộtvũ khí như Stuxnet vào cho việc tấn công các hệ thốngkiểm soát công nghiệp như Stuxnet. Stuxnet, được pháthiện trong năm 2010, từng được sử dụng để tấn côngcác máy tính kiểm soát các máy li tâm tại một cơ sởlàm giàu hạt nhân tại Natanz, Iran.

Ông Roel Schouwenberg,một nhà nghiên cứu kỳ cựu ở Kaspersky, nói mã nguồncủa Godel có thể đưa vào một thứ tương tự như một“đầu đạn hạt nhân”.

Godel sao chép mộtchương trình được nén và được mã hóa vào các ổUSB. Chương trình đó sẽ chỉ giải nén và kích hoạt khinó có được liên hệ với một hệ thống đích.

Trongkhi Kaspersky còn chưa phá được hoàn toàn mã nguồn củaGodel, thì ông Schouwenberg nói ông đồ rằng đây là mộtvũ khí KGM được thiết kế để gây ra những thiệt hạivật lý và các lập trình viên của nó đã đi tới nhiềumối quan tâm dấu mục đích của mình, bằng việc sửdụng một sơ đồ mã hóa mà có thể mất vài tháng hoặcthậm chí vài năm để tháo dỡ.

Trong khi chờ đợi,một cơ quan của Liên hiệp quốc chuyên tư vấn cho cácquốc gia về bảo vệ các hạ tầng có kế hoạch gửi đimột cảnh báo về mã nguồn huyền bí này. The Guardian.

KasperskyLab said it called the virus Gauss because that is the name of themost important module, which implements its data-stealingcapabilities.

Oneof the firm's top researchers said Gauss also contains a module knownas "Godel" that may include a Stuxnet-like weapon forattacking industrial control systems. Stuxnet, discovered in 2010,was used to attack computers that controlled the centrifuges at auranium enrichment facility in Natanz, Iran.

MrRoel Schouwenberg, a senior researcher with Kaspersky, said the Godelcode may include a similar "warhead."

Godelcopies a compressed, encrypted program onto USB drives. That programwill only decompress and activate when it comes in contact with atargeted system.

WhileKaspersky has yet to fully crack Godel's code, Mr Schouwenberg saidhe suspects it is a cyber weapon designed to cause physical damageand that its developers went to a lot of trouble to hide its purpose,using an encryption scheme that could take months or even years tounravel.

Meanwhile,a UN agency that advises countries on protecting infrastructure plansto send an alert on the mysterious code. THE GUARDIAN

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com