Ấn Độ tắt máy chủ liên kết tới virus máy tính Duqu

Indiashuts server linked to Duqu computer virus

By JimFinkle and Supantha Mukherjee

Mon Nov 7, 2011 4:09pmEST

Theo:http://www.reuters.com/article/2011/11/07/us-cybersecurity-india-idUSTRE7A65U920111107

Bài được đưa lênInternet ngày: 07/11/2011

Lờingười dịch: Được cho là Đội Phản ứng Khẩn cáp vềMáy tính của Ấn Độ (CERT-In) đã cho tắt một máychủ riêng ảo của một hãng Ấn Độ có trụ sở tạiMumbai, mà máy đã được thuê cho một khách hàng ởMilan, Ý mà bị nghi là có liên kết tới các máy tínhbị lây nhiễm Trojan Duqu. Hiện “Các hãng an ninhbao gồm cả SecureWorks của Dell, McAfee của Intel, KasperskyLab và Symantec nó họ thấy những nạn nhân của Duqutại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chối cungcấp các danh tính đó... Các tin tặc đằng sau Duqu cònchưa được biết, nhưng sự tinh vi phức tạp của họgợi ý họ được ủng hộ từ một chính phủ, các nhànghiên cứu nói”. Xem thêm [01],[02].

Reuters - Các nhà chứctrách Ấn Độ đang điều tra một máy chủ tại Mumbai vìcác liên kết tới phàn mềm độc hại Duqu mà một sốchuyên gia an ninh đã cảnh báo có thể là mối đe dọakhông gian mạng (KGM) lớn tiếp sau.

Web Werks, một công tyđặt Web tại Mumbai, nói hãng đã nhận được một ảnhcủa máy chủ riêng ảo đáng ngờ cho các quan chức từĐội Phản ứng Khẩn cáp về Máy tính của Ấn Độ(CERT-In), sau khi hãng an ninh Symantec thấy máy chủ đó từngkết nối với các máy tính bị lây nhiễm virus Duqu.

Máychủ riêng ảo đã được thuê cho một khách hàng ởMilan, Ý, theo Nikhil Rathi, người sáng lập ra Web Werks.“Đây là một máy chủ không quản lý được. Vì thếbạn chỉ thực hiện nó và để khách hàng truy cập tớinó”, ông nói. “Khi bạn trao máy chủ đó cho một kháchhàng, thì nó là của khách hàng. Anh ta có thể thay đổimật khẩu của anh ta và làm bất kỳ thứ gì mà anh tamuốn với nó”.

Thông tin về Duqu lầnđầu xuất hiện vào tuần trước khi Symantec nói hãng đãthấy một virus máy tính bí ẩn có chứa mã nguồn tươngtự Stuxnet, một mẩu phần mềm độc hại được cho làđã đánh vào chương trình hạt nhân của Iran.

Các nhà điều tra củaChính phủ và tư nhân khắp thế giới đang chạy đua đểmở khóa sự bí mật của Duqu, với phân tích ban đầugợi ý rằng nó đã được các tin tặc phức tạp tinh viphát triển để giúp tạo ra nền tảng cho các cuộc tấncông vào hạ tầng sống còn như các nhà máy điện, lọcdầu và các đường ống dẫn dầu.

Ảnh từ Web Werks, mộtcông ty tư nhân có trụ sở ở Mumbai với khoảng 200 nhânviên, có thể nắm giữ các dữ liệu có giá trị đểgiúp các nhà điều tra xác định ai đã xây dựng Duqu vàcách mà nó có thể được sử dụng. Nhưng việc đặtcác mẩu đó cùng nhau là một qui trình khó khăn và dàilâu, các chuyên gia nói.

“Đây là một tháchthức”, Marty Edwards, giám đốc của SCS-CERT của Bộ Anninh Nội địa Mỹ, nói. “Đây là một mẩu phần mềmrất phức tạp”.

Ông đã từ chốibình luận về vụ điều tra của các nhà chức trách ẤnĐộ, nhưng nói rằng cơ quan của ông đã làm việc vớicác đối tác tại các quốc gia khác để học nhiều hơnvề Duqu.

Một quan chức tạiBộ CNTT Ấn Độ đang điều tra các cuộc tấn công KGMcũng đã từ chối tranh luận vấn đề này. “Tôi khôngcó khả năng bình luận về bất kỳ điều tra nào”,Gulshan Rai, giám đốc của CERT-In, nói.

(Reuters) - Indian authorities areinvestigating a computer server in Mumbai for links to the Duqumalicious software that some security experts warned could be thenext big cyber threat.

Web Werks, a Mumbai-basedWeb-hosting company, said it had given an image of the suspiciousvirtual private server to officials f-rom the Indian ComputerEmergency Response Team (CERT-In), after security firm Symantec Corpfound the server was communicating with computers infected with theDuqu virus.

The virtual private server wasleased to a client in Milan, Italy,according to Nikhil Rathi, founder of Web Werks. "This is anunmanaged server. So, you just make it and let the customer accessit," he said. "When you hand over a server to a customer,that's it, it's his. He can change his password and do whatever hewants with it."

News of Duqu first surfaced lastweek when Symantec said it had found a mysterious computer virus thatcontained code similar to Stuxnet, a piece of malware believed tohave wreaked havoc on Iran's nuclear program.

Government and privateinvestigators around the world are racing to unlock the secret ofDuqu, with early analysis suggesting that it was developed bysophisticated hackers to help lay the groundwork for attacks oncritical infrastructure such as power plants, oil refineries andpipelines.

The image f-rom Web Werks, aprivately held company in Mumbai with about 200 employees, might holdvaluable data to help investigators determine who built Duqu and howit can be used. But putting the pieces together is a long anddifficult process, experts said.

"This one is challenging,"said Marty Edwards, director of the U.S. Department of HomelandSecurity's Industrial Control Systems Cyber Emergency Response Team."It's a very complex piece of software."

He declined to comment on theinvestigation by authorities in India, but said that his agency wasworking with counterparts in other countries to learn more aboutDuqu.

An official in India's Departmentof Information Technology who investigates cyber attacks alsodeclined to discuss the matter. "I am not able to comment on anyinvestigations," said Gulshan Rai, director of CERT-In.

MỞ KHÓA BÍ MẬT

Stuxnet là một phầnmềm độc hại được thiết kế để nhằm vào các hệthống kiểm soát công nghiệp được sử dụng rộng rãi,được hãng Siemens của Đức xây dựng. Được tin rằngnó đã đánh què các máy li tâm mà Iran sử dụng để làmgiàu uranium cho những gì mà Mỹ và một số quốc gia châuÂu đã tố cáo là một sự che đậy cho chương trình vũkhí hạt nhân. [ID:nL3E7LI1PL]

Duqu dường như nhằmđích hẹp hơn so với Stuxnet khi các nhà nghiên cứu đánhgiá virus Trojan mới này đã gây lây nhiễm nhiều nhất làvài tá máy tính cho tới nay. So sánh, Stuxnet lan truyềnnhanh hơn nhiều, lây lan trong hàng ngàn hệ thống máytính.

Cáchãng an ninh bao gồm cả SecureWorks của Dell, McAfee củaIntel, Kaspersky Lab và Symantec nó họ thấy những nạn nhâncủa Duqu tại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chốicung cấp các danh tính đó.

Duqu - được đặttên như vậy vì nó tạo ra các tệp với tiếp đầu ngữ“DQ” - đã được thiết kế để ăn cắp các bí mậttừ các máy tính bị lây nhiễm, các nhà nghiên cứu nói,như các tài liệu thiết kế từ các nhà sản xuất cácvan, các động cơ, đường ống dẫn và các chuyển mạchcó độ phức tạp cao.

Các chuyển gia nghingờ rằng thông tin đang được thu thập để sử dụngtrong việc phát triển trong tương lai các vũ khí KGM mà cóthể nhằm vào các hệ thống kiểm soát các hạ tầngsống còn.

Cáctin tặc đằng sau Duqu còn chưa được biết, nhưng sựtinh vi phức tạp của họ gợi ý họ được ủng hộ từmột chính phủ, các nhà nghiên cứu nói.

“Một kẻ phá hoạiKGM nên hiểu những đặc tả kỹ thuật của mỗi thànhphần mà có thể nhằm vào việc phá hoại trong một hoạtđộng”, John Bumgarner, giám đốc công nghệ của Đơn vịHậu quả KGM Mỹ, nói.

UNLOCKING THE SECRET

Stuxnet is malicious softwaredesigned to target widely used industrial control systems built byGermany's Siemens. It is believed to have crippled centrifuges thatIran uses to enrichuranium for what the United States and some European nations havec-harged is a covert nuclear weapons program. [ID:nL3E7LI1PL]

Duqu appears to be more narrowlytargeted than Stuxnet as researchers estimate the new Trojan virushas infected at most dozens of machines so far. By comparison,Stuxnet spread much more quickly, popping up on thousands of computersystems.

Security firms including Dell Inc'sSecureWorks, Intel Corp's McAfee, Kaspersky Lab and Symantec say theyfound Duqu victims in Europe, Iran, Sudan and the United States. Theydeclined to provide their identities.

Duqu -- so named because it cre-atesfiles with "DQ" in the prefix -- was designed to stealsecrets f-rom the computers it infects, researchers said, such asdesign documents f-rom makers of highly sophisticated valves, motors,pipes and switches.

Experts suspect that information isbeing gathered for use in developing future cyber weapons that wouldtarget the control systems of critical infrastructure.

The hackers behind Duqu areunknown, but their sophistication suggests they are backed by agovernment, researchers say.

"A cyber saboteur shouldunderstand the engineering specifications of every component thatcould be targeted for destruction in an operation," said JohnBumgarner, chief technology officer for the U.S. Cyber ConsequencesUnit.

Chính xác những gìcác tác giả của Stuxnet đã làm khi họ xây dựng vũ khíKGM đó, Bumgarner, người đang viết một tài liệu vềdiễn biến của Stuxnet, nói.

“Họ đã nghiên cứucác chi tiết kỹ thuật các máy li tâm khí và đã chỉ racách mà chúng có thể bị phá hủy”, ông nói.

Những nhiệm vụtrinh sát KGM như vậy là những ví dụ về một hiệntượng phổ biến ngày một gia tăng được biết tới nhưlà các cuộc tấn công “pha trộn”, nơi mà các tin tặcsiêu hạng xâm nhập vào một mục tiêu để tạo điềukiện truy cập cho thứ khác.

Các tin tặc đã từngthâm nhập vào các hệ thống máy tính của Nasdaq vào nămngoái đã cài đặt các phần mềm độc hại cho phép họgián điệp về các giám đốc các công ty đưa ra côngkhai.

Vàotháng 3, các tin tặc đã ăn cắp được các khóa an ninhsố từ bộ phận An ninh RSA của hãng EMC mà họ sau đóđã sử dụng để thâm nhập vào các mạng của nhà thầuquân sự Lockheed Martin.

Các nhà nghiên cứunói họ vẫn đang cố gắng đưa ra pha tiếp theo trong cuộctấn công của Duqu có thể là gì.

“Chúng tôi hơi ởsau trò chơi này một chút”, Don Jackson, một giám đốccủa Đơn vị Phản ứng với các Mối đe dọa củaSucureWorks của Dell, nói. “Biết được những gì nhữngtay này sẽ làm, chúng có lẽ là một bước tiến lêntrước”.

(Câu chuyện này sửacác đoạn 1 và 2 sau khi Web Werks nói các nhà chức tráchẤn Độ đã sao chép máy chủ nghi ngờ và đã không chiếmđoạt thiết bị, bổ sung thêm bình luận của Web Werks vềkhách hàng trong đoạn 3 và loại bỏ các đoạn 8 và 9 màđã tham chiếu tới thiết bị bị chiếm đoạt).

(Supantha Mukherjee tạiNew York, Jim Finkle tại Boston đưa tin; Báo cáo bổ sung củaHenryFoy tại Mumbai; TiffanyWu biên tập).

That is exactly what the authors ofStuxnet did when they built that cyber weapon, said Bumgarner, who iswriting a paper on the development of Stuxnet.

"They studied the technicaldetails of gas centrifuges and figured out how they could bedestroyed," he said.

Such cyber reconnaissance missionsare examples of an increasingly common phenomenon known as "blended"attacks, whe-re elite hackers infiltrate one target to facilitateaccess to another.

Hackers who infiltrated Nasdaq'scomputer systems last year installed malware that allowed them to spyon the directors of publicly held companies.

In March, hackers stole digitalsecurity keys f-rom EMC Corp's RSA Security division that they laterused to breach the networks of defense contractor Lockheed MartinCorp.

Researchers said they are stilltrying to figure out what the next phase of Duqu attacks might be.

"We are a little bit behind inthe game," said Don Jackson, a director of the Dell SecureWorksCounter Threat Unit. "Knowing what these guys are doing, theyare probably a step ahead."

(This story corrects paragraphs oneand two after Web Werks said Indian authorities made copies of thesuspicious server and did not seize equipment, adds Web Werks commenton client in paragraph three and removes paragraphs eight and ninethat referred to equipment being seized)

(Reporting by Supantha Mukherjee inNew York, Jim Finkle in Boston; Additional reporting by HenryFoy in Mumbai; editing by TiffanyWu)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com