Các cuộc tấn công web đánh vào các site của Mỹ, Hàn Quốc

Webattacks hit U.S., South Korean sites

Robert Lemos,SecurityFocus 2009-07-08

Theo:http://www.securityfocus.com/news/11554

Bài được đưa lênInternet ngày: 08/07/2009

Lờingười dịch: “Việc chia sẻ thông tin về các cuộc tấncông đang diễn ra từng là một vấn đề chính trong quanhệ giữa giới công nghiệp tư nhân, mà nó sở hữu gần90% hạ tầng Internet, và các cơ quan chính phủ. Các cơquan tăng cường pháp luật thường yêu cầu các báo cáosự việc từ các công ty, nhưng đổi lại, lại đưa raít thông tin về các cuộc tấn công hoặc đưa ra nhữngcảnh báo chung chung hàng tháng trời sau khi một sự việcđã xảy ra”. Đó là những gì hiện đang xảy ra ở nướcMỹ.

Một cuộc tấn côngtừ chối dịch vụ phân tán lan rộng đã tiếp tục ngậptràn qua các website của chính phủ Mỹ và Hàn Quốc vớigiao thông mạng hôm thứ tư, ngày thứ tư của một cuộctấn công leo thang nhanh chóng mà các mục tiêu của chúngđược cho là có liên quan tới những căng thẳng với BắcTriều Tiên.

Cuộc tấn công dườngnhư đã bắt đầu từ tối hôm thứ bảy, ngày 04/07, giờThái Bình Dương, ban đầu tấn công 5 website của chínhphủ Mỹ, theo các tệp cấu hình của phần mềm độc hạiđược sử dụng cho cuộc tấn công và kiếm được bởihãng an ninh SecureWorks. Vào buổi chiều hôm thứ hai, cuộctấn công đã mở rộng sang 26 website, bao gồm các site tạiHàn Quốc và một số site thương mại của Mỹ, JoeStewart, giám đốc nghiên cứu các mối đe doạ độc hạitại SecureWorks, nói.

Mỗi lần, các máytính bị tổn thương bởi phần mềm bot này, mà nó dườngnhư đã chia sẻ mã nguồn với họ virus không nổi tiếnglà MyDoom, đã được cập nhật với một tệp cấu hìnhmà nó đã được liệt kê những mục tiêu mới nhất,Stewart nói.

Trong tệp mới nhấtnày, được phát tán hôm thứ ba, “một số website củaMỹ đã được tẩy sạch và một số site của Hàn Quốcthì lại bị bổ sung thêm vào”, ông nói. Việc cập nhậtnày trong tệp cấu hình đã khớp với thời gian của cáccuộc tấn công được thông báo trên các site của HànQuốc.

Mộtblogger Hàn Quốc đã xuất bản danh sách riêng của anh ta36 site mà anh ta đã trích ra được từ mã này, bao gồmcác website ngân hàng, báo chí và chính phủ ở cả HànQuốc và Mỹ. Trong số các website của chính phủ Mỹ đãcó site của Bộ An ninh Quốc nội, Uỷ ban Thương mạiLiên bang và của Cục Kho bạc.

Trong khi đó cácphương tiện thông tin đại chúng nói đã tập trung vàocác mục tiêu của cuộc tấn công, Jose Nazario, ngườiquản lý về nghiên cứu an ninh cho Arbor Networks, đã nhấnmạnh rằng sự phức tạp và sức mạnh thực sự củacác cuộc tấn công từ chối dịch vụ là thông thườngtrong điều kiện tốt nhất. Các dữ liệu thu thập đượctrong một trường hợp được chỉ ra là một cuộc tấncông 23 Mbps tới 25 Mbps – không rộng lớn hơn các tiêuchuẩn hiện đại – trong khi phần mềm bot đã chỉ ra sựthiếu hiểu biết về kỹ thuật đóng gói hiện hành vàsự sử dụng lại các mã nguồn từ các phần mềm độchại khác, đặc biệt là từ cơ sở mã nguồn củaMyDoom, mà nó có thể được tìm thấy trong một số nhómthảo luận trực tuyến.

Awidespread distributed denial-of-service attack continued to inundateU.S. government and South Korean Web sites with network traffic onWednesday, the fourth day of a quickly escalating attack whosetargets suggest a connection to the tensions surrounding North Korea.

Theattack appears to have begun on Saturday night, July 4, Pacific time,initially attacking five U.S. government Web sites, according toconfiguration files of the malicious software used for the attack andobtained by security firm SecureWorks. By Monday evening, the attackhad expanded to 26 Web sites, including sites in South Korea and someU.S. commercial sites, said Joe Stewart, director of malicious threatresearch at SecureWorks.

Eachtime, computers compromised with the bot software, which appeared toshare code with the infamous MyDoom family of viruses, were up-datedwith a configuration file that listed the latest targets, Stewartsaid

Inthe latest file, distributed on Tuesday, "some of the U.S. siteswere taken out and the South Korean sites were added in," hesaid. The up-date in the configuration file matched the timing ofreported attacks on South Korean sites.

ASouth Korean blogger publicizedhis own list of 36 sites that he culled f-rom the code, includingbanks, newspapers and government Web sites in both South Korea andthe United States. Among the U.S. government Web sites were theDepartment of Homeland Security, the Federal Trade Commission, andthe Treasury Department.

Whilemedia reports have focused on the targets of the attacks, JoseNazario, manager of security research for Arbor Networks, stressedthat the actual sophistication and power of the denial-of-serviceattacks were mediocre at best. Data collected in one case indicatedan attack of 23 Mbps to 25 Mbps — not large by modern standards —while the bot software showed a lack of understanding of currentpacking techniques and significant reuse of code f-rom other malware,especially f-rom the MyDoom code base that can be found in certainforums online.

“Người viết khôngthực sự là một lập trình viên tài giỏi nhất ở đó”,Nazario nói.

Một chuyên gia an ninhkhác đã đồng ý rằng kẻ tấn công dường như đã làmột tay nghiệp dư.

“Điềunày, theo ý kiến của tôi, không phải là một cuộc tấncông phức tạp lắm, và đối với tôi, điều đó thậtthất vọng, vì những site này sẽ không bị sập từnhững cuộc tấn công này”, Michael Sutton, phó chủ tịchvề nghiên cứu an ninh cho Zscaler, nói.

Các cuộc tấn côngchia sẻ các đặc tính của các cơn bão của các gói điqua mà nó đã hạ gục các mục tiêu có tiểu sử cao cấp.Trong năm 2000, một cuộc tấn công từ chối dịch vụkhổng lồ đã hạ gục các site thương mại điện tửchính, bao gồm cả Amazon.com, CNN.com và Yahoo. Hai tháng saucác cuộc tấn công, một thanh niên mới lớn ngườiCanada được biết tới như là một cậu Mafia (Mafiaboy),đã bị bắt, và năm tiếp sau, đã nhận được án tù 8tháng vì các vụ tấn công này. Trong năm 2006, hãng an ninhmũ xám Blue Security đã đóng cửa việc kinh doanh của mìnhtiếp sau một cuộc tấn công từ chối dịch vụ mở rộngmà nó đã hạ gục site của hãng này, một dịch vụ blogvà nhà cung cấp dịch vụ tên miền của mình. Không cócuộc bắt bớ nào xảy ra từ một cuộc điều tra trongcuộc tấn công này, mà nó dường như đã được khởixướng bởi những kẻ tung ra spam.

Những biểu hiện củacuộc tấn công mới nhất đã bắt đầu xuất hiện vàocác ngày cuối tuần, khi 5 site của chính phủ Mỹ đã trởthành mục tiêu. Vào hôm thứ hai, các báo cáo đã chỉ rarằng các CIO của các cơ quan liên bang đã phải chặntránh các cuộc tấn công này.

Vâng, chính phủ Mỹđã thường im mồm về mối đe doạ này. Và đó có thểlà bài học lớn nhất để được học từ cuộc tấncông, Amit Yoran, giám đốc điều hành CEO của hãng an ninhNetWitness và là cựu quan chức không gian mạng tại Bộ Anninh Quốc nội Mỹ.

“Đây là một ví dụtốt về một cuộc tấn công phạm vị rộng mà nó cóđược sự chú ý của nhiều người và nhiều ngườiquan tâm”, ông nói. “Nó đã xảy ra vài ngày cho tớinay, và đã có một sự hạn chế thôgn tin được điềuphối từ chính phủ. Và điều đó gây ra tất cả cácdạng vấn đề – mọi người được báo tin sai và họđang nhảy dựng lên với những kết luận sai”.

Việcchia sẻ thông tin về các cuộc tấn công đang diễn ratừng là một vấn đề chính trong quan hệ giữa giớicông nghiệp tư nhân, mà nó sở hữu gần 90% hạ tầngInternet, và các cơ quan chính phủ. Các cơ quan tăng cườngpháp luật thường yêu cầu các báo cáo sự việc từ cáccông ty, nhưng đổi lại, lại đưa ra ít thông tin về cáccuộc tấn công hoặc đưa ra những cảnh báo chung chunghàng tháng trời sau khi một sự việc đã xảy ra.

Việc sắp xếp chohợp lý các thông tin chia sẻ không nằm trong danh sách cácđối tượng sắp tới của chính quyền Obama được đưavào trong việc Xem xét lại Chính sách về Không gian mạngđã được đưa ra gần đây, nhưng nó nằm trong danh sáchnhững việc phải làm trong trung hạn. Cuộc tấn công mớinhất này chỉ ra rằng chính phủ cần đưa ra một ưutiên lớn hơn cho việc phổ biến thông tin, Yoran nói.

“Nếucâu trả lời cho việc này là, “Hãy câm mồm và đừngcó nói cái gì cả”, thì bạn có thể thấy phản ứngcó thể sẽ là gì đối với một vấn đề im lặng hơnnữa mà nó đã không thu hút được sự chú ý của cácphương tiện thông tin đại chúng mà cuộc tấn công nàyđã có”, ông nói.

"Thewriter is not exactly the most talented programmer out there,"Nazario said.

Anothersecurity professional agreed that the attacker appeared to be anamateur.

"This,in my opinion, is not a very sophisticated attack, and to me, that isdisappointing, because these sites should not be collapsing f-romthese attacks," said Michael Sutton, vice president of securityresearch for Zscaler.

Theattacks share c-haracteristics of past packet storms that took downhigh-profile targets. In 2000, a massive denial-of-service attacktook down major e-commerce sites, including Amazon.com, CNN.com andYahoo. Two months after the attacks, a Canadian teenager known asMafiaboy, was arrestedand, the following year, received aneight-month sentence for the attacks. In 2006, gray-hat securityfirm Blue Security shutteredits business following an extended denial-of-service attack thattook down thecompany's site, a blog service and its domain-name provider. Noarrests resulted f-rom an investigation into the attack, which appearto have been launched by spammers.

Signsof the latest attack started appearing over the weekend, when fiveU.S. government sites were targeted. By Monday, reports indicatedthat CIOs of federal agencies were scrambling to head off theattacks.

Yet,the U.S. government has been typically closed-mouthed about thethreat. And that is perhaps the biggest lesson to be learned f-rom theattack, said Amit Yoran, CEO of security firm NetWitness and a formercyber official in the U.S. Department of Homeland Security.

"Thisis a good sampling of a large scale attack that has a lot of people'sattention and a lot of people concerned," he said. "It hasbeen going for several days now, and there has been a coordinatedrestriction of information f-rom the government. And that causes allsorts of issues — people are misinformed and they are jumping tothe wrong conclusions."

Sharinginformation on ongoing attacks has been a major problem in therelationship between private industry, which owns nearly 90 percentof the Internet's infrastructure, and government agencies. Lawenforcement agencies typically request incident reports f-romcompanies, but in return, give little information about attacks ordistribute general warnings months after an incident has occurred.

Streamlininginformation sharing is not on the Obama administration's list ofnear-term objectives included in the target="_blank">recentlyreleased CyberspacePolicy Review,but it did make the medium-term to-do list. The latest attack showsthat the government needs to give a greater priority to disseminatinginformation, Yoran said.

"Ifthe response to this is, 'Shut up and don't say anything,' you cansee what the reaction would be to a more silent issue that did notget the media attention this attack has gotten," he said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com