Các diễn giả Việt Nam bị làm mục tiêu trong tấn công không gian mạng

Thứ năm - 01/04/2010 05:19

VietnameseSpeakers Targeted In Cyberattack

Tuesday, March 30th, 2010at 4:28 pm

by George Kurtz

Theo:http://siblog.mcafee.com/cto/vietnamese-speakers-targeted-in-cyberattack/

Bài được đưa lênInternet ngày: 30/03/2010

Lờingười dịch: Từ cuộc điều tra của Google vào Chiếndịch Aurora tại Trung Quốc, Googe đã tìm ra botnet củaViệt Nam mà: “Chúng tôi tin tưởng những kẻ tấn côngđầu tiên đã gây tổn thương cho www.vps.org, một webistecủa Xã hội những người chuyên nghiệp Việt Nam, và đãthay thế trình điều khiển bàn phím hợp pháp bằng mộtcon ngựa Trojan. Những kẻ tấn công sau đó đã gửi mộtthư điện tử tới những cá nhân có chủ đích mà đãchỉ chúng ngược lại tới website VPS này, nơi họ đãtải về Trojan thay vào đó.

Trojan cài đặt các phầnmềm độc hại sau lên máy bị lây nhiễm (Chỉ dànhriêng cho Windows):

*%UserDir%\Application Data\Java\jre6\bin\jucheck.exe

*%UserDir%\Application Data\Java\jre6\bin\zf32.dll

*%UserDir%\Application Data\Microsoft\Internet Explorer\QuickLaunch\VPSKEYS 4.3.lnk

*%RootDir%\Program Files\Adobe\AdobeUp-dateManager.exe

*%RootDir%\Program Files\Java\jre6\bin\jucheck.exe

*%RootDir%\Program Files\Microsoft Office\Office11\OSA.exe

*%SysDir%\mscommon.inf

*%SysDir%\msconfig32.sys

*%SysDir%\zf32.dll

*%SysDir%\Setup\AdobeUp-dateManager.exe

*%SysDir%\Setup\jucheck.exe

*%SysDir%\Setup\MPClient.exe

*%SysDir%\Setup\MPSvc.exe

*%SysDir%\Setup\OSA.exe

*%SysDir%\Setup\wuauclt.exe

*%SysDir%\Setup\zf32.dll

Nói theo kiểu của nhữngngười thích đùa khi mời nhau hút thuốc lá: “Dùng(thuốc lá - Windows) cho chết m... mày đi!!!”

Trình điều khiểnbàn phím giả tạo, được gán tên W32/VulcanBot bởiMcAfee, đã kết nối những máy tính bị lây nhiễm tớimột mạng các máy tính bị tổn thương. Trong quá trìnhđiều tra của chúng tôi trong botnet này chúng tôi đã thấymột tá các hệ thống lệnh và kiểm soát mạng của cácmáy tính cá nhân bị tấn công. Các máy chủ ra lệnh vàkiểm soát đã chủ yếu được truy cập từ các địachỉ IP tại Việt Nam.”

Tới bây giờ, bạncó thể đã thấy bài viết trên blog của Google nói vềcác cuộc tấn công có chủ đích chống lại các máy tínhcủa những diễn giả của Việt Nam và những ngườikhác. Botnet này, mà McAfee đã xác định được khi điềutra vụ Hoạt động Aurora, đã trưng dụng cho những máytính này trong những gì dường như là một cuộc tấncông có động cơ chính trị. McAfee đã chia sẻ các kếtquả của cuộc điều tra của hãng với Google khi nó đượcđể mở.

Những kẻ tấn côngđã tạo ra botnet này bằng việc tập trung vào những diễngiả Việt Nam với các phần mềm độc hại mà chúng đượcngụy trang như các phaanfmeemf mà chúng cho phép Windows hỗtrợ ngôn ngữ tiếng Việt. Trình điều khiển bàn phímđược biết như VPSKeys là phổ biến với những ngườisử dụng Windows của Việt Nam và là cần thiết để cókhả năng chèn các dấu trọng âm vào những vị trí phùhợp khi sử dung Windows.

Mã của bot này ngụytrang như môt trình điều khiển bàn phím tìm được đườngcủa nó vào máy tính mà, một khi bị lây nhiễm, tham giavào một botnet với các hệ thống lệnh và kiểm soátđược đặt khắp thế giới mà truy cập được chủ yếutừ các địa chỉ IP bên trong Việt Nam.

Chúng ta đồ là nỗlực để tạo ra botnet này được bắt đầu từ cuốinăm 2009, trùng khớp ngẫu nhiên với các cuộc tấn côngcủa Chiến dịch Aurora. Trong khi các phòng thí nghiệm củaMcAfee đã xác định phần mềm độc hại này trong khiđiều tra vụ Chiến dịch Aurora, thì chúng tôi tin tưởngcác cuộc tấn công là không có liên quan. Mã nguồn củabot ít phức tạp hơn nhiều so với của các cuộc tấncông của Chiến dịch Aurora. Thông thường mã nguồn củabot mà có thể sử dụng những máy tính bị lây nhiễm đểkhởi động các cuộc tấn công từ chối dịch vụ, hoạtđộng của màn hình trên các máy bị tổn thương và chonhững mục tiêu bất chính khác.

By now, you mayhave seen the Googleblog post talking about the targeted attacks against thecomputers of Vietnamese speakers and others. The botnet, which McAfeeidentified while investigating Operation Aurora, has commandeeredthese computers in what appears to be a politically motivated attack.McAfee has been sharing the results of its investigation with Googleas it unfolded.

Attackers cre-atedthe botnet by targeting Vietnamese speakers with malware that wasdisguised as software that allows Windows to support the Vietnameselanguage. The keyboard driver known as VPSKeys is popular withVietnamese Windows users and is needed to be able to in-sert accentsat the appropriate locations when using Windows.

The bot codemasquerading as a keyboard driver finds its way onto computersthat, once infected, join a botnet with command and controlsystems located around the globe that are accessed predominantlyf-rom IP addresses inside Vietnam.

We suspect theeffort to cre-ate the botnet started in late 2009, coinciding bychance with the OperationAurora attacks. While McAfee Labs identified the malware duringour investigation into Operation Aurora, we believe the attacks arenot related. The bot code is much less sophisticated than theOperation Aurora attacks. It is common bot code that could useinfected machines to launch distributed denial of service attacks,monitor activity on compromised systems and for other nefariouspurposes.

Chúng tôi tin tưởng nhữngkẻ tấn công đầu tiên đã gây tổn thương chowww.vps.org, một webiste của Xã hội những người chuyênnghiệp Việt Nam, và đã thay thế trình điều khiển bànphím hợp pháp bằng một con ngựa Trojan. Những kẻ tấncông sau đó đã gửi một thư điện tử tới những cánhân có chủ đích mà đã chỉ chúng ngược lại tớiwebsite VPS này, nơi họ đã tải về Trojan thay vào đó.

Trình điều khiển bànphím giả tạo, được gán tên W32/VulcanBot bởi McAfee, đãkết nối những máy tính bị lây nhiễm tới một mạngcác máy tính bị tổn thương. Trong quá trình điều tracủa chúng tôi trong botnet này chúng tôi đã thấy một tácác hệ thống lệnh và kiểm soát mạng của các máy tínhcá nhân bị tấn công. Các máy chủ ra lệnh và kiểm soátđã chủ yếu được truy cập từ các địa chỉ IP tạiViệt Nam.

We believe theattackers first compromised www.vps.org,the Web site of the Vietnamese Professionals Society (VPS), andreplaced the legitimate keyboard driver with a Trojan horse. The attackers then sent an e-mail to targeted individuals whichpointed them back to the VPS Web site, whe-re they downloaded theTrojan instead.

The rogue keyboarddriver, dubbed W32/VulcanBotby McAfee, connected the infected machines to a network ofcompromised computers. During our investigation into the botnet wefound about a dozen command and control systems for the network ofhijacked PCs. The command and control servers were predominantlybeing accessed f-rom IP addresses in Vietnam.

The Trojaninstalls the following malware on the infected system:

Trojan cài đặt các phầnmềm độc hại sau lên máy bị lây nhiễm:

*%UserDir%\Application Data\Java\jre6\bin\jucheck.exe

*%UserDir%\Application Data\Java\jre6\bin\zf32.dll

*%UserDir%\Application Data\Microsoft\Internet Explorer\QuickLaunch\VPSKEYS 4.3.lnk

*%RootDir%\Program Files\Adobe\AdobeUp-dateManager.exe

*%RootDir%\Program Files\Java\jre6\bin\jucheck.exe

*%RootDir%\Program Files\Microsoft Office\Office11\OSA.exe

*%SysDir%\mscommon.inf

*%SysDir%\msconfig32.sys

*%SysDir%\zf32.dll

*%SysDir%\Setup\AdobeUp-dateManager.exe

*%SysDir%\Setup\jucheck.exe

*%SysDir%\Setup\MPClient.exe

*%SysDir%\Setup\MPSvc.exe

*%SysDir%\Setup\OSA.exe

*%SysDir%\Setup\wuauclt.exe

*%SysDir%\Setup\zf32.dll

These files, whenexecuted, initiate connections to the following domains:

Những tập này, khi đượcchạy, sẽ khởi tạo những kết nối tới các miền sau:

*google.homeunix.com

*tyuqwer.dyndns.org

*blogspot.blogsite.org

*voanews.ath.cx

*ymail.ath.cx

Trong khi ban đầu một số các miền và tệpnày đã được báo cáo có liên quan tới Chiến dịchAurora, thì chúng tôi đã đi tới tin tưởng rằng nhữngphần mềm độc hại này không có liên quan tới Aurora vàsử dụng một tập hợp các máy chủ Lệnh và Kiểm soátkhác.

Chúng tôi tin tưởng rằng những thủ phạmcó thể có những động lực chính triij và có thể cómột số lòng thành đối với chính phủ của Cộng hòaXã hội chủ nghĩa Việt Nam. Hiến chương của Xã hộicủa những người Chuyên nghiệp Việt Nam là để gia tăngtri thức và sự hiểu biết của các điều kiện xã hộivà kinh tế tại quốc gia Đông Nam Á này, theo Wikipedia.

McAfee đã bổ sung sự dò tìm ra phần mềmđộc hại này vào tháng 01, vào cùng thời gian mà chúngtôi đã cung cấp sự bảo vệ cho ví dụ mới nhất củacác tin tặc và những cuộc tấn công có động cơ chínhtrị, mà chúng đang nổi lên và là một chủ đề màchúng tôi tại McAfee đã thường thảo luận tới trongnhững xuất bản phẩm của chúng tôi. Trong một tài liệutuyệt vời về Tội phạm không gian mạng và chủ nghĩatin tặc (Hacktivism) được xuất bản vào tháng này, nhànghiên cứu Francois Paget tranh luận đề tài này dài. Cũngbao trùm Báo cáo về Mối đe dọa theo Quý gấn đây nhấtcủa chúng tôi.

Khi những sự kiện này được hé lộ,chúng tôi sẽ tiếp tục cập nhật cho các bạn.

While originallysome of these domains and files had been reported to be associatedwith Operation Aurora, we have since come to believe that thismalware is unrelated to Aurora and uses a different set of Command &Control servers.

We believe thatthe perpetrators may have political motivations and may have someallegiance to the government of the Socialist Republic of Vietnam.The c-harter of the Vietnamese Professionals Society is to increasethe knowledge and understanding of the social and economic conditionsin the Southeast Asian country, accordingto Wikipedia.

McAfee addeddetection of the malware in January, around the same time we providedprotection for Operation Aurora related malware. The botnet isstill active and attacks f-rom the botnet continue today.

This incidentunderscores that not every attack is motivated by data theft ormoney. This is likely the latest example of hacktivism andpolitically motivated cyberattacks, which are on the rise and a topicwe at McAfee have often discussed in our publications. In anexcellent paperon Cybercrime and Hacktivism published this month, ResearcherFrancois Paget discusses the topic at length. It is also covered inour most recent QuarterlyThreat Report.

As these eventsunfold, we will continue to keep you up-dated.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com

Tags: công nghệ tin học, khác, security, virus