Các máy tính của NHS bị đánh bởi sâu ăn cắp dữ liệu ngấu nghiến

NHScomputers hit by voracious, data-stealing worm

By Dan Goodin in SanFrancisco

Posted in EnterpriseSecurity, 23rd April 2010 00:42 GMT

Theo:http://www.theregister.co.uk/2010/04/23/nhs_worm_infection/

Bài được đưa lênInternet ngày: 23/04/2010

Lờingười dịch: Qakbot, một sâu chuyên ăn cắp thông tin, dữliệu trên các máy tính chạy Windows, sử dụng trình duyệtweb Internet Expolorer và phần mềm đa phương tiện QuickTimecủa Apple. Nếu muốn, nó không chỉ ăn cắp thông tin, dữliệu, mà còn có khả năng xóa sạch chúng khỏi ổ đĩa.“Tóm lại, nếu máy tính của bạn bị tổn thương, thìmọi bit thông tin mà bạn gõ vào trình duyệt của bạn sẽbị ăn cắp”.

Dịch vụ Y tế Quốcgia của Anh đã bị đánh bởi một sâu ăn cắp dữ liệungấu nghiến mà dễ dàng bị phát hiện bởi phần mềman ninh, theo các nhà nghiên cứu mà đã quan sát trực tiếpsự tổn thương hàng loạt này.

Các nhà nghiên cứutừ nhà cung cấp chống virus Symantec đã và đang giám sátsâu Qakbot kể từ tháng 5 năm ngoái và đã viết tài liệuvề hành vi của nó ởđây và ởđây. Hôm thứ năm, sau khi thâm nhập 2 trong số 6 máychủ được sử dụng để thu thập các dữ liệu ăn cắptừ các máy bị lây nhiễm, chúng đã cung cấp một bảncập nhật mà đã không làm bí mật một cách chính xáctrong hệ thống y tế.

“Các nhật ký logchỉ rằng có một sự lây nhiễm Qakbot đáng kể trongmạng của NHS tại Anh”, Symantec nói. “Mối đe doạ nàyđã lây nhiễm hơn 1,100 máy tính riêng rẽ mà chúng đượclan truyền qua nhiều mạng con trong NHS. Chúng ta đã cốgắng liên hệ với các bên bị lây nhiễm và không cóbằng chứng nào để chỉ ra rằng bất kỳ dữ liệu củakhách hàng nào hoặc bệnh nhân nào đã bị ăn cắp”.

Không phải là Qakbotkhông có khả năng xóa sạch NHS nếu nó muốn. Trong khoảngthời gian 2 tuần, các nhà nghiên cứu đã quan sát 4GB dữliệu bị ăn cắp đang nằm trong các máy chủ được giámsát. Vì là điều đó đại diện cho một phần nhỏ củacác máy chủ được sử dụng bởi Qakbot, số lượngthông tin bị ăn cắp có lẽ là lớn hơn nhiều.

Qakbot lan truyền thôngqua các trang web mà cài đặt phần mềm độc hại bằngviệc khai thác các chỗ bị tổn thương được vá trongInternet Explorer của Microsoft và phần mềm QuickTime củaApple. Có khả năng tự tuyên truyền trong các mạng cụcbộ thông qua việc chia sẻ tệp. Nó “di chuyển chậmchạp và với sự thận trọng, cố gắng không gây chú ýcho sự hiện diện của nó”, theo bản cập nhật này.

TheUK’s National Health Service has been hit by a voracious,data-stealing worm that’s easily detected by off-the-shelf securitysoftware, according to researchers who directly observed the masscompromise.

Researchersf-rom anti-virus provider Symantec have been monitoring the Qakbotworm since last May and have documented its behavior hereand here.On Thursday, after infiltrating two of the six servers used tocollect pilfered data f-rom infected machines, they provided an up-datethat didn't exactly instill confidence in the healthcare system.

“Thelogs show that there is a significant Qakbot infection on theNational Health Service (NHS) network in the UK,” the Symantecup-date states. “This threat has managed to infect over 1,100separate computers that are spread across multiple subnets within theNHS. We have attempted to contact the affected parties and have noevidence to show that any customer or patient data has been stolen.”

Notthat Qakbot doesn’t have the ability to clean out the NHS if itwanted to. Over a two week period, the researchers observed 4 GBof stolen data being funneled to the monitored servers. Because thatrepresents a fraction of the servers used by Qakbot, the amount ofpilfered information is likely much higher.

Qakbotspreads through webpages that install malware by exploiting patchedvulnerabilities in Microsoft’s Internet Explorer and Apple’sQuickTime software. It is able to self-propagate on local networksthrough file shares. It “moves slowly and with caution, trying notto bring attention to its presence,” according to the up-date.

Phần mềm độc hạinày sục tìm một ổ cứng máy tính đã bị lây nhiễmtrong lịch sử tìm kiếm Internet, các thông tin thẻ ngânhàng và thanh toán và các ủy nhiệm đăng nhập đối vớihàng chục website và sau đó tải chúng lên 1 trong 6 máychủ. Nó cũng ghi lại các nội dung và dữ liệu đượclưu trữ bởi một tính năng không hoàn chỉnh của trìnhduyệt.

“Tóm lại, nếu máytính của bạn bị tổn thương, thì mọi bit thông tin màbạn gõ vào trình duyệt của bạn sẽ bị ăn cắp”, cácnhà nghiên cúu Symantec đã viết.

Trong khi Qakbot ban đầutập trung vào những người sử dụng ở nhà, thì nhiềumáy của các doanh nghiệp và chính phủ cũng bị lâynhiễm. Bổ sung thêm vào với NHS, các máy tính khác củachính phủ mà bị lây nhiễm nằm tại Brazil. Mối đe doạnlà dễ dàng dò tìm ra được bởi sản phẩm chống viruscủa Symantec, và có lẽ các phần mềm từ nhiều hãngkhác nữa.

Themalware scours an infected machine’s hard drive for internet searchhistories, banking and payment card information and logon credentialsfor some dozen websites and then uploads them to one of the sixservers. It also records the contents of data stored by a browser’sautocomplete feature.

“Ina nutshell, if your computer is compromised, every bit of informationyou type into your browser will be stolen,” Symantec researcherswrote.

WhileQakbot primarily targets home users, plenty of corporate andgovernment machines are infected as well. In addition to the NHS,other government computers that are compromised are located inBrazil. The threat is easily detected by Symantec’s anti-virusproduct, and presumably software f-rom plenty of other companies aswell. ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com