Chiến dịch Con chuột cống: Cuộc tấn công lớn nhất của tin tặc từ trước tới nay

Thứ sáu - 05/08/2011 04:58

OperationShady RAT: The Biggest Hacking Attack Ever

August 3, 2011 at 7:15 amPT

Theo:http://allthingsd.com/20110803/operation-shady-rat-the-biggest-hacking-attack-ever/

Bài được đưa lênInternet ngày: 03/08/2011

Lờingười dịch: Cuốitháng 03/2009, một nhóm nghiên cứutại Đại học Toronto đã phát hiện ra vụ gián điệpthông tin trên không gian mạng GhostNetđược cho là lớn nhất thế giới cho tới thời điểmđó, kéo dài từ tháng 05/2007 đến tháng 03/2009, trong đóViệt Nam đứng số 2/103 quốc gia bị tấn công, với sốlượng 130/1295 máy tính bị thâm nhập, trong số này có74 chiếc của PetroVietnam. Còn bây giờ,sau khi thâm nhập được vào các máy chủ chỉ huy và kiểmsoát của những kẻ tấn công và lấy được các nộidung trong các tệp lưu ký logs của chúng,“McAfee nói họ đã phát hiện một loạt các vụ thâmnhập trái phép lớn nhất vào các máy tính từ trướctới nay, bao trùm 72 tổ chức và chính phủ khắp thếgiới, bao gồm Mỹ, Đài Loan, ViệtNam, Hàn Quốc, Canada và Ấn Độ- một số trong số đó là từnhững năm 2006”. Xem bản đồcác mục tiêu của McAfee ở bên dưới. Điều tồi tệ,là chúng lén đột nhập rồi nằm vùng trong các mạng đó,lấy đi các dữ liệu bất kỳ, tới nay cỡ vài petabytes,rồi đem ra phân tích các dữ liệu ăn cắp được đó,dạng được gọi là “Mối đedọa Thường trực Caocấp”ATP (AdvancedPersistent Threats). Bạnnghĩ nạn nhân của Việt Nam là ai??? Tôi đồ rằng, khôngai khác, mà chính là PetroVietnam.Bạn có thể tải về báo cáo của McAfee ởđây. Chữ RAT có nghĩa là con chuột,nhưng là từ viết tắt của Remote Access Tools - Các côngcụ truy cập ở xa.

Các nhà nghiên cứutừ hãng an ninh phần mềm McAfee nói họ đã phát hiệnmột loạt các vụ thâm nhập trái phép lớn nhất vào cácmáy tính từ trước tới nay, bao trùm 72 tổ chức vàchính phủ khắp thế giới, bao gồm Mỹ, Đài Loan, ViệtNam, Hàn Quốc, Canada và Ấn Độ - một số trong số đólà từ những năm 2006. Xem bản đồ các mục tiêu củaMcAfee ở bên dưới.

Và chúng không phảilà dạng các cuộc tấn công không gian mạng (KGM) đượctriển khai với những kể quấy phá vụng về như đámLulzSec, tạo nên những đầu đề nhưng thực sự chỉ gâyra một sự khó chịu cho các công ty như Sony. Trong cáctrường hợp này, các mạng đã bị tổn thương bằng cáccông cụ truy cập ở xa - hoặc RAT (Remote Access Tools), nhưchúng được biết tới trong nền công nghiệp này. Nhữngcông cụ đó - và chúng là các công cụ, vì chúng sửdụng một cách hợp pháp đối với những người quảntrị hệ thống - trao cho ai đó khả năng truy cập tớimột máy tính ở khắp trong một quốc gia hoặc toàn cầu.Tuy nhiên, trong trường hợp này, chúng đã được đặtmột cách bí mật vào các hệ thống đích, ẩn dấu khỏinhững con mắt của những người sử dụng và các nhàquản trị hàng ngày, và đã được sử dụng để cướpcác tệp bí mật nhằm lấy các thông tin hữu dụng. Khôngphải vô cớ mà McAfee gọi đây là Chiến dịch Con chuộtcống.

McAfee nói kẻ tấncông từng là một “tay chơi nhà nước”, dù hãng đãtừ chối xưng tên nó. Tôi sẽ trao cho bạn 3 dự đoán ailà ứng viên hàng đầu, dù bạn có thể sẽ cần chỉmột: Trung Quốc.

Dmitri Alperovitch, PhóChủ tịch của McAfee, bộ phận Nghiên cứu các Mối đedọa, tuyên bố trên blog của mình về sự phát hiện nàyrằng nên để cho bất kỳ ai chú ý tới một chỗ ngắtmạng của công ty hoặc chính phủ: “Tôi bị thuyết phụcrằng mỗi công ty trong từng nền công nghiệp có kích cỡđáng kể có thể nhận thức được với tài sản trítuệ đáng giá và các bí mật thương mại đã bị tổnthương (hoặc sẽ sớm bị), với đa số các nạn nhânhiếm khi phát hiện được sự thâm nhập trái phép hoặcảnh hưởng của nó”. Ông sau đó phân chia bức tranhtoàn cảnh các công ty trên thế giới thành 2 loại: nhữngngười đã bị tổn thương và biết nó, và những ngườichỉ đơn giản còn chưa biết nó.

Researchersf-rom security software concern McAfee say they have discovered thebiggest series of computer intrusions ever, covering some 72organizations and governments around the world, including the U.S.,Taiwan, Vietnam, South Korea, Canada and India — some of themdating back as far as 2006. (See the map of targets, courtesy ofMcAfee, below.)

Andthese aren’t the kind of cyber attacks carried out by bumblingtroublemakers like the LulzSecgang, which make headlines but really only cause a nuisance forcompanies like Sony. In these cases, networks were compromised byremote access tools — or RATs, as they’re known in the industry.These tools — and they are tools, because they have legitimate usesfor system administrators — give someone the ability to access acomputer f-rom across the country or around the world. In this case,however, they were secretly placed on the target systems, hidden f-romthe eyes of day-to-day users and administrators, and were used torifle through confidential files for useful information. It’s notfor nothing that McAfee is calling this Operation Shady RAT.

McAfeesays the attacker was a “state actor,” though it declined to nameit. I’ll give you three guesses who the leading candidate is,though you’ll probably need only one: China.

DmitriAlperovitch, McAfee’s Vice President, Threat Research, makes astatement in his blogentry on the discovery that should give everyone minding acorporate or government network pause: “I am convinced that everycompany in every conceivable industry with significant size andvaluable intellectual property and trade secrets has been compromised(or will be shortly), with the great majority of the victims rarelydiscovering the intrusion or its impact.” He further divides theworldwide corporate landscape into two camps: Those who have beencompromised and know it, and those who simply don’t know it yet.

Đây từng là mộtnăm đặc biệt dơ dáy bẩn thỉu trên mặt trận an ninhkhông gian mạng. (Tôi ghét gọi như thế, nhưng tôi đãnói với bạn như thế). Trước hết, cuộc tấn công lớnmà ảnh hưởng đầy đủ của nó còn chưa được đo đếmlà cuộc tấn công chống lại hệ thống SecureID của RSA,sử dụng các thiết bị chuỗi khóa phổ biến tạo ra mộtloạt thay đổi liên tục các con số tới lượt chúng tạora một mật khẩu thứ 2 để truy cập tới các tài nguyênhệ thống. Chúng được sử dụng một cách rộng rãitrong các giới quân sự và chính phủ và trong số các nhàthầu quân sự. Google từng là một đích thường xuyêntrong những năm vừa qua.

Cuộc tấn công RSA vàChiến dịch Con chuột Cống là những ví dụ, Alperovitchnói, về một “Mối đe dọa Thường trực Caocấp” ATP (AdvancedPersistent Threats).Mệnh đề này đã trở thành một từ thông dụng, đượcdịch lòng thòng trong tiếng Anh, nghĩa là dạng tồi tệnhất của tấn công không gian mạng mà bạn có thể tưởngtượng. Không giống như các cuộc tấn công từ chốidịch vụ và các cuộc thâm nhập trái phép mạng đượcLulzSec và đám người của nó triển khai, đòi hỏi chỉvới sự hiểu biết và kỹ năng tối thiểu về cách màcác mạng và các máy chủ làm việc, một APT được triểnkhai bằng ai đó với kỹ năng rất cao, người nhặt racác mục tiêu một cách thận trọng và lén lút chui vàotrong chúng theo một cách thức khó mà phát hiện ra được,cho phép truy cập hệ thống đích trên cơ sở hàng ngàycó thể bền bỉ hàng năm.

Các cuộc tấn côngnày xảy ra như thế nào? Rất đơn giản: Ai đó tại tổchức đích nhận được một thư điện tử trông có vẻhợp lệ, nhưng có chứa một đính kèm không hợp lệ.Điều này được gọi là “phishing móc”, và nó đã trởthành vũ khí lựa chọn cho những kẻ tấn công không gianmạng tinh vi phức tạp. Những đính kèm không là nhữnggì chúng dự định - các tài liệu Word hoặc các bảngtính hoặc những thứ thường nhật khác - vầ chứa cácchương trình chứa mức truy cập mạng của người sửdụng đích. Những chương trình này sau đó tải về cácphần mềm độc hại trao cho những kẻ tấn công sự truycập tiếp sau. Tất cả những thứ này xảy ra theo mộtcách thức được tự động hóa, nhưng ngay sau đó, nhữngkẻ tấn công thực sự đăng nhập vào hệ thống đểđào bới thông qua những gì chúng có thể tìm thấy, saochép những gì chúng có thể, và tạo một cửa - dù chúngthường để lại các cửa không được khóa sao cho chúngcó thể quay lại viếng thăm thường xuyên.

Thishas been a particularly nasty year on the cyber security front. (Ihate to say it, butI told you so.) Prior to this, the big attack whose full impacthas not yet been fully sized up was the one against the RSASecureID system, which uses popular keychain devices that cre-atea constantly changing series of numbers that in turn cre-ate a secondpassword for access to system resources. They’re widely used ingovernment and military circles and among defense contractors. Googlehas been a regular target in recent years.

TheRSA attack and Operation Shady RAT are examples, Alperovitch says, ofan “Advanced Persistent Threat.” The phrase has come to be abuzzword that, loosely translated into English, means the worst kindof cyber attack you can imagine. Unlike the denial-of-service attacksand network intrusions carried out by LulzSec and its ilk, whichrequire only minimal skill and marginal understanding of how networksand servers work, an APT is carried out by someone of very high skillwho picks his targets carefully and sneaks inside them in a way thatis difficult to detect, which allows access to the target system onan ongoing basis that may persist for years.

Howdid these attacks happen? Its very simple: Someone at the targetorganization received an email that looked legitimate, but whichcontained an attachment that wasn’t. This is called “spearphishing,” and it has become the weapon of choice for sophisticatedcyber attackers. The attachments are not what they appear to be —Word documents or spreadsheets or other routine things — andcontain programs that piggyback on the targeted user’s level ofaccess to the network. These programs then download malware whichgives the attackers further access. This all happens in an automatedway, but soon after, live attackers log in to the system to digthrough what they can find, copy what they can, and make a getaway —though they often leave the doors unlocked so they can come back forrepeat visits.

Alperovitch lưu ý -chính xác, theo suy nghĩ của tôi - rằng mệnh đề này đãđược chọn và được lạm dụng bởi các phòng quảngcáo của nhiều công ty an ninh. Điểm lớn hơn của ông làquá thường xuyên những người này đã tấn công theocách từ chối tiến lên và để lộ ra những gì họ đãhọc được, vì thế cho phép sự nguy hiểm tiếp tục chotừng người khác nữa.

Alperovitch nói rằngcác dữ liệu được lấy trong Chiến dịch Con chuột Cốngbổ sung cho vài petabytes giá trị thông tin. Không rõ chúngđược sử dụng như thế nào. Nhưng, như ông nói: “Thậmchí nếu một phần nhỏ của nó được sử dụng đểxây dựng các sản phẩm cạnh tranh tốt hơn hoặc đánhthắng một đối thủ cạnh tranh ở một vụ thương thảochủ chốt (do đã ăn cắp được sách giải trí của độikhác”, thì sự mất mát đại diện cho một mối đe dọakhổng lồ về kinh tế không chỉ đối với các công tyvà các nền kinh tế riêng rẽ mà còn cho toàn bộ cácquốc gia đang đối mặt với viễn cảnh tăng trưởngkinh tế gia tăng”. Điều này cũng là tồi tệ cho an ninhquốc gia đích (nước bị nhắm tới), vì các nhà thầuquốc phòng làm việc trong các vấn đề quân sự nhạycảm thường là những cái đích. Thứ tốt nhất có thểxảy ra là các nạn nhân bắt đầu nói về các cuộc tấncông của họ và chia sẻ thông tin với nhau sao cho mỗingười có thể sẵn sàng cho cuộc sau, mà nó chắc chắnsẽ tới.

Alperovitchnotes — correctly, to my mind — that the phrase has been pickedup and overused by the marketing departments of numerous securitycompanies. His larger point is that too often those attacked in thisway refuse to come forward and disclose what they’ve learned,thereby allowing the danger to continue for everyone else.

Alperovitchsays that the data taken in Operation Shady RAT adds up to severalpetabytes worth of information. It’s not clear how it has beenused. But, as he says, “If even a fraction of it is used to buildbetter competing products or beat a competitor at a key negotiation(due to having stolen the other team’s playbook), the lossrepresents a massive economic threat not just to individual companiesand industries but to entire countries that face the prospect ofdecreased economic growth.” It’s also bad for a target’snational security, because defense contractors dealing in sensitivemilitary matters are often the targets. The best thing that canhappen is that victims start talking about their attacks and sharinginformation with each other so that everyone can be ready for thenext one, which is surely coming.