Flame bí mật: bằng chứng mới về chương trình gián điệp KGM khổng lồ chống Iran

Khicác trinh thám số tìm thấy Flame - một chiến dịch giánđiệp không gian mạng (GĐKGM) khổng lồ nhằm vào Iran -họ đã kinh ngạc. Bây giờ, dường như, Flame chỉ là bềnổi của tảng băng.

Whendigital sleuths found Flame – a massive cyberespionage campaigntargeting Iran – they were astounded. Now, it seems, Flame was justthe tip of the iceberg.

By Mark Clayton, Staffwriter / September 17, 2012

Theo:http://www.csmonitor.com/USA/2012/0917/Secret-Flame-new-evidence-of-mammoth-cyberspying-program-against-Iran

Bài được đưa lênInternet ngày: 17/09/2012

Lờingười dịch: Kaspersky Lab đã chỉ ra nhưng manh mối chothấy hàng loạt các chương trình gián điệp, mà Flame chỉlà một trong số đó, nhằm vào các hệ thống máy tínhcủa Iran trong một chiến dịch có lẽ lớn hơn rấtnhiều. “Sự tồn tại của 3 giao thức bổ sung khôngđược Flame sử dụng “đưa ra bằng chứng rằng ít nhất3 chương trình độc hại khác có liên quan tới Flame đãđược tạo ra”, Kaspersky nói. Sự phát hiện bóng gióvào một chiến dịch GĐKGM khổng lồ về phạm vi, vớihơn 5 GB dữ liệu được tải lên từ hơn 5.000 máy bịlây nhiễm tới chỉ 1 cho tới 2 máy chủ chỉ huy và kiểmsoát nằm ở châu Âu mỗi tuần. Hầu hết các máy tínhbị lây nhiễm là ở Iran, một số ở Sudan, và mộtnhúm ở các quốc gia khác”.

Không giống nhưchuyện viễn tưởng mà Mr. Phelps của “Nhiệm vụ bấtkhả thi”, gián điệp của cuộc sống thực ngày nayhướng các chương trình GĐKGM máy tính của họ tới sựtự hủy diệt - tự xóa chính mình - sau khi sử dụng. Cácmảnh nhỏ trần trụi của mã số có thể là bằng chứngkhá mỏng cho các nhà điều tra.

Ngay cả như vậy, cáctrinh thám điều tra số ở 2 công ty chống virus - KasperskyLabs và Symantec - hôm thứ hai đã công bố những phát hiệnmới từ các mẩu cùng với các mảnh vụn của mộtchương trình KGM gọi là Flame, phát hiện tiếp một chiếndịch GĐKGM tăng cường hình như nhằm vào Iran.

Đãrồi, các báo cáo của báo chí đã nói rằng Mỹ vàIsrael đã tung ra Stuxnet - vũ khí KGM đầu tiên trên thếgiới - làm chậm lại chương trình hạt nhân của Iran, vàrằng 3 chương trình GĐKGM khác, bao gồm cả Flame, từnglà một phần của cùng một nỗ lực. Bây giờ, phân tíchmới hé lộ những manh mối của ít nhất 3 chương trìnhđộc hại nữa nhằm vào Iran, gợi ý vẫn còn có một sốlượng đáng kể các chương trình sẽ được phát hiệnlàm gián điệp trong các máy tính của Iran.

Bạn biết bao nhiêuvề an ninh KGM? Hãy thử đoán xem.

Có những dấu hiệutươi mới, rằng vụ mùa đã là khổng lồ.

“Những người tạora Flame là tốt lành trong việc đề cập tới những manhmối của họ”, Alexander Gostev, chuyên gia an ninh hàng đầutại Kaspersky Lab nói trong một tuyên bố. “Nhưng một lỗicủa những kẻ tấn công đã giúp chúng tôi phát hiện ranhiều dữ liệu hơn … ”

Bằng chứng đã đượcthấy trong 2 máy chủ ở châu Âu được làm để tránh sựdò tìm ra từ các nhà cung cấp đặt chỗ thông qua tênban đầu của chúng, “Newsforyou”. Một lỗi lập trìnhđể lại đằng sau một tệp được mã hóa và một tệplưu ký dữ liệu. Một phân tích các dữliệu đã chỉ ra rằng các máy chủ đã có khả năng nhậncác dữ liệu từ các máy bị lây nhiễm bằng việc sửdụng 4 giao thức khác nhau; Flame chỉ là một trong số đó.

Notunlike the fictional Mr. Phelps of "Mission Impossible,"real-life spies today direct their computer cyberespionage programsto self destruct – de-lete themselves – after use. Bare scraps ofdigital code can be pretty thin evidence for investigators.

Evenso, digital forensic sleuths at two antivirus companies – KasperskyLabs and Symantec– on Monday announced new discoveries f-rom piecing together thecyber shards of a program called Flame, which further reveal anextensive cyberespionage operation apparently directed at Iran.

Already,media reports have claimed that the USand Israellaunched Stuxnet– the world's first cyberweapon – to slow Iran's nuclear program,and that three other cyberespionage programs, including Flame, werepart of the same effort. Now, the new analysis reveals traces of atleast three more malicious programs targeting Iran, suggesting thereare still a significant number of programs yet to be discoveredspying on Iranian computers.

Howmuch do you know about cybersecurity? Take our quiz.

Thereare fresh signs, too, that the harvest has been vast.

“Flame'screators are good at covering their tracks," Alexander Gostev,chief security expert at Kaspersky Lab said in a statement. "Butone mistake of the attackers helped us to discover more data...."

Theevidence was found on two European servers made to evade detectionf-rom hosting providers through their benign name, "Newsforyou."A programming mistake left behind one encrypted file and a data log.An analysis of the data showed that the servers were able to receivedata f-rom infected machines using four different protocols; Flame wasonly one of them.

Theexistence of three additional protocols not used by Flame "providesproof that at least three other Flame-related malicious programs werecre-ated," Kaspersky said.

Thediscovery hints at a cyberespionage operation vast in scope, withmore than five gigabytes of data uploaded f-rom more than 5,000infected machines to just one of the two command and control serversin Europeeach week. Most of the infected computers were in Iran, some inSudan,and a handful in other countries.

"Thisis certainly an example of cyber espionage conducted on a massivescale,” Mr. Gostev said.

Theonion-like layers of this operation have been peeled back since thediscovery of Stuxnet, which was discovered to be targeted at Iran'snuclear fuel-refining system in June 2010. After that, acyberespionage program dubbed Duqu was unearthed in September 2011,followed by Flame in May, and then Gauss in July.

Siftingtheir program code, investigators found critical links among them –enough to call Stuxnet at least a first-cousin to Duqu, Flame, andGauss. Though built by different teams, the programs had key softwarethat showed the authors were linked in an overarching effort.

InJune, the NewYork Times reported that Stuxnet was part of Operation OlympicGames, a joint project of the US and Israel. By their link toStuxnet, the other three programs appear to be part of a largerprogram, too.

Sựtồn tại của 3 giao thức bổ sung không được Flame sửdụng “đưa ra bằng chứng rằng ít nhất 3 chương trìnhđộc hại khác có liên quan tới Flame đã được tạora”, Kaspersky nói.

Sựphát hiện bóng gió vào một chiến dịch GĐKGM khổng lồvề phạm vi, với hơn 5 GB dữ liệu được tải lên từhơn 5.000 máy bị lây nhiễm tới chỉ 1 cho tới 2 máy chủchỉ huy và kiểm soát nằm ở châu Âu mỗi tuần. Hầuhết các máy tính bị lây nhiễm là ở Iran, một số ởSudan, và một nhúm ở các quốc gia khác.

“Đây chắc chắn làmột ví dụ về GĐKGM được tiến hành trong một phạmvi đồ sộ”, Mr. Gostev nói.

Các lớp như củ hànhcủa chiến dịch này từng được bóc ngược kể từ khiphát hiện ra Stuxnet, nó đã được phát hiện nhằm vàohệ thống tinh chỉnh nhiên liệu hạt nhân của Iran vàotháng 06/2010. Sau đó, một chương trình GĐKGM có tên làDuqu đã được phát hiện vào tháng 09/2011, sau đó làFlame trong tháng 05 và Gauss vào tháng 07/2012.

Xem xét mã nguồn cácchương trình đó, các nhà điều tra đã tìm thấy cácliên kết sống còn giữa chúng - đủ để gọi Stuxnet ítnhất là một người anh em đầu tiên đối với Duqu,Flame và Gauss. Dù được xây dựng bằng các đội khácnhau, thì các chương trình đó đã có phần mềm chủ chốtmà đã chỉ ra các tác giả đã có liên hệ trong một nỗlực tổng thể.

Vào tháng 06, tờ NewYork Time đã nói rằng Stuxnet từng là một phần củaChiến dịch Thế vận hội Olympic, một dự án chung củaMỹ và Israel. Bằng liên kết của chúng tới Stuxnet, 3chương trình khác dường như là một phần của mộtchương trình lớn hơn.

“Sự phức tạp củamã nguồn và các liên kết được khẳng định đối vớicác lập trình viên của Stuxnet tất cả chỉ tới sựviệc rằng Flame là một ví dụ khác của một chiến dịchKGM tinh vi phức tạp do nhà nước bảo trợ”, báo cáocủa Kaspersky nói.

Nó bổ sung rằng sựphát triển của nền tảng chỉ huy và kiểm soát củaFlame đã bắt đầu sớm từ tháng 12/2006 - sớm hơn nhiềuso với suy nghĩ trước đó.

“Những chiến dịchKGM đó làm là cho phép Mỹ đặt những cái ủng số lênmặt đát tại một nước ngoài, dè xẻn cuộc sống củanhững người Mỹ về ngắn hạn”, John Bumgarner, giám đốcnghiên cứu cho Đơn vị Giải quyết Hậu quả KGM của Mỹ,một nhóm nghiên cứu chiến lược phi lợi nhuận về anninh tư vấn cho chính phủ và giới công nghiệp, nói.

“CIA không cần ômlấy một sự gián điệp bên trong Iran, và quân đội Mỹkhông cần gửi một máy bay trinh sát để ném bom bất kỳthứ gì”.

Về dài hạn, khôngrõ liệu việc gián điệp KGM và các tên lửa số nhưStuxnet sẽ là đủ để ngăn chặn một xung đột vũtrang, ông lưu ý. Và những bit và byte đang bắt đầu đánhđống lại.

“Bất chấp tất cảnhững phát hiện đó, vẫn còn nhiều khả năng từ chốicó vẻ hợp lý kham được bằng những vũ khí số vàcông cụ gián điệp đó”, ông nói. “Hầu hết nhữngmẩu vụn bánh mỳ còn chưa được lần vết trực tiếpngược về NSA hoặc CIA. Nhưng các dấu vết làm, ít nhất,gợi ý những cơ quan như vậy quản lý các chiến dịchđó”.

"Thecomplexity of the code and confirmed links to developers of Stuxnetall point to the fact that Flame is yet another example of asophisticated nation-state sponsored cyber operation," theKaspersky report said.

Itadded that the development of Flame’s command and control platformstarted as early as December 2006 – much earlier that previouslythought.

"Whatthese cyberoperations do is allow America to put digital boots on theground in a foreign country, sparing American lives in the shortterm," says John Bumgarner, research director for the USCyber Consequences Unit, a nonprofit security think tank thatadvises government and industry. "The CIAdoesn't need to embed a spy inside Iran, and the USmilitary doesn't need to send a stealth fighter to bombsomething."

Inthe long term, it is not clear whether cyberspying and digitalmissiles like Stuxnet will be enough to prevent a military conflict,he notes. And the bits and bytes are starting to pile up.

"Despiteall these discoveries, there is still a lot of plausible deniabilityafforded by these digital weapons and espionage tools," he says."Most of the bread crumbs haven't been traced directly back toNSAor CIA. But the traces do, at the very least, suggest such agenciesran these operations."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com