Flame được cho là đã lây nhiễm các máy thông qua Windows Up-date

Lờingười dịch: Siêu gián điệp Flame sử dụng chứngthực rởm, “Một gói đặcbiệt gọi là WuSetupV.exevà đã được ký với một chứng thực được “Cơquan chứng thực CA Đăng ký Cấp phép Tăng cường củaMicrosoft” phát hành, mộtnhánh CA của cơ quan chứng thực gốc của Microsoft” pháthành để lừa các nạn nhân. Cũng như các sâu - trojan gâykinh hãi khác như Stuxnet và Duqu, một sự mặcđịnh đương nhiên là Flame chỉ chạy trên Windows,“Những người vận hành Flame đã sử dụng một sốnhận diện rởm để đăng ký các tên miền của họ.Theo Kaspersky, các vị trí máy chủ nằm ở cả Đức, HàLan, Anh, Thụy Sỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết cácnạn nhân đã chạy các phiênbản 32 bit của Windows 7, với một số khá lớn 45% chạyWindows XP. Flame không làm việctrong phiên bản 64 bit của Windows 7”, với các tệp lâynhiễm là: “Các dữ liệu được thu thập đã khẳngđịnh trước hết là các tài liệu PDFvà Office, cũng như các tệp AutoCAD(các bản vẽ kỹ thuật)”. Xem thêm: Hỏiđáp thường gặp Flame, “Siêu gián điệp”.

Trong quá tình điềutra liên tục trong vụ trojan gián điệp Flame, chuyên gia vềvirus Costin Raiu từ Kaspersky đã phát hiện điều thú vịlàm không an tâm: Flame dường như từng có khả năng sửdụng Windows Updaate để lây nhiễm các máy tính khác trongcùng một mạng.

Theo Raiu, module Flamegọi là Gadger xử lý chức năng dạng người giữa đườngkhi nhúng nó qua các gói cập nhật được làm giả tớicác máy tính khác trong cùng một mạng. Một gói đặcbiệt gọi là WuSetupV.exe và đã được ký với mộtchứng thực được “Cơ quan chứng thực CA Đăng ký Cấpphép Tăng cường của Microsoft” phát hành, một nhánh CAcủa cơ quan chứng thực gốc của Microsoft. Một bài kháctrên twitter từ chuyên gia virus này ngụ ý rằng Flame đãphân phối các bản cập nhật bên trong các mạng thôngqua một máy chủ ảo gọi là MSHOME-F3BE293C.

Microsoft đã khẳngđịnh rằng các lập trình viên của Flame đã có khảnăng phát hành các chứng thực hợp lệ của Microsoft. Tuynhiên, còn chưa rõ liệu Windows có thực sự chấp nhậncập nhật của Flame mà không có kêu ca gì hay không. Cácgói cập nhật rởm có khả năng lan truyền ở đây tạiAnh như là, theo Raiu, module Gadget MITM chỉ trở nên tíchcực khi vùng thời gian được thiết lập là UTC+2 hoặchơn (phía đông vùng thời gian của chúng ta).

Kaspersky cũng pháthành các chi tiết xa hơn về hạ tầng của botnet đứngđằng sau Flame. Các lập trình viên Flame được cho là đãsử dụng ít nhất 15 máy chủ chỉ huy và kiểm soát, mộtcái trong số đó có trách nhiệm cho hơn 50 nạn nhân. Theobáo cáo, sự thực lọt ra ngoài về botnet này chỉ mớivài giờ sau khi các chi tiết về Flame lần đầu tiên đượcxuất bản.

Inthe course of ongoing investigations into spyware-trojan Flame,virus expert Costin Raiu f-rom Kaspersky has made a discoverywhich is as exciting as it is disquieting: Flame appears to have beenable to use Windows Up-date to infect other computers on the samenetwork.

Accordingto Raiu, a Flame module called Gadget possesses man-in-the-middlefunctionality which enabled it pass crafted up-date packages to othercomputers on the same network. One specific package was calledWuSetupV.exeand was signed with a certificate issued by the "MicrosoftEnforced Licensing Registration Authority CA", a sub-CA ofMicrosoft's root authority. A furthertweet f-rom the virus expert implies that Flame distributedup-dates within networks via a virtual server called MSHOME-F3BE293C.

Microsofthas already confirmed that Flame developers were able to issue validMicrosoft certificates. It is not, however, clear whether Windowsactually accepted the Flame up-date without complaint. The fake up-datepackages are unlikely to have spread here in the UK as, accordingto Raiu, the Gadget MITM module only becomes active when the timezone is set to UTC+2or more (east of our time zone).

Kasperskyhas also releasedfurther details of the botnet infrastructure behind Flame. The Flamedevelopers reportedly used at least fifteen command and controlservers, each of which was responsible for more than 50 victims.According to the report, the lights went out on the botnet just hoursafter details of Flame were first published.

Nhữngngười vận hành Flame đã sử dụng một số nhận diệnrởm để đăng ký các tên miền của họ. Theo Kaspersky,các vị trí máy chủ nằm ở cả Đức, Hà Lan, Anh, ThụySỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết các nạn nhân đãchạy các phiên bản 32 bit của Windows 7, với một số khálớn 45% chạy Windows XP. Flame không làm việc trong phiênbản 64 bit của Windows 7.

Kasperskynói rằng hãng đã có khả năng hướng nhiều miền tớimột chỗ trũng, sao cho các hệ thống bị lây nhiễm sauđó chuyển tiếp các dữ liệu của họ tới Kaspersky. Cácdữ liệu được thu thập đã khẳng định trước hếtlà các tài liệu PDF và Office, cũng như các tệp AutoCAD(các bản vẽ kỹ thuật).

Flame'soperators used a number of fake identities to register their domains.According to Kaspersky, server locations included Germany, theNetherlands, the UK, Switzerland, Hong Kong and Turkey. Most victimswere running 32-bit editions of Windows 7, with a sizeable 45 percent running XP. Flame does not work on the 64-bit edition of Windows7.

Kasperskyreports that it was able to divert many of the domains to a sinkhole,so that infected systems were then forwarding their data toKaspersky. The data collected consisted primarily of PDF and Officedocuments, as well as AutoCAD files (technical drawings).

(fab)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com