Hầu như 2,500 công ty đã bị đánh thủng trong cuộc tấn công đang diễn ra

Almost2,500 firms breached in ongoing hack attack

Dan Goodin, The Register2010-02-18

Theo:http://www.securityfocus.com/news/11576

Bài được đưa lênInternet ngày: 18/02/2010

Lờingười dịch: Bây giờ người ta không chỉ nói tới tộiphạm không gian mạng có tổ chức, được cấp vốn tốt,được hỗ trợ bởi chính phủ một số quốc gia, đã -đang - và sẽ tiến hành các cuộc tấn công dài hạn hàngnăm trời mà còn nói tới sự phối hợp cùng một lúccủa nhiều dạng botnet, phần mềm độc hại để cùngthực hiện các cuộc tấn công đó. Và nó mang tính toàncầu, dạng như các cuộc tấn công “được triển khaibởi cùng các cá nhân tại Đông Âu bị nghi ngờ về việcđồng loạt đánh vào một hệ thống bằng phishing mà đãlừa được các thư điện tử của Cơ quan An ninh Quốcgia (Mỹ) trong một mưu toan để ăn cắp các mật khẩu từchính phủ Mỹ và các tổ chức quân sự... Đội này đãsử dụng các máy chủ kiểm soát lệnh một cách vật lýđược đặt tại Đức và Hà Lan, và hầu hết các tênmiền đã được lấy từ các nhà đăng ký nằm ở TrungQuốc.. NetWitness đã thấy bằng chứng rằng các tổ chứctại 196 quốc gia đã bị thâm nhập, với những sự tậptrung cao độ vào Hy Lạp, Mexico, Arập Xê Út, Thổ Nhĩ Kỳvà Mỹ... và … Nhiều nạn nhân nằm trong số 500 hãnghàng đầu thế giới (Fortune) trong các nền công nghiệpvề tài chính, năng lượng, và công nghệ cao... Cuộc tấncông được phát hiện bởi NetWitness đã thâm nhập đượckhoảng 2,400 công ty, theo những dữ liệu của một bộnhớ lưu tạm 75 GB bị ăn cắp trong khoảng 4 tuần màhãng này đã có khả năng can thiệp. Vì đây là một phầnnhỏ các thông tin bị chảy ra trong cuộc tấn công dài 18tháng này, nên con số thực sự của các tổ chức bịlây nhiễm có thể còn cao hơn nhiều”. Bạn hãy đọcbài viết này và liên hệ xem liệu chúng ta có thể làmđược gì một khi bị tấn công bởi các botnetđó.

Các tin tặc tội phạmđã thâm nhập các mạng của hầu như 2,500 công ty và cơquan chính phủ trong một chiến dịch được phối hợp đãbắt đầu 18 tháng trước và tiếp tục ăn cắp các mậtkhẩu, các ủy nhiệm đăng nhập, và các dữ liệu nhạycảm khác cho tới bây giờ, một công ty về an ninh máytính nói.

Nhữnglây nhiễm bởi một biến thể của botnet Zeus đã bắtđầu vào cuối năm 2008 và đã biến hơn 74,000 máy tínhcá nhân PC thành những nền tảng gián điệp từ xa mà đãxuyên thủng những thông tin sở hữu độc quyền cao ítnhất từ 10 cơ quan liên bang và hàng trăm công ty, theonghiên cứu từ NetWitness, một Herndon, hãng nghiên cứumạng có trụ sở ở Virginia, nói. Nhiều nạn nhân nằmtrong số 500 hãng hàng đầu thế giới (Fortune) trong cácnền công nghiệp về tài chính, năng lượng, và công nghệcao.

“Botnet này vẫn cònhoạt động và vẫn đang được quản lý một cách tíchcực bởi hoạt động tội phạm có tổ chứ đứng đằngsau nó”, Giám đốc Công nghệ Tim Belcher của NetWitness đãnới với The Register. “Trong những tháng vừa qua, chúngtôi đã thấy nó hoạt động trở lại và các thành viên(nạn nhân) của nó một nửa thời gian tìm kiếm các dạngthông tin khác”.

Criminalhackers have penetrated the networks of almost 2,500 companies andgovernment agencies in a coordinated campaign that began 18 monthsago and continues to steal email passwords, login credentials, andother sensitive data to this day, a computer security company said.

Theinfections by a variant of the Zeus botnet began in late 2008 andhave turned more than 74,000 PCs into remote spying platforms thathave siphoned highly proprietary information out of at least 10federal agencies and thousands of companies, according to researchf-rom NetWitness, a Herndon, Virginia-based network forensics firm.Many of the victims are Fortune 500 firms in the financial, energy,and high technology industries.

Companyresearchers have already reported the attacks to federal authoritiesand are in the process of notifying individual victims.

"Thebotnet is still active and still actively being managed by theorganized criminal activity behind it," NetWitness CTO TimBelcher told The Register. "Over the last month, we've seen itretask its (victim) members half a dozen times looking for differenttypes of information."

Sựkhám phá này tới một tháng trước khi Google đã phátgiác rằng mạng của hãng và của ít nhất 20 hãng khácđã bị thâm nhập bởi các tin tặc tập trung vào sở hữuđộc quyền. Ngược lại, cuộc tấn công được pháthiện bởi NetWitness đã thâm nhập được khoảng 2,400công ty, theo những dữ liệu của một bộ nhớ lưu tạm75 GB bị ăn cắp trong khoảng 4 tuần mà hãng này đã cókhả năng can thiệp. Vì đây là một phần nhỏ các thôngtin bị chảy ra trong cuộc tấn công dài 18 tháng này, nêncon số thực sự của các tổ chức bị lây nhiễm có thểcòn cao hơn nhiều.

Việctìm ra này rọi đèn vào Zeus, mà bởi botnet được xếphạng số 2 thế giới về số lượng các máy tính bịlây nhiễm. Trong khi các phần mềm độc hại thường đượccho là tập trung vào ăn cắp các ủy nhiệm của ngân hàngtrực tuyến, thì các nhà nghiên cứu của NetWitness đãquan sát được trojan đang ăn cắp các mật khẩu đượcsử dụng để truy cập các mạng tập đoàn, các kho mãnguồn, và ngay cả các tập hợp dữ liệu mức hồ sơcủa các cá nhân mà đã sử dụng các máy tính nạn nhân.

Therevelation comes a month after Google disclosed that its network andthose of at least 20 other large companies were penetrated by hackerstargeting intellectual property. By contrast, the attack discoveredby NetWitness has breached about 2,400 companies, according to a75-gigabyte cache of data stolen over a four-week period that thecompany was able to intercept. Because it's a small fraction of theinformation siphoned during the 18-month attack, the actual number ofaffected organizations could be much higher.

Thefinding sheds new light on Zeus, which by most accounts is ranked asthe world's No. 2 botnet in terms of infected computers. While themalware was generally believed to focus on the theft ofonline-banking credentials, NetWitness researchers have observed thetrojan stealing passwords used to access corporate networks, sourcecode repositories, and even dossier-level data sets of individualswho used victim machines.

Các nhà nghiên cứucũng đã ngạc nhiên thấy những máy tính bị lây nhiễmlàm việc tay trong tay với các phần mềm độc hại màthường được coi là đối thủ đối với Zeus. Hơn mộtnửa các máy PC bị lây nhiễm cũng đã bị lây nhiễm bởiWaleda, một bot ban đầu được sử dụng để gửi spam màcó chứa một cửa hậu mà nó được dẫn dắt bởi mộtmáy đồng hàng hiệu quả cao.

Trong khi còn chưathông dụng đối với các PC để bị lây nhiễm bởinhiều bots, thì các nhà nghiên cứu đồ rằng số lượngcao không bình thường của những phương tiện chồng chéomà bọn tội phạm đằng sau các cuộc tấn công đã sửcụng nhiều kiểu trong trường hợp mà một sự lây nhiễmđã bị phát hiện bởi nhân viên an ninh.

Sự lây nhiễm hàngloạt lớn đã được phát hiện vào ngày 26/01, khi mộtnhân viên của NetWitness đang triển khai một cuộc quétlên một mạng khách hàng mà đã bị tình nghi bị đánhthủng. Anh ta sớm phát hiện rằng một PC trên hệ thốngđã bị lây nhiễm bỏi một botnet có tên là Grum. Tò mò,khi máy bị lây nhiễm này đã liên hệ một lệnh và kênhkiểm soát tại silence7.cn, nó đã được lệnh tải vềvà chạy một tệp có liên quan tới Zeus.

“Đây là bằng chứngkhá cho chúng tôi rằng một cuộc chơi có khả năng phụchồi nơi mà chúng lây nhiễm nó với nhiều mẩu phần mềmđộc hại”, Belcher đã nói.

Theresearchers were also surprised to find the infected machines workinghand-in-hand with malware that's generally considered to rival Zeus.More than half of the compromised PCs were also infected by Waledac,a bot primarily used to send spam that contains a backdoor that'sdriven by a highly efficient peer-to-peer engine.

Whileit's not uncommon for PCs to be infected by multiple bots, theresearchers speculate that the unusually high amount of overlap meansthe criminals behind the attacks used multiple strains in the eventthat one infection were to be discovered by security personnel.

Themass infections were discovered on January 26, when a NetWitnessemployee was performing a scan on a customer's network that had beensuspected of being breached. He soon found that a PC on the systemwas infected by a botnet known as Grum. Curiously, when thecompromised machine contacted a command and control channel atsilence7.cn, it was instructed to download and execute a file relatedto Zeus.

"Itspretty evident to us that it's a resilience play whe-re they'reinfecting it with multiple pieces of malware," Belcher said.

Bằngviệc tham chiếu chéo các chi tiết liên hệ củasilence7.cn, các nhà nghiên cứu đã có khả năng tìm rabằng chứng rằng các cuộc tấn công đã có thể đượctriển khai bởi cùng các cá nhân tại Đông Âu bị nghingờ về việc đồng loạt đánh vào một hệ thống bằngphishing mà đã lừa được các thư điện tử của Cơquan An ninh Quốc gia (Mỹ) trong một mưu toan để ăn cắpcác mật khẩu từ chính phủ Mỹ và các tổ chức quânsự.

Độinày đã sử dụng các máy chủ kiểm soát lệnh một cáchvật lý được đặt tại Đức và Hà Lan, và hầu hếtcác tên miền đã được lấy từ các nhà đăng ký nằmở Trung Quốc, hầu hết hình như vì chúng chậm phản ứngcác báo cáo về lạm dụng, Belcher nói.

Bycross-referencing the contact details for silence7.cn, theresearchers were able to find evidence that the attacks were probablycarried out by the same individuals in Eastern Europe suspected oforchestrating a phishing scheme that spoofed National Security Agencyemails in an attempt to steal passwords f-rom US government andmilitary organizations.

Thecrew used command-and-control servers physically located in Germanyand the Netherlands, and most of the domain names were obtained f-romChina-based registrars, most likely because they are slow to respondto reports of abuse, Belcher said.

Belcher đã từ chốinêu tên của những nạn nhân bị thâm nhập trrong cáccuộc tấn công. Nhưng theo báo cáo trên Tạp chí Phố Uôn,các công ty bao gồm người khổng lồ về dược Merck vànhà cung cấp ý tế Cardinal Health. Cả 2 hãng này đã thừanhận đang bị lây nhiễm nhưng nói họ đã “cô lập vàkiềm chế được vấn đề”, tờ báo nói.

Trích ra những ngườikhông nêu tên, báo cáo của tạp chí Phố Uôn nói rằngParamount Pictures và Juniper Networks cũng đã bị thâm nhập.Nó đã tiếp tục báo cáo rằng các tin tặc đã giànhđược tên và mật khẩu của một tài khoản thư điệntử các binh lính Mỹ, nhưng một người phát ngôn củaNhà Trắng đã phủ nhận. Trong tất cả, NetWitness đãthấy bằng chứng rằng các tổ chức tại 196 quốc gia đãbị thâm nhập, với những sự tập trung cao độ vào HyLạp, Mexico, Arập Xê Út, Thổ Nhĩ Kỳ và Mỹ.

NetWitness đã gán tênnó là “botnet kneber” dựa một phần vào địa chỉ thưđiện tử của Yahoo được sử dụng như một liên hệcho nhiều tên miền có liên quan tới các cuộc tấn công.

Những phát hiện nàylà mới nhất làm bùng ra nghi ngờ về khả năng của ccscông ty Fortune 500 và các cơ quan chính phủ để đảm bảocho các mạng của họ chống lại một sự gia tăngveef cáctin tặc được cấp vốn tốt được hỗ trợ bởi cácquốc gia hoặc các băng nhóm tội phạm có tổ chức.

“Nhiềutrong số các tổ chức mà tôi nhận thức được về sựtinh thông của họ về an ninh, và vâng điều này tiếptục hoạt động trên các mạng nội bộ của họ màkhông bị trừng phạt”, Belcher nói. “Nó nói cho tôitiếp cận của chúng tôi đối với an ninh mạng là thấtbại trên một phạm vi rộng”.

Belcherdeclined to name any of victims breached in the attacks. Butaccording to a report in The Wall Street Journal, the companiesincluded pharmaceutical giant Merck and healthcare provider CardinalHealth. Both companies admitted to being affected but said they had"isolated and contained the problem," the paper said.

Citingunnamed people, The Wall Street Journal report said that ParamountPictures and Juniper Networks were also infiltrated. It went on toreport that the attackers obtained the user name and password of a USsoldier's military email account, but a Pentagon spokesman declinedto confirm. In all, NetWitness found evidence that organizations in196 countries were breached, with concentrations highest in Egypt,Mexico, Saudi Arabia, Turkey, and the United States.

NetWitnesshas dubbed it the "kneber botnet" based on part of theYahoo email address used as a contact for many of the domain namestied to the attacks.

Thefindings are the latest to cast doubt on the ability of Fortune 500companies and government agencies to secure their networks against arising cast of well-funded hackers sponsored by nation states ororganized-crime gangs.

"Manyof these organizations I am aware of their expertise in security, andyet this continues to operate on their internal networks withimpunity," Belcher said. "It tells me our approach to netsecurity is failing on a broad scale." ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com