Không mục tiêu nào là 'Quá Nhỏ' đối với Flame

Sep 19, 2012 8:09 AM EST,By Fahmida Y. Rashid

Theo:http://securitywatch.pcmag.com/none/302830-no-target-is-too-small-for-flame

Bài được đưa lênInternet ngày: 19/09/2012

Lờingười dịch: Bạn không hoạt động trong vùng bất ổn,vùng chiến sự; bạn không có mối quan hệ làm ăn nàovới các cơ quan chính phủ... không đồng nghĩa với việcbạn sẽ không phải là mục tiêu của những phần mềmđộc hại thượng hạng do nhà nước bảo trợ nhưStuxnet, Duqu, Flame, Gauss và Disttrack/Shamoon. Đơn giảnlà khi những kẻ tấn công có được trong tay danh sáchnhững kẻ tình nghi, vô phúc bạn nằm trong danh sách đó,có thể vì bạn đã biết một công ty nào khác có cácmối liên hệ với những công việc nêu trên. Vì thế tácgiả bài này mới nói rằng Flame, kẻ gián điệp thôngtin tài ba, không chừa ai cả, cho dù bạn chỉ là mộtcông ty bé tẹo.

Nếu bạn không hoạtđộng trong một vùng bất ổn, không yên, hoặc làm việctrong các dự án có liên quan tới chính phủ, thì dễ rơivào trong cái bẫy của việc suy nghĩ bạn được an toànkhỏi các cuộc tấn công có chủ đích như Stuxnet, Flame,Duqu, Gauss và Disttrack/Shamoon.

Tuy nhiên các doanhnghiệp và các cá nhân sẽ không quá tự mãn, vì nhữngkẻ tấn công không phải lúc nào cũng đi sau các mụctiêu của chúng một cách trực tiếp và có thể sử dụngcác tổ chức khác như một bàn đạp cho các cuộc tấncông của chúng, Harry Svedlove, CTO của Bit9, đã nói choSecutityWatch.

Ngay sau khi Flame đượcphát hiện vào tháng 5, Bit9 đã phát hiện rằng một trongnhững khách hàng của mình, một “công ty thương mại”mà từng “không có liên quan trong bất kỳ cách gì tớichính phủ, đã không nằm trong một 'vùng thù địch', vàđã không có liên quan tới các vũ khí bí mật hay chươngtrình hạt nhân nào” cũng đã từng là mục tiêu vớiphần mềm độc hại Flame, Svedlove nói. Ông đã từ chốiđưa ra bất kỳ sự cụ thể nào về hãng đó.

Bit9 đã ngăn chặnthành công sự lây nhiễm, những khách hàng cũng đã muốnbiết vì sao nó đã bị là mục tiêu, xét thấy nó đãkhông có bất kỳ hợp đồng nào với chính phủ. Svedloveđã có một câu trả lời đơn giản. “Đây không chỉlà những gì bạn biết, mà bạn biết ai”, ông nói.

Khách hàng có thể đãkhông có bất kỳ hoạt động hoặc việc kinh doanh nàotại Trung Đông, nhưng nó đã làm việc với các công tykhác mà đã có các hợp đồng trong khu vực đó, Svedlovenói, gọi đó là tình huống của “một hoặc 2 mức táchbạch”. Những kẻ tấn công đã nhìn vào các danh sáchcác khách hàng của Bit9 xem ai họ biết và ai họ đã làmviệc với, và có khả năng đã sử dụng các thông tinthu thập được để lên kế hoạch cho làn sóng các cuộctấn công tiếp theo của chúng chống lại những mục tiêumới, Svedlove nói.

Ifyou aren't operating in a troubled, volatile region, or working ongovernment-related projects, it's easy to fall into the trap ofthinking you're safe f-rom targeted attacks like Stuxnet, Flame,Duqu, Gauss, and Disttrack/Shamoon. 

Howeverbusinesses and individuals shouldn't get too complacent, becauseattackers don't always go after their targets directly and may useother organizations as a launchpad for their attacks, Harry Svedlove,CTO of Bit9, told SecurityWatch.

Shortlyafter Flame was discovered in May, Bit9 discovered that one of itscustomers, a "commercial company" who was "notaffiliated in any way with the government, was not located in a'hostile region,' and was not involved in a secret weapons or nuclearprogram" had also been targeted with the Flame malware, Svedlovesaid. He declined to provide any specifics about the company.

Bit9successfully prevented the infection, but the customer also wanted toknow why it had been targeted, considering it didn't have anygovernment contracts. Svedlove had a simple answer. "It's notjust what you know, but who you know," he said.

Thecustomer might not have had any operations or business in the MiddleEast, but it did work with other companies that had contacts in theregion, Svedlove said, calling it a “one or two degrees ofseparation” situation. The attackers were looking at the Bit9customer's lists of who they knew and who they worked with, and werelikely using the information collected to plan their next wave ofattacks against new targets, Svedlove said.

Không có khả năngnói “Tôi an toàn vì tôi không có quan hệ hạt nhân nào”,vì khó nói ai mà những kẻ tấn công xác định như nhữngmục tiêu cuốn hút đang nắm giữ các thông tin thú vị,Svedlove nói.

Sử dụng một mạngcủa tổ chức như một vùng bàn đạp để lên kế hoạchcho các cuộc tấn công chống lại các mạng khác là khôngcó giới hạn đối với các cuộc tấn công tinh vi phứctạp do nhà nước bảo trợ, nhưng có thể được xem nhưtrong sự gián điệp tập đoàn và các tội phạm KGM khác,ông đã cảnh báo.

Không có những điềunhư vậy như là “quá nhỏ” để bị tấn công, và thậtnguy hiểm để giả thiết rằng không ở dạng công nghiệpnhất định có nghĩa là các dạng nhất định các cuộctấn công sẽ không có khả năng. Các tổ chức cần giảthiết những kẻ tấn công có quan tâm trong các dữ liệucủa họ và đảm bảo các mạng và dữ liệu của họmột cách phù hợp.

Chỉ như một kẻ làmmới, Stuxnet từng là Trojan đã lây nhiễm cho các hệthống kiểm soát công nghiệp trong một cơ sở hạt nhântại Iran và đã gây hại một cách vật lý cho thiết bị.Stuxnet đã làm cho chương trình hạt nhân của Iran bị đẩylui vài năm, và tờ New York Time đã trích các nguồn nặcdanh đầu năm nay đổ tội cho Mỹ và Israel cộng tác tạora Stuxnet. Duqu và Flame đã nhằm vào các doanh nghiệp kháctại Trung Đông để ăn cắp các thông tin nhạy cảm.Gauss dường như nhằm vào ngân hàng trực tuyến tại Libăng. Phần mềm độc hại Disttrack được sử dụng tạicông ty dầu hỏa Aramco của Ả rập Xê út.

Như PCmag.com đã nóihôm thứ hai, phần mềm độc hại Flame được phát hiệnra đầu năm nay đã được phát triển từ sớm hơn vàotháng 12/2006, và từng nằm trong sự phát triển tích cựccho tới năm nay, các nhà nghiên cứu tại Kaspersky Lab pháthiện. Các máy chủ chỉ huy kiểm soát đã kiểm soátFlame dường như phải quản lý ít nhất 3 dạng phần mềmđộc hại khác, và ít nhất một virus có liên quan tớiFlame có thể vẫn còn đang hoạt động điên dại,Kaspersky nói.

It'snot possible to say “I am safe because I have no nuclear ties,”because it's hard to tell who the attackers determine as attractivetargets holding on to interesting information, Svedlove said.

Usingone organization's network as a staging area to plan attacks againstother networks is not limited to sophisticated nation-state-sponsoredattacks, but can be seen in corporate espionage and othercyber-crimes as well, he warned.

Thereis no such things as being “too small” to be attacked, and it isdangerous to assume that not being in a certain type of industrymeans certain types of attacks aren't likely. Organizations need toassume attackers are interested in their data and secure theirnetworks and data accordingly.

Justas a refresher, Stuxnet was the Trojan that infected industrialcontrol systems in a nuclear facility in Iran and physically damagedequipment. Stuxnet set back Iran's nuclear program by several years,and the New York Times cited anonymous sources earier this year thatclaimed the United States and Israel collaborated to cre-ate Stuxnet.Duqu and Flame targeted various other businesses in the Middle Eastto steal sensitive information. Gauss appear to have targeted onlinebanking in Lebanon. The Disttrack malware used in recent Shamoonattacks is widely believed to be the malware which destroyed 30,000computers at Saudi oil company Aramco.

AsPCMag.comreported Monday, the Flame malware discovered earlier this yearwas developed as early as December 2006, and was in activedevelopment until this year, researchers at Kaspersky Lab found. Thecommand-and-control servers that controlled Flame appear to have runat least three other types of malware, and at least one Flame-relatedvirus may still be operating in the wild, Kaspersky said.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com