Nhìn lại: GhostNet bị triệt phá trong 1 ngày

Published: 2009-06-18

Theo:http://www.securityfocus.com/brief/973

Bài được đưa lênInternet ngày: 18/06/2009

Lờingười dịch: Cùng với thông tin rằng trong số các tàiliệu bị lén lút thu thập có các tệpđịnh dạng *.doc của Microsoft Word(mà Microsoft Office thì không thể cài đặt để chạy trêncác hệ điều hành GNU/Linux) và “Những kẻ tấn công –giả thiết những kẻ tấn công – đã bắt đầu loạibỏ các phần mềm độc hại mà chúng đã nằm trên cácmáy chủ của họ. Vì thế tất cả những tệp nhị phânmà đã nằm trên các máy chủweb cao cấp của các chính phủđã biến mất, tất cả các tệp mà chúng ta đã từngtruy cập tới để kết nối tới giao diện kiểm soát đãbiến mất, và cuối cùng kẻ tấn công đã lấy các tênmiền và đã thay đổi địa chỉ IP thành … máy chủ cụcbộ” trong vụ mạng gián điệp GhostNet, cho phép chúng tađưa ra câu hỏi: Liệu các máychủ Web của PetroVietnam và củaBộ Công thương là gì? Liệu có phải chính xác làInternet Information Server (IIS) của Microsoft hay không? Đểkhẳng định rằng nguyên nhân đích thực nằm ở việcsử dụng Windows và các sản phẩm nguồn đóng đầy dẫylỗ hổng an ninh này. Để thoát khỏi những mạng giánđiệp kiểu này, và hàng triệu virus, sâu bọ, phần mềmđộc hại của Windows thì cách tốt nhất là loại bỏWindows (nhưchính phủ Trung Quốc đã làm đối với hàng chục triệumáy tính của quân đội và chính phủ nước này)để chuyển sang sử dụng một hệ điều hành tự donguồn mở GNU/Linux nào đó, cả trên các máy chủ, cũngnhư các máy trạm.

Mộtngười trong cuộc nói: “Và chúng tôi nghĩ có thể sẽcó nhiều mạng ngoài đó giống y như vậy. Chúng tôi chỉngẫu nhiên khám phá ra mạng này vì kẻ tấn công đã mắcphải một số lỗi lầm mang tính sống còn”. Không rõChính phủ và giới công nghệ thông tin của Việt Nam cónghĩ thế không???

Tallinn, Estonia –Trong khi nghiên cứu về mạng bị giám sát GhostNet cầnhơn 10 tháng để kết thúc, thì những người tạo ra mạngnày đã chỉ cần tới 1 ngày để triệt phá botnet này,Nart Villeneuve, một nhà phân tích với tổ chức Giám sátChiến tranh Thông tin (Information Warfare Monitor), đã nói vớinhững người tham dự tại Hội nghị của CCD COE vềChiến tranh Không gian mạng hôm thứ năm.

Tốc độ mà với nónhững vụ gián điệp không gian mạng đã triệt phá mạnggián điệp số này đã gợi ý rằng những kẻ tấn cônglà hơn những bọn lưu manh thông thường của các bạn.Mạng bị giám sát, mà nó đã tập trung vào các hệ thốngđược sử dụng bởi các văn phòng của Dalai Lama và cáctổ chức độc lập Tây Tạng, đã lây nhiễm gần như1,300 máy tính tại hơn 100 quốc gia. Gần như 1/3 các máynày đã được xem như các mục tiêu giá trị cao bao gồmcác máy tính tại nhiều sứ quán, Ngân hàng Phát triểnchâu Á và Hiệp hội các Quốc gia Đông Nam Á (ASEAN), theo2 báo cáo ghi nhận lại những nghiên cứu một cách riêngrẽ trong botnet này.

Hôm thứ năm, trongmột trình bày tại hội nghị về chiến tranh không gianmạng được tổ chức bởi Trung tâm Phòng vệ Không gianmạng Hợp tác Xuất sắc, Villeneuve đã hé lộ rằng cácvụ gián điệp không gian mạng đã nhanh chóng để phảnứng, một khi giới truyền thông đã nói về những nghiêncứu này.

“Nó đã cần tớikhoảng 24 giờ đồng hồ trước khi mạng này bắt đầubị triệt phá”, Villeneuve nói. “Nhữngkẻ tấn công – giả thiết những kẻ tấn công – đãbắt đầu loại bỏ các phần mềm độc hại mà chúng đãnằm trên các máy chủ của họ. Vì thế tất cả nhữngtệp nhị phân mà đã nằm trên các máy chủ web cao cấpcủa các chính phủ đã biến mất, tất cả các tệp màchúng ta đã từng truy cập tới để kết nối tới giaodiện kiểm soát đã biến mất, và cuối cùng kẻ tấncông đã lấy các tên miền và đã thay đổi địa chỉIP thành … máy chủ cục bộ”.

Tallinn,ESTONIA — While the investigation into the GhostNet surveillancenetwork took more than 10 months to finish, the creators of thenetwork only needed a day to dismantle the botnet, Nart Villeneuve,an analyst with the Information Warfare Monitor, told attendees atthe CCD COE Conference on Cyber Warfare on Thursday.

Thespeed with which the cyber spies dismantled the digital espionagenetwork hinted that the attackers were morethan your average hooligans. The surveillance network, whichtargeted systems used by the offices of the Dalai Lama and Tibetanindependence organizations, infected nearly 1,300 computers in morethan 100 countries. Almost a third of the systems were consideredhigh-value targets including computers at various embassies, theAsian Development Bank and the Association of Southeast Asian Nations(ASEAN), according to the two reports documentingseparate investigations into the botnet.

OnThursday, in a presentation at the cyber warfare conference held bythe CooperativeCyber Defence Center of Excellence, Villeneuve revealed that thecyber spies were quick to react, once the media reported on theinvestigations.

"Ittook about 24 hours before the network started to come down,"Villeneuve said. "The attackers — presumably the attackers —started to remove the malware that was located on their servers. Soall the binaries that were hosted on the high-end government Webservers disappeared, all the files that we had been accessing toconnect to the control interface disappeared, and eventually theattacker took the domain names and changed the IP addresses to ...local host."

Cơ quan Giám sát Chiếntranh Thông tin, hợp tác với Phòng thì nghiệm Công dân(CitizenLab) của Đại học Toronto và Nhóm Phát triển Anninh (SecDev Group), đã chuyển các danh sách của mình quacác máy tính bị tổn thương cho Trung tâm Phản ứng vớicác Vụ việc Không gian mạng của Canada, mà trung tâm nàyđã lưu ý nhiều về các tổ chức bị lây nhiễm, ôngnói. Tuy nhiên, 3 tháng sau, nhiều nạn nhân vẫn còn chưađược cảnh báo, Villeneuve đã nói với những ngườitham dự tại Tallinn.

“Như bây giờ, điềuđó vẫn thực sự còn chưa xảy ra”, ông nói. “Hìnhnhư có nhiều rào cản pháp lý để hé lộ những thôngtin này. Ví dụ, họ muốn chạy một thử nghiệm gây hại.Khi chúng tôi có thể xác định cá nhân X nào đó tạimột sứ quán cụ thể nào đó, nếu chúng tôi hé lộthông tin đó cho quốc gia đó, thì con người đó sẽ đốimặt với sự tra tấn hoặc một số vi phạm quyền conngười”.

Hầunhư 3 tháng sau đó, nhiều câu hỏi còn chưa được trảlời bởi những cuộc nghiên cứu điều tra này. Nhưng vấnđề quan trọng là sự chứng minh rằng những hoạt độngkhông gian mạng như vậy đang diễn ra, Villeneuve nói.

“Cuối cùng, chúngtôi không biết ai đứng đằng sau GhostNet”, ông nói.“Những gì thú vị cho chúng tôi là thực tế rằng nóthực sự đã tồn tại. Những kẻ tấn công đó sử dụngnhững phương thức không phức tạp này đã có thể tiếnhành dạng gây hại này cho các tổ chức trên khắp thếgiới. Và chúng tôi nghĩ có thể sẽ cónhiều mạng ngoài đó giống y như vậy. Chúng tôi chỉngẫu nhiên khám phá ra mạng này vì kẻ tấn công đã mắcphải một số lỗi lầm mang tính sống còn”.

TheInformation Warfare Monitor, a collaboration between CitizenLab atthe University of Toronto and the SecDev Group, turned over its listsof compromised computers to the Canadian Cyber Incident ResponseCentre, which has notified many of the affected organizations, hesaid. However, three months later, many of the victims have still notbeen warned, Villeneuve told attendees in Tallinn.

"Asof now, that still really has not happened," he said. "Thereis apparently a lot of legal barriers to the disclosure of thisinformation. For example, they want to run a harm test. Since we areable identify individual X at a particular embassy, if we disclosethat information to that country, will that person face torture orsome human rights violations."

Almostthree months later, many questions remain unanswered by theinvestigations. But the important issue is the proof that such cyberactivities are happening, Villeneuve said.

"Ultimately,we don't know who is behind GhostNet," he said. "What isinteresting for us is the fact that it actually existed. Thatattackers using these unsophisticated methods were able to do thistype of damage to organizations all over the world. And we thinkthere is probably a lot of networks out there just like this. We justhappened to uncover this one because the attacker made some criticalmistakes."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com