Những kẻ tấn công DDoS vào các ngân hàng Mỹ được trợ giúp từ các botnet được thuê

Posted on 10 January2013.

Theo:http://www.net-security.org/secworld.php?id=14218

Bài được đưa lênInternet ngày: 10/01/2013

Lờingười dịch: Các site của các ngân hàng Mỹ liên tục bịtấn công DDoS. Thủ phạm được cho là các tin tặc củaIran để trả đũa cho việc một đoạn băng video trong đónhà tiên tri đạo hồi Muhammad đã bị nhạo báng vào làmtrò cười. Tuy nhiên, nhiều người cho rằng các cuộc tấncông đó là “sự trả đũa cho những trừng phạt kinh tếmà Mỹ đã áp đặt lên nước này và các cuộc tấn côngKGM mà họ đã nhằm vào chống lại các cơ sở hạt nhâncủa Iran”.

Hiểu biết chung rằngngân hàng thương mại chính tại Mỹ đang nằm dưới mộtloạt các cuộc tấn công DDoS mới.

Đầu tiên, tráchnhiệm về điều này đã bắt đầu vào tháng 12 đượccho là một nhóm các tin tặc với cái tên "Các chiếnbinh KGM Izz ad-Din al-Qassam", và được cho là một cáchthức tự trả thù Mỹ vì đưa ra đoạn băng video trong đónhà tiên tri đạo hồi Muhammad đã bị nhạo báng vào làmtrò cười.

Nhưng, như các quanchức dấu tên của chính phủ Mỹ nói cho NYT hôm thứ ba,thì kẻ chủ mưu thực sự của các cuộc tấn công làIran.

Không có bất kỳ sựchứng thực nào, họ nói rằng phạm vi, sự phức tạp vàcác mục tiêu của các cuộc tấn công tất cả chỉ vàomột nỗ lực do nhà nước bảo trợ, và rằng họ coiđiều này là sự trả đũa cho những trừng phạt kinh tếmà Mỹ đã áp đặt lên nước này và các cuộc tấn côngKGM mà họ đã nhằm vào chống lại các cơ sở hạt nhâncủa Iran.

Chính phủ Iran, tấtnhiên, đã từ chối có liên quan.

Trong khi chờ đợi,các nhà nghiên cứu ở các hãng an ninh khác nhau đã vàđang nghiên cứu các cuộc tấn công và đã đi tới kếtluận rằng những kẻ tấn công đã sử dụng các trungtâm dữ liệu và đám mây, và thậm chí các đám mâyriêng của họ trên thế giới để gửi đi các yêu cầuđược mã hóa vào các site ngân hàng.

Theo Incapsula, họ cũngđã thuê một số lượng các botnet để làm gia tăng sứcép lên các site bị nhắm đích.

“Như chúng tôi đãtiếp tục giám sát các lệnh DoS tới thì chúng tôi thấyrằng các cuộc tấn công được định giờ rất đúng,giới hạn trong các khoảng thời gian từ 7 phút tới 1 giờđồng hồ. C&C botnet đã chỉ huy nó để làm việctrong 'các dịch chuyển'”, tối đa hóa hiệu quả của nóvà lệnh cho nó làm mới lại cuộc tấn công hệt như khimục tiêu có thể bắt đầu phục hồi, Ronen Atias củaIncapsula giải thích.

“Trong quá trình mộtsố 'dịch chuyển' cửa hậu đã được chỉ thị thay đổimục tiêu và cuộc tấn công không có liên quan tới cácsite thương mại và thương mại điện tử. Tất cả điềunày dẫn chúng ta tới tin tưởng là chúng ta đã bị giámsát các hoạt động của một botnet được thuê”.

It'salready common knowledge that major commercial bank in the U.S. areunder a new series of DDoS attacks.

Aswith the first one, the responsibility for this one that started inDecember was claimed by a group of hackers that goes under the nameof "Izz ad-Din al-Qassam Cyber Fighters", and is allegedlya way to revenge themselves on the U.S. for the release of a movietrailer in which the Muslim prophet Muhammad was mocked andridiculed.

But,as unnamed U.S. government officials claimed for the NYTon Tuesday, the real instigator of the attacks is Iran.

Withoutoffering any proof, they say that the scope, the sophistication andthe targets of the attacks all point to a state-sponsored effort, andthat they consider this to be retaliation for the economic sanctionsthe U.S. has imposed on the country and the cyber attacks theydirected against Iran's nuclear facilities.

TheIranian government has, of course, denied being involved.

Inthe meantime, researchers at various security firms have beeninvestigating the attacks and have come to the conclusion that theattackers used data centers and clouds, and even their own privateclouds around the world to send out encrypted requests to the banks'sites.

Accordingto Incapsula, they also hired a number of botnets to increase thepressure on the targeted sites.
"As we continued to monitorthe incoming DoS commands we saw that the attacks were preciselytimed, limited for periods that varied f-rom 7 minutes to an hour. Thebotnet C&C was commanding it to work in 'shifts”', maximizingits efficiency and ordering it to renew the attack just as the targetwould start to recover, explainedIncapsula's Ronen Atias.

"Duringsome of these 'shifts' the backdoor was instructed to change targetand attack unrelated commercial and e-commerce sites. This all led usto believe that we were monitoring the activities of a botnet forhire."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com