Sự kháng cự đối với các cuộc tấn công thâm nhập của 'Aurora' đều vô hiệu

Mostresistance to 'Aurora' hack attacks futile, says report

Nhiềutới 100 công ty bị thâm nhập

Asmany as 100 companies pwned!

By DanGoodin • Getmore f-rom this author

Posted in Security,1st March 2010 06:35 GMT

Theo:http://www.theregister.co.uk/2010/03/01/aurora_resistence_futile/

Bài được đưa lênInternet ngày: 01/03/2010

Lờingười dịch: Trong cuộc tấn công vào Google vào tháng 12năm ngoái, không phải chỉ có thêm 33 công ty cùng bị tấncông, mà có thể là 100, theo một nghiên cứu của mộthãng an ninh là iSec. Hơn nữa, cuộc tấn công này là hếtsức tinh vi và hầu như không có công ty nào có khả năngchống lại được. “Những kẻ tấn công đã có thiệnchí bỏ ra hàng tháng trời tấn công mọi người trong cáccông ty này, và họ viết các phần mềm độc hại tùybiến đặc chủng cho các công ty này. Các phần mềm độchại đối với mỗi công ty này đã được tùy biến dựatrên những phiên bản phần mềm bị tổn thương mà họđang chạy, cũng như dạng phần mềm chống virus nào màhọ đang sử dụng. Vấn đề là để bảo vệ chống lạimức độ đó của kẻ tấn công - thì cuộc chơi là hoàntoàn khác so với những gì mà hầu hết các công ty đanglàm”. “Các máy Windows, các tác giả cũng khuyên, chỉnên được chạy trong chế độ không được ưu tiên đốivới đa số người sử dụng. Một tệp PDF của báo cáonày là ởđây.”

Hầu hết các doanhnghiệp không kháng cự được chống lại dạng các cuộctấn công mà gần đây đã đánh Google và ít nhất 33 côngty khác, theo một báo cáo được xuất bản hôm thứ 2 mànó ước tính con số thực sự các công ty bị đánh cóthể hơn 100.

Những kẻ tấn côngđằng sau cuộc tấn công không gian mạng có tên Aurora đãkiên cường săn đuổi những nạn nhân được chọn củachúng trong nhiều tháng trong một chiến dịch để xácđịnh những người sử dụng đầu cuối và các ứngdụng cụ thể mà có thể là cái đích để giành đượclối vào các mạng doanh nghiệp, báo cáo, được chuẩn bịbởi hãng an ninh iSec Partners, đã kết luận. Những thưđiện tử hoặc các thông điệp tức thì (chat) mà chúngđã xuất hiện đã tới từ những người bạn và nhữngđồng nghiệp tin cậy đã bị kết hợp với các chỗ bịtổn thương ngày số 0 có sức thuyết phục mạnh mẽnhắm vào các ứng dụng chung. Trong nhiều trường hợp,những khai thác đã vặn vẹo để phá vỡ những phiênbản cụ thể của các chương trình chống virus.

Những phát hiện làđáng kể vì chúng gợi ý rằng nhiều phòng IT của cáchãng có trải nghiệm tốt nhất đã từng đi theo nhiềunăm là không có hiệu quả chống lại các cuộc tấn côngnày, mà Google đã nói là đã thành công sắc nhọn đốivới những phòng vệ của hãng và việc truy cập vào cácbí mật thương mại của hãng. Đối tác sáng lập củaiSec là Alex Stamos đã nói rằng với sự ngoại lệ củaGoogle và một nhúm các tổ chức khác với các ngân sáchđể hỗ trợ các đội an ninh thông tin đắt giá, thi cáccông ty là không được chuẩn bị để phòng vệ cho bảnthân chống lại tầm cỡ mới này của các cuộc tấncông.

“Nhữngkẻ tấn công đã có thiện chí bỏ ra hàng tháng trờitấn công mọi người trong các công ty này, và họ viếtcác phần mềm độc hại tùy biến đặc chủng cho cáccông ty này”, ông đã nói cho The Register. “Các phần mềmđộc hại đối với mỗi công ty này đã được tùy biếndựa trên những phiên bản phần mềm bị tổn thương màhọ đang chạy, cũng như dạng phần mềm chống virus nàomà họ đang sử dụng. Vấn đề là để bảo vệ chốnglại mức độ đó của kẻ tấn công - thì cuộc chơi làhoàn toàn khác so với những gì mà hầu hết các công tyđang làm”.

Mostbusinesses are defenseless against the types of attacks that recentlyhit Google and at least 33 other companies, according to a report tobe published Monday that estimates the actual number of targetedcompanies could top 100.

Theattackers behind the cyber assault dubbed Aurora patiently stalkedtheir hand-chosen victims over a matter of months in a campaign toidentify specific end users and applications that could be targetedto gain entry to corporate networks, the report, prepared by securityfirm iSec Partners, concluded. Emails or instant messages thatappeared to come f-rom friends and trusted colleagues were combinedwith potent zero-day vulnerabilities targeting common applications.In many cases, exploits were tweaked to circumvent specific versionsof anti-virus programs.

Thefindings are significant because they suggest that many of the bestpractices corporate IT departments have been following for years areineffective against the attacks, which Google said were successful atpiercing its defenses and accessing its trade secrets. iSec foundingpartner Alex Stamos said that with the exception of Google and ahandful of other organizations with budgets to support expensiveinformation security teams, companies are unprepared to defendthemselves against this new caliber of attacks.

"Attackersare willing to spend months attacking people in these companies, andthey write custom malware specific to those companies," he toldThe Register. "The malware for each of these companieshas been customized based on the versions of vulnerable softwarethey're running, as well as what kind of anti-virus they're using.The problem is to defend against that level of attacker - the game iscompletely different than what most companies are doing."

Trong những ngày ngaysau khi có sự thừa nhận hồi tháng 01 của Google, các nhàđiều tra đã nói có tới 33 công ty khác đã bị đánhbởi cùng các cuộc tấn công này. Nhưng theo Stamos, mà ướcđoán đã dựa vào phân tích của chỉ một kênh kiểmsoát và ra lệnh theo sự kiểm soát của những kẻ tấncông. Sau việc sàng lọc qua các nội dung của 60 hoặc đạiloại vậy các kênh bổ sung khác, thì Stamos đã nói sốlượng của các công ty bị tổn thương có thể là 100,nhiều công ty với những phòng IT không được chuẩn bịmột cách tang thương.

Nhữngkẻ tấn công đã chỉ ra sự kiên nhẫn cần cù trong việcthu thập thông tin về những người sử dụng đầu cuốibị tổn thương, thường là các trường hợp các mạngxã hội để học những xác định của bạn bè và doanhnghiệp có liên quan nên các thông điệp tức thì (chat) vàthư điện tử với những liên kết bị đầu độc sẽxuất hiện vô thưởng vô phạt hơn. Họ cũng sử dụngmột kiến thức bách khoa toàn thư của những yếu kém vềmạng doanh nghiệp mà chúng đã cho phép họ chuyển mộtsự tổn thương của chỉ một máy tính thành một vậttrung gian mà có thể gây đầu hàng cho sự truy cập khôngbị cùm tới những viên kim cương trên mũ miện đáng giánhất của công ty.

“Những gã này thựcsự hiểu cách để nắm quyền kiểm soát một chiếc máytính xách tay và biến nó thành sự truy cập của ngườiquản trị miền”, Stamos giải thích. “Mọi người khôngđược chuẩn bị tốt cho dạng này”.

Đối với các côngty đi ngược lại được con thủy triều này, thì họ sẽphải tiến hành những thay đổi cơ bản đối với cáicách mà họ nghĩ và quản lý an ninh bên trong chu vi mạngcủa họ. Hàng đầu trong số những thay đổi này là việcvô hiệu hóa tất cả các dịch vụ mà bất chấp nhữngcảnh báo được lặp đi lặp lại, như là hàm băm quảnlý mạng cục bộ LAN. Những khuyến cáo khác bao gồm việcghi và điều tra tất cả các yêu cầu được thực hiệntới các máy chủ hệ thống tên miền nội bộ và việcxây dựng cảnh giới trong mạng mà nó ngăn ngừa nhữngnguồn chủ chốt từ việc được truy cập ngay cả khimột máy trạm trong hệ thống bị trưng dụng.

Cácmáy Windows, các tác giả cũng khuyên, chỉ nên được chạytrong chế độ không được ưu tiên đối với đa sốngười sử dụng. Một tệp PDF của báo cáo này là ởđây.

Inthe days immediately following Google'sJanuary admission, investigators said as many as 33 othercompanies were hit by the same attacks. But according to Stamos, thatestimate was based on the analysis of just one command and controlchannel under the control of the attackers. After sifting through thecontents of another 60 or so additional channels, Stamos said thenumber of compromised companies could be as high as 100, many withwoefully unprepared IT departments.

Theattackers showed painstaking perseverance in gathering informationabout vulnerable end users, often casing social networks to learn theidentities of friends and business associates so instant messages andemails with poisoned links will appear more innocuous. They alsoemployed an encyclopedic knowledge of corporate networking weaknessesthat allowed them to convert a compromise of a single computer into avector that would surrender unfettered access to a company's mostvaluable crown jewels.

"Theseguys really understand how to take control of one laptop and turn itinto domain admin access," Stamos explained. "People arenot well prepared for this kind of stuff."

Forcompanies to reverse the tide, they will have to make fundamentalchanges to the way they think about and manage security inside theirnetwork perimeters. Chief among the changes is disabling all servicesthat despite repeated warnings often remain on, such as LANManager Hash. Other recommendations include logging andinspecting all queries made to internal domain name system serversand building safeguards into the network that prevent key resourcesf-rom being accessed even when a client on the system has beencommandeered.

Windowsmachines, the authors also recommend, should only be run inunprivileged mode for the vast majority of users. A PDF of the reportis here.®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com