Tấn công các ngân hàng là công việc của người Iran, các quan chức nói

By NICOLE PERLROTH andQUENTIN HARDY

Published: January 8,2013

Theo:http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html?_r=1&

Bài được đưa lênInternet ngày: 08/01/2013

Lờingười dịch: Thời làm ăn yên ổn của các ngân hàngtrực tuyến, không chỉ riêng các ngân hàng Mỹ, mả rấtcó thể cả các ngân hàng khác nữa, có thể đã qua rồi.Một virus mới, Itsoknoproblembro,gây lây nhiễm cho các máy chủ tại các trung tâm dữliệu, các nhà cung cấp dịch vụ đám mây, biến các máychủ đó thành các “bRobots” mà hầu như không chươngtrình chống virus nào hiện nay dò tìm ra được chúng.“Bằng việc gây lây nhiễm cho các trung tâm dữ liệuthay vì các máy tính, những kẻ tấn công đã giành lấysức mạnh tính toán để dựng lên vô số các cuộc tấncông từ chối dịch vụ. Một trong những ngân hàng đãcó 40 gigabit năng lực Internet, một lượng khổng lồ khibạn coi đó là một doanh nghiệp cỡ trung chỉ có thể có1 gigabit. Nhưng một số ngân hàng đã bị đánh với mộtcơn lũ bền vững các giao thông mà đạt tới 70 gigabit”.

San Francisco - Nhữngkẻ tấn công đánh vào ngân hàng Mỹ này tới ngân hàngkhác Như trong nhiều cuộc tấn công trước đó, hàng tásite ngân hàng trực tuyến đã chạy chậm lại, nấc lênhoặc dừng hẳn trước khi được phục hồi lại vàiphút sau đó.

Nhưng còn có thứ gìđó đáng lo ngại khác về làn sóng các cuộc tấn côngtrực tuyến vào các ngân hàng Mỹ trong các tuần gầnđây. Các nhà nghiên cứu an ninh nói rằng thay vì việckhai thác các máy tính riêng rẽ, những kẻ tấn công đãthiết kế các mạng máy tính tại các trung tâm dữ liệu,biến đổi một ít tiếng chó Chihuahuas sủa thành mộtcục lớn bễ thở của con Godzilla.

Kỹ năng được yêucầu để triển khai các cuộc tấn công phạm vi này đãthuyết phục được các quan chức chính phủ và các nhànghiên cứu về an ninh của Mỹ rằng họ đang làm việcvới Iran, hầu hết có lẽ trong sự trả thù vì nhữnghình phạt về kinh tế và các cuộc tấn công trực tuyếncủa Mỹ.

“Khôngnghi ngờ gì trong chính phủ Mỹ rằng Iran đứng đằngsau các cuộc tấn công đó”, James A. Lewis, cựu quan chứctrong Bộ Ngoại giao và Thương mại Mỹ và là một chuyêngia về an ninh máy tính tại Trung tâm Nghiên cứu Chiếnlược và Quốc tế tại Washington, nói.

ÔngLewis đã nói số lượng làm tràn ngập giao thông các sitengân hàng Mỹ là “nhiều lần” so với số lượng màNga đã nhằm vào Estonia trong cuộc tấn công trực tuyếndài cả tháng vào năm 2007 mà gần như đã đánh què quốcgia Baltic này.

Cácquan chức Mỹ còn chưa đưa ra bất kỳ bằng chứng kỹthuật nào để bảo vệ cho sự kêu ca của họ, nhưng cácchuyên gia an ninh máy tính nói các cuộc tấn công gần đâyđã chỉ ra một mức độ phức tạp vượt xa các kẻ tấncông không chuyên nghiệp. Hơn nữa, những kẻ tấn côngchọn theo đuổi sự phá hoại, không theo tiền: một dấuhiệu khác của các cuộc tấn công do nhà nước bảo trợ,các chuyên gia nói.

“Phạm vi, mức độvà tính hiệu quả của các cuộc tấn công đó là chưatừng có từ trước tới nay”, Carl Herberger, phó chủtịch các giải pháp an ninh tại Radware, một hãng an ninhtừng nghiên cứu các cuộc tấn công nhân danh các ngânhàng và các nhà cung cấp dịch vụ đám mây, nói. “Chưatừng có nhiều định chế tài chính bị cầm tù nhiềuthế này”.

Kể từ tháng 9, nhữngkẻ thâm nhập trái phép đã gây ra những vụ phá hoạichính cho các site ngân hàng trực tuyến của Bank ofAmerica, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital One,Fifth Third Bank, BB&T và HSBC.

Họ đã sử dụng cáccuộc tấn công DDoS, hoặc các cuộc tấn công từ chốidịch vụ phân tán, ấy là các tin tặc từ chối các dịchvụ khách hàng bằng việc nhằm một lượng lớn các giaothông tới một site cho tới khi nó sập. Không tài khoảnngân hàng nào bị đánh thủng và không khách hàng nào bịmất tiền cả.

Bằng việc sử dụngcác trung tâm dữ liệu, những kẻ tấn công đơn giảngiữ thời gian. Các công ty và khách hàng ngày càng tiếnhành việc kinh doanh của họ qua các “đám mây” phạmvi rộng lớn của hàng trăm, hàng ngàn các máy chủ đượckết nối mạng.

Những đám mây đódo Amazon hoặc Google quản lý, nhưng cũng còn do nhiều taychơi nhỏ thường thuê chúng từ các công ty khác. Dườngnhư các tin tặc tấn công từ xa một số đám mây và đãsử dụng sức mạnh tính toán để đánh sập các sitengân hàng của Mỹ.

“Có ý nghĩa bây giờrằng các kẻ tấn công đang vặn vẹo các đám mây riêngcủa riêng họ”, hoặc bằng việc tạo ra các mạng cácmáy tính cá nhân hoặc bằng việc ăn cắp toàn bộ cáctài nguyên từ các đám mây tập đoàn được quản lýtồi, John Kindervag, một nhà phân tích tại ForresterResearch, nói.

Làm thế nào, chínhxác, các tin tặc tấn công được các trung tâm dữ liệuvẫn còn là điều bí ẩn. Làm cho cácvấn đề trở nên phức tạp hơn, chúng cùng một lúc đãđưa ra một vũ khí khác: các cuộc tấn công DDoS đượcmã hóa.

Cácngân hàng mã hóa các giao dịch trực tuyến của các kháchhàng để có an ninh, nhưng quá trình mã hóa sử dụng cáctài nguyên hệ thống. Bằng việc gây ngập lụt các sitengân hàng với các yêu cầu mã hóa, các tin tặc có thểlàm chậm tiếp hoặc đánh què các site với ít hơn cácyêu cầu.

Một nhóm tin tặc tựgọi mình là Các chiến binh KGM Izz ad-Din al-Qassam đã nhậnđưa lên trực tuyến nó có trách nhiệm về các cuộc tấncông.

Nhóm này nói nó đãtấn công các ngân hàng để trả thù video chống đạoHồi đã chế nhạo nhà tiên tri Muhammad, và thề sẽ tiếptục chiến dịch cho tới khi video đó bị loại bỏ khỏiInternet. Nó đã gọi chiến dịch đó là Chiến dịchAbabil, một tham chiếu tới một câu chuyện trong kinh Koranmà thánh Allah gửi các con chim nhạn để đánh thắng độiquân voi được vua Yemen gửi đi để tấn công thánh địaMecca vào năm 571 trước công nguyên.

Nhưngcác quan chức tình báo Mỹ nói nhóm đó thực sự là mộtcái vỏ của Iran. Họ kêu Iran đang chỉ huy các cuộc tấncông để trả thù những trừng phạt kinh tế của phươngTây và về một loạt các cuộc tấn công KGM vào các hệthống của riêng họ. Trong 3 năm qua, 3 virus máy tính phứctạp - gọi là Flame, Duqu và Stuxnet - đã tấn công các máytính của Iran. Tờ New York Times đã nói vào năm ngoái rằngMỹ, cùng với Israel, đã có trách nhiệm về Stuxnet, virusđược sử dụng để phá hủy các máy li tâm tại cơ sởhạt nhân của Iran vào năm 2010.

“Đây một chút làtrận đấu hận thù”, ông Lewis của Trung tâm Nghiên cứuChiến lược và Quốc tế, nói. (Hôm thứ tư, chính phủIran đã từ chối liên quan trong các cuộc tấn công.“Không giống như Mỹ, mà theo các báo cáo trong báo chíđã tự trao cho mình giấy phép tham gia vào cuộc chiếntranh KGM bất hợp pháp chống lại Iran, Iran tôn trọngluật quốc tế và kìm nén khỏi việc nhằm vào các cơquan kinh tế và tài chính của các quốc gia khác”,Alireza Miryousefi, thư ký thứ nhất của Iran tại Liên hiệpquốc, viết trong một thư điện tử).

Cácnhà nghiên cứu tại Radware đã nghiên cứu các cuộc tấncông vào vài ngân hàng đã thấy rằng giao thông tới tửcác trung tâm dữ liệu trên thế giới. Họ đã phát hiệnrằng nhiều dịch vụ đám mây và dịch vụ thuê đặtchỗ web (hosting) khác nhau đã bị lây nhiễm với mộtdạng phần mềm độc hại đặc biệt phức tạp, gọi làItsoknoproblembro, đã được thiết kế để tránh bị dòtìm ra từ các chương trình chống virus. Phần mềm độchại đó đã tồn tại nhiều năm, nhưng các cuộc tấncông ngân hàng đã lần đầu tiên nó đã sử dụng cáctrung tâm dữ liệu để tấn công các nạn nhân ở bênngoài.

Cácbotnet, hoặc các mạng các máy tính cá nhân bị lây nhiễm,có thể thường bị theo dõi ngược lại tới một trungtâm chỉ huy kiểm soát, nhưng các chuyên gia về an ninh nói Itsoknoproblembro đã được thiết kế để làm cho rấtkhó trói nó vào một bên nào. Các nhà nghiên cứu an ninhđã đi tới một cái tên mới cho các máy chủ bị lâynhiễm với Itsoknoproblembro: họ gọi chúng là các“bRobots”.

Trongmột botnet nghiệp dư, trung tâm chỉ huy kiểm soát có thểdễ dàng được xác định, nhưng ông Herberger nói gầnnhư không có khả năng làm như vậy trong trường hợpnày, gợi ý cho ông rằng “chiến dịch có thể do nhànước quốc gia hỗ trợ so với các phần mềm độc hạinghiệp dư”.

Những kẻ tấn côngđã sử dụng các máy chủ bị lây nhiễm để đánh cùngmột lúc giao thông ở từng site ngân hàng cho tới khi nóchậm lại hoặc sập hẳn.

Bằngviệc gây lây nhiễm cho các trung tâm dữ liệu thay vì cácmáy tính, những kẻ tấn công đã giành lấy sức mạnhtính toán để dựng lên vô số các cuộc tấn công từchối dịch vụ. Một trong những ngân hàng đã có 40gigabit năng lực Internet, ông Herberger nói, một lượngkhổng lồ khi bạn coi đó là một doanh nghiệp cỡ trungchỉ có thể có 1 gigabit. Nhưng một số ngân hàng đã bịđánh với một cơn lũ bền vững các giao thông mà đạttới 70 gigabit.

ÔngHerberger đã từ chối nói các nhà cung cấp dịch vụ đámmây nào đã bị tổn thương, trích các thỏa thuận khôngcông bố với các khách hàng của Radware, nhưng ông đãnói rằng mỗi cuộc tấn công vào một ngân hảng mới đãcung cấp bằng chứng rằng ngày càng nhiều hơn các trungtâm dữ liệu đã bị lây nhiễm và bị khai thác.

Nhữngkẻ tấn công đã nói vào tuần trước rằng họ đãkhông có ý định dừng chiến dịch của họ. “Các quanchức các ngân hàng Mỹ phải mong đợi các cuộc tấncông khổng lồ của chúng tôi”, họ đã viết. “Từbây giờ trở đi, không ngân hàng nào cùa Mỹ sẽ có antoàn cả”.

SANFRANCISCO — The attackers hit one American bank after the next. Asin so many previous attacks, dozens of online banking sites slowed,hiccupped or ground to a halt before recovering several minuteslater.

Butthere was something disturbingly different about the wave of onlineattacks on American banks in recent weeks. Security researchers saythat instead of exploiting individual computers, the attackersengineered networks of computers in data centers, transforming theonline equivalent of a few yapping Chihuahuas into a pack offire-breathing Godzillas.

Theskill required to carry out attacks on this scale has convincedUnited States government officials and security researchers that theyare the work of Iran, most likely in retaliation for economicsanctions and online attacks by the United States.

“Thereis no doubt within the U.S. government that Iran is behind theseattacks,” said James A. Lewis, a former official in the State andCommerce Departments and a computer security expert at the Center forStrategic and International Studies in Washington.

Mr.Lewis said the amount of traffic flooding American banking sites was“multiple times” the amount that Russia directed at Estonia in amonthlong online assault in 2007 that nearly crippled the Balticnation.

Americanofficials have not offered any technical evidence to back up theirclaims, but computer security experts say the recent attacks showed alevel of sophistication far beyond that of amateur hackers. Also, thehackers chose to pursue disruption, not money: another earmark ofstate-sponsored attacks, the experts said.

“Thescale, the scope and the effectiveness of these attacks have beenunprecedented,” said Carl Herberger, vice president of securitysolutions at Radware, a security firm that has been investigating theattacks on behalf of banks and cloud service providers. “There havenever been this manyfinancial institutions under this much duress.”

SinceSeptember, intruders have caused major disruptions to the onlinebanking sites of Bank of America, Citigroup, Wells Fargo, U.S.Bancorp, PNC, Capital One, Fifth Third Bank, BB&T and HSBC.

Theyemployed DDoS attacks, or distributed denial of service attacks,named because hackers deny customers service by directing largevolumes of traffic to a site until it collapses. No bank accountswere breached and no customers’ money was taken.

Byusing data centers, the attackers are simply keeping up with thetimes. Companies and consumers are increasingly conducting theirbusiness over large-scale “clouds” of hundreds, even thousands,of networked computer servers.

Theseclouds are run by Amazon and Google, but also by many smaller playerswho commonly rent them to other companies. It appears the hackersremotely hijacked some of these clouds and used the computing powerto take down American banking sites.

“There’sa sense now that attackers are crafting their own private clouds,”either by creating networks of individual machines or by stealingresources wholesale f-rom poorly maintained corporate clouds, saidJohn Kindervag, an analyst at Forrester Research.

How,exactly, attackers are hijacking data centers is still a mystery.Making matters more complex, they have simultaneously introducedanother weapon: encrypted DDoS attacks.

Banksencrypt customers’ online transactions for security, but theencryption process consumes system resources. By flooding bankingsites with encryption requests, attackers can further slow or cripplesites with fewer requests.

Ahacker group calling itself Izz ad-Din al-Qassam Cyber Fighters hasclaimed in online posts that it was responsible for the attacks.

Thegroup said it attacked the banks in retaliation for ananti-Islam video that mocked the Prophet Muhammad, and pledged tocontinue its campaign until the video was scrubbed f-rom the Internet.It called the campaign Operation Ababil, a reference to a story inthe Koran in which Allah sends swallows to defeat an army ofelephants dispatched by the king of Yemen to attack Mecca in A.D.571.

ButAmerican intelligence officials say the group is actually a cover forIran. They claim Iran is waging the attacks in retaliation forWestern economic sanctions and for a series of cyberattacks on itsown systems. In the last three years, three sophisticated computerviruses — called Flame,Duqu and Stuxnet— have hit computers in Iran. The New York Times reportedlast year that the United States, together with Israel, wasresponsible for Stuxnet, the virus used to destroy centrifuges in anIranian nuclear facility in 2010.

“It’sa bit of a grudge match,” said Mr. Lewis of the Center forStrategic and International Studies.

(OnWednesday, the Iranian government denied involvement in thecyberattacks. “Unlike the United States, which has per reports inthe media given itself the license to engage in illegal cyber-warfareagainst Iran, Iran respects the international law and refrains f-romtargeting other nations’ economic or financial institutions,”wrote Alireza Miryousefi, first secretary of the Iranian mission tothe United Nations, in an e-mail.)

Researchersat Radware who investigated the attacks for several banks found thatthe traffic was coming f-rom data centers around the world. Theydiscovered that various cloud services and public Web hostingservices had been infected with a particularly sophisticated form ofmalware, called Itsoknoproblembro, that was designed to evadedetection by antivirus programs. The malware has existed for years,but the banking attacks were the first time it used data centers toattack external victims.

Botnets,or networks of individual infected slave computers, can typically betraced back to a command and control center, but security experts sayItsoknoproblembro was engineered to make it very difficult to tie itto one party. Security researchers have come up with a new name forservers infected with Itsoknoproblembro: they call them “bRobots.”

Inan amateur botnet, the command and control center can be easilyidentified, but Mr. Herberger said it had been nearly impossible todo so in this case, suggesting to him that “the campaign may bestate-sponsored versus amateur malware.”

Attackersused the infected servers to fire traffic simultaneously at eachbanking site until it slowed or collapsed.

Byinfecting data centers instead of computers, the hackers obtained thecomputing power to mount enormous denial of service attacks. One ofthe banks had 40 gigabits of Internet capacity, Mr. Herberger said, ahuge amount when you consider that a midsize business may only haveone gigabit. But some banks were hit with a sustained flood oftraffic that peaked at 70 gigabits.

Mr.Herberger declined to say which cloud service providers had beencompromised, citing nondisclosure agreements with Radware’sclients, but he said that each new bank attack provided evidence thatmore data centers had been infected and exploited.

Theattackers said last weekthat they had no intention of halting their campaign. “Officials ofAmerican banks must expect our massive attacks,” they wrote. “F-romnow on, none of the U.S. banks will be safe.”

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com