Thứ Bảy, 20 tháng 2, 2010

2 trường học Trung Quốc liên can trong các cuộc tấn công Aurora vào Google

Two Chinese schools implicated in Google Aurora attacks

Không phải chúng tôi, các đại học của chính phủ, chúng tôi chỉ dạy Photoshop ở đây

Not us guv, we only teach Photoshop here

By John LeydenGet more from this author

Posted in Crime, 19th February 2010 12:14 GMT

Theo: http://www.theregister.co.uk/2010/02/19/aurora_china_probe_latest/

Bài được đưa lên Internet ngày: 19/02/2010

Lời người dịch: Người ta vẫn còn điều tra vụ tấn công vào Google và 33 hãng phương tây cuối tháng 12 vừa qua. Bạn hãy đọc đoạn này, và tự liên hệ với những gì đang diễn ra ở Việt Nam trong vòng 5 năm trở lại đây. “Sự thực, các cuộc tấn công là tương tự như các cuộc tấn công gián điệp không gian mạng, có mục đích vào việc trích bóp ra những bí mật công nghiệp hoặc thâm nhập vào các hệ thống chính phủ mà đã từng xảy ra ít nhất 5 năm, nếu không nói là còn lâu hơn. Thường thì các cuộc tấn công lợi dụng những chỗ bị tổn thương không được vá trong phần mềm trình duyệt, đặc biệt là IE. Các cuộc tấn công có chủ đích với các tệp PDF được bẫy vụng về được thiết kế để tận dụng những lỗi có liên quan tới Adobe là thứ được ưa chuộng khác”. Một chi tiết quan trọng nữa là tất cả những thứ này đều liên quan tới các máy tính chạy Windows. Bạn có thể thấy rõ trong phân tích kỹ thuật chi tiết của HBGary ở đây.

2 trường học Trung Quốc với các liên kết tới các lực lượng vũ trang đã trở nên liên can như những nghi phạm trong các cuộc tấn công Chiến dịch Aurora đang diễn ra chống lại Google và ít nhất 33 công ty phương tây khác vào cuối tháng 12.

Các chuyên gia an ninh, bao gồm các những thanh tra từ Cơ quan An ninh Quốc gia (Mỹ), bây giờ coi các cuộc tấn công kể từ tháng 04 năm ngoái, gần hơn nhiều so với bị tình nghi trước đó, tời New York Time (NYT) nói. Dù các cuộc tấn công này được xuất phát từ Trung Quốc, thì không có cách gì rõ ràng rằng chúng đã được phụ họa bởi chính phủ Trung Quốc. Còn có cả khả năng rằng những kẻ tấn công từ bên ngoài Trung Quốc đã chỉ huy, hoặc đã có một sự liên quan, ít nhất trong một số cuộc tấn công.

Tuy nhiên một quan điểm nổi bật trong điều tra hiện hành đang tập trung vào 2 trường về khoa học máy tính của Trung Quốc - Đại học Jiaotong Thượng Hải và Trường dạy nghề Lanxiang - theo những thanh tra dấu tên, NYT nói. Lanxiang là một trường dạy nghề có liên quan trong việc huấn luyện một số nhà khoa học máy tính quân sự. Jiaotong là một đại học hàng không hàng đầu mà quản lý tốt các khóa học về khoa học máy tính.

Các quan chức tại 2 trường này nói họ có nghe từ những thanh tra Mỹ. Một giáo sư dấu tên tại trường kỹ thuật an ninh thông tin Jiaotong đã nói cho NYT rằng các sinh viên đôi khi tấn công các website phương tây trong khi cũng lưu ý rằng việc tấn công các địa chỉ IP của nó bởi các tin tặc bên ngoài là phổ biến. Nhân viên tại Lanxiang đã nói cho The Guardian rằng những sinh viên của mình là những sinh viên trung học và học các kỹ năng như là Photoshop.

Two Chinese schools with links to the armed forces have become implicated as suspects in the ongoing Operations Aurora attacks against Google and at least 33 other western conglomerates last December.

Security experts, including investigators from the National Security Agency, now reckon the attacks date from April last year, far earlier than previously suspected, the New York Times reports. Although the attacks originated from China, it's by no means clear that they were orchestrated by the Chinese government. It's even possible that hackers from outside China ran, or had an involvement in, at least some of the attacks.

However one prominent strand in the ongoing investigation is focusing on two Chinese computer science facilities - Shanghai Jiaotong University and the Lanxiang Vocational School - according to unnamed investigators, the NYT reports. Lanxiang is a vocational school involved in training some military computer scientists. Jiaotong is a top flight university that runs well-regarded computer science courses.

Officials at the two schools said they are yet to hear from US investigators. An unnamed professor at Jiaotong's school of information security engineering told the NYT that students sometimes hack western websites while also noting that hijacking of its IP addresses by external hackers is commonplace. Staff at Lanxiang told The Guardian that its students were middle-school students learning skills such as Photoshop.

Hừmmmmmm

Bài viết của John Markoff và David Barboza trên NYT soi sáng các chi tiết như đối với những gì có thể dẫn các thanh tra viên tới việc nghi ngờ 2 trường này. Markoff là một phóng viên về doanh nghiệp cựu trào, người đã viết về sự truy nà từ những năm 1990 và cuối cùng bắt được tin tặc Kevin Mitnick. Con người này bị chỉ trích bởi vài người không quen biết với Mitnick trong cộng đồng an ninh thông tin như việc phóng đại những khai thác của tin tặc này.

Tinh thần tốt nhất trong an ninh máy tính từng được áp dụng tự bản thân họ cho việc tháo các cuộc tấn công của Chiến dịch Aurora mà, một phần, đã tập trung vào các tài khoản Gmail của những người bất đồng quan điểm của Trung Quốc. Khía cạnh này của cuộc tấn công đã nhắc nhở Google dọa một cách công khai rời bỏ Trung Quốc và đã bật lên một loạt công việc ngoại giao to lớn giữa Trung Quốc và Mỹ về sự tự do và kiểm duyệt trên Internet. Google sau đó một cách gây tranh cãi đã gọi tới Cơ quan An ninh Quốc gia (NSA) để trợ giúp trong điều tra của mình.

Sự thực, các cuộc tấn công là tương tự như các cuộc tấn công gián điệp không gian mạng, có mục đích vào việc trích bóp ra những bí mật công nghiệp hoặc thâm nhập vào các hệ thống chính phủ mà đã từng xảy ra ít nhất 5 năm, nếu không nói là còn lâu hơn. Thường thì các cuộc tấn công lợi dụng những chỗ bị tổn thương không được vá trong phần mềm trình duyệt, đặc biệt là IE. Các cuộc tấn công có chủ đích với các tệp PDF được bẫy vụng về được thiết kế để tận dụng những lỗi có liên quan tới Adobe là thứ được ưa chuộng khác.

Nhiều phân tích chi tiết về các cuộc tấn công của Chiến dịch Aurora còn là bí mật hoặc chưa công bố.

Những gì được biết là việc những tin tặc không được xác định đã sử dụng những chỗ bị tổn thương (không được vá) loại zero-day trong IE6, trong các cuộc tấn công có chủ đích hướng vào việc tấn công những người sử dụng vào việc viếng thăm các website bị bẫy, đặc trưng cho một khai thác dựa trên JavaScript. Các site mạng xã hội được cho là đã bị sử dụng cho công việc thăm dò trinh sát, giúp những kẻ tấn công đưa ra một danh sách các đích ngắm và các bạn bè và các mối liên hệ công việc của họ. Điều này đã cho phép những bức thư điện tử chứa viên thuộc độc lừa phỉnh được, dường như là được tới từ những mối liên hệ của một người đích.

Hmmm.

The NYT article by John Markoff and David Barboza is light on details as to what might have led investigators into suspecting the two schools. Markoff is a veteran business journalist who wrote about the 1990s pursuit and eventually capture of hacker Kevin Mitnick. This account was criticised by several people unaffiliated with Mitnick in the information security community as exaggerating the hacker's exploits.

The best minds in computer security have been applying themselves to unpicking the Operation Aurora attacks which, in part, targeted the Gmail accounts of Chinese dissidents. This aspect of the attack prompted Google to publicly threaten to quit China and triggered a huge diplomatic row between China and the US over internet freedom and censorship. Google controversially later called in the NSA to help in its investigation.

In truth, the attacks are similar to cyber-espionage attacks, aimed at extracting industrial secrets or hacking into government systems that have been going on for at least five years, if not longer. Often these attacks take advantage of unpatched vulnerabilities in browser software, especially IE. Targeted attacks with booby-trapped PDF files designed to take advantage of Adobe-related security bugs are another favourite.

Much of the detailed analysis of the Operation Aurora attacks remains private or classified.

What is known is that as yet unidentified hackers used zero-day (unpatched) vulnerabilities in IE6, in targeted attacks aimed at tricking users into visiting booby-trapped websites, featuring a JavaScript-based exploit. Social networking sites are thought to have been used for reconnaissance work, helping attackers to draw up a list of targets and their friends and business contacts. This enabled poison pill emails to be spoofed, so at to appear to come from a target's contacts.

Một khai thác đã được sử dụng để bỏ lại một cửa hậu vào các hệ thống Windows bị lây nhiễm bị đánh thông qua cuộc tấn công. Cửa hậu này đã thực hiện các kết nối được mã hóa tới lệnh và kiểm soát các máy chủ tại Texas, đã thâm nhập các máy chủ Rack, và Đài Loan.

DNS động là tính năng chủ chốt của cuộc tấn công, với nhiều lệnh xác định từ xa và các máy chủ kiểm soát hoạt động từ các miền được đăng ký thông qua dịch vụ Peng Yong 3322.org tại Trung Quốc. Điều này là theo một phân tích kỹ thuật chi tiết của các cuộc tấn công từ hãng dịch vụ an ninh không gian mạng HBGarry.

Hãng này - mà đã triển khai hầu hết các phân tích kỹ thuật chi tiết về các cuộc tấn công sẵn sàng một cách công khai - bổ sung rằng “trong khi Peng Yong rõ ràng tha thứ cho hoạt động tội phạm không gian mạng thông qua các dịch vụ miền của mình, thì điều này khoogn chỉ ra hãng này có bất kỳ mối liên quan trực tiếp nào với Aurora”.

“Bằng chứng được thu thập xung quanh chiến dịch phần mềm độc hại gợi ý rằng Chiến dịch Aurora đơn giản là một ví dụ về sự thâm nhập của phần mềm độc hại có hiệu quả cao”, nó kết luận. “Không có bằng chứng đáng kể nào để buộc hoạt động này một cách trực tiếp cho Chính phủ Trung Quốc. Tuy nhiên, các diễn viên chính đã được xác định có liên quan với các hoạt động phần mềm độc hại mà sử dụng các hệ thống của Trung Quốc và các phần mềm độc hại ngôn ngữ bẩm sinh”.

An exploit was used to drop a backdoor onto compromised Windows systems hit via the attack. This backdoor made encrypted connections to command and control servers in Texas, hacked Rackspace servers, and Taiwan.

Dynamic DNS is a key feature of the attack, with many of the thus far identified command and control servers operating from domains registered through Peng Yong’s 3322.org service in China. This is according to a detailed technical analysis of the attacks from cyber-security services firm HBGary.

The firm - which has carried out the most detailed technical analysis of the attacks publicly available thus far - adds that "while Peng Yong is clearly tolerant of cyber crime operating through his domain services, this does not indicate he has any direct involvement with Aurora."

"Evidence collected around the malware operation suggests that Operation Aurora is simply an example of highly effective malware penetration," it concludes. "There is not significant evidence to attribute the operation directly to the Chinese Government. However, key actors have been identified in association with malware operations that utilize Chinese systems and native language malware." ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.