Thứ Ba, 23 tháng 2, 2010

Hầu như 2,500 công ty đã bị đánh thủng trong cuộc tấn công đang diễn ra

Almost 2,500 firms breached in ongoing hack attack

Dan Goodin, The Register 2010-02-18

Theo: http://www.securityfocus.com/news/11576

Bài được đưa lên Internet ngày: 18/02/2010

Lời người dịch: Bây giờ người ta không chỉ nói tới tội phạm không gian mạng có tổ chức, được cấp vốn tốt, được hỗ trợ bởi chính phủ một số quốc gia, đã - đang - và sẽ tiến hành các cuộc tấn công dài hạn hàng năm trời mà còn nói tới sự phối hợp cùng một lúc của nhiều dạng botnet, phần mềm độc hại để cùng thực hiện các cuộc tấn công đó. Và nó mang tính toàn cầu, dạng như các cuộc tấn công “được triển khai bởi cùng các cá nhân tại Đông Âu bị nghi ngờ về việc đồng loạt đánh vào một hệ thống bằng phishing mà đã lừa được các thư điện tử của Cơ quan An ninh Quốc gia (Mỹ) trong một mưu toan để ăn cắp các mật khẩu từ chính phủ Mỹ và các tổ chức quân sự... Đội này đã sử dụng các máy chủ kiểm soát lệnh một cách vật lý được đặt tại Đức và Hà Lan, và hầu hết các tên miền đã được lấy từ các nhà đăng ký nằm ở Trung Quốc.. NetWitness đã thấy bằng chứng rằng các tổ chức tại 196 quốc gia đã bị thâm nhập, với những sự tập trung cao độ vào Hy Lạp, Mexico, Arập Xê Út, Thổ Nhĩ Kỳ và Mỹ... và … Nhiều nạn nhân nằm trong số 500 hãng hàng đầu thế giới (Fortune) trong các nền công nghiệp về tài chính, năng lượng, và công nghệ cao... Cuộc tấn công được phát hiện bởi NetWitness đã thâm nhập được khoảng 2,400 công ty, theo những dữ liệu của một bộ nhớ lưu tạm 75 GB bị ăn cắp trong khoảng 4 tuần mà hãng này đã có khả năng can thiệp. Vì đây là một phần nhỏ các thông tin bị chảy ra trong cuộc tấn công dài 18 tháng này, nên con số thực sự của các tổ chức bị lây nhiễm có thể còn cao hơn nhiều”. Bạn hãy đọc bài viết này và liên hệ xem liệu chúng ta có thể làm được gì một khi bị tấn công bởi các botnet đó.

Các tin tặc tội phạm đã thâm nhập các mạng của hầu như 2,500 công ty và cơ quan chính phủ trong một chiến dịch được phối hợp đã bắt đầu 18 tháng trước và tiếp tục ăn cắp các mật khẩu, các ủy nhiệm đăng nhập, và các dữ liệu nhạy cảm khác cho tới bây giờ, một công ty về an ninh máy tính nói.

Những lây nhiễm bởi một biến thể của botnet Zeus đã bắt đầu vào cuối năm 2008 và đã biến hơn 74,000 máy tính cá nhân PC thành những nền tảng gián điệp từ xa mà đã xuyên thủng những thông tin sở hữu độc quyền cao ít nhất từ 10 cơ quan liên bang và hàng trăm công ty, theo nghiên cứu từ NetWitness, một Herndon, hãng nghiên cứu mạng có trụ sở ở Virginia, nói. Nhiều nạn nhân nằm trong số 500 hãng hàng đầu thế giới (Fortune) trong các nền công nghiệp về tài chính, năng lượng, và công nghệ cao.

“Botnet này vẫn còn hoạt động và vẫn đang được quản lý một cách tích cực bởi hoạt động tội phạm có tổ chứ đứng đằng sau nó”, Giám đốc Công nghệ Tim Belcher của NetWitness đã nới với The Register. “Trong những tháng vừa qua, chúng tôi đã thấy nó hoạt động trở lại và các thành viên (nạn nhân) của nó một nửa thời gian tìm kiếm các dạng thông tin khác”.

Criminal hackers have penetrated the networks of almost 2,500 companies and government agencies in a coordinated campaign that began 18 months ago and continues to steal email passwords, login credentials, and other sensitive data to this day, a computer security company said.

The infections by a variant of the Zeus botnet began in late 2008 and have turned more than 74,000 PCs into remote spying platforms that have siphoned highly proprietary information out of at least 10 federal agencies and thousands of companies, according to research from NetWitness, a Herndon, Virginia-based network forensics firm. Many of the victims are Fortune 500 firms in the financial, energy, and high technology industries.

Company researchers have already reported the attacks to federal authorities and are in the process of notifying individual victims.

"The botnet is still active and still actively being managed by the organized criminal activity behind it," NetWitness CTO Tim Belcher told The Register. "Over the last month, we've seen it retask its (victim) members half a dozen times looking for different types of information."

Sự khám phá này tới một tháng trước khi Google đã phát giác rằng mạng của hãng và của ít nhất 20 hãng khác đã bị thâm nhập bởi các tin tặc tập trung vào sở hữu độc quyền. Ngược lại, cuộc tấn công được phát hiện bởi NetWitness đã thâm nhập được khoảng 2,400 công ty, theo những dữ liệu của một bộ nhớ lưu tạm 75 GB bị ăn cắp trong khoảng 4 tuần mà hãng này đã có khả năng can thiệp. Vì đây là một phần nhỏ các thông tin bị chảy ra trong cuộc tấn công dài 18 tháng này, nên con số thực sự của các tổ chức bị lây nhiễm có thể còn cao hơn nhiều.

Việc tìm ra này rọi đèn vào Zeus, mà bởi botnet được xếp hạng số 2 thế giới về số lượng các máy tính bị lây nhiễm. Trong khi các phần mềm độc hại thường được cho là tập trung vào ăn cắp các ủy nhiệm của ngân hàng trực tuyến, thì các nhà nghiên cứu của NetWitness đã quan sát được trojan đang ăn cắp các mật khẩu được sử dụng để truy cập các mạng tập đoàn, các kho mã nguồn, và ngay cả các tập hợp dữ liệu mức hồ sơ của các cá nhân mà đã sử dụng các máy tính nạn nhân.

The revelation comes a month after Google disclosed that its network and those of at least 20 other large companies were penetrated by hackers targeting intellectual property. By contrast, the attack discovered by NetWitness has breached about 2,400 companies, according to a 75-gigabyte cache of data stolen over a four-week period that the company was able to intercept. Because it's a small fraction of the information siphoned during the 18-month attack, the actual number of affected organizations could be much higher.

The finding sheds new light on Zeus, which by most accounts is ranked as the world's No. 2 botnet in terms of infected computers. While the malware was generally believed to focus on the theft of online-banking credentials, NetWitness researchers have observed the trojan stealing passwords used to access corporate networks, source code repositories, and even dossier-level data sets of individuals who used victim machines.

Các nhà nghiên cứu cũng đã ngạc nhiên thấy những máy tính bị lây nhiễm làm việc tay trong tay với các phần mềm độc hại mà thường được coi là đối thủ đối với Zeus. Hơn một nửa các máy PC bị lây nhiễm cũng đã bị lây nhiễm bởi Waleda, một bot ban đầu được sử dụng để gửi spam mà có chứa một cửa hậu mà nó được dẫn dắt bởi một máy đồng hàng hiệu quả cao.

Trong khi còn chưa thông dụng đối với các PC để bị lây nhiễm bởi nhiều bots, thì các nhà nghiên cứu đồ rằng số lượng cao không bình thường của những phương tiện chồng chéo mà bọn tội phạm đằng sau các cuộc tấn công đã sử cụng nhiều kiểu trong trường hợp mà một sự lây nhiễm đã bị phát hiện bởi nhân viên an ninh.

Sự lây nhiễm hàng loạt lớn đã được phát hiện vào ngày 26/01, khi một nhân viên của NetWitness đang triển khai một cuộc quét lên một mạng khách hàng mà đã bị tình nghi bị đánh thủng. Anh ta sớm phát hiện rằng một PC trên hệ thống đã bị lây nhiễm bỏi một botnet có tên là Grum. Tò mò, khi máy bị lây nhiễm này đã liên hệ một lệnh và kênh kiểm soát tại silence7.cn, nó đã được lệnh tải về và chạy một tệp có liên quan tới Zeus.

“Đây là bằng chứng khá cho chúng tôi rằng một cuộc chơi có khả năng phục hồi nơi mà chúng lây nhiễm nó với nhiều mẩu phần mềm độc hại”, Belcher đã nói.

The researchers were also surprised to find the infected machines working hand-in-hand with malware that's generally considered to rival Zeus. More than half of the compromised PCs were also infected by Waledac, a bot primarily used to send spam that contains a backdoor that's driven by a highly efficient peer-to-peer engine.

While it's not uncommon for PCs to be infected by multiple bots, the researchers speculate that the unusually high amount of overlap means the criminals behind the attacks used multiple strains in the event that one infection were to be discovered by security personnel.

The mass infections were discovered on January 26, when a NetWitness employee was performing a scan on a customer's network that had been suspected of being breached. He soon found that a PC on the system was infected by a botnet known as Grum. Curiously, when the compromised machine contacted a command and control channel at silence7.cn, it was instructed to download and execute a file related to Zeus.

"Its pretty evident to us that it's a resilience play where they're infecting it with multiple pieces of malware," Belcher said.

Bằng việc tham chiếu chéo các chi tiết liên hệ của silence7.cn, các nhà nghiên cứu đã có khả năng tìm ra bằng chứng rằng các cuộc tấn công đã có thể được triển khai bởi cùng các cá nhân tại Đông Âu bị nghi ngờ về việc đồng loạt đánh vào một hệ thống bằng phishing mà đã lừa được các thư điện tử của Cơ quan An ninh Quốc gia (Mỹ) trong một mưu toan để ăn cắp các mật khẩu từ chính phủ Mỹ và các tổ chức quân sự.

Đội này đã sử dụng các máy chủ kiểm soát lệnh một cách vật lý được đặt tại Đức và Hà Lan, và hầu hết các tên miền đã được lấy từ các nhà đăng ký nằm ở Trung Quốc, hầu hết hình như vì chúng chậm phản ứng các báo cáo về lạm dụng, Belcher nói.

By cross-referencing the contact details for silence7.cn, the researchers were able to find evidence that the attacks were probably carried out by the same individuals in Eastern Europe suspected of orchestrating a phishing scheme that spoofed National Security Agency emails in an attempt to steal passwords from US government and military organizations.

The crew used command-and-control servers physically located in Germany and the Netherlands, and most of the domain names were obtained from China-based registrars, most likely because they are slow to respond to reports of abuse, Belcher said.

Belcher đã từ chối nêu tên của những nạn nhân bị thâm nhập trrong các cuộc tấn công. Nhưng theo báo cáo trên Tạp chí Phố Uôn, các công ty bao gồm người khổng lồ về dược Merck và nhà cung cấp ý tế Cardinal Health. Cả 2 hãng này đã thừa nhận đang bị lây nhiễm nhưng nói họ đã “cô lập và kiềm chế được vấn đề”, tờ báo nói.

Trích ra những người không nêu tên, báo cáo của tạp chí Phố Uôn nói rằng Paramount Pictures và Juniper Networks cũng đã bị thâm nhập. Nó đã tiếp tục báo cáo rằng các tin tặc đã giành được tên và mật khẩu của một tài khoản thư điện tử các binh lính Mỹ, nhưng một người phát ngôn của Nhà Trắng đã phủ nhận. Trong tất cả, NetWitness đã thấy bằng chứng rằng các tổ chức tại 196 quốc gia đã bị thâm nhập, với những sự tập trung cao độ vào Hy Lạp, Mexico, Arập Xê Út, Thổ Nhĩ Kỳ và Mỹ.

NetWitness đã gán tên nó là “botnet kneber” dựa một phần vào địa chỉ thư điện tử của Yahoo được sử dụng như một liên hệ cho nhiều tên miền có liên quan tới các cuộc tấn công.

Những phát hiện này là mới nhất làm bùng ra nghi ngờ về khả năng của ccs công ty Fortune 500 và các cơ quan chính phủ để đảm bảo cho các mạng của họ chống lại một sự gia tăngveef các tin tặc được cấp vốn tốt được hỗ trợ bởi các quốc gia hoặc các băng nhóm tội phạm có tổ chức.

“Nhiều trong số các tổ chức mà tôi nhận thức được về sự tinh thông của họ về an ninh, và vâng điều này tiếp tục hoạt động trên các mạng nội bộ của họ mà không bị trừng phạt”, Belcher nói. “Nó nói cho tôi tiếp cận của chúng tôi đối với an ninh mạng là thất bại trên một phạm vi rộng”.

Belcher declined to name any of victims breached in the attacks. But according to a report in The Wall Street Journal, the companies included pharmaceutical giant Merck and healthcare provider Cardinal Health. Both companies admitted to being affected but said they had "isolated and contained the problem," the paper said.

Citing unnamed people, The Wall Street Journal report said that Paramount Pictures and Juniper Networks were also infiltrated. It went on to report that the attackers obtained the user name and password of a US soldier's military email account, but a Pentagon spokesman declined to confirm. In all, NetWitness found evidence that organizations in 196 countries were breached, with concentrations highest in Egypt, Mexico, Saudi Arabia, Turkey, and the United States.

NetWitness has dubbed it the "kneber botnet" based on part of the Yahoo email address used as a contact for many of the domain names tied to the attacks.

The findings are the latest to cast doubt on the ability of Fortune 500 companies and government agencies to secure their networks against a rising cast of well-funded hackers sponsored by nation states or organized-crime gangs.

"Many of these organizations I am aware of their expertise in security, and yet this continues to operate on their internal networks with impunity," Belcher said. "It tells me our approach to net security is failing on a broad scale." ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.