Ấn Độ tắt máy chủ liên kết tới virus máy tính Duqu

India shuts server linked to Duqu computer virus

By Jim Finkle and Supantha Mukherjee

Mon Nov 7, 2011 4:09pm EST

Theo: http://www.reuters.com/article/2011/11/07/us-cybersecurity-india-idUSTRE7A65U920111107

Bài được đưa lên Internet ngày: 07/11/2011

Lời người dịch: Được cho là Đội Phản ứng Khẩn cáp về Máy tính của Ấn Độ (CERT-In) đã cho tắt một máy chủ riêng ảo của một hãng Ấn Độ có trụ sở tại Mumbai, mà máy đã được thuê cho một khách hàng ở Milan, Ý mà bị nghi là có liên kết tới các máy tính bị lây nhiễm Trojan Duqu. Hiện “Các hãng an ninh bao gồm cả SecureWorks của Dell, McAfee của Intel, Kaspersky Lab và Symantec nó họ thấy những nạn nhân của Duqu tại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chối cung cấp các danh tính đó... Các tin tặc đằng sau Duqu còn chưa được biết, nhưng sự tinh vi phức tạp của họ gợi ý họ được ủng hộ từ một chính phủ, các nhà nghiên cứu nói”. Xem thêm [01], [02].

Reuters - Các nhà chức trách Ấn Độ đang điều tra một máy chủ tại Mumbai vì các liên kết tới phàn mềm độc hại Duqu mà một số chuyên gia an ninh đã cảnh báo có thể là mối đe dọa không gian mạng (KGM) lớn tiếp sau.

Web Werks, một công ty đặt Web tại Mumbai, nói hãng đã nhận được một ảnh của máy chủ riêng ảo đáng ngờ cho các quan chức từ Đội Phản ứng Khẩn cáp về Máy tính của Ấn Độ (CERT-In), sau khi hãng an ninh Symantec thấy máy chủ đó từng kết nối với các máy tính bị lây nhiễm virus Duqu.

Máy chủ riêng ảo đã được thuê cho một khách hàng ở Milan, Ý, theo Nikhil Rathi, người sáng lập ra Web Werks. “Đây là một máy chủ không quản lý được. Vì thế bạn chỉ thực hiện nó và để khách hàng truy cập tới nó”, ông nói. “Khi bạn trao máy chủ đó cho một khách hàng, thì nó là của khách hàng. Anh ta có thể thay đổi mật khẩu của anh ta và làm bất kỳ thứ gì mà anh ta muốn với nó”.

Thông tin về Duqu lần đầu xuất hiện vào tuần trước khi Symantec nói hãng đã thấy một virus máy tính bí ẩn có chứa mã nguồn tương tự Stuxnet, một mẩu phần mềm độc hại được cho là đã đánh vào chương trình hạt nhân của Iran.

Các nhà điều tra của Chính phủ và tư nhân khắp thế giới đang chạy đua để mở khóa sự bí mật của Duqu, với phân tích ban đầu gợi ý rằng nó đã được các tin tặc phức tạp tinh vi phát triển để giúp tạo ra nền tảng cho các cuộc tấn công vào hạ tầng sống còn như các nhà máy điện, lọc dầu và các đường ống dẫn dầu.

Ảnh từ Web Werks, một công ty tư nhân có trụ sở ở Mumbai với khoảng 200 nhân viên, có thể nắm giữ các dữ liệu có giá trị để giúp các nhà điều tra xác định ai đã xây dựng Duqu và cách mà nó có thể được sử dụng. Nhưng việc đặt các mẩu đó cùng nhau là một qui trình khó khăn và dài lâu, các chuyên gia nói.

“Đây là một thách thức”, Marty Edwards, giám đốc của SCS-CERT của Bộ An ninh Nội địa Mỹ, nói. “Đây là một mẩu phần mềm rất phức tạp”.

Ông đã từ chối bình luận về vụ điều tra của các nhà chức trách Ấn Độ, nhưng nói rằng cơ quan của ông đã làm việc với các đối tác tại các quốc gia khác để học nhiều hơn về Duqu.

Một quan chức tại Bộ CNTT Ấn Độ đang điều tra các cuộc tấn công KGM cũng đã từ chối tranh luận vấn đề này. “Tôi không có khả năng bình luận về bất kỳ điều tra nào”, Gulshan Rai, giám đốc của CERT-In, nói.

(Reuters) - Indian authorities are investigating a computer server in Mumbai for links to the Duqu malicious software that some security experts warned could be the next big cyber threat.

Web Werks, a Mumbai-based Web-hosting company, said it had given an image of the suspicious virtual private server to officials from the Indian Computer Emergency Response Team (CERT-In), after security firm Symantec Corp found the server was communicating with computers infected with the Duqu virus.

The virtual private server was leased to a client in Milan, Italy, according to Nikhil Rathi, founder of Web Werks. "This is an unmanaged server. So, you just make it and let the customer access it," he said. "When you hand over a server to a customer, that's it, it's his. He can change his password and do whatever he wants with it."

News of Duqu first surfaced last week when Symantec said it had found a mysterious computer virus that contained code similar to Stuxnet, a piece of malware believed to have wreaked havoc on Iran's nuclear program.

Government and private investigators around the world are racing to unlock the secret of Duqu, with early analysis suggesting that it was developed by sophisticated hackers to help lay the groundwork for attacks on critical infrastructure such as power plants, oil refineries and pipelines.

The image from Web Werks, a privately held company in Mumbai with about 200 employees, might hold valuable data to help investigators determine who built Duqu and how it can be used. But putting the pieces together is a long and difficult process, experts said.

"This one is challenging," said Marty Edwards, director of the U.S. Department of Homeland Security's Industrial Control Systems Cyber Emergency Response Team. "It's a very complex piece of software."

He declined to comment on the investigation by authorities in India, but said that his agency was working with counterparts in other countries to learn more about Duqu.

An official in India's Department of Information Technology who investigates cyber attacks also declined to discuss the matter. "I am not able to comment on any investigations," said Gulshan Rai, director of CERT-In.

MỞ KHÓA BÍ MẬT

Stuxnet là một phần mềm độc hại được thiết kế để nhằm vào các hệ thống kiểm soát công nghiệp được sử dụng rộng rãi, được hãng Siemens của Đức xây dựng. Được tin rằng nó đã đánh què các máy li tâm mà Iran sử dụng để làm giàu uranium cho những gì mà Mỹ và một số quốc gia châu Âu đã tố cáo là một sự che đậy cho chương trình vũ khí hạt nhân. [ID:nL3E7LI1PL]

Duqu dường như nhằm đích hẹp hơn so với Stuxnet khi các nhà nghiên cứu đánh giá virus Trojan mới này đã gây lây nhiễm nhiều nhất là vài tá máy tính cho tới nay. So sánh, Stuxnet lan truyền nhanh hơn nhiều, lây lan trong hàng ngàn hệ thống máy tính.

Các hãng an ninh bao gồm cả SecureWorks của Dell, McAfee của Intel, Kaspersky Lab và Symantec nó họ thấy những nạn nhân của Duqu tại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chối cung cấp các danh tính đó.

Duqu - được đặt tên như vậy vì nó tạo ra các tệp với tiếp đầu ngữ “DQ” - đã được thiết kế để ăn cắp các bí mật từ các máy tính bị lây nhiễm, các nhà nghiên cứu nói, như các tài liệu thiết kế từ các nhà sản xuất các van, các động cơ, đường ống dẫn và các chuyển mạch có độ phức tạp cao.

Các chuyển gia nghi ngờ rằng thông tin đang được thu thập để sử dụng trong việc phát triển trong tương lai các vũ khí KGM mà có thể nhằm vào các hệ thống kiểm soát các hạ tầng sống còn.

Các tin tặc đằng sau Duqu còn chưa được biết, nhưng sự tinh vi phức tạp của họ gợi ý họ được ủng hộ từ một chính phủ, các nhà nghiên cứu nói.

“Một kẻ phá hoại KGM nên hiểu những đặc tả kỹ thuật của mỗi thành phần mà có thể nhằm vào việc phá hoại trong một hoạt động”, John Bumgarner, giám đốc công nghệ của Đơn vị Hậu quả KGM Mỹ, nói.

UNLOCKING THE SECRET

Stuxnet is malicious software designed to target widely used industrial control systems built by Germany's Siemens. It is believed to have crippled centrifuges that Iran uses to enrich uranium for what the United States and some European nations have charged is a covert nuclear weapons program. [ID:nL3E7LI1PL]

Duqu appears to be more narrowly targeted than Stuxnet as researchers estimate the new Trojan virus has infected at most dozens of machines so far. By comparison, Stuxnet spread much more quickly, popping up on thousands of computer systems.

Security firms including Dell Inc's SecureWorks, Intel Corp's McAfee, Kaspersky Lab and Symantec say they found Duqu victims in Europe, Iran, Sudan and the United States. They declined to provide their identities.

Duqu -- so named because it creates files with "DQ" in the prefix -- was designed to steal secrets from the computers it infects, researchers said, such as design documents from makers of highly sophisticated valves, motors, pipes and switches.

Experts suspect that information is being gathered for use in developing future cyber weapons that would target the control systems of critical infrastructure.

The hackers behind Duqu are unknown, but their sophistication suggests they are backed by a government, researchers say.

"A cyber saboteur should understand the engineering specifications of every component that could be targeted for destruction in an operation," said John Bumgarner, chief technology officer for the U.S. Cyber Consequences Unit.

Chính xác những gì các tác giả của Stuxnet đã làm khi họ xây dựng vũ khí KGM đó, Bumgarner, người đang viết một tài liệu về diễn biến của Stuxnet, nói.

“Họ đã nghiên cứu các chi tiết kỹ thuật các máy li tâm khí và đã chỉ ra cách mà chúng có thể bị phá hủy”, ông nói.

Những nhiệm vụ trinh sát KGM như vậy là những ví dụ về một hiện tượng phổ biến ngày một gia tăng được biết tới như là các cuộc tấn công “pha trộn”, nơi mà các tin tặc siêu hạng xâm nhập vào một mục tiêu để tạo điều kiện truy cập cho thứ khác.

Các tin tặc đã từng thâm nhập vào các hệ thống máy tính của Nasdaq vào năm ngoái đã cài đặt các phần mềm độc hại cho phép họ gián điệp về các giám đốc các công ty đưa ra công khai.

Vào tháng 3, các tin tặc đã ăn cắp được các khóa an ninh số từ bộ phận An ninh RSA của hãng EMC mà họ sau đó đã sử dụng để thâm nhập vào các mạng của nhà thầu quân sự Lockheed Martin.

Các nhà nghiên cứu nói họ vẫn đang cố gắng đưa ra pha tiếp theo trong cuộc tấn công của Duqu có thể là gì.

“Chúng tôi hơi ở sau trò chơi này một chút”, Don Jackson, một giám đốc của Đơn vị Phản ứng với các Mối đe dọa của SucureWorks của Dell, nói. “Biết được những gì những tay này sẽ làm, chúng có lẽ là một bước tiến lên trước”.

(Câu chuyện này sửa các đoạn 1 và 2 sau khi Web Werks nói các nhà chức trách Ấn Độ đã sao chép máy chủ nghi ngờ và đã không chiếm đoạt thiết bị, bổ sung thêm bình luận của Web Werks về khách hàng trong đoạn 3 và loại bỏ các đoạn 8 và 9 mà đã tham chiếu tới thiết bị bị chiếm đoạt).

(Supantha Mukherjee tại New York, Jim Finkle tại Boston đưa tin; Báo cáo bổ sung của Henry Foy tại Mumbai; Tiffany Wu biên tập).

That is exactly what the authors of Stuxnet did when they built that cyber weapon, said Bumgarner, who is writing a paper on the development of Stuxnet.

"They studied the technical details of gas centrifuges and figured out how they could be destroyed," he said.

Such cyber reconnaissance missions are examples of an increasingly common phenomenon known as "blended" attacks, where elite hackers infiltrate one target to facilitate access to another.

Hackers who infiltrated Nasdaq's computer systems last year installed malware that allowed them to spy on the directors of publicly held companies.

In March, hackers stole digital security keys from EMC Corp's RSA Security division that they later used to breach the networks of defense contractor Lockheed Martin Corp.

Researchers said they are still trying to figure out what the next phase of Duqu attacks might be.

"We are a little bit behind in the game," said Don Jackson, a director of the Dell SecureWorks Counter Threat Unit. "Knowing what these guys are doing, they are probably a step ahead."

(This story corrects paragraphs one and two after Web Werks said Indian authorities made copies of the suspicious server and did not seize equipment, adds Web Werks comment on client in paragraph three and removes paragraphs eight and nine that referred to equipment being seized)

(Reporting by Supantha Mukherjee in New York, Jim Finkle in Boston; Additional reporting by Henry Foy in Mumbai; editing by Tiffany Wu)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com