India
shuts server linked to Duqu computer virus
By Jim
Finkle and Supantha Mukherjee
Mon Nov 7, 2011 4:09pm
EST
Bài được đưa lên
Internet ngày: 07/11/2011
Lời
người dịch: Được cho là Đội Phản ứng Khẩn cáp về
Máy tính của Ấn Độ (CERT-In) đã cho tắt một máy
chủ riêng ảo của một hãng Ấn Độ có trụ sở tại
Mumbai, mà máy đã được thuê cho một khách hàng ở
Milan, Ý mà bị nghi là có liên kết tới các máy tính
bị lây nhiễm Trojan Duqu. Hiện “Các hãng an ninh
bao gồm cả SecureWorks của Dell, McAfee của Intel, Kaspersky
Lab và Symantec nó họ thấy những nạn nhân của Duqu
tại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chối cung
cấp các danh tính đó... Các tin tặc đằng sau Duqu còn
chưa được biết, nhưng sự tinh vi phức tạp của họ
gợi ý họ được ủng hộ từ một chính phủ, các nhà
nghiên cứu nói”. Xem thêm [01],
[02].
Reuters - Các nhà chức
trách Ấn Độ đang điều tra một máy chủ tại Mumbai vì
các liên kết tới phàn mềm độc hại Duqu mà một số
chuyên gia an ninh đã cảnh báo có thể là mối đe dọa
không gian mạng (KGM) lớn tiếp sau.
Web Werks, một công ty
đặt Web tại Mumbai, nói hãng đã nhận được một ảnh
của máy chủ riêng ảo đáng ngờ cho các quan chức từ
Đội Phản ứng Khẩn cáp về Máy tính của Ấn Độ
(CERT-In), sau khi hãng an ninh Symantec thấy máy chủ đó từng
kết nối với các máy tính bị lây nhiễm virus Duqu.
Máy
chủ riêng ảo đã được thuê cho một khách hàng ở
Milan, Ý, theo Nikhil Rathi, người sáng lập ra Web Werks.
“Đây là một máy chủ không quản lý được. Vì thế
bạn chỉ thực hiện nó và để khách hàng truy cập tới
nó”, ông nói. “Khi bạn trao máy chủ đó cho một khách
hàng, thì nó là của khách hàng. Anh ta có thể thay đổi
mật khẩu của anh ta và làm bất kỳ thứ gì mà anh ta
muốn với nó”.
Thông tin về Duqu lần
đầu xuất hiện vào tuần trước khi Symantec nói hãng đã
thấy một virus máy tính bí ẩn có chứa mã nguồn tương
tự Stuxnet, một mẩu phần mềm độc hại được cho là
đã đánh vào chương trình hạt nhân của Iran.
Các nhà điều tra của
Chính phủ và tư nhân khắp thế giới đang chạy đua để
mở khóa sự bí mật của Duqu, với phân tích ban đầu
gợi ý rằng nó đã được các tin tặc phức tạp tinh vi
phát triển để giúp tạo ra nền tảng cho các cuộc tấn
công vào hạ tầng sống còn như các nhà máy điện, lọc
dầu và các đường ống dẫn dầu.
Ảnh từ Web Werks, một
công ty tư nhân có trụ sở ở Mumbai với khoảng 200 nhân
viên, có thể nắm giữ các dữ liệu có giá trị để
giúp các nhà điều tra xác định ai đã xây dựng Duqu và
cách mà nó có thể được sử dụng. Nhưng việc đặt
các mẩu đó cùng nhau là một qui trình khó khăn và dài
lâu, các chuyên gia nói.
“Đây là một thách
thức”, Marty Edwards, giám đốc của SCS-CERT của Bộ An
ninh Nội địa Mỹ, nói. “Đây là một mẩu phần mềm
rất phức tạp”.
Ông đã từ chối
bình luận về vụ điều tra của các nhà chức trách Ấn
Độ, nhưng nói rằng cơ quan của ông đã làm việc với
các đối tác tại các quốc gia khác để học nhiều hơn
về Duqu.
Một quan chức tại
Bộ CNTT Ấn Độ đang điều tra các cuộc tấn công KGM
cũng đã từ chối tranh luận vấn đề này. “Tôi không
có khả năng bình luận về bất kỳ điều tra nào”,
Gulshan Rai, giám đốc của CERT-In, nói.
(Reuters) - Indian authorities are
investigating a computer server in Mumbai for links to the Duqu
malicious software that some security experts warned could be the
next big cyber threat.
Web Werks, a Mumbai-based
Web-hosting company, said it had given an image of the suspicious
virtual private server to officials from the Indian Computer
Emergency Response Team (CERT-In), after security firm Symantec Corp
found the server was communicating with computers infected with the
Duqu virus.
The virtual private server was
leased to a client in Milan, Italy,
according to Nikhil Rathi, founder of Web Werks. "This is an
unmanaged server. So, you just make it and let the customer access
it," he said. "When you hand over a server to a customer,
that's it, it's his. He can change his password and do whatever he
wants with it."
News of Duqu first surfaced last
week when Symantec said it had found a mysterious computer virus that
contained code similar to Stuxnet, a piece of malware believed to
have wreaked havoc on Iran's nuclear program.
Government and private
investigators around the world are racing to unlock the secret of
Duqu, with early analysis suggesting that it was developed by
sophisticated hackers to help lay the groundwork for attacks on
critical infrastructure such as power plants, oil refineries and
pipelines.
The image from Web Werks, a
privately held company in Mumbai with about 200 employees, might hold
valuable data to help investigators determine who built Duqu and how
it can be used. But putting the pieces together is a long and
difficult process, experts said.
"This one is challenging,"
said Marty Edwards, director of the U.S. Department of Homeland
Security's Industrial Control Systems Cyber Emergency Response Team.
"It's a very complex piece of software."
He declined to comment on the
investigation by authorities in India, but said that his agency was
working with counterparts in other countries to learn more about
Duqu.
An official in India's Department
of Information Technology who investigates cyber attacks also
declined to discuss the matter. "I am not able to comment on any
investigations," said Gulshan Rai, director of CERT-In.
MỞ KHÓA BÍ MẬT
Stuxnet là một phần
mềm độc hại được thiết kế để nhằm vào các hệ
thống kiểm soát công nghiệp được sử dụng rộng rãi,
được hãng Siemens của Đức xây dựng. Được tin rằng
nó đã đánh què các máy li tâm mà Iran sử dụng để làm
giàu uranium cho những gì mà Mỹ và một số quốc gia châu
Âu đã tố cáo là một sự che đậy cho chương trình vũ
khí hạt nhân. [ID:nL3E7LI1PL]
Duqu dường như nhằm
đích hẹp hơn so với Stuxnet khi các nhà nghiên cứu đánh
giá virus Trojan mới này đã gây lây nhiễm nhiều nhất là
vài tá máy tính cho tới nay. So sánh, Stuxnet lan truyền
nhanh hơn nhiều, lây lan trong hàng ngàn hệ thống máy
tính.
Các
hãng an ninh bao gồm cả SecureWorks của Dell, McAfee của
Intel, Kaspersky Lab và Symantec nó họ thấy những nạn nhân
của Duqu tại châu Âu, Iran, Sudan và Mỹ. Họ đã từ chối
cung cấp các danh tính đó.
Duqu - được đặt
tên như vậy vì nó tạo ra các tệp với tiếp đầu ngữ
“DQ” - đã được thiết kế để ăn cắp các bí mật
từ các máy tính bị lây nhiễm, các nhà nghiên cứu nói,
như các tài liệu thiết kế từ các nhà sản xuất các
van, các động cơ, đường ống dẫn và các chuyển mạch
có độ phức tạp cao.
Các chuyển gia nghi
ngờ rằng thông tin đang được thu thập để sử dụng
trong việc phát triển trong tương lai các vũ khí KGM mà có
thể nhằm vào các hệ thống kiểm soát các hạ tầng
sống còn.
Các
tin tặc đằng sau Duqu còn chưa được biết, nhưng sự
tinh vi phức tạp của họ gợi ý họ được ủng hộ từ
một chính phủ, các nhà nghiên cứu nói.
“Một kẻ phá hoại
KGM nên hiểu những đặc tả kỹ thuật của mỗi thành
phần mà có thể nhằm vào việc phá hoại trong một hoạt
động”, John Bumgarner, giám đốc công nghệ của Đơn vị
Hậu quả KGM Mỹ, nói.
Stuxnet is malicious software
designed to target widely used industrial control systems built by
Germany's Siemens. It is believed to have crippled centrifuges that
Iran uses to enrich
uranium for what the United States and some European nations have
charged is a covert nuclear weapons program. [ID:nL3E7LI1PL]
Duqu appears to be more narrowly
targeted than Stuxnet as researchers estimate the new Trojan virus
has infected at most dozens of machines so far. By comparison,
Stuxnet spread much more quickly, popping up on thousands of computer
systems.
Security firms including Dell Inc's
SecureWorks, Intel Corp's McAfee, Kaspersky Lab and Symantec say they
found Duqu victims in Europe, Iran, Sudan and the United States. They
declined to provide their identities.
Duqu -- so named because it creates
files with "DQ" in the prefix -- was designed to steal
secrets from the computers it infects, researchers said, such as
design documents from makers of highly sophisticated valves, motors,
pipes and switches.
Experts suspect that information is
being gathered for use in developing future cyber weapons that would
target the control systems of critical infrastructure.
The hackers behind Duqu are
unknown, but their sophistication suggests they are backed by a
government, researchers say.
"A cyber saboteur should
understand the engineering specifications of every component that
could be targeted for destruction in an operation," said John
Bumgarner, chief technology officer for the U.S. Cyber Consequences
Unit.
Chính xác những gì
các tác giả của Stuxnet đã làm khi họ xây dựng vũ khí
KGM đó, Bumgarner, người đang viết một tài liệu về
diễn biến của Stuxnet, nói.
“Họ đã nghiên cứu
các chi tiết kỹ thuật các máy li tâm khí và đã chỉ ra
cách mà chúng có thể bị phá hủy”, ông nói.
Những nhiệm vụ
trinh sát KGM như vậy là những ví dụ về một hiện
tượng phổ biến ngày một gia tăng được biết tới như
là các cuộc tấn công “pha trộn”, nơi mà các tin tặc
siêu hạng xâm nhập vào một mục tiêu để tạo điều
kiện truy cập cho thứ khác.
Các tin tặc đã từng
thâm nhập vào các hệ thống máy tính của Nasdaq vào năm
ngoái đã cài đặt các phần mềm độc hại cho phép họ
gián điệp về các giám đốc các công ty đưa ra công
khai.
Vào
tháng 3, các tin tặc đã ăn cắp được các khóa an ninh
số từ bộ phận An ninh RSA của hãng EMC mà họ sau đó
đã sử dụng để thâm nhập vào các mạng của nhà thầu
quân sự Lockheed Martin.
Các nhà nghiên cứu
nói họ vẫn đang cố gắng đưa ra pha tiếp theo trong cuộc
tấn công của Duqu có thể là gì.
“Chúng tôi hơi ở
sau trò chơi này một chút”, Don Jackson, một giám đốc
của Đơn vị Phản ứng với các Mối đe dọa của
SucureWorks của Dell, nói. “Biết được những gì những
tay này sẽ làm, chúng có lẽ là một bước tiến lên
trước”.
(Câu chuyện này sửa
các đoạn 1 và 2 sau khi Web Werks nói các nhà chức trách
Ấn Độ đã sao chép máy chủ nghi ngờ và đã không chiếm
đoạt thiết bị, bổ sung thêm bình luận của Web Werks về
khách hàng trong đoạn 3 và loại bỏ các đoạn 8 và 9 mà
đã tham chiếu tới thiết bị bị chiếm đoạt).
(Supantha Mukherjee tại
New York, Jim Finkle tại Boston đưa tin; Báo cáo bổ sung của
Henry
Foy tại Mumbai; Tiffany
Wu biên tập).
That is exactly what the authors of
Stuxnet did when they built that cyber weapon, said Bumgarner, who is
writing a paper on the development of Stuxnet.
"They studied the technical
details of gas centrifuges and figured out how they could be
destroyed," he said.
Such cyber reconnaissance missions
are examples of an increasingly common phenomenon known as "blended"
attacks, where elite hackers infiltrate one target to facilitate
access to another.
Hackers who infiltrated Nasdaq's
computer systems last year installed malware that allowed them to spy
on the directors of publicly held companies.
In March, hackers stole digital
security keys from EMC Corp's RSA Security division that they later
used to breach the networks of defense contractor Lockheed Martin
Corp.
"We are a little bit behind in
the game," said Don Jackson, a director of the Dell SecureWorks
Counter Threat Unit. "Knowing what these guys are doing, they
are probably a step ahead."
(This story corrects paragraphs one
and two after Web Werks said Indian authorities made copies of the
suspicious server and did not seize equipment, adds Web Werks comment
on client in paragraph three and removes paragraphs eight and nine
that referred to equipment being seized)
(Reporting by Supantha Mukherjee in
New York, Jim Finkle in Boston; Additional reporting by Henry
Foy in Mumbai; editing by Tiffany
Wu)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.