Các tin tặc Duqu chùi hết bằng chứng từng các máy chủ chỉ huy,...

Duqu hackers scrub evidence from command servers, shut down spying op

Xóa tất cả các tệp và các lưu ký chỉ vài ngày sau khi các nhà nghiên cứu đã phát hiện sự tồn tại của botnet.

Delete all files and logs just days after researchers revealed botnet's existence

By Gregg Keizer, November 30, 2011 04:02 PM ET

Theo: http://www.computerworld.com/s/article/9222293/Duqu_hackers_scrub_evidence_from_command_servers_shut_down_spying_op?taxonomyId=85

Bài được đưa lên Internet ngày: 30/11/2011

Lời người dịch: Thông tin thêm về Duqu: “Duqu đã được thiết kế, Symantec và Kaspersky nói, bởi các tin tặc cao cấp, có lẽ đúng là được hậu thuẫn bởi một chính phủ củ các quốc gia còn chưa được rõ. Không giống như Stuxnet, nó đã không được giả mạo để trút sự tàn phá lên các máy li tâm làm giàu uranium, mà để trinh sát dò tìm ra các cài đặt có khả năng bị tổn thương và các mạng máy tính như một kẻ dẫn đầu cho sự phát triển một sâu khác sẽ nhằm vào các hệ thống kiểm soát công nghiệp”. “Theo Kaspersky, mỗi biến thể Duqu - và nó có thậm chí khoảng 1 tá biến thể - đã sử dụng một máy chủ bị tổn thương khác để quản lý các máy tính cá nhân bị lây nhiễm với phiên bản đặc thù đó của phần mềm độc hại. Các máy chủ đó đã nằm ở Bỉ, Ấn Độ, Hà Lan và Việt Nam, trong số các quốc gia khác”. Chính các tin tặc đã thực hiện việc: “12 chiếc máy chủ chỉ huy và kiểm soát (C&C) được biết cho Duqu đã được lau chùi sạch tất cả các tệp vào 20/10/2011, theo Phòng thí nghiệm Kasspersky có trụ sở ở Moscow”.

Computerworld - Các tin tặc đằng sau botnet Duqu đã đánh sập hoạt động rình mò của họ, một nhà nghiên cứu về an ninh đã nói hôm nay.

12 chiếc máy chủ chỉ huy và kiểm soát (C&C) được biết cho Duqu đã được lau chùi sạch tất cả các tệp vào 20/10/2011, theo Phòng thí nghiệm Kasspersky có trụ sở ở Moscow.

Điều đó đã xảy ra chỉ 2 ngày sau khi hãng chống virus Symantec công khai với phân tích của hãng về Duqu, một botnet dựa vào ngựa Trojan mà nhiều chuyên gia an ninh tin tưởng mã nguồn và các tính năng chung được chia sẻ với Stuxnet, sâu siêu phức tạp vào năm ngoái đã phá hoại chương trình hạt nhân của Iran.

Duqu đã được thiết kế, Symantec và Kaspersky nói, bởi các tin tặc cao cấp, có lẽ đúng là được hậu thuẫn bởi một chính phủ củ các quốc gia còn chưa được rõ. Không giống như Stuxnet, nó đã không được giả mạo để trút sự tàn phá lên các máy li tâm làm giàu uranium, mà để trinh sát dò tìm ra các cài đặt có khả năng bị tổn thương và các mạng máy tính như một kẻ dẫn đầu cho sự phát triển một sâu khác sẽ nhằm vào các hệ thống kiểm soát công nghiệp.

“Tôi nghĩ phần này của hoạt động [của Duqu] bây giờ đã đóng lại”, Roel Schouwenberg, một nhà nghiên cứu lâu năm của Kaspersky, trong một thư trả lời điện tử cho các câu hỏi hôm nay. “[Nhưng] điều đó không nói lên một hoạt động mới/được sửa đổi có thể đang diễn ra”.

Hôm thứ tư trước đó, một chuyên gia khác của Kaspersky đã đưa lên một cập nhật về điều tra của hãng này về Duqu mà đã lưu ý rằng vào ngày 20/10 các tin tặc đã lau chùi nhà rồi.

Theo Kaspersky, mỗi biến thể Duqu - và nó có thậm chí khoảng 1 tá biến thể - đã sử dụng một máy chủ bị tổn thương khác để quản lý các máy tính cá nhân bị lây nhiễm với phiên bản đặc thù đó của phần mềm độc hại. Các máy chủ đó đã nằm ở Bỉ, Ấn Độ, Hà Lan và Việt Nam, trong số các quốc gia khác.

Computerworld - The hackers behind the Duqu botnet have shut down their snooping operation, a security researcher said today.

The 12 known command-and-control (C&C) servers for Duqu were scrubbed of all files on Oct. 20, 2011, according to Moscow-based Kaspersky Lab.

That was just two days after rival antivirus firm Symantec went public with its analysis of Duqu, a Trojan horse-based botnet that many security experts believe shared common code and characteristics with Stuxnet, the super-sophisticated worm that last year sabotaged Iran's nuclear program.

Duqu was designed, said Symantec and Kaspersky, by advanced hackers, most likely backed by an unknown country's government. Unlike Stuxnet, it was not crafted to wreak havoc on uranium enrichment centrifuges, but to scout out vulnerable installations and computer networks as a lead-in to the development of another worm targeting industrial control systems.

"I think this part of the [Duqu] operation is now closed." said Roel Schouwenberg, a Kaspersky senior researcher, in an emailed reply to questions today. "[But] that's not to say a new/modified operation may be under way."

Earlier Wednesday, another Kaspersky expert posted an update on the company's investigation into Duqu that noted the Oct. 20 hackers' house-cleaning.

According to Kaspersky, each Duqu variant -- and it knows of an even dozen -- used a different compromised server to manage the PCs infected with that specific version of the malware. Those servers were located in Belgium, India, the Netherlands and Vietnam, among other countries.

“Những kẻ tấn công đã quét sạch từng máy chủ đơn mà chúng đã sử dụng như từng làm vào năm 2009”, Kaspersky nói, tham chiếu tới công việc lau dọn sạch hôm 20/10.

Các tin tặc đã không chỉ xóa tất cả các tệp từ các hệ thống đó, mà còn kiểm tra lại 2 lần trước đó rằng việc lau dọn sạch đã có hiệu quả, Kaspersky đã lưu ý. “Mỗi [máy chủ C&C] đã được điều tra đều đã được làm sạch”, Schouwenberg nói.

Kaspersky cũng đã tiết lộ những manh mối về hoạt động của Duqu mà hãng đã giải mã.

Các cuộc tấn công đã nhanh chóng cập nhật từng phiên bản máy chủ bị tổn thương của OpenSSH - đối với trình biên dịch an ninh của OpenBSD, một bộ công cụ nguồn mở cho việc mã hóa giao thông Internet - tới một xuất bản mới, thay thế phiên bản 4.3 bằng một phiên bản mới hơn 5.8.

Dù đã có những báo cáo rằng OpenSSh có một chỗ bị tổn thương còn chưa được vá, hoặc “ngày số 0” - có lẽ bị các tin tặc của Duqu khai thác để thâm nhập bất hợp pháp các máy chủ để họ sử dụng - thì Kaspersky cuối cùng cũng đã phủ định lý thuyết đó, nói rằng điều đó đơn giản từng là “quá kinh hãi” để thưởng ngoạn.

Ngay cả như vậy, thì đây từng là một trong những lý do mà Schouwenberg đã đề xuất cho bản cập nhật nhanh cho OpenSSH 5.8.

“Sử dụng logic ở đây là việc chúng ta đang nhìn vào khả năng một chỗ bị tổn thương trong phiên bản cũ hơn và/hoặc một tính năng được bổ sung trong phiên bản mới mà kẻ tấn công sử dụng”, Schouwenberg nói.

Bằng việc cập nhật OpenSSH từ OpenSSH 4.3 có khả năng bị tổn thương, các lập trình viên Duqu có thể đã có ý định đảm bảo rằng các tội phạm khác không thể ăn cắp được các máy chủ đã bị ăn cắp của họ.

Iran, mà năm ngoái đã nhận thức được một số hệ thống, bao gồm các hệ thống trong các cơ sở hạt nhân của mình, đã bị lây nhiễm với Stuxnet, 2 tuần trước đã thừa nhận Duqu cũng đã ngọ nguậy trong các máy tính cá nhân PC tại đất nước này.

Duqu đã được theo dõi có các cuộc tấn công tại vài quốc gia khác Iran, như Sudan, và có thể đã được xây dựng từ năm tháng 08/2007.

"The attackers wiped every single server they had used as far back as 2009," Kaspersky said, referring to the Oct. 20 cleaning job.

The hackers not only deleted all their files from those systems, but double-checked afterward that the cleaning had been effective, Kaspersky noted. "Each [C&C server] we've investigated has been scrubbed," said Schouwenberg.

Kaspersky also uncovered clues about Duqu's operation that it has yet to decipher.

The attackers quickly updated each compromised server's version of OpenSSH -- for Open BSD Secure Shell, an open-source toolkit for encrypting Internet traffic -- to a newer edition, replacing the stock 4.3 version with the newer 5.8.

Although there have been reports that OpenSSH contains an unpatched, or "zero-day," vulnerability -- perhaps exploited by the Duqu hackers to hijack legitimate servers for their own use -- Kaspersky eventually rejected that theory, saying it was simply "too scary" to contemplate.

Even so, it was one of two reasons Schouwenberg proposed for the fast update to OpenSSH 5.8.

"The logical assumption here is that we're looking at possibly a vulnerability in the older version and/or an added feature in the new version that's of use to the attacker," said Schouwenberg.

By updating OpenSSH from the possibly-vulnerable OpenSSH 4.3, the Duqu developers may have intended to ensure that other criminals couldn't steal their stolen servers.

Iran, which last year acknowledged some systems, including ones in its nuclear facilities, had been infected with Stuxnet, two weeks ago admitted Duqu had also wiggled its way onto PCs in the country.

Duqu has been traced to attacks in several countries other than Iran, including the Sudan, and may have been under construction since August 2007.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com