Flame
alleged to have infected systems via Windows Update
5 June 2012, 12:40
Bài được đưa lên
Internet ngày: 05/06/2012
The fake Windows update
was signed with what looked like a valid Microsoft certificate
Source: Costin Raiu
Source: Costin Raiu
Lời
người dịch: Siêu gián điệp Flame sử dụng chứng
thực rởm, “Một gói đặc
biệt gọi là WuSetupV.exe
và đã được ký với một chứng thực được “Cơ
quan chứng thực CA Đăng ký Cấp phép Tăng cường của
Microsoft” phát hành, một
nhánh CA của cơ quan chứng thực gốc của Microsoft” phát
hành để lừa các nạn nhân. Cũng như các sâu - trojan gây
kinh hãi khác như Stuxnet và Duqu, một sự mặc
định đương nhiên là Flame chỉ chạy trên Windows,
“Những người vận hành Flame đã sử dụng một số
nhận diện rởm để đăng ký các tên miền của họ.
Theo Kaspersky, các vị trí máy chủ nằm ở cả Đức, Hà
Lan, Anh, Thụy Sỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết các
nạn nhân đã chạy các phiên
bản 32 bit của Windows 7, với một số khá lớn 45% chạy
Windows XP. Flame không làm việc
trong phiên bản 64 bit của Windows 7”, với các tệp lây
nhiễm là: “Các dữ liệu được thu thập đã khẳng
định trước hết là các tài liệu PDF
và Office, cũng như các tệp AutoCAD
(các bản vẽ kỹ thuật)”. Xem thêm: Hỏi
đáp thường gặp Flame, “Siêu gián điệp”.
Trong quá tình điều
tra liên tục trong vụ trojan gián điệp Flame, chuyên gia về
virus Costin Raiu từ Kaspersky đã phát hiện điều thú vị
làm không an tâm: Flame dường như từng có khả năng sử
dụng Windows Updaate để lây nhiễm các máy tính khác trong
cùng một mạng.
Theo Raiu, module Flame
gọi là Gadger xử lý chức năng dạng người giữa đường
khi nhúng nó qua các gói cập nhật được làm giả tới
các máy tính khác trong cùng một mạng. Một gói đặc
biệt gọi là WuSetupV.exe và đã được ký với một
chứng thực được “Cơ quan chứng thực CA Đăng ký Cấp
phép Tăng cường của Microsoft” phát hành, một nhánh CA
của cơ quan chứng thực gốc của Microsoft. Một bài khác
trên twitter từ chuyên gia virus này ngụ ý rằng Flame đã
phân phối các bản cập nhật bên trong các mạng thông
qua một máy chủ ảo gọi là MSHOME-F3BE293C.
Microsoft đã khẳng
định rằng các lập trình viên của Flame đã có khả
năng phát hành các chứng thực hợp lệ của Microsoft. Tuy
nhiên, còn chưa rõ liệu Windows có thực sự chấp nhận
cập nhật của Flame mà không có kêu ca gì hay không. Các
gói cập nhật rởm có khả năng lan truyền ở đây tại
Anh như là, theo Raiu, module Gadget MITM chỉ trở nên tích
cực khi vùng thời gian được thiết lập là UTC+2 hoặc
hơn (phía đông vùng thời gian của chúng ta).
Kaspersky cũng phát
hành các chi tiết xa hơn về hạ tầng của botnet đứng
đằng sau Flame. Các lập trình viên Flame được cho là đã
sử dụng ít nhất 15 máy chủ chỉ huy và kiểm soát, một
cái trong số đó có trách nhiệm cho hơn 50 nạn nhân. Theo
báo cáo, sự thực lọt ra ngoài về botnet này chỉ mới
vài giờ sau khi các chi tiết về Flame lần đầu tiên được
xuất bản.
In
the course of ongoing investigations into spyware-trojan Flame,
virus expert Costin Raiu from Kaspersky has made a discovery
which is as exciting as it is disquieting: Flame appears to have been
able to use Windows Update to infect other computers on the same
network.
According
to Raiu, a Flame module called Gadget possesses man-in-the-middle
functionality which enabled it pass crafted update packages to other
computers on the same network. One specific package was called
WuSetupV.exe
and was signed with a certificate issued by the "Microsoft
Enforced Licensing Registration Authority CA", a sub-CA of
Microsoft's root authority. A further
tweet from the virus expert implies that Flame distributed
updates within networks via a virtual server called MSHOME-F3BE293C.
Microsoft
has already confirmed that Flame developers were able to issue valid
Microsoft certificates. It is not, however, clear whether Windows
actually accepted the Flame update without complaint. The fake update
packages are unlikely to have spread here in the UK as, according
to Raiu, the Gadget MITM module only becomes active when the time
zone is set to UTC+2
or more (east of our time zone).
Kaspersky
has also released
further details of the botnet infrastructure behind Flame. The Flame
developers reportedly used at least fifteen command and control
servers, each of which was responsible for more than 50 victims.
According to the report, the lights went out on the botnet just hours
after details of Flame were first published.
Những
người vận hành Flame đã sử dụng một số nhận diện
rởm để đăng ký các tên miền của họ. Theo Kaspersky,
các vị trí máy chủ nằm ở cả Đức, Hà Lan, Anh, Thụy
Sỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết các nạn nhân đã
chạy các phiên bản 32 bit của Windows 7, với một số khá
lớn 45% chạy Windows XP. Flame không làm việc trong phiên
bản 64 bit của Windows 7.
Kaspersky
nói rằng hãng đã có khả năng hướng nhiều miền tới
một chỗ trũng, sao cho các hệ thống bị lây nhiễm sau
đó chuyển tiếp các dữ liệu của họ tới Kaspersky. Các
dữ liệu được thu thập đã khẳng định trước hết
là các tài liệu PDF và Office, cũng như các tệp AutoCAD
(các bản vẽ kỹ thuật).
Flame's
operators used a number of fake identities to register their domains.
According to Kaspersky, server locations included Germany, the
Netherlands, the UK, Switzerland, Hong Kong and Turkey. Most victims
were running 32-bit editions of Windows 7, with a sizeable 45 per
cent running XP. Flame does not work on the 64-bit edition of Windows
7.
Kaspersky
reports that it was able to divert many of the domains to a sinkhole,
so that infected systems were then forwarding their data to
Kaspersky. The data collected consisted primarily of PDF and Office
documents, as well as AutoCAD files (technical drawings).
(fab)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.