Flame được cho là đã lây nhiễm các máy thông qua Windows Update

Flame alleged to have infected systems via Windows Update

5 June 2012, 12:40

Theo: http://www.h-online.com/security/news/item/Flame-alleged-to-have-infected-systems-via-Windows-Update-1604962.html

Bài được đưa lên Internet ngày: 05/06/2012

Cập nhật Windows rởm đã được ký với những gì trông giống như một chứng thực hợp lệ của Microsoft. Nguồn: Costin Raiu.

The fake Windows update was signed with what looked like a valid Microsoft certificate
Source: Costin Raiu

Lời người dịch: Siêu gián điệp Flame sử dụng chứng thực rởm, “Một gói đặc biệt gọi là WuSetupV.exe và đã được ký với một chứng thực được “Cơ quan chứng thực CA Đăng ký Cấp phép Tăng cường của Microsoft” phát hành, một nhánh CA của cơ quan chứng thực gốc của Microsoft” phát hành để lừa các nạn nhân. Cũng như các sâu - trojan gây kinh hãi khác như Stuxnet và Duqu, một sự mặc định đương nhiên là Flame chỉ chạy trên Windows, “Những người vận hành Flame đã sử dụng một số nhận diện rởm để đăng ký các tên miền của họ. Theo Kaspersky, các vị trí máy chủ nằm ở cả Đức, Hà Lan, Anh, Thụy Sỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết các nạn nhân đã chạy các phiên bản 32 bit của Windows 7, với một số khá lớn 45% chạy Windows XP. Flame không làm việc trong phiên bản 64 bit của Windows 7”, với các tệp lây nhiễm là: “Các dữ liệu được thu thập đã khẳng định trước hết là các tài liệu PDF và Office, cũng như các tệp AutoCAD (các bản vẽ kỹ thuật)”. Xem thêm: Hỏi đáp thường gặp Flame, “Siêu gián điệp”.

Trong quá tình điều tra liên tục trong vụ trojan gián điệp Flame, chuyên gia về virus Costin Raiu từ Kaspersky đã phát hiện điều thú vị làm không an tâm: Flame dường như từng có khả năng sử dụng Windows Updaate để lây nhiễm các máy tính khác trong cùng một mạng.

Theo Raiu, module Flame gọi là Gadger xử lý chức năng dạng người giữa đường khi nhúng nó qua các gói cập nhật được làm giả tới các máy tính khác trong cùng một mạng. Một gói đặc biệt gọi là WuSetupV.exe và đã được ký với một chứng thực được “Cơ quan chứng thực CA Đăng ký Cấp phép Tăng cường của Microsoft” phát hành, một nhánh CA của cơ quan chứng thực gốc của Microsoft. Một bài khác trên twitter từ chuyên gia virus này ngụ ý rằng Flame đã phân phối các bản cập nhật bên trong các mạng thông qua một máy chủ ảo gọi là MSHOME-F3BE293C.

Microsoft đã khẳng định rằng các lập trình viên của Flame đã có khả năng phát hành các chứng thực hợp lệ của Microsoft. Tuy nhiên, còn chưa rõ liệu Windows có thực sự chấp nhận cập nhật của Flame mà không có kêu ca gì hay không. Các gói cập nhật rởm có khả năng lan truyền ở đây tại Anh như là, theo Raiu, module Gadget MITM chỉ trở nên tích cực khi vùng thời gian được thiết lập là UTC+2 hoặc hơn (phía đông vùng thời gian của chúng ta).

Kaspersky cũng phát hành các chi tiết xa hơn về hạ tầng của botnet đứng đằng sau Flame. Các lập trình viên Flame được cho là đã sử dụng ít nhất 15 máy chủ chỉ huy và kiểm soát, một cái trong số đó có trách nhiệm cho hơn 50 nạn nhân. Theo báo cáo, sự thực lọt ra ngoài về botnet này chỉ mới vài giờ sau khi các chi tiết về Flame lần đầu tiên được xuất bản.

In the course of ongoing investigations into spyware-trojan Flame, virus expert Costin Raiu from Kaspersky has made a discovery which is as exciting as it is disquieting: Flame appears to have been able to use Windows Update to infect other computers on the same network.

According to Raiu, a Flame module called Gadget possesses man-in-the-middle functionality which enabled it pass crafted update packages to other computers on the same network. One specific package was called WuSetupV.exe and was signed with a certificate issued by the "Microsoft Enforced Licensing Registration Authority CA", a sub-CA of Microsoft's root authority. A further tweet from the virus expert implies that Flame distributed updates within networks via a virtual server called MSHOME-F3BE293C.

Microsoft has already confirmed that Flame developers were able to issue valid Microsoft certificates. It is not, however, clear whether Windows actually accepted the Flame update without complaint. The fake update packages are unlikely to have spread here in the UK as, according to Raiu, the Gadget MITM module only becomes active when the time zone is set to UTC+2 or more (east of our time zone).

Kaspersky has also released further details of the botnet infrastructure behind Flame. The Flame developers reportedly used at least fifteen command and control servers, each of which was responsible for more than 50 victims. According to the report, the lights went out on the botnet just hours after details of Flame were first published.

Những người vận hành Flame đã sử dụng một số nhận diện rởm để đăng ký các tên miền của họ. Theo Kaspersky, các vị trí máy chủ nằm ở cả Đức, Hà Lan, Anh, Thụy Sỹ, Hong Kong và Thổ Nhĩ Kỳ. Hầu hết các nạn nhân đã chạy các phiên bản 32 bit của Windows 7, với một số khá lớn 45% chạy Windows XP. Flame không làm việc trong phiên bản 64 bit của Windows 7.

Kaspersky nói rằng hãng đã có khả năng hướng nhiều miền tới một chỗ trũng, sao cho các hệ thống bị lây nhiễm sau đó chuyển tiếp các dữ liệu của họ tới Kaspersky. Các dữ liệu được thu thập đã khẳng định trước hết là các tài liệu PDF và Office, cũng như các tệp AutoCAD (các bản vẽ kỹ thuật).

Flame's operators used a number of fake identities to register their domains. According to Kaspersky, server locations included Germany, the Netherlands, the UK, Switzerland, Hong Kong and Turkey. Most victims were running 32-bit editions of Windows 7, with a sizeable 45 per cent running XP. Flame does not work on the 64-bit edition of Windows 7.

Kaspersky reports that it was able to divert many of the domains to a sinkhole, so that infected systems were then forwarding their data to Kaspersky. The data collected consisted primarily of PDF and Office documents, as well as AutoCAD files (technical drawings).

(fab)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com