Secret
Flame: new evidence of mammoth cyberspying program against Iran
Khi
các trinh thám số tìm thấy Flame - một chiến dịch gián
điệp không gian mạng (GĐKGM) khổng lồ nhằm vào Iran -
họ đã kinh ngạc. Bây giờ, dường như, Flame chỉ là bề
nổi của tảng băng.
When
digital sleuths found Flame – a massive cyberespionage campaign
targeting Iran – they were astounded. Now, it seems, Flame was just
the tip of the iceberg.
By Mark Clayton, Staff
writer / September 17, 2012
Bài được đưa lên
Internet ngày: 17/09/2012
Lời
người dịch: Kaspersky Lab đã chỉ ra nhưng manh mối cho
thấy hàng loạt các chương trình gián điệp, mà Flame chỉ
là một trong số đó, nhằm vào các hệ thống máy tính
của Iran trong một chiến dịch có lẽ lớn hơn rất
nhiều. “Sự tồn tại của 3 giao thức bổ sung không
được Flame sử dụng “đưa ra bằng chứng rằng ít nhất
3 chương trình độc hại khác có liên quan tới Flame đã
được tạo ra”, Kaspersky nói. Sự phát hiện bóng gió
vào một chiến dịch GĐKGM khổng lồ về phạm vi, với
hơn 5 GB dữ liệu được tải lên từ hơn 5.000 máy bị
lây nhiễm tới chỉ 1 cho tới 2 máy chủ chỉ huy và kiểm
soát nằm ở châu Âu mỗi tuần. Hầu hết các máy tính
bị lây nhiễm là ở Iran, một số ở Sudan, và một
nhúm ở các quốc gia khác”.
Không giống như
chuyện viễn tưởng mà Mr. Phelps của “Nhiệm vụ bất
khả thi”, gián điệp của cuộc sống thực ngày nay
hướng các chương trình GĐKGM máy tính của họ tới sự
tự hủy diệt - tự xóa chính mình - sau khi sử dụng. Các
mảnh nhỏ trần trụi của mã số có thể là bằng chứng
khá mỏng cho các nhà điều tra.
Ngay cả như vậy, các
trinh thám điều tra số ở 2 công ty chống virus - Kaspersky
Labs và Symantec - hôm thứ hai đã công bố những phát hiện
mới từ các mẩu cùng với các mảnh vụn của một
chương trình KGM gọi là Flame, phát hiện tiếp một chiến
dịch GĐKGM tăng cường hình như nhằm vào Iran.
Đã
rồi, các báo cáo của báo chí đã nói rằng Mỹ và
Israel đã tung ra Stuxnet - vũ khí KGM đầu tiên trên thế
giới - làm chậm lại chương trình hạt nhân của Iran, và
rằng 3 chương trình GĐKGM khác, bao gồm cả Flame, từng
là một phần của cùng một nỗ lực. Bây giờ, phân tích
mới hé lộ những manh mối của ít nhất 3 chương trình
độc hại nữa nhằm vào Iran, gợi ý vẫn còn có một số
lượng đáng kể các chương trình sẽ được phát hiện
làm gián điệp trong các máy tính của Iran.
Bạn biết bao nhiêu
về an ninh KGM? Hãy thử đoán xem.
Có những dấu hiệu
tươi mới, rằng vụ mùa đã là khổng lồ.
“Những người tạo
ra Flame là tốt lành trong việc đề cập tới những manh
mối của họ”, Alexander Gostev, chuyên gia an ninh hàng đầu
tại Kaspersky Lab nói trong một tuyên bố. “Nhưng một lỗi
của những kẻ tấn công đã giúp chúng tôi phát hiện ra
nhiều dữ liệu hơn … ”
Bằng chứng đã được
thấy trong 2 máy chủ ở châu Âu được làm để tránh sự
dò tìm ra từ các nhà cung cấp đặt chỗ thông qua tên
ban đầu của chúng, “Newsforyou”. Một lỗi lập trình
để lại đằng sau một tệp được mã hóa và một tệp
lưu ký dữ liệu. Một phân tích các dữ
liệu đã chỉ ra rằng các máy chủ đã có khả năng nhận
các dữ liệu từ các máy bị lây nhiễm bằng việc sử
dụng 4 giao thức khác nhau; Flame chỉ là một trong số đó.
Not
unlike the fictional Mr. Phelps of "Mission Impossible,"
real-life spies today direct their computer cyberespionage programs
to self destruct – delete themselves – after use. Bare scraps of
digital code can be pretty thin evidence for investigators.
Even
so, digital forensic sleuths at two antivirus companies – Kaspersky
Labs and Symantec
– on Monday announced new discoveries from piecing together the
cyber shards of a program called Flame, which further reveal an
extensive cyberespionage operation apparently directed at Iran.
Already,
media reports have claimed that the US
and Israel
launched Stuxnet
– the world's first cyberweapon – to slow Iran's nuclear program,
and that three other cyberespionage programs, including Flame, were
part of the same effort. Now, the new analysis reveals traces of at
least three more malicious programs targeting Iran, suggesting there
are still a significant number of programs yet to be discovered
spying on Iranian computers.
There
are fresh signs, too, that the harvest has been vast.
“Flame's
creators are good at covering their tracks," Alexander Gostev,
chief security expert at Kaspersky Lab said in a statement. "But
one mistake of the attackers helped us to discover more data...."
The
evidence was found on two European servers made to evade detection
from hosting providers through their benign name, "Newsforyou."
A programming mistake left behind one encrypted file and a data log.
An analysis of the data showed that the servers were able to receive
data from infected machines using four different protocols; Flame was
only one of them.
The
existence of three additional protocols not used by Flame "provides
proof that at least three other Flame-related malicious programs were
created," Kaspersky said.
The
discovery hints at a cyberespionage operation vast in scope, with
more than five gigabytes of data uploaded from more than 5,000
infected machines to just one of the two command and control servers
in Europe
each week. Most of the infected computers were in Iran, some in
Sudan,
and a handful in other countries.
"This
is certainly an example of cyber espionage conducted on a massive
scale,” Mr. Gostev said.
The
onion-like layers of this operation have been peeled back since the
discovery of Stuxnet, which was discovered to be targeted at Iran's
nuclear fuel-refining system in June 2010. After that, a
cyberespionage program dubbed Duqu was unearthed in September 2011,
followed by Flame in May, and then Gauss in July.
Sifting
their program code, investigators found critical links among them –
enough to call Stuxnet at least a first-cousin to Duqu, Flame, and
Gauss. Though built by different teams, the programs had key software
that showed the authors were linked in an overarching effort.
In
June, the New
York Times reported that Stuxnet was part of Operation Olympic
Games, a joint project of the US and Israel. By their link to
Stuxnet, the other three programs appear to be part of a larger
program, too.
Sự
tồn tại của 3 giao thức bổ sung không được Flame sử
dụng “đưa ra bằng chứng rằng ít nhất 3 chương trình
độc hại khác có liên quan tới Flame đã được tạo
ra”, Kaspersky nói.
Sự
phát hiện bóng gió vào một chiến dịch GĐKGM khổng lồ
về phạm vi, với hơn 5 GB dữ liệu được tải lên từ
hơn 5.000 máy bị lây nhiễm tới chỉ 1 cho tới 2 máy chủ
chỉ huy và kiểm soát nằm ở châu Âu mỗi tuần. Hầu
hết các máy tính bị lây nhiễm là ở Iran, một số ở
Sudan, và một nhúm ở các quốc gia khác.
“Đây chắc chắn là
một ví dụ về GĐKGM được tiến hành trong một phạm
vi đồ sộ”, Mr. Gostev nói.
Các lớp như củ hành
của chiến dịch này từng được bóc ngược kể từ khi
phát hiện ra Stuxnet, nó đã được phát hiện nhằm vào
hệ thống tinh chỉnh nhiên liệu hạt nhân của Iran vào
tháng 06/2010. Sau đó, một chương trình GĐKGM có tên là
Duqu đã được phát hiện vào tháng 09/2011, sau đó là
Flame trong tháng 05 và Gauss vào tháng 07/2012.
Xem xét mã nguồn các
chương trình đó, các nhà điều tra đã tìm thấy các
liên kết sống còn giữa chúng - đủ để gọi Stuxnet ít
nhất là một người anh em đầu tiên đối với Duqu,
Flame và Gauss. Dù được xây dựng bằng các đội khác
nhau, thì các chương trình đó đã có phần mềm chủ chốt
mà đã chỉ ra các tác giả đã có liên hệ trong một nỗ
lực tổng thể.
Vào tháng 06, tờ New
York Time đã nói rằng Stuxnet từng là một phần của
Chiến dịch Thế vận hội Olympic, một dự án chung của
Mỹ và Israel. Bằng liên kết của chúng tới Stuxnet, 3
chương trình khác dường như là một phần của một
chương trình lớn hơn.
“Sự phức tạp của
mã nguồn và các liên kết được khẳng định đối với
các lập trình viên của Stuxnet tất cả chỉ tới sự
việc rằng Flame là một ví dụ khác của một chiến dịch
KGM tinh vi phức tạp do nhà nước bảo trợ”, báo cáo
của Kaspersky nói.
Nó bổ sung rằng sự
phát triển của nền tảng chỉ huy và kiểm soát của
Flame đã bắt đầu sớm từ tháng 12/2006 - sớm hơn nhiều
so với suy nghĩ trước đó.
“Những chiến dịch
KGM đó làm là cho phép Mỹ đặt những cái ủng số lên
mặt đát tại một nước ngoài, dè xẻn cuộc sống của
những người Mỹ về ngắn hạn”, John Bumgarner, giám đốc
nghiên cứu cho Đơn vị Giải quyết Hậu quả KGM của Mỹ,
một nhóm nghiên cứu chiến lược phi lợi nhuận về an
ninh tư vấn cho chính phủ và giới công nghiệp, nói.
“CIA không cần ôm
lấy một sự gián điệp bên trong Iran, và quân đội Mỹ
không cần gửi một máy bay trinh sát để ném bom bất kỳ
thứ gì”.
Về dài hạn, không
rõ liệu việc gián điệp KGM và các tên lửa số như
Stuxnet sẽ là đủ để ngăn chặn một xung đột vũ
trang, ông lưu ý. Và những bit và byte đang bắt đầu đánh
đống lại.
“Bất chấp tất cả
những phát hiện đó, vẫn còn nhiều khả năng từ chối
có vẻ hợp lý kham được bằng những vũ khí số và
công cụ gián điệp đó”, ông nói. “Hầu hết những
mẩu vụn bánh mỳ còn chưa được lần vết trực tiếp
ngược về NSA hoặc CIA. Nhưng các dấu vết làm, ít nhất,
gợi ý những cơ quan như vậy quản lý các chiến dịch
đó”.
"The
complexity of the code and confirmed links to developers of Stuxnet
all point to the fact that Flame is yet another example of a
sophisticated nation-state sponsored cyber operation," the
Kaspersky report said.
It
added that the development of Flame’s command and control platform
started as early as December 2006 – much earlier that previously
thought.
"What
these cyberoperations do is allow America to put digital boots on the
ground in a foreign country, sparing American lives in the short
term," says John Bumgarner, research director for the US
Cyber Consequences Unit, a nonprofit security think tank that
advises government and industry. "The CIA
doesn't need to embed a spy inside Iran, and the US
military doesn't need to send a stealth fighter to bomb
something."
In
the long term, it is not clear whether cyberspying and digital
missiles like Stuxnet will be enough to prevent a military conflict,
he notes. And the bits and bytes are starting to pile up.
"Despite
all these discoveries, there is still a lot of plausible deniability
afforded by these digital weapons and espionage tools," he says.
"Most of the bread crumbs haven't been traced directly back to
NSA
or CIA. But the traces do, at the very least, suggest such agencies
ran these operations."
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.