Thứ Hai, 1 tháng 10, 2012

Flame bí mật: bằng chứng mới về chương trình gián điệp KGM khổng lồ chống Iran


Secret Flame: new evidence of mammoth cyberspying program against Iran
Khi các trinh thám số tìm thấy Flame - một chiến dịch gián điệp không gian mạng (GĐKGM) khổng lồ nhằm vào Iran - họ đã kinh ngạc. Bây giờ, dường như, Flame chỉ là bề nổi của tảng băng.
When digital sleuths found Flame – a massive cyberespionage campaign targeting Iran – they were astounded. Now, it seems, Flame was just the tip of the iceberg.
By Mark Clayton, Staff writer / September 17, 2012
Bài được đưa lên Internet ngày: 17/09/2012
Lời người dịch: Kaspersky Lab đã chỉ ra nhưng manh mối cho thấy hàng loạt các chương trình gián điệp, mà Flame chỉ là một trong số đó, nhằm vào các hệ thống máy tính của Iran trong một chiến dịch có lẽ lớn hơn rất nhiều. “Sự tồn tại của 3 giao thức bổ sung không được Flame sử dụng “đưa ra bằng chứng rằng ít nhất 3 chương trình độc hại khác có liên quan tới Flame đã được tạo ra”, Kaspersky nói. Sự phát hiện bóng gió vào một chiến dịch GĐKGM khổng lồ về phạm vi, với hơn 5 GB dữ liệu được tải lên từ hơn 5.000 máy bị lây nhiễm tới chỉ 1 cho tới 2 máy chủ chỉ huy và kiểm soát nằm ở châu Âu mỗi tuần. Hầu hết các máy tính bị lây nhiễm là ở Iran, một số ở Sudan, và một nhúm ở các quốc gia khác”.
Không giống như chuyện viễn tưởng mà Mr. Phelps của “Nhiệm vụ bất khả thi”, gián điệp của cuộc sống thực ngày nay hướng các chương trình GĐKGM máy tính của họ tới sự tự hủy diệt - tự xóa chính mình - sau khi sử dụng. Các mảnh nhỏ trần trụi của mã số có thể là bằng chứng khá mỏng cho các nhà điều tra.
Ngay cả như vậy, các trinh thám điều tra số ở 2 công ty chống virus - Kaspersky Labs và Symantec - hôm thứ hai đã công bố những phát hiện mới từ các mẩu cùng với các mảnh vụn của một chương trình KGM gọi là Flame, phát hiện tiếp một chiến dịch GĐKGM tăng cường hình như nhằm vào Iran.
Đã rồi, các báo cáo của báo chí đã nói rằng Mỹ và Israel đã tung ra Stuxnet - vũ khí KGM đầu tiên trên thế giới - làm chậm lại chương trình hạt nhân của Iran, và rằng 3 chương trình GĐKGM khác, bao gồm cả Flame, từng là một phần của cùng một nỗ lực. Bây giờ, phân tích mới hé lộ những manh mối của ít nhất 3 chương trình độc hại nữa nhằm vào Iran, gợi ý vẫn còn có một số lượng đáng kể các chương trình sẽ được phát hiện làm gián điệp trong các máy tính của Iran.
Bạn biết bao nhiêu về an ninh KGM? Hãy thử đoán xem.
Có những dấu hiệu tươi mới, rằng vụ mùa đã là khổng lồ.
“Những người tạo ra Flame là tốt lành trong việc đề cập tới những manh mối của họ”, Alexander Gostev, chuyên gia an ninh hàng đầu tại Kaspersky Lab nói trong một tuyên bố. “Nhưng một lỗi của những kẻ tấn công đã giúp chúng tôi phát hiện ra nhiều dữ liệu hơn … ”
Bằng chứng đã được thấy trong 2 máy chủ ở châu Âu được làm để tránh sự dò tìm ra từ các nhà cung cấp đặt chỗ thông qua tên ban đầu của chúng, “Newsforyou”. Một lỗi lập trình để lại đằng sau một tệp được mã hóa và một tệp lưu ký dữ liệu. Một phân tích các dữ liệu đã chỉ ra rằng các máy chủ đã có khả năng nhận các dữ liệu từ các máy bị lây nhiễm bằng việc sử dụng 4 giao thức khác nhau; Flame chỉ là một trong số đó.
Not unlike the fictional Mr. Phelps of "Mission Impossible," real-life spies today direct their computer cyberespionage programs to self destruct – delete themselves – after use. Bare scraps of digital code can be pretty thin evidence for investigators.
Even so, digital forensic sleuths at two antivirus companies – Kaspersky Labs and Symantec – on Monday announced new discoveries from piecing together the cyber shards of a program called Flame, which further reveal an extensive cyberespionage operation apparently directed at Iran.
Already, media reports have claimed that the US and Israel launched Stuxnet – the world's first cyberweapon – to slow Iran's nuclear program, and that three other cyberespionage programs, including Flame, were part of the same effort. Now, the new analysis reveals traces of at least three more malicious programs targeting Iran, suggesting there are still a significant number of programs yet to be discovered spying on Iranian computers.
There are fresh signs, too, that the harvest has been vast.
“Flame's creators are good at covering their tracks," Alexander Gostev, chief security expert at Kaspersky Lab said in a statement. "But one mistake of the attackers helped us to discover more data...."
The evidence was found on two European servers made to evade detection from hosting providers through their benign name, "Newsforyou." A programming mistake left behind one encrypted file and a data log. An analysis of the data showed that the servers were able to receive data from infected machines using four different protocols; Flame was only one of them.
The existence of three additional protocols not used by Flame "provides proof that at least three other Flame-related malicious programs were created," Kaspersky said.
The discovery hints at a cyberespionage operation vast in scope, with more than five gigabytes of data uploaded from more than 5,000 infected machines to just one of the two command and control servers in Europe each week. Most of the infected computers were in Iran, some in Sudan, and a handful in other countries.
"This is certainly an example of cyber espionage conducted on a massive scale,” Mr. Gostev said.
The onion-like layers of this operation have been peeled back since the discovery of Stuxnet, which was discovered to be targeted at Iran's nuclear fuel-refining system in June 2010. After that, a cyberespionage program dubbed Duqu was unearthed in September 2011, followed by Flame in May, and then Gauss in July.
Sifting their program code, investigators found critical links among them – enough to call Stuxnet at least a first-cousin to Duqu, Flame, and Gauss. Though built by different teams, the programs had key software that showed the authors were linked in an overarching effort.
In June, the New York Times reported that Stuxnet was part of Operation Olympic Games, a joint project of the US and Israel. By their link to Stuxnet, the other three programs appear to be part of a larger program, too.
Sự tồn tại của 3 giao thức bổ sung không được Flame sử dụng “đưa ra bằng chứng rằng ít nhất 3 chương trình độc hại khác có liên quan tới Flame đã được tạo ra”, Kaspersky nói.
Sự phát hiện bóng gió vào một chiến dịch GĐKGM khổng lồ về phạm vi, với hơn 5 GB dữ liệu được tải lên từ hơn 5.000 máy bị lây nhiễm tới chỉ 1 cho tới 2 máy chủ chỉ huy và kiểm soát nằm ở châu Âu mỗi tuần. Hầu hết các máy tính bị lây nhiễm là ở Iran, một số ở Sudan, và một nhúm ở các quốc gia khác.
“Đây chắc chắn là một ví dụ về GĐKGM được tiến hành trong một phạm vi đồ sộ”, Mr. Gostev nói.
Các lớp như củ hành của chiến dịch này từng được bóc ngược kể từ khi phát hiện ra Stuxnet, nó đã được phát hiện nhằm vào hệ thống tinh chỉnh nhiên liệu hạt nhân của Iran vào tháng 06/2010. Sau đó, một chương trình GĐKGM có tên là Duqu đã được phát hiện vào tháng 09/2011, sau đó là Flame trong tháng 05 và Gauss vào tháng 07/2012.
Xem xét mã nguồn các chương trình đó, các nhà điều tra đã tìm thấy các liên kết sống còn giữa chúng - đủ để gọi Stuxnet ít nhất là một người anh em đầu tiên đối với Duqu, Flame và Gauss. Dù được xây dựng bằng các đội khác nhau, thì các chương trình đó đã có phần mềm chủ chốt mà đã chỉ ra các tác giả đã có liên hệ trong một nỗ lực tổng thể.
Vào tháng 06, tờ New York Time đã nói rằng Stuxnet từng là một phần của Chiến dịch Thế vận hội Olympic, một dự án chung của Mỹ và Israel. Bằng liên kết của chúng tới Stuxnet, 3 chương trình khác dường như là một phần của một chương trình lớn hơn.
“Sự phức tạp của mã nguồn và các liên kết được khẳng định đối với các lập trình viên của Stuxnet tất cả chỉ tới sự việc rằng Flame là một ví dụ khác của một chiến dịch KGM tinh vi phức tạp do nhà nước bảo trợ”, báo cáo của Kaspersky nói.
Nó bổ sung rằng sự phát triển của nền tảng chỉ huy và kiểm soát của Flame đã bắt đầu sớm từ tháng 12/2006 - sớm hơn nhiều so với suy nghĩ trước đó.
“Những chiến dịch KGM đó làm là cho phép Mỹ đặt những cái ủng số lên mặt đát tại một nước ngoài, dè xẻn cuộc sống của những người Mỹ về ngắn hạn”, John Bumgarner, giám đốc nghiên cứu cho Đơn vị Giải quyết Hậu quả KGM của Mỹ, một nhóm nghiên cứu chiến lược phi lợi nhuận về an ninh tư vấn cho chính phủ và giới công nghiệp, nói.
“CIA không cần ôm lấy một sự gián điệp bên trong Iran, và quân đội Mỹ không cần gửi một máy bay trinh sát để ném bom bất kỳ thứ gì”.
Về dài hạn, không rõ liệu việc gián điệp KGM và các tên lửa số như Stuxnet sẽ là đủ để ngăn chặn một xung đột vũ trang, ông lưu ý. Và những bit và byte đang bắt đầu đánh đống lại.
“Bất chấp tất cả những phát hiện đó, vẫn còn nhiều khả năng từ chối có vẻ hợp lý kham được bằng những vũ khí số và công cụ gián điệp đó”, ông nói. “Hầu hết những mẩu vụn bánh mỳ còn chưa được lần vết trực tiếp ngược về NSA hoặc CIA. Nhưng các dấu vết làm, ít nhất, gợi ý những cơ quan như vậy quản lý các chiến dịch đó”.
"The complexity of the code and confirmed links to developers of Stuxnet all point to the fact that Flame is yet another example of a sophisticated nation-state sponsored cyber operation," the Kaspersky report said.
It added that the development of Flame’s command and control platform started as early as December 2006 – much earlier that previously thought.
"What these cyberoperations do is allow America to put digital boots on the ground in a foreign country, sparing American lives in the short term," says John Bumgarner, research director for the US Cyber Consequences Unit, a nonprofit security think tank that advises government and industry. "The CIA doesn't need to embed a spy inside Iran, and the US military doesn't need to send a stealth fighter to bomb something."
In the long term, it is not clear whether cyberspying and digital missiles like Stuxnet will be enough to prevent a military conflict, he notes. And the bits and bytes are starting to pile up.
"Despite all these discoveries, there is still a lot of plausible deniability afforded by these digital weapons and espionage tools," he says. "Most of the bread crumbs haven't been traced directly back to NSA or CIA. But the traces do, at the very least, suggest such agencies ran these operations."
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.