Không mục tiêu nào là 'Quá Nhỏ' đối với Flame

No Target Is 'Too Small' For Flame

Sep 19, 2012 8:09 AM EST, By Fahmida Y. Rashid

Theo: http://securitywatch.pcmag.com/none/302830-no-target-is-too-small-for-flame

Bài được đưa lên Internet ngày: 19/09/2012

Lời người dịch: Bạn không hoạt động trong vùng bất ổn, vùng chiến sự; bạn không có mối quan hệ làm ăn nào với các cơ quan chính phủ... không đồng nghĩa với việc bạn sẽ không phải là mục tiêu của những phần mềm độc hại thượng hạng do nhà nước bảo trợ như Stuxnet, Duqu, Flame, Gauss và Disttrack/Shamoon. Đơn giản là khi những kẻ tấn công có được trong tay danh sách những kẻ tình nghi, vô phúc bạn nằm trong danh sách đó, có thể vì bạn đã biết một công ty nào khác có các mối liên hệ với những công việc nêu trên. Vì thế tác giả bài này mới nói rằng Flame, kẻ gián điệp thông tin tài ba, không chừa ai cả, cho dù bạn chỉ là một công ty bé tẹo.

Nếu bạn không hoạt động trong một vùng bất ổn, không yên, hoặc làm việc trong các dự án có liên quan tới chính phủ, thì dễ rơi vào trong cái bẫy của việc suy nghĩ bạn được an toàn khỏi các cuộc tấn công có chủ đích như Stuxnet, Flame, Duqu, Gauss và Disttrack/Shamoon.

Tuy nhiên các doanh nghiệp và các cá nhân sẽ không quá tự mãn, vì những kẻ tấn công không phải lúc nào cũng đi sau các mục tiêu của chúng một cách trực tiếp và có thể sử dụng các tổ chức khác như một bàn đạp cho các cuộc tấn công của chúng, Harry Svedlove, CTO của Bit9, đã nói cho SecutityWatch.

Ngay sau khi Flame được phát hiện vào tháng 5, Bit9 đã phát hiện rằng một trong những khách hàng của mình, một “công ty thương mại” mà từng “không có liên quan trong bất kỳ cách gì tới chính phủ, đã không nằm trong một 'vùng thù địch', và đã không có liên quan tới các vũ khí bí mật hay chương trình hạt nhân nào” cũng đã từng là mục tiêu với phần mềm độc hại Flame, Svedlove nói. Ông đã từ chối đưa ra bất kỳ sự cụ thể nào về hãng đó.

Bit9 đã ngăn chặn thành công sự lây nhiễm, những khách hàng cũng đã muốn biết vì sao nó đã bị là mục tiêu, xét thấy nó đã không có bất kỳ hợp đồng nào với chính phủ. Svedlove đã có một câu trả lời đơn giản. “Đây không chỉ là những gì bạn biết, mà bạn biết ai”, ông nói.

Khách hàng có thể đã không có bất kỳ hoạt động hoặc việc kinh doanh nào tại Trung Đông, nhưng nó đã làm việc với các công ty khác mà đã có các hợp đồng trong khu vực đó, Svedlove nói, gọi đó là tình huống của “một hoặc 2 mức tách bạch”. Những kẻ tấn công đã nhìn vào các danh sách các khách hàng của Bit9 xem ai họ biết và ai họ đã làm việc với, và có khả năng đã sử dụng các thông tin thu thập được để lên kế hoạch cho làn sóng các cuộc tấn công tiếp theo của chúng chống lại những mục tiêu mới, Svedlove nói.

If you aren't operating in a troubled, volatile region, or working on government-related projects, it's easy to fall into the trap of thinking you're safe from targeted attacks like Stuxnet, Flame, Duqu, Gauss, and Disttrack/Shamoon. 

However businesses and individuals shouldn't get too complacent, because attackers don't always go after their targets directly and may use other organizations as a launchpad for their attacks, Harry Svedlove, CTO of Bit9, told SecurityWatch.

Shortly after Flame was discovered in May, Bit9 discovered that one of its customers, a "commercial company" who was "not affiliated in any way with the government, was not located in a 'hostile region,' and was not involved in a secret weapons or nuclear program" had also been targeted with the Flame malware, Svedlove said. He declined to provide any specifics about the company.

Bit9 successfully prevented the infection, but the customer also wanted to know why it had been targeted, considering it didn't have any government contracts. Svedlove had a simple answer. "It's not just what you know, but who you know," he said.

The customer might not have had any operations or business in the Middle East, but it did work with other companies that had contacts in the region, Svedlove said, calling it a “one or two degrees of separation” situation. The attackers were looking at the Bit9 customer's lists of who they knew and who they worked with, and were likely using the information collected to plan their next wave of attacks against new targets, Svedlove said.

Không có khả năng nói “Tôi an toàn vì tôi không có quan hệ hạt nhân nào”, vì khó nói ai mà những kẻ tấn công xác định như những mục tiêu cuốn hút đang nắm giữ các thông tin thú vị, Svedlove nói.

Sử dụng một mạng của tổ chức như một vùng bàn đạp để lên kế hoạch cho các cuộc tấn công chống lại các mạng khác là không có giới hạn đối với các cuộc tấn công tinh vi phức tạp do nhà nước bảo trợ, nhưng có thể được xem như trong sự gián điệp tập đoàn và các tội phạm KGM khác, ông đã cảnh báo.

Không có những điều như vậy như là “quá nhỏ” để bị tấn công, và thật nguy hiểm để giả thiết rằng không ở dạng công nghiệp nhất định có nghĩa là các dạng nhất định các cuộc tấn công sẽ không có khả năng. Các tổ chức cần giả thiết những kẻ tấn công có quan tâm trong các dữ liệu của họ và đảm bảo các mạng và dữ liệu của họ một cách phù hợp.

Chỉ như một kẻ làm mới, Stuxnet từng là Trojan đã lây nhiễm cho các hệ thống kiểm soát công nghiệp trong một cơ sở hạt nhân tại Iran và đã gây hại một cách vật lý cho thiết bị. Stuxnet đã làm cho chương trình hạt nhân của Iran bị đẩy lui vài năm, và tờ New York Time đã trích các nguồn nặc danh đầu năm nay đổ tội cho Mỹ và Israel cộng tác tạo ra Stuxnet. Duqu và Flame đã nhằm vào các doanh nghiệp khác tại Trung Đông để ăn cắp các thông tin nhạy cảm. Gauss dường như nhằm vào ngân hàng trực tuyến tại Li băng. Phần mềm độc hại Disttrack được sử dụng tại công ty dầu hỏa Aramco của Ả rập Xê út.

Như PCmag.com đã nói hôm thứ hai, phần mềm độc hại Flame được phát hiện ra đầu năm nay đã được phát triển từ sớm hơn vào tháng 12/2006, và từng nằm trong sự phát triển tích cực cho tới năm nay, các nhà nghiên cứu tại Kaspersky Lab phát hiện. Các máy chủ chỉ huy kiểm soát đã kiểm soát Flame dường như phải quản lý ít nhất 3 dạng phần mềm độc hại khác, và ít nhất một virus có liên quan tới Flame có thể vẫn còn đang hoạt động điên dại, Kaspersky nói.

It's not possible to say “I am safe because I have no nuclear ties,” because it's hard to tell who the attackers determine as attractive targets holding on to interesting information, Svedlove said.

Using one organization's network as a staging area to plan attacks against other networks is not limited to sophisticated nation-state-sponsored attacks, but can be seen in corporate espionage and other cyber-crimes as well, he warned.

There is no such things as being “too small” to be attacked, and it is dangerous to assume that not being in a certain type of industry means certain types of attacks aren't likely. Organizations need to assume attackers are interested in their data and secure their networks and data accordingly.

Just as a refresher, Stuxnet was the Trojan that infected industrial control systems in a nuclear facility in Iran and physically damaged equipment. Stuxnet set back Iran's nuclear program by several years, and the New York Times cited anonymous sources earier this year that claimed the United States and Israel collaborated to create Stuxnet. Duqu and Flame targeted various other businesses in the Middle East to steal sensitive information. Gauss appear to have targeted online banking in Lebanon. The Disttrack malware used in recent Shamoon attacks is widely believed to be the malware which destroyed 30,000 computers at Saudi oil company Aramco.

As PCMag.com reported Monday, the Flame malware discovered earlier this year was developed as early as December 2006, and was in active development until this year, researchers at Kaspersky Lab found. The command-and-control servers that controlled Flame appear to have run at least three other types of malware, and at least one Flame-related virus may still be operating in the wild, Kaspersky said.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com