Phần mềm tự do nguồn mở cho Việt Nam: Nâng cấp Trojan ngân hàng Citadel phát tán nhanh phần mềm độc hại

Thứ Ba, 23 tháng 10, 2012

Nâng cấp Trojan ngân hàng Citadel phát tán nhanh phần mềm độc hại

Citadel banking Trojan upgrade delivers malware on the fly

by Alastair Stevenson, 19 Oct 2012

Theo: http://www.v3.co.uk/v3-uk/news/2218496/citadel-banking-trojan-upgrade-delivers-malware-on-the-fly

Bài được đưa lên Internet ngày: 19/10/2012

Lời người dịch: Việc ngày càng nhiều các cuộc tấn công không gian mạng nhằm vào các ngân hàng có lẽ báo động một thời kỳ nguy hiểm mới, trong đó có Trojan ngân hàng Citadel, hậu duệ của Zeus. Đây là các trích đoạn từ bài viết này: “Một trong những thói quen nguy hiểm nhất đối với Citadel là cơ chế thiết lập cấu hình mới động của nó. Điều này cho phép những ông chủ botnet Citadel châm nội dung độc hại vào các trình duyệt bị tổn thương theo thời gian thực. Khả năng thay đổi động botnet là đặc biệt nguy hiểm khi nó làm cho Citadel khó hơn nhiều để dò tìm ra và cho phép các phần mềm độc hại lan truyền qua các hệ thống nhanh hơn... Phần mềm độc hại này hiện được biết đang được bán ít nhất trên 2 thị trường đen không gian mạng, bán lẻ với giá 3.391 USD... Gần đây nhất HSBC và US Bank Ally Financial đã nói các cuộc tấn công vào các mạng của họ. HSBC đã nói bị đánh vì một cuộc tấn công từ chối dịch vụ hôm thứ sáu... Trước các cuộc tấn công đó, các website của các ngân hàng Bank of America, JPMorgan Chase và Wells Fargo đã bị ngừng chạy mà không có giải thích nào, được tin tưởng là do các cuộc tấn công không gian mạng gây ra. Sự quay cuồng của các cuộc tấn công đã dẫn tới việc Trung tâm Phân tích và Chia sẻ Thông tin các Dịch vụ Tài chính (FS-ISAC) phải nâng cấp tình trạng Cố vấn Mối đe dọa Không gian mạng từ Cao vừa lên Cao vào đầu tháng 9”.

Một phiên bản mới của Trojan ngân hàng Citadel tai tiếng đã bị phát hiện nhằm vào nền công nghiệp tài chính, khi các mối đe dọa cho thế giới ngân hàng gia tăng.

Báo cáo tới vào cùng ngày HSBC bị một cuộc tấn công DDOS đánh khắp toàn cầu và các báo cáo rằng ngân hàng Mỹ Ally Financial đã bị một cuộc tấn công độc hại đánh.

Phiên bản mới này là phiên bản thứ 6 được phát hiện kể từ khi Citadel lần đầu tiên được xác định vào tháng 1. Nhà cung cấp an ninh RSA đã cảnh báo rằng phiên bản mới này, tên mã là Rain (mưa), có một số tính năng mới.

Một trong những thói quen nguy hiểm nhất đối với Citadel là cơ chế thiết lập cấu hình mới động của nó. Điều này cho phép những ông chủ botnet Citadel châm nội dung độc hại vào các trình duyệt bị tổn thương theo thời gian thực.

Khả năng thay đổi động botnet là đặc biệt nguy hiểm khi nó làm cho Citadel khó hơn nhiều để dò tìm ra và cho phép các phần mềm độc hại lan truyền qua các hệ thống nhanh hơn.

“Các lập trình viên mũ đen đứng đằng sau Trojan sắc như dao này của Quân đội Thụy Sỹ chắc chắn đang tiếp tục tinh chỉnh đồ giả mạo không gian mạng này với tính năng đổi mới và duy nhất khác được bổ sung cho lịch trình của họ”, Limor Kessem của RSA Research Labs đã viết.

“Sự giả mạo ngày nay xảy ra trong thời gian thực, nên tốc độ là cơ bản. Chức năng sộp này cho phép những người vận hành Trojan tạo ra các vụ châm web và sử dụng chúng trong thời gian thực, đẩy chúng vào các bot được chọn mà không làm phiền việc đẩy lên/tải về toàn bộ một tệp cấu hình mới”.

Citadel là một Trojan được xây dựng từ mã nguồn của Trojan Zeus cũ và là một trong nhiều trojan đang được bán trên các thị trường đen của thế giới ngầm trên không gian mạng.

Phần mềm độc hại này hiện được biết đang được bán ít nhất trên 2 thị trường đen không gian mạng, bán lẻ với giá 3.391 USD.

Sự phát hiện phiên bản mới của Citadel tới trong một dịch bệnh các cuộc tấn công nhằm vào nền công nghiệp ngân hàng.

A new version of the notorious Citadel banking Trojan has been uncovered targeting the financial industry, as threats to the banking world increase.

The report comes on the same day that HSBC was hit by a worldwide DDOS attack and reports that US bank Ally Financial was hit by a malicious cyber attack.

The new version is the sixth to be uncovered since Citadel was first identified in January. Security vendor RSA warned that the new version, codenamed Rain, contains a number of new features.

One of the most dangerous additions to Citadel is its new dynamic configuration mechanism. This allows Citadel's botmasters to inject malicious content into compromised browsers in real time.

The ability to change the botnet dynamically is particularly dangerous as it makes Citadel far more difficult to detect and allows the malware to spread through systems more quickly.

"The blackhat developers behind this Swiss Army knife-like Trojan are definitely stepping up cyberfraud fine-tuning with yet another unique and innovative feature added to their roster," wrote RSA Research Labs' Limor Kessem.

"Today's fraud happens in real time, so speed is of the essence. This nifty function allows Trojan operators to create web injections and use them on the fly, pushing them to selected bots without the hassle of pushing/downloading an entire new configuration file."

Citadel is a Trojan built off the older Zeus Trojan source code and is one of many being sold on underground cyber black markets.

The malware is currently known to be being sold in at least two cyber black markets, retailing for $3,391 (£2,114).

The discovery of the new Citadel version comes during an epidemic of attacks targeting financial industry.

Gần đây nhất HSBC và US Bank Ally Financial đã nói các cuộc tấn công vào các mạng của họ. HSBC đã nói bị đánh vì một cuộc tấn công từ chối dịch vụ hôm thứ sáu.

Thông tin cuộc tấn công vào Ally Financial được tung ra sau khi Reuters nói ngân hàng này đã đang điều tra một lỗ thủng có khả năng sau khi dò tìm ra hoạt động không bình thường trong mạng của mình hôm thứ năm. Vào lúc bài này được xuất bản thì Ally Financial còn chưa trả lời yêu cầu bình luận của V3.

Trước các cuộc tấn công đó, các website của các ngân hàng Bank of America, JPMorgan Chase và Wells Fargo đã bị ngừng chạy mà không có giải thích nào, được tin tưởng là do các cuộc tấn công không gian mạng gây ra.

Sự quay cuồng của các cuộc tấn công đã dẫn tới việc Trung tâm Phân tích và Chia sẻ Thông tin các Dịch vụ Tài chính (FS-ISAC) phải nâng cấp tình trạng Cố vấn Mối đe dọa Không gian mạng từ Cao vừa lên Cao vào đầu tháng 9.

Most recently HSBC and US Bank Ally Financial reported attacks on their networks. HSBC reported being hit by a distributed denial of service attack on Friday.

News of the attack on Ally Financial broke after Reuters reported the bank was investigating a possible breach after detecting unusual activity on its network on Thursday. At the time of publishing Ally Financial had not responded to V3's request for comment.

Prior to the attacks, the Bank of America, JPMorgan Chase and Wells Fargo's websites suffered a number of unexplained outages, believed to have been caused by cyber attacks.

The slew of attacks led the Financial Services Information Sharing and Analysis Center (FS-ISAC) to upgrade its Cyber Threat Advisory status from Elevated to High earlier in September.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com