Bank
Hacking Was the Work of Iranians, Officials Say
By NICOLE PERLROTH and
QUENTIN HARDY
Published: January 8,
2013
Bài được đưa lên
Internet ngày: 08/01/2013
Lời
người dịch: Thời làm ăn yên ổn của các ngân hàng
trực tuyến, không chỉ riêng các ngân hàng Mỹ, mả rất
có thể cả các ngân hàng khác nữa, có thể đã qua rồi.
Một virus mới, Itsoknoproblembro,
gây lây nhiễm cho các máy chủ tại các trung tâm dữ
liệu, các nhà cung cấp dịch vụ đám mây, biến các máy
chủ đó thành các “bRobots” mà hầu như không chương
trình chống virus nào hiện nay dò tìm ra được chúng.
“Bằng việc gây lây nhiễm cho các trung tâm dữ liệu
thay vì các máy tính, những kẻ tấn công đã giành lấy
sức mạnh tính toán để dựng lên vô số các cuộc tấn
công từ chối dịch vụ. Một trong những ngân hàng đã
có 40 gigabit năng lực Internet, một lượng khổng lồ khi
bạn coi đó là một doanh nghiệp cỡ trung chỉ có thể có
1 gigabit. Nhưng một số ngân hàng đã bị đánh với một
cơn lũ bền vững các giao thông mà đạt tới 70 gigabit”.
San Francisco - Những
kẻ tấn công đánh vào ngân hàng Mỹ này tới ngân hàng
khác Như trong nhiều cuộc tấn công trước đó, hàng tá
site ngân hàng trực tuyến đã chạy chậm lại, nấc lên
hoặc dừng hẳn trước khi được phục hồi lại vài
phút sau đó.
Nhưng còn có thứ gì
đó đáng lo ngại khác về làn sóng các cuộc tấn công
trực tuyến vào các ngân hàng Mỹ trong các tuần gần
đây. Các nhà nghiên cứu an ninh nói rằng thay vì việc
khai thác các máy tính riêng rẽ, những kẻ tấn công đã
thiết kế các mạng máy tính tại các trung tâm dữ liệu,
biến đổi một ít tiếng chó Chihuahuas sủa thành một
cục lớn bễ thở của con Godzilla.
Kỹ năng được yêu
cầu để triển khai các cuộc tấn công phạm vi này đã
thuyết phục được các quan chức chính phủ và các nhà
nghiên cứu về an ninh của Mỹ rằng họ đang làm việc
với Iran, hầu hết có lẽ trong sự trả thù vì những
hình phạt về kinh tế và các cuộc tấn công trực tuyến
của Mỹ.
“Không
nghi ngờ gì trong chính phủ Mỹ rằng Iran đứng đằng
sau các cuộc tấn công đó”, James A. Lewis, cựu quan chức
trong Bộ Ngoại giao và Thương mại Mỹ và là một chuyên
gia về an ninh máy tính tại Trung tâm Nghiên cứu Chiến
lược và Quốc tế tại Washington, nói.
Ông
Lewis đã nói số lượng làm tràn ngập giao thông các site
ngân hàng Mỹ là “nhiều lần” so với số lượng mà
Nga đã nhằm vào Estonia trong cuộc tấn công trực tuyến
dài cả tháng vào năm 2007 mà gần như đã đánh què quốc
gia Baltic này.
Các
quan chức Mỹ còn chưa đưa ra bất kỳ bằng chứng kỹ
thuật nào để bảo vệ cho sự kêu ca của họ, nhưng các
chuyên gia an ninh máy tính nói các cuộc tấn công gần đây
đã chỉ ra một mức độ phức tạp vượt xa các kẻ tấn
công không chuyên nghiệp. Hơn nữa, những kẻ tấn công
chọn theo đuổi sự phá hoại, không theo tiền: một dấu
hiệu khác của các cuộc tấn công do nhà nước bảo trợ,
các chuyên gia nói.
“Phạm vi, mức độ
và tính hiệu quả của các cuộc tấn công đó là chưa
từng có từ trước tới nay”, Carl Herberger, phó chủ
tịch các giải pháp an ninh tại Radware, một hãng an ninh
từng nghiên cứu các cuộc tấn công nhân danh các ngân
hàng và các nhà cung cấp dịch vụ đám mây, nói. “Chưa
từng có nhiều định chế tài chính bị cầm tù nhiều
thế này”.
Kể từ tháng 9, những
kẻ thâm nhập trái phép đã gây ra những vụ phá hoại
chính cho các site ngân hàng trực tuyến của Bank of
America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital One,
Fifth Third Bank, BB&T và HSBC.
Họ đã sử dụng các
cuộc tấn công DDoS, hoặc các cuộc tấn công từ chối
dịch vụ phân tán, ấy là các tin tặc từ chối các dịch
vụ khách hàng bằng việc nhằm một lượng lớn các giao
thông tới một site cho tới khi nó sập. Không tài khoản
ngân hàng nào bị đánh thủng và không khách hàng nào bị
mất tiền cả.
Bằng việc sử dụng
các trung tâm dữ liệu, những kẻ tấn công đơn giản
giữ thời gian. Các công ty và khách hàng ngày càng tiến
hành việc kinh doanh của họ qua các “đám mây” phạm
vi rộng lớn của hàng trăm, hàng ngàn các máy chủ được
kết nối mạng.
Những đám mây đó
do Amazon hoặc Google quản lý, nhưng cũng còn do nhiều tay
chơi nhỏ thường thuê chúng từ các công ty khác. Dường
như các tin tặc tấn công từ xa một số đám mây và đã
sử dụng sức mạnh tính toán để đánh sập các site
ngân hàng của Mỹ.
“Có ý nghĩa bây giờ
rằng các kẻ tấn công đang vặn vẹo các đám mây riêng
của riêng họ”, hoặc bằng việc tạo ra các mạng các
máy tính cá nhân hoặc bằng việc ăn cắp toàn bộ các
tài nguyên từ các đám mây tập đoàn được quản lý
tồi, John Kindervag, một nhà phân tích tại Forrester
Research, nói.
Làm thế nào, chính
xác, các tin tặc tấn công được các trung tâm dữ liệu
vẫn còn là điều bí ẩn. Làm cho các
vấn đề trở nên phức tạp hơn, chúng cùng một lúc đã
đưa ra một vũ khí khác: các cuộc tấn công DDoS được
mã hóa.
Các
ngân hàng mã hóa các giao dịch trực tuyến của các khách
hàng để có an ninh, nhưng quá trình mã hóa sử dụng các
tài nguyên hệ thống. Bằng việc gây ngập lụt các site
ngân hàng với các yêu cầu mã hóa, các tin tặc có thể
làm chậm tiếp hoặc đánh què các site với ít hơn các
yêu cầu.
Một nhóm tin tặc tự
gọi mình là Các chiến binh KGM Izz ad-Din al-Qassam đã nhận
đưa lên trực tuyến nó có trách nhiệm về các cuộc tấn
công.
Nhóm này nói nó đã
tấn công các ngân hàng để trả thù video chống đạo
Hồi đã chế nhạo nhà tiên tri Muhammad, và thề sẽ tiếp
tục chiến dịch cho tới khi video đó bị loại bỏ khỏi
Internet. Nó đã gọi chiến dịch đó là Chiến dịch
Ababil, một tham chiếu tới một câu chuyện trong kinh Koran
mà thánh Allah gửi các con chim nhạn để đánh thắng đội
quân voi được vua Yemen gửi đi để tấn công thánh địa
Mecca vào năm 571 trước công nguyên.
Nhưng
các quan chức tình báo Mỹ nói nhóm đó thực sự là một
cái vỏ của Iran. Họ kêu Iran đang chỉ huy các cuộc tấn
công để trả thù những trừng phạt kinh tế của phương
Tây và về một loạt các cuộc tấn công KGM vào các hệ
thống của riêng họ. Trong 3 năm qua, 3 virus máy tính phức
tạp - gọi là Flame, Duqu và Stuxnet - đã tấn công các máy
tính của Iran. Tờ New York Times đã nói vào năm ngoái rằng
Mỹ, cùng với Israel, đã có trách nhiệm về Stuxnet, virus
được sử dụng để phá hủy các máy li tâm tại cơ sở
hạt nhân của Iran vào năm 2010.
“Đây một chút là
trận đấu hận thù”, ông Lewis của Trung tâm Nghiên cứu
Chiến lược và Quốc tế, nói. (Hôm thứ tư, chính phủ
Iran đã từ chối liên quan trong các cuộc tấn công.
“Không giống như Mỹ, mà theo các báo cáo trong báo chí
đã tự trao cho mình giấy phép tham gia vào cuộc chiến
tranh KGM bất hợp pháp chống lại Iran, Iran tôn trọng
luật quốc tế và kìm nén khỏi việc nhằm vào các cơ
quan kinh tế và tài chính của các quốc gia khác”,
Alireza Miryousefi, thư ký thứ nhất của Iran tại Liên hiệp
quốc, viết trong một thư điện tử).
Các
nhà nghiên cứu tại Radware đã nghiên cứu các cuộc tấn
công vào vài ngân hàng đã thấy rằng giao thông tới tử
các trung tâm dữ liệu trên thế giới. Họ đã phát hiện
rằng nhiều dịch vụ đám mây và dịch vụ thuê đặt
chỗ web (hosting) khác nhau đã bị lây nhiễm với một
dạng phần mềm độc hại đặc biệt phức tạp, gọi là
Itsoknoproblembro, đã được thiết kế để tránh bị dò
tìm ra từ các chương trình chống virus. Phần mềm độc
hại đó đã tồn tại nhiều năm, nhưng các cuộc tấn
công ngân hàng đã lần đầu tiên nó đã sử dụng các
trung tâm dữ liệu để tấn công các nạn nhân ở bên
ngoài.
Các
botnet, hoặc các mạng các máy tính cá nhân bị lây nhiễm,
có thể thường bị theo dõi ngược lại tới một trung
tâm chỉ huy kiểm soát, nhưng các chuyên gia về an ninh nói
Itsoknoproblembro đã được thiết kế để làm cho rất
khó trói nó vào một bên nào. Các nhà nghiên cứu an ninh
đã đi tới một cái tên mới cho các máy chủ bị lây
nhiễm với Itsoknoproblembro: họ gọi chúng là các
“bRobots”.
Trong
một botnet nghiệp dư, trung tâm chỉ huy kiểm soát có thể
dễ dàng được xác định, nhưng ông Herberger nói gần
như không có khả năng làm như vậy trong trường hợp
này, gợi ý cho ông rằng “chiến dịch có thể do nhà
nước quốc gia hỗ trợ so với các phần mềm độc hại
nghiệp dư”.
Những kẻ tấn công
đã sử dụng các máy chủ bị lây nhiễm để đánh cùng
một lúc giao thông ở từng site ngân hàng cho tới khi nó
chậm lại hoặc sập hẳn.
Bằng
việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các
máy tính, những kẻ tấn công đã giành lấy sức mạnh
tính toán để dựng lên vô số các cuộc tấn công từ
chối dịch vụ. Một trong những ngân hàng đã có 40
gigabit năng lực Internet, ông Herberger nói, một lượng
khổng lồ khi bạn coi đó là một doanh nghiệp cỡ trung
chỉ có thể có 1 gigabit. Nhưng một số ngân hàng đã bị
đánh với một cơn lũ bền vững các giao thông mà đạt
tới 70 gigabit.
Ông
Herberger đã từ chối nói các nhà cung cấp dịch vụ đám
mây nào đã bị tổn thương, trích các thỏa thuận không
công bố với các khách hàng của Radware, nhưng ông đã
nói rằng mỗi cuộc tấn công vào một ngân hảng mới đã
cung cấp bằng chứng rằng ngày càng nhiều hơn các trung
tâm dữ liệu đã bị lây nhiễm và bị khai thác.
Những
kẻ tấn công đã nói vào tuần trước rằng họ đã
không có ý định dừng chiến dịch của họ. “Các quan
chức các ngân hàng Mỹ phải mong đợi các cuộc tấn
công khổng lồ của chúng tôi”, họ đã viết. “Từ
bây giờ trở đi, không ngân hàng nào cùa Mỹ sẽ có an
toàn cả”.
SAN
FRANCISCO — The attackers hit one American bank after the next. As
in so many previous attacks, dozens of online banking sites slowed,
hiccupped or ground to a halt before recovering several minutes
later.
But
there was something disturbingly different about the wave of online
attacks on American banks in recent weeks. Security researchers say
that instead of exploiting individual computers, the attackers
engineered networks of computers in data centers, transforming the
online equivalent of a few yapping Chihuahuas into a pack of
fire-breathing Godzillas.
The
skill required to carry out attacks on this scale has convinced
United States government officials and security researchers that they
are the work of Iran, most likely in retaliation for economic
sanctions and online attacks by the United States.
“There
is no doubt within the U.S. government that Iran is behind these
attacks,” said James A. Lewis, a former official in the State and
Commerce Departments and a computer security expert at the Center for
Strategic and International Studies in Washington.
Mr.
Lewis said the amount of traffic flooding American banking sites was
“multiple times” the amount that Russia directed at Estonia in a
monthlong online assault in 2007 that nearly crippled the Baltic
nation.
American
officials have not offered any technical evidence to back up their
claims, but computer security experts say the recent attacks showed a
level of sophistication far beyond that of amateur hackers. Also, the
hackers chose to pursue disruption, not money: another earmark of
state-sponsored attacks, the experts said.
“The
scale, the scope and the effectiveness of these attacks have been
unprecedented,” said Carl Herberger, vice president of security
solutions at Radware, a security firm that has been investigating the
attacks on behalf of banks and cloud service providers. “There have
never been this many
financial institutions under this much duress.”
Since
September, intruders have caused major disruptions to the online
banking sites of Bank of America, Citigroup, Wells Fargo, U.S.
Bancorp, PNC, Capital One, Fifth Third Bank, BB&T and HSBC.
They
employed DDoS attacks, or distributed denial of service attacks,
named because hackers deny customers service by directing large
volumes of traffic to a site until it collapses. No bank accounts
were breached and no customers’ money was taken.
By
using data centers, the attackers are simply keeping up with the
times. Companies and consumers are increasingly conducting their
business over large-scale “clouds” of hundreds, even thousands,
of networked computer servers.
These
clouds are run by Amazon and Google, but also by many smaller players
who commonly rent them to other companies. It appears the hackers
remotely hijacked some of these clouds and used the computing power
to take down American banking sites.
“There’s
a sense now that attackers are crafting their own private clouds,”
either by creating networks of individual machines or by stealing
resources wholesale from poorly maintained corporate clouds, said
John Kindervag, an analyst at Forrester Research.
How,
exactly, attackers are hijacking data centers is still a mystery.
Making matters more complex, they have simultaneously introduced
another weapon: encrypted DDoS attacks.
Banks
encrypt customers’ online transactions for security, but the
encryption process consumes system resources. By flooding banking
sites with encryption requests, attackers can further slow or cripple
sites with fewer requests.
A
hacker group calling itself Izz ad-Din al-Qassam Cyber Fighters has
claimed in online posts that it was responsible for the attacks.
The
group said it attacked the banks in retaliation for an
anti-Islam video that mocked the Prophet Muhammad, and pledged to
continue its campaign until the video was scrubbed from the Internet.
It called the campaign Operation Ababil, a reference to a story in
the Koran in which Allah sends swallows to defeat an army of
elephants dispatched by the king of Yemen to attack Mecca in A.D.
571.
But
American intelligence officials say the group is actually a cover for
Iran. They claim Iran is waging the attacks in retaliation for
Western economic sanctions and for a series of cyberattacks on its
own systems. In the last three years, three sophisticated computer
viruses — called Flame,
Duqu and Stuxnet
— have hit computers in Iran. The New York Times reported
last year that the United States, together with Israel, was
responsible for Stuxnet, the virus used to destroy centrifuges in an
Iranian nuclear facility in 2010.
“It’s
a bit of a grudge match,” said Mr. Lewis of the Center for
Strategic and International Studies.
(On
Wednesday, the Iranian government denied involvement in the
cyberattacks. “Unlike the United States, which has per reports in
the media given itself the license to engage in illegal cyber-warfare
against Iran, Iran respects the international law and refrains from
targeting other nations’ economic or financial institutions,”
wrote Alireza Miryousefi, first secretary of the Iranian mission to
the United Nations, in an e-mail.)
Researchers
at Radware who investigated the attacks for several banks found that
the traffic was coming from data centers around the world. They
discovered that various cloud services and public Web hosting
services had been infected with a particularly sophisticated form of
malware, called Itsoknoproblembro, that was designed to evade
detection by antivirus programs. The malware has existed for years,
but the banking attacks were the first time it used data centers to
attack external victims.
Botnets,
or networks of individual infected slave computers, can typically be
traced back to a command and control center, but security experts say
Itsoknoproblembro was engineered to make it very difficult to tie it
to one party. Security researchers have come up with a new name for
servers infected with Itsoknoproblembro: they call them “bRobots.”
In
an amateur botnet, the command and control center can be easily
identified, but Mr. Herberger said it had been nearly impossible to
do so in this case, suggesting to him that “the campaign may be
state-sponsored versus amateur malware.”
Attackers
used the infected servers to fire traffic simultaneously at each
banking site until it slowed or collapsed.
By
infecting data centers instead of computers, the hackers obtained the
computing power to mount enormous denial of service attacks. One of
the banks had 40 gigabits of Internet capacity, Mr. Herberger said, a
huge amount when you consider that a midsize business may only have
one gigabit. But some banks were hit with a sustained flood of
traffic that peaked at 70 gigabits.
Mr.
Herberger declined to say which cloud service providers had been
compromised, citing nondisclosure agreements with Radware’s
clients, but he said that each new bank attack provided evidence that
more data centers had been infected and exploited.
The
attackers said last week
that they had no intention of halting their campaign. “Officials of
American banks must expect our massive attacks,” they wrote. “From
now on, none of the U.S. banks will be safe.”
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.