10 chiến dịch đột nhập hàng đầu do nhà nước bảo trợ: từ PRISM tới Stuxnet và Mask

Top 10 worst state-sponsored hack campaigns: From PRISM to Stuxnet and Mask

by V3 staff, 21 Feb 2014

Theo: http://www.v3.co.uk/v3-uk/news/2329347/top-10-worst-state-sponsored-hack-campaigns-from-prism-to-stuxnet-and-mask

Bài được đưa lên Internet ngày: 21/02/2014

Lời người dịch: 10 chiến dịch đột nhập hàng đầu do nhà nước bảo trợ gồm: (1) Stuxnet; (2) PRISM; (3) Flame; (4) DarkSeoul; (5) Gauss; (6) Duqu; (7) Mask; (8) APT1; (9) Red October; (10) Shady RAT. Trong số này, những chiến dịch được cho là xuất xứ từ Mỹ gồm: (1) Stuxnet [cùng với Israel]; (2) PRIMS; (3) Flame; (5) Gauss; (6) Duqu; những chiến dịch được cho là xuất xứ từ Trung Quốc gồm: (8) APT1; (9) Red October; (10) Shady RAT. Phần còn lại được cho là có xuất xứ từ Bắc Triều Tiên (4) DarkSeoul; Riêng xuất xứ còn chưa rõ là của (7) Mask. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Kể từ khi chiếc máy tính đầu tiên từng được kết nới với Internet thì chúng ta đã thấy một dòng vững chắc các vụ quét không gian mạng và các phương án phần mềm độc hại mới vây quanh. Tuy nhiên, chỉ ít năm qua mọi điều đã thực sự nóng bỏng, với một số tiết lộ đáng ngạc nhiên chỉ ra không chỉ các tội phạm ra tăng nhanh và sự lỏng lẻo của luật và các dữ liệu trực tuyến.

Kể từ 2011 khi mà phần mềm độc hại nổi tiếng Stuxnet đã bị phát hiện, các nhà nghiên cứu đã phát hiện bằng chứng rằng nhiều chiến dịch đột nhập nguy hiểm nổi tiếng thực sự đang được triển khai từ các cơ quan chính phủ. Điều này là gây lo ngại khi mà các công nghệ hiện đại của các cuộc tấn công làm cho chúng gần với sự không thể để chống lại. Tệ hơn, các chiến dịch đó cũng đã trao cho các tội phạm không gian mạng trung bình các ý tưởng về các cách thức để cải thiện các cuộc tấn công của riêng chúng.

Như là một hệ quả, thậm chí nếu một doanh nghiệp không phải là nạn nhân trực tiếp của cuộc tấn công của một chính phủ, thì CIO của họ cũng vẫn cần phải hiểu biết và được học từ các trường hợp của các nạn nhân của các nhà nước quốc gia đó. Để giúp điều này chúng tôi đi tới một danh sách chắc chắn 10 chiến dịch tấn công tồi tệ nhất do nhà nước bảo trợ mà các nhà lãnh đạo CNTT cần phải biết.

10. Shady RAT

Shady RAT là một Trojan truy cập từ xa (RAT), nó đánh vào các đầu đề trong năm 2011 sau khi McAfee đã phát hiện nhiều mạng của chính phủ và công ty đã bị tổn thương như một phần của các chiến dịch đột nhập do nhà nước bảo trợ phạm vi ồ ạt.

McAfee đã biết về chiến dịch đó sau khi nó đã giành được sự truy cập tới một máy chủ chỉ huy kiểm soát được những kẻ tấn công sử dụng và thu thập các chi tiết lưu ký phát hiện ra tất cả các nạn nhân từ năm 2006.

Nghiên cứu của McAfee đã tiết lộ trong thời cao điểm của nó, chiến dịch Shady RAT trải rộng 14 nước và đã làm tổn thương đáng kinh ngạc 72 tổ chức - bao gồm cả Liên hiệp quốc, các nhà thầu quân sự và thậm chí các ủy ban Olympic.

Chiến dịch Shady RAT có nhiều nét tương đồng với các chiến dịch đột nhập Rạng Đông (Aurora) và Con rồng Đêm (Night Dragon), và được tin tưởng từng được chính phủ Trung Quốc tài trợ.

9. Red October (Tháng 10 Đỏ)

Red October từng được Kaspersky phát hiện vào tháng 01/2013. Hãng an ninh đó khá nhút nhát về việc tiết lộ hãng nghĩ ở đâu các cuộc tấn công đó đã khởi xướng, như các kỹ thuật được sử dụng của những kẻ phạm tội đã chỉ ra thứ gì đó khá tiên tiến.

“Những kẻ tấn công đã tạo ra phần mềm độc hại độc nhất, mềm dẻo cao độ để ăn cắp dữ liệu và tình báo địa lý từ các hệ thống máy tính của nạn nhân, các điện thoại di động và các thiết bị mạng doanh nghiệp”, một báo cáo nêu khi đó.

Phần mềm độc hại đó đã nhằm vào các chính phủ và các nhóm chính trị cũng như các doanh nghiệp, với đa phần các lây nhiễm được thấy ở Nga và Kazakhstan. Các dấu hiệu đã chỉ ra hướng vào một cuộc tấn công do nhà nước bảo trợ bao gồm một “module sống lại được” tiên tiến mà đã đánh lừa người sử dụng nghĩ nó đã được loại bỏ. Phần mềm độc hại đó cũng bao gồm các lần vết phần mềm được sử dụng như thứ tương tự của Nato và EU.

8. APT1

Chiến dịch đột nhập của APT1 từng được hãng an ninh Mandiant phát hiện vào tháng 02/2013. Chiến dịch đó nổi tiếng không chỉ vì nó được tin tưởng đã đột nhập thành công vào 141 công ty khắp thế giới, mà còn vì được cho là các liên kết của nó với chính phủ Trung Quốc.

Trong khi đã từng có những cáo buộc cho rằng Trung Quốc có thể từng cấp vốn cho các cuộc tấn công, thì APT1 từng là chiến dịch nghiêm trọng đầu tiên có một hãng an ninh gọi tên trực tiếp Trung Quốc. Đặc biệt, Mandiant đã nêu mối liên kết mà chiến dịch đó với một đơn vị quân đội Trung Quốc có trụ sở ở khu Pudong của Thượng Hải.

7. Mask (Mặt nạ)

Mask là một chiến dịch đột nhập nổi tiếng được hãng an ninh Nga Kaspersky phát hiện vào tháng 02/2014 nhằm vào các văn phòng ngoại giao và các đại sứ quán, các công ty dầu khí, các viện nghiên cứu, các hãng cổ phần tư nhân và các nhà hoạt động xã hội bằng các phần mềm độc hại.

Các nhà nghiên cứu của Kaspersky đã liệt chiến dịch Mask như một trong những chiến dịch tiên tiến nhất từng thấy cho tới nay, nêu nó đặc trưng bằng vài khả năng phòng thủ né tránh làm cho hầu như không có khả năng để chống lại nó. Các nhà nghiên cứu nói các sức mạnh tiên tiến đã cho phép các tin tặc thâm nhập vào 380 chính phủ và doanh nghiệp khắp 31 quốc gia, bao gồm cả nước Anh.

Trong khi còn chưa rõ ai đứng đằng sau chiến dịch Mask, thì các nhà nghiên cứu đã thấy bản chất tự nhiên tiên tiến của nó như một dấu hiệu rằng nó được nhà nước bảo trợ.

6. Duqu

Phần mềm độc hại Duqu ban đầu đã lộ cái đầu xấu xí của nó vào mùa thu 2011, khi nó bị bắt đang nhằm vào nhiều hệ thống của công ty và chính phủ ở Trung Đông và Bắc Phi.

Phần mềm độc hại Duqu đã gây ra làn sóng trong cộng đồng an ninh khi nó đã sử dụng một ngôn ngữ lập trình được coi là bí ẩn và chưa từng có trước đó. Một số nhà nghiên cứu tin tưởng Duqu có liên kết với Stuxnet - một số đã còn đi xa hơn khi nói nó có thể đã được chính nhóm các tin tặc đó tạo ra.

Dù bất kể thế nào, thì Duqu chắc chắn tự bản thân nó là đáng sợ và được thiết kế để ăn cắp thông tin mà có thể được sử dụng để dấy lên các cuộc tấn công vào các hệ thống kiểm soát công nghiệp - những hệ thống quản lý hạ tầng sống còn của chúng ta.

5. Gauss

Gauss từng là một phần mềm độc hại đặc biệt tệ khi được nhằm vào gián điệp được hãng phần mềm an ninh Nga Kaspersky phát hiện vào năm 2013.

Phần mềm độc hại đó là nguy hiểm khi nó có vài nét tương đồng với các phần mềm độc hại tiên tiến khác, như Flame nổi tiếng. Tuy nhiên Gauss từng không điển hình bất chấp có tất cả các dấu hiệu của một phần mềm độc hại theo truyền thống để làm gián điệp và do nhà nước tạo ra, cơ sở các đích ngắm của nó không là các nhà máy điện hay cơ quan chính phủ.

Thay vào đó chiến dịch Gauss đã có trọng tâm đặc biệt trong việc ăn cắp các dữ liệu của các cơ quan tài chính. Tệ hơn, phạm vi đầy đủ của chiến dịch đó còn chưa rõ, dù các nhà nghiên cứu của Kaspersky ước tính nó đã gây lây nhiễm cho 2.500 máy.

4. DarkSeoul (Seoul Đen tối)

Các mối quan hệ giữa Bắc và Nam Triều Tiên là căng thẳng nhất cho tới nay. Theo truyền thống thì đó là chương trình hạt nhân của Bắc Triều Tiên mà đã áp đảo các đầu đề báo chí và từng là lý do chính cho điều này. Tuy nhiên, trong năm 2013 điều này tất cả đã thay đổi, khi các tin tặc hoạt động dưới bí danh DarkSeoul đã nhận trách nhiệm về một làn sóng các cuộc tấn công vào vài ngân hàng và đài phát thanh quốc gia.

Kể từ đó các chuyên gia an ninh khắp thế giới đã biên dịch một danh sách ngày một gia tăng các bằng chứng gợi ý rằng nhóm DarkSeoul là do nhà nước bảo trợ. Điều này bắt đầu với Symantec vào tháng 06/2013, nó đã nêu phân tích các công cụ tấn công được nhóm đó sử dụng đã chỉ ra một mức độ phức tạp vượt khỏi hầu hết các nhóm tin tặc thông thường.

Sau đó nó đã tiếp tục vào tháng 07/2013, khi McAfee đã nêu bằng chứng được phát hiện gợi ý các cuộc tấn công của DarkSeoul là một phần của một chiến dịch đột nhập nguy hiểm và rộng lớn hơn mà đã và đang diễn ra trong ít nhất 4 năm.

3. Flame (Ngọn lửa)

Vào tháng 05/2012 Iran đã phát hiện nó đang bị đánh với một cuộc tấn công bằng phần mềm độc hại mức cao với cái tên đáng sợ Flame.

Đội Ứng cứu Khẩn cấp Máy tính của Iran (Maher) đã tiết lộ nó đã phát hiện cuộc tấn công đó mặc dù thực tế là Flame đã không bị 43 công cụ chống virus khác nhau phát hiện ra trước đó. Nó làm cho đội an ninh ở Kaspersky phải tìm kiếm nó, và chỉ sau khi Liên đoàn Viễn thông Quốc tế - ITU (International Telecommunication Union) của Liên hiệp quốc đã kêu gọi hãng tới để giúp phát hiện vì sao thông tin nhạy cảm đã bị xóa khắp Trung Đông.

Trong khi phát hiện ra Flame thì hãng an ninh Nga đã gắn nói như là “vũ khí không gian mạng phức tạp nhất từng bị phát hiện” và với vài chức năng lừng danh, bao gồm cả việc giám sát mạng, quét đĩa, chụp màn hình, ghi âm từ các microphone được xây dựng sẵn và thâm nhập vào các hệ điều hành Windows khác nhau.

“Flame có thể dễ dàng được mô tả như là một trong những mối đe dọa phức tạp nhất từ trước tới nay bị phát hiện. Nó là lớn và phức tạp chưa từng thấy. Nó xác định lại khác nhiều dấu hiệu của một cuộc chiến tranh không gian mạng và gián điệp không gian mạng”, nhà nghiên cứu Alexander Gostev của Kaspersky đã nói khi đó.

Việc phát hiện ra Flame từng không phải lần đầu tiên Iran đã tiết lộ nước này từng là mục tiêu của một vũ kỹ không gian mạng siêu tinh vi phức tạp, dù, như chúng ta sẽ thấy.

2. Vụ lùm xùm gián điệp PRISM

Trước mùa hè năm 2013, cái tên Edward Snowden chẳng có nghĩa gì và cái từ PRISM có thể được viết bằng chữ thường. Bây giờ, Snowden là tai họa của các cơ quan gián điệp ở cả 2 bờ Đại Tây dương, và PRISM chính danh được viết hoàn toàn bằng chữ hoa. Thứ nghiêm túc.

Theo nhiều cách PRISM đã chỉ phục vụ để khẳng định các lý thuyết hoang tưởng rằng các chính phủ đã và đang gián điệp các giao tiếp truyền thông số của chúng ta, nhưng mức độ gián điệp đã gây ra nhiều ngạc nhiên, khi cả NSA và GCHQ của Anh đã tham gia vào giám sát ồ ạt và thu thập dữ liệu của những người sử dụng web và các chính phủ.

Các cáp điện thoại đã bị nghe lén, điện thoại của các lãnh đạo bị cài rệp và các khóa mã hóa bị phá, tất cả vì những lợi ích an ninh quốc gia. Châu Âu từng tức giận và nhiều sự rà soát lại và báo cáo đã được đưa ra, dù dường như không ai thực sự đã làm bất kỳ điều gì sai trái cả - ngoại trừ Snowden, tất nhiên rồi.

Bất chấp các lỗ hổng pháp lý, dù, đối với các doanh nghiệp thì PRISM đã đánh dấu một thời điểm thác đổ nơi mà tính riêng tư dữ liệu và sự bảo vệ đã đi vượt ra khỏi nỗi sợ hãi của các tội phạm được xác định và đi vào thực tế của một câu chuyện của Franz Kafka hoặc George Orwell, nơi mà chính phủ của riêng bạn có thể ăn cắp và rình mò các dữ liệu riêng tư của bạn.

Như lời nói xưa: “Chỉ vì bạn hoang tưởng không có nghĩa là họ sẽ không đi theo sau bạn”.

1. Stuxnet

Stuxnet hoàn toàn có thể là là ví dụ thành công nhất của một cuộc tấn công có chủ đích bằng phần mềm độc hại, ít nhất với những gì đã trở thành tri thức công khai.

Việc ngắm đích chính xác các thiết bị kiểm soát công nghiệp từ hãng CNTT Siemens của Stuxnet đã dẫn các nhà nghiên cứu an ninh nhanh chóng tới kết luận rằng nó đã có chủ ý được một hoặc nhiều cơ quan an ninh nhà nước phát triển - được cho là Mỹ và Israel - để tấn công các mục tiêu đặc thù.

Trong trường hợp này, đó từng là các máy li tâm bằng việc làm cho chúng quay vượt ra khỏi sự kiểm soát trong khi ngụy trang hoạt động của nó bằng việc ghi lại một cách giả dối việc vận hành bình thường.

Stuxnet từng là một thời điểm thác đổ theo đó nó từng là cuộc tấn công không gian mạng thành công đầu tiên vào hạ tầng của một quốc gia khác. Nó bị chỉ trích từ nhiều người trong giới công nghiệp an ninh vì việc hợp pháp hóa sử dụng các vũ khí như vậy, và vì các quốc gia khác có thể có khả năng tùy biến thích nghi nó cho các mục đích của riêng họ.

Các phương án bị nghi ngờ của Stuxnet như Flame và Duqu đã từng được ghi chép thành tài liệu, và đã tác động tới các nước ngoài Iran, như Indonesia, Pakistan và Azerbaijan.

Since the first computer was connected to the internet we've seen a steady stream of a new malware variants and cyber scams doing the rounds. However, it's only in the last few years things have really heated up, with a number of startling revelations showing it's not just criminals playing fast and loose with the law and online data.

Since 2011 when the infamous Stuxnet malware was discovered, researchers have uncovered evidence that many of the most dangerous known hack campaigns are actually being carried out by government agencies. This is troubling as the attacks' cutting-edge technologies make them close to impossible to protect against. Worse still, the campaigns also give the average cyber criminal ideas about ways to improve their own attacks.

As a consequence, even if a business is not the direct victim of a government attack, their CIO still needs to stay savvy and learn from the state victim's plight. To help with this we've come up with a definitive list of the 10 worst state-sponsored hack campaigns that IT managers need to be aware of.

10. Shady RAT

Shady RAT is a remote access Trojan (RAT), which hit the headlines in 2011 after McAfee discovered numerous governments' and companies' networks had been compromised as part of a mass scale state-sponsored hacking campaign.

McAfee learned of the campaign after it gained access to a command-and-control server used by the attackers and collected log details revealing all the victims since 2006.

The McAfee research revealed that during its peak the Shady RAT campaign spanned 14 countries and compromised a staggering 72 organisations - including the United Nations, defence contractors and even Olympic committees.

Operation Shady RAT shares many similarities with the Operation Aurora and Night Dragon hack campaigns, and is believed to have been funded by the Chinese government.

9. Red October

Red October was uncovered by Kaspersky in January 2013. The security firm was fairly coy about divulging where it thought the attacks originated from, but the techniques employed by the miscreants pointed towards something fairly advanced.

"Attackers created unique, highly flexible malware to steal data and geopolitical intelligence from target victims' computer systems, mobile phones and enterprise network equipment," the report said at the time.

The malware targeted governments and political groups as well as businesses, with the majority of the infections found in Russia and Kazakhstan. Signs which pointed towards a state-sponsored attack include an advanced "resurrection module" which fooled users into thinking it had been removed. The malware also included traces of software used by the likes of Nato and the EU.

8. APT1

The APT1 hack campaign was uncovered by security firm Mandiant in February 2013. The campaign is notorious not just because it is believed to have successfully hacked 141 companies across the world, but also because of its alleged links to the Chinese government.

While there had been numerous accusations suggesting China may have been funding cyber attacks, APT1 was the first serious campaign to have a security firm directly name the Chinese. Specifically, Mandiant reported linking the campaign to a Chinese military unit based in Shanghai's Pudong district.

7. Mask

Mask is a notorious hack campaign uncovered by Russian security firm Kaspersky in February targeting diplomatic offices and embassies, energy, oil and gas companies, research institutions, private equity firms and activists with malware.

The Kaspersky researchers listed the Mask campaign as one of the most advanced ever seen, claiming it features several defence-dodging capabilities that make it almost impossible to defend against. The researchers said the advanced powers have allow the hackers to infiltrate 380 governments and businesses across 31 countries including the UK.

While it remains unknown who is behind the Mask campaign, researchers have taken its advanced nature as a sign it is state sponsored.

6. Duqu

The Duqu malware originally reared its ugly head in the fall of 2011, when it was spotted targeting numerous company and government systems in the Middle East and North Africa.

The Duqu malware caused waves in the security community as it used a mysterious, never before seen programming language. Some researchers believe Duqu is linked to Stuxnet - some have gone so far as to claim it may well have been created by the same group of hackers.

Whatever the case may be, Duqu is certainly scary in its own right and is designed to steal information that could be used to mount attacks on industrial control systems - the things running our critical infrastructure.

5. Gauss

Gauss was a particularly nasty espionage-focused malware uncovered by Russian security firm Kaspersky in 2013.

The malware is dangerous as it held several similarities to other advanced malware, like the infamous Flame. Gauss however was atypical as despite having all the hallmarks of a traditional espionage-focused, government-made malware, its target base wasn't a power plant or government department.

Instead the Gauss campaign had a specific focus on stealing data from financial institutions. Worse still, the full scale of the campaign remains unknown, though Kaspersky researchers estimate it has infected at least 2,500 machines.

4. DarkSeoul

Relations between North and South Korea are tense at the best of times. Traditionally it's been North Korea's nuclear programme that has dominated the headlines and been a key reason for this. However, in 2013 this all changed, when hackers operating under the DarkSeoul alias claimed responsibility for a wave of attacks on several of the nation's banks and broadcasters.

Since then security experts from around the globe have compiled a growing list of evidence suggesting the DarkSeoul group is state sponsored. This started with Symantec in June 2013, which reported analysis of the attack tools used by the group showed a level of sophistication beyond most normal hacker groups.

It then continued in July 2013, when McAfee reported uncovering evidence suggesting the Dark Seoul attacks are part of a wider more dangerous hacking operation that has been ongoing for at least four years.

3. Flame

In May 2012 Iran revealed it was being hit by a high-level malware attack with the scary name of Flame.

The Iranian Computer Emergency Response Team (Maher) revealed it had discovered the attack despite the fact Flame had previously remained hidden from 43 different antivirus tools. It took the security team at Kaspersky to find it, and that was only after the UN’s International Telecommunication Union called the firm in to help discover why sensitive information was being deleted across the Middle East.

On discovering Flame the Russian security firm labelled it the "most sophisticated cyber weapon yet unleashed" and with several high-profile functions, including network monitoring, disk scanning, screen capturing, recording sound from in-built microphones and infiltrating various Windows systems.

"Flame can easily be described as one of the most complex threats ever discovered. It's big and incredibly sophisticated. It pretty much redefines the notion of cyberwar and cyber-espionage," Kaspersky researcher Alexander Gostev said at the time.

Flame's uncovering was not the first time Iran revealed it was the target of a hyper-sophisticated cyber weapon, though, as we shall see.

2. PRISM spying scandal

Prior to summer 2013, the name Edward Snowden meant nothing and the word prism would have been written in lowercase. Now, though, Snowden is the scourge of spy agencies on both sides of the Atlantic, and PRISM has the notoriety of being written entirely in capital letters. Serious stuff.

In many ways PRISM only served to confirm paranoid theories that governments had been spying on our digital communications, but the scale of the espionage took many aback, as both the NSA and the UK’s GCHQ engaged in mass surveillance and data gathering of web users and governments.

Phone cables were tapped, world leaders’ phones bugged and encryption keys broken, all in the interests of national security. Europe was outraged and numerous reviews and reports have been commissioned, although no-one seems to have actually done anything wrong - except Snowden of course.

Regardless of legal loopholes, though, for businesses PRISM marked a watershed moment where data privacy and protection went beyond the fear of determined criminals and into the realms of a Franz Kafka or George Orwell story, where your own government may steal and pry on your private data.

As the old saying goes: "Just because you're paranoid doesn't mean they aren't after you."

1. Stuxnet

Stuxnet is quite possibly the most successful example of a targeted malware attack, at least of those that have become public knowledge.

The precise targeting of industrial controller devices from IT firm Siemens by Stuxnet led security researchers to quickly come to the conclusion that it was deliberately developed by one or more state security agencies - purported to be US and Israeli - in order to attack specific targets.

In this case it was centrifuge equipment being used to refine uranium at Iran's nuclear facilities. The malware almost wrecked the centrifuges by causing them to spin out of control while masking its activity with faked recordings showing normal functioning.

Stuxnet was a watershed moment in that it was the first known successful cyber attack on another nation's infrastructure. It has been criticised by many in the security industry for legitimising the use of such weapons, and because other nations may be able to adapt it for their own purposes.

Suspected variants of Stuxnet such as Flame and Duqu have already been documented, and have affected countries outside Iran, such as Indonesia, Pakistan and Azerbaijan.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com