NSA nhằm vào để gây lây nhiễm cho 'hàng triệu' máy tính khắp thế giới với phần mềm độc hại; Nhằm vào các nhà quản trị hệ thống của các công ty viễn thông và các ISP

NSA Aiming To Infect 'Millions' Of Computers Worldwide With Its Malware; Targets Telco/ISP Systems Administrators

by Tim Cushing, Wed, Mar 12th 2014

Theo: https://www.techdirt.com/articles/20140312/07334826545/nsa-aiming-to-infect-millions-computers-worldwide-with-its-malware-targets-telcoisp-systems-administrators.shtml

Bài được đưa lên Internet ngày: 12/03/2014

Lời người dịch: Một số người cho rằng, việc NSA làm suy yếu và xói mòn an ninh Internet chỉ để làm cho mỗi mình NSA có khả năng khai thác các chỗ bị tổn thương trong các hệ thống bị ngắm đích. Điều đó là hết sức thiển cận. Một khi bạn đục một lỗ thủng để con mèo chui qua được, thì con chuột, con dán cũng sẽ chui qua được. Mikko Hypponen, một chuyên gia về phần mềm độc hại, là giám đốc nghiên cứu tại hãng Phần Lan F-Secure, gọi các tiết lộ đó là “đáng lo ngại”. Các kỹ thuật giám sát của NSA, ông cảnh báo, có thể cố tình làm xói mòn an ninh của Internet. “Khi họ triển khai các phần mềm độc hại trong các hệ thống”, Hypponen nói, “họ tiềm tàng tạo ra các chỗ bị tổn thương mới trong các hệ thống đó, làm cho chúng có khả năng bị tổn thương hơn cho các cuộc tấn công của các bên thứ ba”. Một trong các chiến thuật NSA sử dụng là đánh vào các máy tính của các quản trị viên hệ thống. Trạm nội bộ - được gọi là “Tôi săn các quản trị viên” - làm rõ rằng những kẻ khủng bố sẽ không là các mục tiêu duy nhất đối với các cuộc tấn công của NSA. Việc gây tổn thương cho một quản trị viên hệ thống, đặc vụ này lưu ý, làm dễ dàng hơn để có được các mục tiêu quan tâm khác, bao gồm bất kỳ “quan chức chính phủ nào mà ngẫu nhiên đang sử dụng mạng mà một số quản trị viên chăm sóc”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

from the so,-telco-sys-admins-are-now-'national-security-threats'-or-did-I-miss-t dept

Cơ quan An ninh Quốc gia (NSA) vẫn đang làm việc cật lực để làm cho sử dụng máy tính của thế giời ít an toàn hơn. Rò rỉ mới nhất do Intercept xuất bản chỉ ra cơ quan này lên kế hoạch gây lây nhiễm cho “hàng triệu” máy tính khắp thế giới với các phần mềm độc hại, làm dễ dàng hơn cho NSA để thu thập các dữ liệu và các giao tiếp truyền thông từ các máy tính bị tổn thương đó.

Các tệp bí mật - trước đó được người thổi còi NSA Edward Snowden cung cấp - có các chi tiết mới về công nghệ giám sát đột phá mà cơ quan đó đã phát triển để gây lây nhiễm tiềm tàng cho hàng triệu máy tính trên thế giới với các “cài cắm” phần mềm độc hại. Sáng kiến bất chính đó cho phép NSA đột nhập vào các máy tính bị ngắm đích và ép phun ra các dữ liệu từ các mạng điện thoại và Internet nước ngoài.

Các phương pháp được chi tiết hóa bao gồm việc ngụy trang như một máy chủ Facebook và gửi đi các thư điện tử spam rác để lật đổ các máy tính của người sử dụng và trao cho NSA sự truy cập tới các tệp cục bộ cũng như sự kiểm soát các webcam và micro. Cơ quan này không chỉ làm việc tích cực để làm chậm các sửa lỗi để khai thác các hệ thống, mà nhiệm vụ của các phần mềm độc hại liên tục của nó đảm bảo rằng việc sử dụng một máy tính và/hoặc việc truy cập tới web sẽ luôn nguy hiểm hơn so với nó đáng có.

Mikko Hypponen, một chuyên gia về phần mềm độc hại, là giám đốc nghiên cứu tại hãng Phần Lan F-Secure, gọi các tiết lộ đó là “đáng lo ngại”. Các kỹ thuật giám sát của NSA, ông cảnh báo, có thể cố tình làm xói mòn an ninh của Internet.

“Khi họ triển khai các phần mềm độc hại trong các hệ thống”, Hypponen nói, “họ tiềm tàng tạo ra các chỗ bị tổn thương mới trong các hệ thống đó, làm cho chúng có khả năng bị tổn thương hơn cho các cuộc tấn công của các bên thứ ba”.

NSA đã viện lý trước đó rằng các mục tiêu phần mềm độc hại của nó là các mối đe dọa an ninh quốc gia nghiêm trọng. Nhưng bằng chứng được đưa ra ở đây làm xói mòn sự phòng vệ này đối với sự phát triển phần mềm độc hại của NSA.

Trong một bài viết bí mật trong thông điệp nội bộ cho lãnh đạo, một đặc vụ từ Ban giám đốc Tình báo Dấu hiệu của NSA - SIGINT (Signals Intelligence) mô tả việc sử dụng các cuộc tấn công bằng phần mềm độc hại chống lại các nhà quản trị hệ thống làm việc tại các nhà cung cấp dịch vụ Internet (ISP) và điện thoại nước ngoài. Bằng việc đột nhập vào máy tính của người quản trị, cơ quan này có thể có được sự truy cập giấu giếm tới các giao tiếp truyền thông mà công ty của người quản trị đó sở hữu. “Các quản trị viên hệ thống là một phương tiện tới một sự kết thúc”, đặc vụ này viết.

Trạm nội bộ - được gọi là “Tôi săn các quản trị viên” - làm rõ rằng những kẻ khủng bố sẽ không là các mục tiêu duy nhất đối với các cuộc tấn công của NSA. Việc gây tổn thương cho một quản trị viên hệ thống, đặc vụ này lưu ý, làm dễ dàng hơn để có được các mục tiêu quan tâm khác, bao gồm bất kỳ “quan chức chính phủ nào mà ngẫu nhiên đang sử dụng mạng mà một số quản trị viên chăm sóc”.

Báo cáo của Intercept lưu ý rằng GCHQ đã triển khai các chiến thuật tương tự, đột nhập vào các máy tính do các kỹ sư hệ thống của Belgacom sở hữu. Các cuộc tấn công bằng phần mềm độc hại đi vượt ra khỏi các máy tính của những người sử dụng đầu cuối, nhằm vào các bộ định tuyến router và làm cho cơ quan đó dễ bị các cuộc tấn công người giữa đường (man-in-the-middle) (thứ gì đó đã trở thành cần thiết hơn nhiều khi mà ngày càng ít người hơn thực sự cởi mở, ít hơn nhiều nháy vào các đường liên kết trong các thư spam). NSA có lẽ thấy tất cả điều này như một cuộc chơi công bằng - một phương tiện tới một sự kết thúc - nhưng sự thật xấu xí là các cố gắng đột nhập/phần mềm độc hại của cơ quan đó không bị giới hạn chỉ đối với các mối đe dọa, mà còn cho bất kỳ người/thiết bị nào mà nó tin tưởng có thể đưa ra sự truy cập tới thậm chí nhiều hơn các dữ liệu và giao tiếp truyền thông. Tại thời điểm này, điều duy nhất làm chậm cơ quan này là mức độ bạo dạn trơ tráo của nó đối với sự triển khai của cơ quan đó.

“Một trong những thách thức lớn nhất đối với một cuộc tấn công/SIGINT là phạm vi”, trình chiếu tuyệt mật từ năm 2009 giải thích. “Khả năng giới hạn 'các trình điều khiển' đối với sự khai thác phạm vi rộng (con người có xu hướng hoạt động bên trong môi trường của riêng họ, không tính tới bức tranh rộng lớn hơn)”.

Chương trình đó - sử dụng TURBINE được thảo luận trước đó (một phần của các Hoạt động Truy cập Tùy biến được - TAO của cơ quan đó), cũng như vài công cụ khác của NSA như SECONDDATE và WILLOWVIXEN - được nhằm vào “việc sở hữu Internet” theo các tài liệu rò rỉ. “Quyền chủ sở hữu” Internet này cuối cùng thuộc về công chúng Mỹ, bất chấp họ muốn nó hay không - cái thẻ giá (theo Ngân sách Đen bị rò rỉ) từng là 67.6 triệu USD vào năm ngoái. Khi phạm vi tiếp tục mở rộng, ngân sách cũng sẽ mở rộng. Kết quả cuối cùng là công chúng Mỹ đang cấp vốn cho việc làm suy yếu các tiêu chuẩn an ninh và mã hóa toàn cầu, tất cả dưới danh nghĩa “an ninh quốc gia”.

Lúc này, không cơ quan nào (GCHQ, NSA) đã đưa ra được bất kỳ thứ gì hơn văn bản được gói gọn “tuân theo với các luật chính sách/áp dụng được” khi trả lời cho các rò rỉ mới nhất đó. (Chỉ GCHQ đã trả lời cho tới nay). NSA có thể cố gắng chuyển các nỗ lực đó khỏi các chủ đề nước ngoài “nhắm đích”, cố tình phớt lờ các số liệu thực tế là Internet không có đường biên giới thực, và rằng việc làm xói mòn an ninh của những người sử dụng khắp thế giới - bất luận “mục tiêu” được nêu là gì - cũng làm cho thế giới điện toán ít an toàn hơn cho từng người có liên quan, bao gồm cả những người sử dụng trong nội địa.

The NSA is still working hard to make the world's computer usage less safe. The latest leak published by The Intercept shows the agency plans to infect "millions" of computers worldwide with malware, making it easier for the NSA to harvest data and communications from these compromised machines.

The classified files – provided previously by NSA whistleblower Edward Snowden – contain new details about groundbreaking surveillance technology the agency has developed to infect potentially millions of computers worldwide with malware “implants.” The clandestine initiative enables the NSA to break into targeted computers and to siphon out data from foreign Internet and phone networks.

The methods detailed include the agency masquerading as a Facebook server and sending out laced spam emails in order to subvert users' computers and give the NSA access to local files as well as control of webcams and microphones. Not only does the agency actively work to delay bug fixes in order to exploit systems, but its ongoing malware mission ensures that using a computer and/or accessing the web will always be more dangerous than it should be.

Mikko Hypponen, an expert in malware who serves as chief research officer at the Finnish security firm F-Secure, calls the revelations “disturbing.” The NSA’s surveillance techniques, he warns, could inadvertently be undermining the security of the Internet.

“When they deploy malware on systems,” Hypponen says, “they potentially create new vulnerabilities in these systems, making them more vulnerable for attacks by third parties.”

The NSA has argued previously that its malware targets are strictly national security threats. But the evidence provided here undermines this defense of NSA malware deployment.

In one secret post on an internal message board, an operative from the NSA’s Signals Intelligence Directorate describes using malware attacks against systems administrators who work at foreign phone and Internet service providers. By hacking an administrator’s computer, the agency can gain covert access to communications that are processed by his company. “Sys admins are a means to an end,” the NSA operative writes.

The internal post – titled “I hunt sys admins” – makes clear that terrorists aren’t the only targets of such NSA attacks. Compromising a systems administrator, the operative notes, makes it easier to get to other targets of interest, including any “government official that happens to be using the network some admin takes care of.”

The Intercept's report notes that the GCHQ has deployed similar tactics, hacking into computers owned by Belgacom system engineers. The malware attacks go far beyond end user computers, targeting routers and setting the agency up for man-in-the-middle attacks (something that has become far more necessary as fewer and fewer people actually open, much less click links in spam email). The NSA may view this all as fair game -- a means to an end -- but the ugly truth is that the agency's malware/hacking attempts are not limited to threats, but rather any person/service it believes can offer access to even more communications and data. At this point, the only thing slowing the agency down is the audacious size of its undertaking.

“One of the greatest challenges for active SIGINT/attack is scale,” explains the top-secret presentation from 2009. “Human ‘drivers’ limit ability for large-scale exploitation (humans tend to operate within their own environment, not taking into account the bigger picture).”

The program -- utilizing the previously discussed TURBINE (part of the agency's TAO - Tailored Access Operations), as well as several other NSA tools like SECONDDATE and WILLOWVIXEN -- is aimed at "Owning the Internet" according to the leaked documents. This internet "ownership" ultimately belongs to the American public, whether they want it or not -- the price tag (according to the leaked Black Budget) was $67.6 million last year. As the scope continues to broaden, the budget will expand as well. The end result is the US public funding the weakening of security standards and encryption worldwide, all in the name of "national security."

At this point, neither agency named (GCHQ, NSA) has offered anything more than canned "in accordance with policy/applicable laws" text in response to the latest leaks. (Only the GCHQ has responded so far.) The NSA may try pass these efforts off as "targeting" foreign subjects, deliberately ignoring the facts that the internet has no real borders, and that undermining the security of users worldwide -- no matter what the stated "goal" -- makes the computing world less safe for everyone involved, including domestic end users.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com