By
Morgan Marquis-Boire, Claudio Guarnieri, and Ryan Gallagher,
11/25/2014
Bài
được đưa lên Internet ngày: 25/11/2014
Lời
người dịch: Lại một SIÊU SIÊU SIÊU phần mềm độc
hại nữa dành riêng cho Windows,
được cho là do các cơ quan an ninh và tình báo NSA - Mỹ
và GCHQ - Anh cùng tạo ra, đánh
vào các hệ thống mạng của hãng viễn thông Bỉ Belgacom
và Liên minh châu Âu, có tên là Regin.
“Ronald Prins, một chuyên gia an
ninh của hãng Fox IT
được thuê để loại bỏ phần mềm độc hại đó khỏi
các mạng của Belgacom, đã nói
cho Intercept rằng đó là “phần
mềm độc hại tinh vi phức tạp nhất”
mà anh ta từng nghiên cứu”. “Phần
mềm độc hại đó ăn cắp dữ
liệu từ các hệ thống bị lây nhiễm và tự ngụy trang
nó như là phần mềm hợp pháp của Microsoft,
cũng đã được xác định trong các hệ thống máy tính
của Liên minh châu Âu mà đã bị ngắm đích để Cơ quan
An ninh Quốc gia Mỹ (NSA) giám sát”. Để
tải về phần mềm độc hại
đó, nháy vào
đây. Xem thêm: Chương
trình gián điệp của NSA trên không gian mạng.
Phần
mềm độc hại phức tạp Regin là công nghệ bị nghi ngờ
đằng sau các cuộc tấn công không gian mạng tinh vi phức
tạp do các cơ quan tình báo của Mỹ và Anh tiến hành
nhằm vào Liên minh châu Âu và công ty viễn thông Bỉ,
theo các nguồn tin và phân tích kỹ thuật của giới công
nghiệp an ninh do Intercept tiến hành.
Regin
đã được tìm thấy trong các hệ thống máy tính nội bộ
và các máy chủ thư điện tử bị lây nhiễm ở Belgacom,
một nhà cung cấp dịch vụ điện thoại và Internet một
phần do nhà nước Bỉ sở hữu, sau các báo cáo vào cuối
năm ngoái rằng hãng này từng là đích ngắm trong một
chiến dịch giám sát tuyệt mật do cơ quan gián điệp Anh
GCHQ tiến hành, nguồn của giới công nghiệp đã nói cho
tờ Intercept biết.
Phần
mềm độc hại đó ăn cắp dữ liệu từ các hệ thống
bị lây nhiễm và tự ngụy trang nó như là phần mềm hợp
pháp của Microsoft, cũng đã được xác định trong các hệ
thống máy tính của Liên minh châu Âu mà đã bị ngắm
đích để Cơ quan An ninh Quốc gia Mỹ (NSA) giám sát.
Chiến
dịch đột nhập chống lại Belgacom và Liên minh châu Âu
lần đầu tiên bị phát hiện vào năm ngoái qua các tài
liệu bị người thổi còi NSA Edward Snowden làm rò rỉ.
Tuy nhiên, phần mềm độc hại đặc biệt đó được sử
dụng trong các cuộc tấn công đã không bao giờ được
tiết lộ.
Phần
mềm độc hại Regin, sự tồn tại của nó lần
đầu tiên được hãng Symantec nêu vào hôm chủ nhật,
là trong số các phần mềm độc hại tinh vi phức tạp
nhất mà các nhà nghiên cứu từng phát hiện. Symantec đã
so sánh Regin với Stuxnet, một chương trình phần mềm độc
hại do nhà nước cấp vốn được Mỹ và Israel cùng phát
triển để phá hoại các máy tính ở một cơ sở hạt
nhân của Iran.
Các
nguồn tin thân cận với các cuộc điều tra nội bộ ở
Belgacom và Liên minh châu Âu đã
khẳng định với tờ Intercept rằng phần mềm độc hại
Regin đã được tìm thấy trong các hệ thống của họ
sau khi chúng đã bị tổn thương, liên kết công cụ gián
điệp đó tới các chiến dịch bí mật của GCHQ và NSA.
Ronald Prins, một chuyên gia an ninh của hãng Fox
IT được thuê để loại bỏ phần
mềm độc hại đó khỏi các mạng của Belgacom,
đã nói cho Intercept rằng đó là “phần mềm độc hại
tinh vi phức tạp nhất” mà anh ta từng nghiên cứu.
“Đã
phân tích phần mềm độc hại này và đã nhìn vào các
tài liệu của Snowden [được xuất bản trước đó]”,
Prins nói, “Tôi bị thuyết phục Regin được các dịch
vụ tình báo của Anh và Mỹ sử dụng”.
Một
người phát ngôn cho Belgacom đã từ chối bình luận đặc
biệt về các tiết lộ Regin, nhưng nói rằng hãng đã
chia sẻ “mọi yếu tố về cuộc tấn công đó” với
một công tố viên của liên bang ở Bỉ, người đang tiến
hành một cuộc điều tra tội phạm trong vụ đột nhập
trái phép đó. “Không có khả năng đối với chúng tôi
để bình luận về điều này”, Jan Margot, người phát
ngôn cho Belgacom, nói. “Luôn từng rõ ràng đối với
chúng tôi rằng phần mềm độc hại đó là tinh vi phức
tạp cao độ, nhưng toàn bộ câu chuyện làm sạch nó
thuộc về quá khứ đối với chúng tôi”.
Trong
một nhiệm vụ đột nhập có tên là Operation
Socialist, GCHQ đã giành được sự truy cập tới các hệ
thống nội bộ của Belgacom vào năm 2010 bằng việc nhằm
vào các kỹ sư ở hãng này. Cơ quan đó đã bí mật cài
đặt cái gọi là “các cài cắm” phần mềm độc hại
lên các máy tính của các nhân viên bằng việc gửi đi
các kết nối Internet của họ tới một trang
LinkedIn giả mạo. Trang LinkedIn
độc hại đó đã khởi xướng một cuộc tấn công độc
hại, gây lây nhiễm cho các máy tính của các nhân viên
và trao cho bọn gián điệp toàn bộ sự kiểm soát các hệ
thống của họ, cho phép GCHQ đi sâu vào bên trong các mạng
của Belgacom để ăn cắp các dữ liệu.
Các
cài cắm đã cho phép GCHQ tiến hành sự giám sát các giao
tiếp truyền thông nội bộ của Belgacom và trao cho các
gián điệp Anh khả năng thu thập dữ liệu từ mạng và
các máy tính của hãng, bao gồm cả của Ủy ban châu Âu,
Nghị viện châu Âu và Hội đồng châu Âu. Các cài cắm
phần mềm đó được sử dụng trong trường hợp này
từng là một phần của bộ các phần mềm độc hại bây
giờ được biết như là Regin.
Một
trong những điều chủ chốt đối với Regin là sự giấu
giếm của nó: Để tránh bị dò tìm ra và làm bối rối
sự phân tích, phần mềm độc hại được sử dụng
trong các chiến dịch như vậy thường xuyên gắn vào một
thiết kế dạng theo module. Điều này liên quan tới sự
phát triển của phần mềm độc hại theo các bước, làm
cho khó khăn hơn để phân tích và làm giảm nhẹ các rủi
ro nhất định bị phát bắt.
Dựa
vào một phân tích các mẫu phần mềm độc hại, Regin
dường như đã được phát triển trong một quá trình dài
hơn 1 thập kỷ; Intercept đã nhận diện được các dấu
vết các thành phần của nó đề ngày tháng từ năm 2003.
Regin từng
được nhắc tới trong một hội nghị Hack.lu gần đây
ở Luxembourg, và báo
cáo của Symantec hôm chủ nhật nói hãng này đã nhận
diện ra Regin trong các hệ thống bị lây nhiễm do các
công ty tư nhân, các thực thể chính phủ, và các viện
nghiên cứu ở các quốc gia như Nga, Ả rập Xê út,
Mexico, Ailen, Bỉ và Iran, vận hành.
Việc
sử dụng các kỹ thuật đột nhập và phần mềm độc
hại trong gián điệp được nhà nước tài trợ từng
được công
khai viết thành tài liệu trong vài năm qua: Trung Quốc
đã có kết nối tới gián điệp không gian mạng cường
độ lớn, và gần đây chính phủ Nga cũng bị
tố đã đứng đằng sau một cuộc tấn công không
gian mạng nhằm vào Nhà Trắng. Regin tiếp tục thể hiện
rằng các cơ quan tình báo phương Tây cũng có liên quan
trong các vụ gián điệp không gian mạng giấu giếm.
GCHQ
đã từ chối bình luận về câu chuyện này. Cơ quan này
đã đưa ra câu trả lời tiêu chuẩn của mình cho những
yêu cầu, nói rằng “điều đó thuộc về chính sách mà
chúng tôi không bình luận về các vấn đề tình báo”
và “tất cả công việc của GCHQ được triển khai tuân
theo một khung pháp lý và chính sách nghiêm ngặt, đảm
bảo rằng các hoạt động của chúng tôi là được phép,
cần thiết và phù hợp”.
NSA
đã nói trong một tuyên bố, “Chúng tôi sẽ không bình
luận về các nghi vấn của tờ Intercept”.
Intercept
đã có được các mẫu phần mềm độc hại từ các
nguồn tin trong cộng đồng an ninh và đang làm cho nó sẵn
sàng công khai để tải về trong một nỗ lực khuyến
khích nghiên cứu và phân tích tiếp. (Để tải về phần
mềm độc hại đó, nháy vào
đây. Tệp này được mã hóa; để truy cập nó trên
máy tính của bạn, hãy sử dụng mật khẩu “infected”
(bị lây nhiễm)). Những gì tiếp sau là một phân tích kỹ
thuật ngắn gọn về Regin do các nhân viên an ninh máy tính
của Intercept tiến hành. Regin là một mẩu công việc
nhiều khía cạnh và cực kỳ phức tạp và phân tích chưa
phải là cuối cùng.
Trong
các tuần tới, Intercept sẽ xuất bản nhiều chi tiết hơn
về Regin và sự thâm nhập vào Belgacom như một phần của
một cuộc điều tra trong mối quan hệ đối tác với các
tờ báo của Bỉ và Đức là De
Standaard và NRC
Handelsblad.
Gốc
gác của Regin
Trong
thần thoại Bắc Âu, cái tên Regin có liên quan tới một
người lùn hung bạo bị hư hỏng do tham lam. Không rõ bằng
cách nào mà Regin lần đầu có cái tên đó, nhưng cái tên
đó đã xuất hiện lần đầu trên website VirusTotal vào
ngày 09/03/2011.
Tờ
Der Spiegel đã nêu rằng, theo các tài liệu của Snowden,
các
mạng máy tính của Liên minh châu Âu đã bị NSA thâm nhập
trong các tháng trước khi lần đầu tiên Regin bị phát
hiện.
Các
nguồn tin của giới công nghiệp thân cận với vụ thâm
nhập trái phép vào Nghị viện châu Âu đã nói cho tờ
Intercept rằng các cuộc tấn công như vậy đã được
tiến hành thông qua sử dụng Regin và các mẫu về mã của
nó được cung cấp. Phát hiện này, nguồn tin nói, có thể
là những gì mang Regin tới sự chú ý rộng hơn đối với
các nhà bán hàng an ninh.
Cũng
vào ngày 09/03/2011, Microsoft đã bổ sung các khoản có liên
quan vào Bách khoa toàn thư Phần mềm độc hại (Malware
Encyclopedia) của hãng:
Mức cảnh báo: Nghiêm trọng
Xác định lần đầu được dò tìm ra: 1.99.894.0
Xác định lần mới nhất được dò tìm ra: 1.173.2181.0
và cao hơn
Lần đầu được dò tìm ra: 09/03/2011
Khoản này lần đầu được xuất bản ngày: 09/03/2011
Khoản này đã được cập nhật tại: Chưa có
2
biến thể nữa về Regin đã được bổ sung vào Bách khoa
toàn thư đó, Regin.B
và Regin.C.
Microsoft dường như dò tìm ra các biến thể 64 bit của
Regin như là Prax.A và Prax.B. Không biến thể nào trong số
các khoản Regin/Prax được cung cấp với bất kỳ dạng
tóm tắt hay thông tin kỹ thuật nào.
Các
thành phần Regin sau đây đã được nhận diện:
Các
trình tải
Bước
đầu tiên là các trình điều khiển mà hành động như
các trình tải cho bước 2. Chúng có một khối được mã
hóa trỏ tới vị trí của tải bước 2. Trong
hệ thống tệp NTFS, đó là một Dòng Ghi nhận Mở rộng
(Extended Attribute Stream); còn trên FAT, chúng sử dụng đăng
ký để lưu trữ thân nội dung. Khi được khởi
động, bước này đơn giản tải và chạy Bước 2.
Các
trình tải của Regin được ngụy trang như là các trình
điều khiển của Microsoft với các tên như:
serial.sys
cdaudio.sys
atdisk.sys
parclass.sys
usbclass.sys
Việc
làm giống như các trình điều khiển của Microsoft cho
phép các trình tải ngụy trang tốt hơn sự hiện diện
của chúng trong hệ thống và dường như ít bị nghi ngờ
hơn đối với các hệ thống dò tìm thâm nhập máy chủ
trái phép.
Trình
tải bước 2
Khi
được khởi tạo, nó xóa sạch các dấu vết của trình
tải ban đầu, tải phần tiếp theo của bộ công cụ và
giám sát sự thực thi của nó. Nếu hỏng, Bước 2 có khả
năng hủy lây nhiễm cho thiết bị bị tổn thương. Phần
mềm độc hại sẽ vô hiệu hóa các đầu đề (header) PE
(Portable Executable, định dạng thực thi của Windows)
của nó trong bộ nhớ, thay thế “MZ” bằng con đánh dấu
ma thuật của riêng nó 0xfedcbafe.
Dàn
phối
Thành
phần này gồm một trình dàn phối dịch vụ làm việc
trong nhân Windows. Nó khởi tạo
các thành phần cốt lõi của kiến trúc đó và tải các
phần tiếp theo của phần mềm độc hại.
Các
trình thu hoạch thông tin
Bước
này bao gồm một trình dàn phối dịch vụ nằm trong vùng
của người sử dụng, được cung cấp bằng nhiều module
được tải lên một cách động khi cần thiết. Các
module đó có thể bao gồm các trình thu thập dữ liệu,
một máy tự bảo vệ để dò tìm ra nếu các nỗ lực dò
tìm bộ công cụ đó diễn ra, chức năng cho các giao tiếp
truyền thông được mã hóa, các chương trình nắm bắt
mạng, và các trình điều khiển từ xa các dạng khác
nhau.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.