Critical
networks in US, 15 other nations, completely owned, possibly by Iran
Chiến
dịch Con dao pha chiếm gần như hoàn toàn sự kiểm soát
các hãng hàng không, các nhà sản xuất khí, quân sự.
Operation
Cleaver gets near-complete control of airlines, gas producers,
defense.
by
Dan Goodin - Dec 3 2014, 5:30am ICT
Bài
được đưa lên Internet ngày: 03/12/2014
Lời
người dịch: Phát hiện mới nhất từ các tin tặc Iran
là Chiến dịch Con dao pha đánh
vào 50 hạ tầng sống còn của 16 quốc gia trên thế giới
trong vòng hơn 2 năm qua. “Hơn
2 năm qua, các tin tặc thân Iran
đã thâm nhập trái phép một vài mạng máy tính nhạy cảm
nhất thế giới, bao gồm các mạng của các hãng hàng
không, nhà sản xuất ô tô, nhà sản xuất khí tự nhiên,
nhà thầu quân sự, và cơ sở quân sự
có trụ sở ở Mỹ, các nhà nghiên cứu về an toàn, nói”.
“Có lẽ bằng chứng ớn lạnh
xương nhất mà chúng tôi đã thu thập được trong chiến
dịch này là việc ngắm đích và làm tổn thương các
mạng giao thông và các hệ thống như các máy bay và các
sân bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ
truy cập dường như ở khắp mọi nơi:
các miền Active Directory đã hoàn toàn bị tổn thương,
cùng với toàn bộ các chuyển mạch switch Cisco Edge, các
bộ định tuyến router và hạ tầng kết nối mạng nội
bộ. Hoàn toàn bị tổn thương các ủy quyền VPN có nghĩa
hạ tầng truy cập ở xa toàn bộ chuỗi cung ứng của họ
nằm dưới sự kiểm soát của đội Con dao pha, cho phép
thường trực liên tục với các ủy quyền bị tổn
thương. Họ đã đạt được
sự truy cập hoàn toàn tới các cổng sân bay và các hệ
thống kiểm soát an toàn của chúng,
tiềm tàng cho phép họ đánh lừa được các ủy quyền
của các cổng. Họ đã giành
được sự truy cập tới các ủy quyền của PayPal và Go
Daddy, cho phép họ thực hiện các cuộc mua sắm giả mạo
và cho phép truy cập không bị cùm tới các miền của các
nạn nhân. Chúng
tôi đã chứng kiến một lượng truy cập thật sốc trong
các phần sâu nhất của các công ty đó và các sân bay ở
đó họ vận hành”. Tài liệu
kỹ thuật chi tiết về chiến dịch này có ở
đây.
Hơn
2 năm qua, các tin tặc thân Iran đã thâm nhập trái phép
một vài mạng máy tính nhạy cảm nhất thế giới, bao
gồm các mạng của các hãng hàng không, nhà sản xuất ô
tô, nhà sản xuất khí tự nhiên, nhà thầu quân sự, và
cơ sở quân sự có trụ sở ở Mỹ, các nhà nghiên cứu
về an toàn, nói.
Trong
nhiều trường hợp, “Chiến dịch Con dao pha”, như đang
được gọi chiến dịch đột nhập liên tục, đã đạt
tới các mức truy cập hệ thống cao nhất các mục tiêu
nằm ở tổng cộng 16 nước, thao một báo
cáo do hãng an toàn Cylance hôm thứ ba xuất bản. Các
hệ thống bị tổn thương trong các cuộc tấn công đang
diễn ra bao gồm các trình kiểm soát miền Active Directory
mà lưu trữ các ủy quyền đăng nhập của các nhân viên,
các máy chủ chạy Microsoft Windows và Linux, các bộ định
tuyến router, các bộ chuyển mạch switch, và các mạng
riêng ảo. Với hơn 50 nạn nhân bao gồm các sân bay, bệnh
viện, các nhà cung cấp viễn thông, các công ty hóa chất
và các chính phủ, các tin tặc có trụ sở ở Iran được
nêu có sự kiểm soát đặc biệt đối với nhiều hạ
tầng sống còn của thế giới. Các nhà nghiên cứu của
Cylance đã viết:
Có lẽ bằng chứng ớn lạnh xương
nhất mà chúng tôi đã thu thập được trong chiến dịch
này là việc ngắm đích và làm tổn thương các mạng
giao thông và các hệ thống như các máy bay và các sân
bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ truy
cập dường như ở khắp mọi nơi: các miền Active
Directory đã hoàn toàn bị tổn thương, cùng với toàn bộ
các chuyển mạch switch Cisco Edge, các bộ định tuyến
router và hạ tầng kết nối mạng nội bộ. Hoàn toàn bị
tổn thương các ủy quyền VPN có nghĩa hạ tầng truy cập
ở xa toàn bộ chuỗi cung ứng của họ nằm dưới sự
kiểm soát của đội Con dao pha, cho phép thường trực
liên tục với các ủy quyền bị tổn thương. Họ đã
đạt được sự truy cập hoàn toàn tới các cổng sân
bay và các hệ thống kiểm soát an toàn của chúng, tiềm
tàng cho phép họ đánh lừa được các ủy quyền của
các cổng. Họ đã giành được sự truy cập tới các ủy
quyền của PayPal và Go Daddy, cho phép họ thực hiện các
cuộc mua sắm giả mạo và cho phép truy cập không bị cùm
tới các miền của các nạn nhân. Chúng tôi đã chứng
kiến một lượng truy cập thật sốc trong các phần sâu
nhất của các công ty đó và các sân bay ở đó họ vận
hành.
Báo
cáo 86 trang hôm thứ ba dựa vào bằng chứng tường tận
để đi tới kết luận rằng 20 hoặc nhiều hơn các tin
tặc tham gia trong Chiến dịch Con dao pha được chính phủ
Iran hậu thuẫn. Các thành viên lấy các tên hiệu vùng
Vịnh như Salman Ghazikhani và Bahman Mohebbi; họ làm việc từ
vô số các miền Internet, các địa chỉ IP, và các
số hệ thống tự quản được đăng ký ở Iran; và
nhiều trong số các công cụ đột nhập được thiết lập
cấu hình tùy biến mà họ sử dụng đưa ra các cảnh báo
khi các địa chỉ IP bên ngoài của chúng lần vết ngược
về quốc gia Trung Đông. Hạ tầng hỗ trợ cho chiến dịch
khổng lồ đó là quá vươn rộng không thể là công việc
của một cá nhân hoặc nhóm nhỏ; nó chỉ có thể được
một nhà nước quốc gia hỗ trợ.
Báo
thù Stuxnet
Sự
phát hiện Chiến dịch Con dao pha tới 28 tháng sau khi phần
mềm độc hại phá hoại cao độ được biết tới như
là Shamoon đã phá hủy vĩnh viễn các dữ liệu trong
hơn 30.000 máy tính thuộc về hãng Saudi Aramco và RasGas, 2
nhà sản xuất khí tự nhiên lớn nằm ở Ả rập Xê út
và Qatar một cách tương ứng. Cũng trong khoảng thời gian
đó, một loạt các
cuộc tấn công từ chối dịch vụ phá hoại cực kỳ đã
đánh được vào các ngân hàng chủ chốt của Mỹ.
Một năm trước đó, vào tháng 8/2011, các tin tặc đã
thâm nhập trái phép Cơ
quan chứng thực của Hà Lan là DigiNotar và đã làm giả
các chứng thực số đối với Gmail và các site nổi tiếng
khác. Vài nhà nghiên cứu về an toàn đã nói rằng
Iran đã đứng đằng sau tất cả 3 vụ đột nhập như
một phần của một nỗ lực trả đũa cho Stuxnet,
Duqu,
và Flame,
các chiến dịch phần mềm độc hại rộng rãi được
tin tưởng được dàn phối từ Mỹ và Israel để giám
sát và phá hủy các chương trình hạt nhân của Iran.
“Sự
tinh vi phức tạp về không gian mạng của Iran đã phát
triển nhanh chóng kể từ bình minh của Stuxnet và họ đã
đầu tư nhiều tiền được kết hợp với niềm tự hào
dân tộc để giúp xây dựng quân đội không gian mạng
của họ”, báo cáo của Cylance đã nêu. “Ít sự nghi
ngờ cam kết của họ như một chính phủ và một nhà
nước quốc gia cấp tiền và tuyển mộ các chiến binh
không gian mạng để thâm nhập trái phép và gây thiệt
hại cho các kẻ địch của họ. Và được mặc nhận
chung rằng hầu hết tất cả các hoạt động kể từ
2010 tới từ Iran có liên quan tới sự trả đũa vì
Stuxnet/Duqu/Flame, dường như là tự nhiên khi biết về ảnh
hưởng khốc liệt”.
Hầu
hết các cuộc tấn công của Chiến dịch Con dao phay được
Cylance dò tìm ra được bắt đầu với các đột nhập
nhỏ vào một hệ thống đích, bằng việc sử dụng các
kỹ thuật như các khai thác tiêm SQL để thổi các lệnh
vào máy chủ phụ trợ của một website. Từ đó, các tin
tặc đã leo thang sự truy cập của họ bằng việc ngắm
đích các chỗ bị tổn thương chưa được vá như
MS08-067.
Những kẻ tấn công có thể sau đó cài đặt một đống
các công cụ được tùy biến vào các máy chủ đó để
trao cho những kẻ tấn công một loạt các khả năng.
Trong ít nhất một trường hợp, các chứng thực ký riêng
tư của mục tiêu đã bị tóm, cho phép đội đó gây tổn
thương phần còn lại của hạ tầng đích. Không giống
như Stuxnet, không có bằng chứng bất kỳ chỗ bị tổn
thương ngày số 0 nào bị khai thác.
Trong
vòng 2 năm qua, Cylance đã thu thập hơn 8 GB dữ liệu có
liên quan tới chiến dịch đó, bao gồm 80.000 tệp dữ
liệu bị chộp, các công cụ của tin tặc, các lưu ký
của nạn nhân, và các dữ liệu do thám nhạy cảm cao.
Các nhà nghiên cứu đã truy xuất dữ liệu bằng việc sử
dụng hệ thống tên miền Internet để làm trệch hướng
đi giữa các hệ thống bị tổn thương và các máy chủ
chỉ huy kiểm soát của những kẻ tấn công, một tiến
trình được biết như là “nhấn chìm lỗ thủng”.
Chỉ
một phần nhỏ được dò tìm ra
Tất
cả, 50 mục tiêu ở 16 quốc gia được biết đã bị tổn
thương. Trong danh sách có 10 nạn nhân ở Mỹ, 4 ở Israel,
và 5 ở Pakistan. Các nhóm ở Anh, Pháp, Đức và nhiều
nước ở Trung Đông cũng đã bị đánh. Báo cáo của
Cylance bao gồm các chi tiết kỹ thuật sâu để giúp các
quản trị hệ thống xác định liệu các hệ thống của
họ có từng bị tổn thương hay không.
Các
nhà nghiên cứu của Cylance nói họ tin tưởng họ chỉ
mới dò tìm ra được một phần nhỏ các mục tiêu bị
Chiến dịch Con dao pha thâm nhập trái phép. Với hơn 2 năm
nó đã từng hoạt động, họ đã cảnh báo thời gian có
thể đã hết.
“Chúng
tôi tin tưởng rằng nếu chiến dịch đó còn tiếp tục
không bị suy yếu đi, thì đó chỉ là vấn đề thời
gian trước khi sự an toàn vật lý của thế giới bị ảnh
hưởng vì nó”, họ viết. “Trong khi sự hé mở thông
tin này sẽ là một sự thiệt hại cho khả năng của
chúng tôi để lần vết hoạt động của nhóm này, thì
nó sẽ cho phép toàn bộ nền công nghiệp an toàn tối
thiểu hóa tác động bổ sung thêm trong thế giới thực
và phòng ngừa có thêm nhiều nạn nhân nữa”.
For
more than two years, pro-Iranian hackers have penetrated some of the
world's most sensitive computer networks, including those operated by
a US-based airline, auto maker, natural gas producer, defense
contractor, and military installation, security researchers said.
In
many cases, "Operation Cleaver," as the sustained hacking
campaign is being dubbed, has attained the highest levels of system
access of targets located in 16 countries total, according to a
report published
Tuesday by security firm Cylance. Compromised systems in the
ongoing attacks include Active Directory domain controllers that
store employee login credentials, servers running Microsoft Windows
and Linux, routers, switches, and virtual private networks. With more
than 50 victims that include airports, hospitals, telecommunications
providers, chemical companies, and governments, the Iranian-backed
hackers are reported to have extraordinary control over much of the
world's critical infrastructure. Cylance researchers wrote:
Perhaps the most bone-chilling
evidence we collected in this campaign was the targeting and
compromise of transportation networks and systems such as airlines
and airports in South Korea, Saudi Arabia and Pakistan. The level of
access seemed ubiquitous: Active Directory domains were fully
compromised, along with entire Cisco Edge switches, routers, and
internal networking infrastructure. Fully compromised VPN credentials
meant their entire remote access infrastructure and supply chain was
under the control of the Cleaver team, allowing permanent persistence
under compromised credentials. They achieved complete access to
airport gates and their security control systems, potentially
allowing them to spoof gate credentials. They gained access to PayPal
and Go Daddy credentials allowing them to make fraudulent purchases
and allow[ing] unfettered access to the victim’s domains. We were
witnessed [sic] a shocking amount of access into the deepest parts of
these companies and the airports in which they operate.
Tuesday's
86-page report relies on circumstantial evidence to arrive at the
conclusion that the 20 or more hackers participating in Operation
Cleaver are backed by Iran's government. Members take Persian handles
such as Salman Ghazikhani and Bahman Mohebbi; they work from numerous
Internet domains, IP addresses, and autonomous
system numbers registered in Iran; and many of the
custom-configured hacking tools they use issue warnings when their
external IP addresses trace back to the Middle Eastern country. The
infrastructure supporting the vast campaign is too sprawling to be
the work of a lone individual or small group; it could only have been
sponsored by a nation state.
Avenging
Stuxnet
The
disclosure of Operation Cleaver comes 28 months after highly
destructive malware known as Shamoon permanently destroyed data
on more than 30,000 computers belonging to Saudi Aramco and RasGas,
two large natural gas producers located in Saudi Arabia and Qatar
respectively. Around that same time, a series of extremely
disruptive denial-of-service attacks knocked out access to major US
banks. A year earlier, in August 2011, hackers penetrated the
Dutch
certificate authority DigiNotar and made off with digital
certificates for Gmail and other high-profile sites. Some
security researchers have said that Iran was behind all three hacks
as part of an effort to retaliate for Stuxnet,
Duqu,
and Flame,
malware campaigns widely believed to have been orchestrated by the US
and Israel to monitor and disrupt Iran's nuclear programs.
"Iran's
cyber sophistication has grown rapidly since the dawn of Stuxnet and
they have used hard dollars combined with national pride to help
build their cyber army," the Cylance report stated. "Few
doubt their commitment as a government and nation state to funding
and recruiting cyber warriors to infiltrate and damage their enemies.
And it has been commonly postulated that almost all activity since
2010 coming out of Iran is associated with retaliation for
Stuxnet/Duqu/Flame, which seems natural given the severity of the
impact."
Most
of the Operation Cleaver attacks detected by Cylance began with small
incursions into a target system, using techniques such as SQL
injection exploits to pipe commands into the back-end server of a
website. From there, the hackers elevated their access by targeting
unpatched vulnerabilities such as MS08-067.
The attackers would then install a battery of customized tools on the
servers that gave the attackers a variety of capabilities. In at
least one case, a target's private signing certificates were
captured, allowing the team to compromise the rest of the target's
infrastructure. Unlike Stuxnet, there's no evidence any zero-day
vulnerabilities were exploited.
Over
the past two years, Cylance has collected more than eight gigabytes
of data connected to the campaign, including 80,000 files of captured
data, hacker tools, victim logs, and highly sensitive reconnaissance
data. The researchers retrieved the data by using the Internet's
domain name system to divert traffic traveling between compromised
systems and the attackers' command and control servers, a process
known as "sink holing."
Only
a fraction detected
In
all, 50 targets in 16 countries are known to have been compromised.
The tally includes 10 victims in the US, four in Israel, and five in
Pakistan. Groups in the UK, France, Germany, and numerous Middle
Eastern countries were also hit. The Cylance report includes in-depth
technical details to help system administrators determine if their
systems were compromised.
Cylance
researchers said they believe they detected only a fraction of the
targets penetrated by Operation Cleaver. With more than two years it
has been active, they warned time may be running out.
"We
believe that if the operation is left to continue unabated, it is
only a matter of time before the world’s physical safety is
impacted by it," they wrote. "While the disclosure of this
information will be a detriment to our ability to track the activity
of this group, it will allow the security industry as a whole to
defend against this threat. As such, we are exposing this cyber
campaign early in an attempt to minimize additional real-world impact
and prevent further victimization."
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.