Đội đột nhập (Hacking Team) đã dàn dựng vụ đột nhập BGP vô liêm sỉ để chặn cướp các IP mà nó đã không sở hữu

Hacking Team orchestrated brazen BGP hack to hijack IPs it didn’t own

Hijacking was initiated after Italian Police lost control of infected machines.

by Dan Goodin - Jul 13, 2015 5:53am WIB

Theo: http://arstechnica.com/security/2015/07/hacking-team-orchestrated-brazen-bgp-hack-to-hijack-ips-it-didnt-own/

Bài được đưa lên Internet ngày: 13/07/2015

Ảnh: http://cdn.arstechnica.net/wp-content/uploads/2015/07/hacking-team-ROS-graph.png

Lời người dịch: Vụ việc Hacking Team lấy 400 GB dữ liệu thư điện tử rồi tung lên mạng một lần nữa cho thấy giao thức BGP, Giao thức Cổng vào Biên giới là một điểm yếu không khắc phục được của Internet, như đã được nêu trong loạt chuyện 3 Phần về 'Mạng không an toàn', đã bị lợi dụng để chặn cướp dữ liệu giữa đường như thế nào trong thực tế. Như được lưu ý trước đó trong bài viết này, sự dễ dàng điều khiểm giả mạo hệ thống BGP từ lâu đã được thừa nhận như một điểm yếu chính trong an toàn Internet. Các thư điện tử của Hacking Team (1, 2, 3, 4, 5, 6, 7, 8, và 9) đưa rủi ro đó ra khỏi lý thuyết và vào thực tiễn. Nó cũng nhấn mạnh nhu cầu về các tiêu chí vạn năng phải được xem xét từ các nhà cung cấp dịch vụ và đối với các khoản tiền phạt ép tuân thủ khi họ đã vi phạm. “Nói chung, vấn đề là BGP là hệ thống nằm bên dưới cho việc định tuyến giao thông Internet khắp thế giới và không có gì hiện nay dùng được toàn bộ khỏi việc công bố không gian địa chỉ IP của thực thể khác - việc đóng vai nó một cách có hiệu quả”, Mandory đã viết trong một thư điện tử. “Các kỹ thuật đó có thể được sử dụng để can thiệp hoặc điều khiển các nội dung của giao thông Internet bị lây nhiễm hoặc đơn giản tới giao thông 'lỗ đen'”.

Nhà cung cấp dịch vụ phần mềm gián điệp Hacking Team đã dàn phối cuộc đột nhập các địa chỉ IP mà nó không sở hữu để giúp cảnh sát Ý giành lại quyền kiểm soát vài máy tính từng bị giám sát trong một cuộc điều tra, thư điện tử giữa các nhân viên công ty đã chỉ ra.

Trong vòng 6 ngày vào tháng 08/2013, máy chủ Web Ý Aruba S.p.A. đã thông báo sai sự sở hữu của nó đối với 256 địa chỉ IP trong hệ thống định tuyến toàn cầu được biết tới như là giao thức cổng vào biên giới, theo tài liệu các thông điệp. Động thái của Aruba đã tới theo lệnh của Hacking Team và Nhóm Tác chiến Đặc biệt của Cảnh sát Quân độ Quốc gia Ý (Special Operations Group of the Italian National Military Police), đơn vị đã sử dụng phần mềm độc hại Hệ thống Kiểm soát Từ xa của Hacking Team để giám sát các máy tính của các mục tiêu không được xác định. Vụ chặn bắt đã diễn ra sau khi các địa chỉ IP trở thành không thể với tới được theo người chủ sở hữu hợp pháp của nó là Santrex, nhà cung cấp dịch vụ đặt chỗ Web “chống đạn” mà đã cung cấp cho các tội phạm và đã ngừng kinh doanh vào tháng 10/2013, theo KrebsOnSecurity.

Còn chưa rõ từ các thư điện tử, nhưng chúng dường như gợi ý Hacking Team và cảnh sát Ý cũng đã dựa vào Santrex. Các thư điện tử đã bao gồm khoảng 400 GB dữ liệu sở hữu độc quyền được lấy trong vụ đột nhập cuối tuần trước của Hacking Team và sau đó đã đưa lên công khai trên Internet.

Với mất mát bỗng nhiên một khối các địa chỉ IP, Nhóm Tác chiến Đặc biệt của Ý đã không có khả năng giao tiếp với vài máy tính đã bị lây nhiễm với phần mềm độc hại của Hacking Team. Các thư điện tử chỉ ra Hacking Team hỗ trợ các nhân viên thảo luận cách mà cơ quan ép tuân thủ có thể giành lại quyền kiểm soát. Cuối cùng, cảnh sát Ý đã làm việc với Aruba để có được khối đó - điều từng được biết tới như là 46.166.163.0/24 theo cách nói về định tuyến Internet - đã công bố trong hệ thống BGP là thuộc về Aruba. Đây là trường hợp được biết tới đầu tiên về một ISP tuyên bố giả mạo không gian địa chỉ của một nhà cung cấp khác, Doug Madory, giám đốc phân tích Internet tại Dyn Research, nơi thực hiện nghiên cứu về hiệu năng của Internet, nói.

“Giao thức cốt lõi không an toàn, cũ, ngu xuẩn”

Sự tiết lộ là mới nhất nảy sinh các câu hỏi lo ngại về BGP, cơ chế định tuyến cốt lõi của Internet mà hầu như hoàn toàn dựa vào sự tin cậy. Dù khối /24 các địa chỉ bị lây nhiễm từng là nhỏ và không hoạt động một cách không giải thích được một thời gian, thì cuộc chặn cướp đang gây ra rồi sự chỉ trích không chỉ của sự phụ thuộc tiếp tục của thế giới vào khung không an toàn, mà còn của sự không thích hợp của Aruba, Hacking Team, và chính phủ Ý khi cùng để cho sự giả mạo xảy ra.

“BGP là một giao thức Internet cốt lõi không an toàn, cũ kỹ và ngu xuất”, Filippo Valsorda, một kỹ sư của Đội An toàn CloudFlare, đã nói cho Ars. “Lớp IP bị lây nhiễm, 46.166.163.0/24, từng không được công bố (chết) lúc nào cả. Tuy nhiên, trò chơi tin cậy của BGP được chuyên tâm và then chốt và sự thiếu trách niệm coi thường này làm xói mòn lòng tin mà Internet sống sót dựa vào (và làm cho nó rõ ràng đau đớn về cách mà nó cần phải đi khỏi giao thức đó”.

Đây không phải là lần đầu tiên BGP đã bị lạm dụng. Vào cuối năm 2013, Dyn Research đã trình bày bằng chứng chỉ ra rằng các phân đoạn giao thông Internet thuộc về định chế quan tài chính, các cơ quan chính phủ, và các nhà cung cấp dịch vụ đã lặp đi lặp lại bị làm trệch đường tới các vị trí ở xa và không có quyền, gây ra những nghi ngờ giao thông có thể bị giám sát hơạc sửa đổi lén lút trước khi cuối cùng tới được điểm đích mong muốn của nó. Trong khi các cuộc chặn cướp lặp đi lặp lại từng là nghiêm trọng nhất được đưa ra ánh sáng cho tới nay, thì các vệt lớn khác của giao thông Internet thường xuyên được thấy bị trệch đường tới các mạng ở xa và không giải thích được, bao gồm cả giao thông Internet nội địa của Nga chạy qua Trung Quốc năm 2014 và dữ liệu của 167 khách hàng quan trọng của British Telecom đang được định tuyến qua Ukraine đầu năm nay.

Các thư điện tử của Hacking Team chỉ ra các nhân viên được miễn hình phát đã cảm thấy như họ đã làm việc chặn cướp khối các địa chỉ IP không hoạt động đó, một số địa chỉ đã đặt chỗ cho các máy chủ riêng ảo (VPS) được sử dụng như một phần của hệ thống chỉ huy kiểm soát cho các máy tính bị lây nhiễm với phần mềm độc hại của RCS. Bằng việc có Aruba tuyên bố gian lận các địa chỉ đó, Hacking Team và khách hàng Ý có thể đóng vai nhà cung cấp đặt chỗ Santrex và tái thiết lập các giao tiếp truyền thông với các máy bị lây nhiễm.

“Nếu mọi điều từng được làm đúng, thì chúng tôi sẽ lấy lại được việc nhảy trực tuyến VPS và rằng cửa hậu đó vẫn còn sống và [chúng tôi] có thể liên hệ với VPS đó”, một nhân viên hỗ trợ Hacking Team dấu tên đã viết trong một thư điện tử vào ngày 13/08/2013, điều mà Ars đã dịch từ tiếng Ý sang tiếng Anh bằng việc sử dụng Google Translate.

Kết quả là, bảng định tuyến giả mạo đã quảng bá tới các mạng, bao gồm cả các công ty truyền thông của Ý Fastweb, MC-link S.p.A, và Reteivo.it, nhà cung cấp dịch vụ toàn cầu Easynet, và nhà cung cấp dịch vụ đặt máy chủ và xương sống Internet Hurricane Electric, theo một bài viết trên log được xuất bản hôm chủ nhật của các nhà nghiên cứu từ OpenDNS. Từ đó, đường giả mạo đã lan truyền khắp thế giới từ Úc tới Philippines, Madory của Dyn Research đã nói cho Ars. Từ chặn cướp (hijacking) đầu tiên nổi lên vào hôm thứ sáu ở đây.

Như được lưu ý trước đó trong bài viết này, sự dễ dàng điều khiểm giả mạo hệ thống BGP từ lâu đã được thừa nhận như một điểm yếu chính trong an toàn Internet. Các thư điện tử của Hacking Team (1, 2, 3, 4, 5, 6, 7, 8, và 9) đưa rủi ro đó ra khỏi lý thuyết và vào thực tiễn. Nó cũng nhấn mạnh nhu cầu về các tiêu chí vạn năng phải được xem xét từ các nhà cung cấp dịch vụ và đối với các khoản tiền phạt ép tuân thủ khi họ đã vi phạm.

“Nói chung, vấn đề là BGP là hệ thống nằm bên dưới cho việc định tuyến giao thông Internet khắp thế giới và không có gì hiện nay dùng được toàn bộ khỏi việc công bố không gian địa chỉ IP của thực thể khác - việc đóng vai nó một cách có hiệu quả”, Mandory đã viết trong một thư điện tử. “Các kỹ thuật đó có thể được sử dụng để can thiệp hoặc điều khiển các nội dung của giao thông Internet bị lây nhiễm hoặc đơn giản tới giao thông 'lỗ đen'”.

Spyware service provider Hacking Team orchestrated the hijacking of IP addresses it didn't own to help Italian police regain control over several computers that were being monitored in an investigation, e-sent among company employees showed.

Over a six day period in August 2013, Italian Web host Aruba S.p.A. fraudulently announced its ownership of 256 IP addresses into the global routing system known as border gateway protocol, the messages document. Aruba's move came under the direction of Hacking Team and the Special Operations Group of the Italian National Military Police, which was using Hacking Team's Remote Control System malware to monitor the computers of unidentified targets. The hijacking came after the IP addresses became unreachable under its rightful owner Santrex, the "bullet-proof" Web hosting provider that catered to criminals and went out of business in October 2013, according to KrebsOnSecurity.

It's not clear from the e-mails, but they appear to suggest Hacking Team and the Italian police were also relying on Santrex. The emails were included in some 400 gigabytes of proprietary data taken during last weekend's breach of Hacking Team and then made public on the Internet.

With the sudden loss of the block of IP addresses, Italy's Special Operations Group was unable to communicate with several computers that were infected with the Hacking Team malware. The e-mails show Hacking Team support workers discussing how the law enforcement agency could regain control. Eventually, Italian police worked with Aruba to get the block—which was known as 46.166.163.0/24 in Internet routing parlance—announced in the BGP system as belonging to Aruba. It's the first known case of an ISP fraudulently announcing another provider's address space, said Doug Madory, director of Internet analysis at Dyn Research, which performs research on Internet performance.

"Stupid, old, insecure core protocol"

The revelation is the latest to raise troubling questions about BGP, the core Internet routing mechanism that's almost entirely based on trust. Although the /24 block of affected addresses was small and inexplicably inactive at the time, the hijacking is already generating criticism not only of the world's continued dependence on the insecure framework, but also of the impropriety of Aruba, Hacking Team, and the Italian government for jointly making the fraud happen.

"BGP is a stupid, old, insecure core protocol of the Internet," Filippo Valsorda, an engineer on the CloudFlare Security Team, told Ars. "The affected IP class, 46.166.163.0/24, was unannounced (dead) at the time. However, the BGP trust game is delicate and critical and this reckless irresponsibility undermines the trust that the Internet survives on (and makes it sorely clear how it needs to move on from it)."

It's not the first time BGP has been abused. In late 2013, Dyn Research presented evidence showing that huge chunks of Internet traffic belonging to financial institutions, government agencies, and network service providers had repeatedly been diverted to distant and unauthorized locations, stoking suspicions the traffic may have been surreptitiously monitored or modified before ultimately reaching its intended destination. While the repeated hijackings were the most serious to come to light so far, other large swaths of Internet traffic routinely are found diverted to distant and unexplained networks, including Russia's domestic Internet traffic passing through China in 2014 and 167 important British Telecom customers' data being routed through Ukraine earlier this year.

The Hacking Team e-mails show the impunity employees felt as they worked to hijack the block of inactive IP addresses, some of which hosted virtual private servers (VPSes) used as part of a command and control system for the computers infected with the RCS malware. By having Aruba fraudulently announce the addresses, Hacking Team and its Italian customer could impersonate the Santrex hosting provider and reestablish communications with the infected machines.

"If everything was done correctly, we should get back the VPS online hoping then that the backdoor is still alive and [we] may contact the VPS," an unidentified Hacking Team support worker wrote in an August 13, 2013 e-mail, which Ars translated from Italian into English using Google Translate.

As a result, the fraudulent routing table was broadcast to networks including Italian telecommunications companies Fastweb, MC-link S.p.A, and Reteivo.it, global service provider Easynet, and Internet backbone and colocation provider Hurricane Electric, according to a blog post published Sunday by researchers from OpenDNS. From there, the bogus route was spread around the world from Australia to the Philippines, Dyn Research's Madory told Ars. Word of the hijacking first surfaced on Friday here.

As noted earlier in this post, the ease of fraudulently manipulating the BGP system has long been recognized as a key weak point in Internet security. The Hacking Team e-mails (1, 2, 3, 4, 5, 6, 7, 8, and 9) move that risk out of the theoretical and into the practical. It also underscores the need for universal norms to be observed by service providers and for enforceable penalties when they're breached.

"In general, the issue is that BGP is the underlying system for directing Internet traffic around the world and there is presently nothing to stop an entity from announcing another entity's IP address space—effectively impersonating it," Madory wrote in an e-mail. "These techniques can be used to intercept or manipulate the contents of affected Internet traffic or simply to 'blackhole' traffic."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com