Vietnamese Speakers Targeted In Cyberattack
Tuesday, March 30th, 2010 at 4:28 pm
by George Kurtz
Theo: http://siblog.mcafee.com/cto/vietnamese-speakers-targeted-in-cyberattack/
Bài được đưa lên Internet ngày: 30/03/2010
Lời người dịch: Từ cuộc điều tra của Google vào Chiến dịch Aurora tại Trung Quốc, Googe đã tìm ra botnet của Việt Nam mà: “Chúng tôi tin tưởng những kẻ tấn công đầu tiên đã gây tổn thương cho www.vps.org, một webiste của Xã hội những người chuyên nghiệp Việt Nam, và đã thay thế trình điều khiển bàn phím hợp pháp bằng một con ngựa Trojan. Những kẻ tấn công sau đó đã gửi một thư điện tử tới những cá nhân có chủ đích mà đã chỉ chúng ngược lại tới website VPS này, nơi họ đã tải về Trojan thay vào đó.
Trojan cài đặt các phần mềm độc hại sau lên máy bị lây nhiễm (Chỉ dành riêng cho Windows):
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll
Nói theo kiểu của những người thích đùa khi mời nhau hút thuốc lá: “Dùng (thuốc lá - Windows) cho chết m... mày đi!!!”
Trình điều khiển bàn phím giả tạo, được gán tên W32/VulcanBot bởi McAfee, đã kết nối những máy tính bị lây nhiễm tới một mạng các máy tính bị tổn thương. Trong quá trình điều tra của chúng tôi trong botnet này chúng tôi đã thấy một tá các hệ thống lệnh và kiểm soát mạng của các máy tính cá nhân bị tấn công. Các máy chủ ra lệnh và kiểm soát đã chủ yếu được truy cập từ các địa chỉ IP tại Việt Nam.”
Tới bây giờ, bạn có thể đã thấy bài viết trên blog của Google nói về các cuộc tấn công có chủ đích chống lại các máy tính của những diễn giả của Việt Nam và những người khác. Botnet này, mà McAfee đã xác định được khi điều tra vụ Hoạt động Aurora, đã trưng dụng cho những máy tính này trong những gì dường như là một cuộc tấn công có động cơ chính trị. McAfee đã chia sẻ các kết quả của cuộc điều tra của hãng với Google khi nó được để mở.
Những kẻ tấn công đã tạo ra botnet này bằng việc tập trung vào những diễn giả Việt Nam với các phần mềm độc hại mà chúng được ngụy trang như các phần mềm mà chúng cho phép Windows hỗ trợ ngôn ngữ tiếng Việt. Trình điều khiển bàn phím được biết như VPSKeys là phổ biến với những người sử dụng Windows của Việt Nam và là cần thiết để có khả năng chèn các dấu trọng âm vào những vị trí phù hợp khi sử dung Windows.
Mã của bot này ngụy trang như môt trình điều khiển bàn phím tìm được đường của nó vào máy tính mà, một khi bị lây nhiễm, tham gia vào một botnet với các hệ thống lệnh và kiểm soát được đặt khắp thế giới mà truy cập được chủ yếu từ các địa chỉ IP bên trong Việt Nam.
Chúng ta đồ là nỗ lực để tạo ra botnet này được bắt đầu từ cuối năm 2009, trùng khớp ngẫu nhiên với các cuộc tấn công của Chiến dịch Aurora. Trong khi các phòng thí nghiệm của McAfee đã xác định phần mềm độc hại này trong khi điều tra vụ Chiến dịch Aurora, thì chúng tôi tin tưởng các cuộc tấn công là không có liên quan. Mã nguồn của bot ít phức tạp hơn nhiều so với của các cuộc tấn công của Chiến dịch Aurora. Thông thường mã nguồn của bot mà có thể sử dụng những máy tính bị lây nhiễm để khởi động các cuộc tấn công từ chối dịch vụ, hoạt động của màn hình trên các máy bị tổn thương và cho những mục tiêu bất chính khác.
By now, you may have seen the Google blog post talking about the targeted attacks against the computers of Vietnamese speakers and others. The botnet, which McAfee identified while investigating Operation Aurora, has commandeered these computers in what appears to be a politically motivated attack. McAfee has been sharing the results of its investigation with Google as it unfolded.
Attackers created the botnet by targeting Vietnamese speakers with malware that was disguised as software that allows Windows to support the Vietnamese language. The keyboard driver known as VPSKeys is popular with Vietnamese Windows users and is needed to be able to insert accents at the appropriate locations when using Windows.
The bot code masquerading as a keyboard driver finds its way onto computers that, once infected, join a botnet with command and control systems located around the globe that are accessed predominantly from IP addresses inside Vietnam.
We suspect the effort to create the botnet started in late 2009, coinciding by chance with the Operation Aurora attacks. While McAfee Labs identified the malware during our investigation into Operation Aurora, we believe the attacks are not related. The bot code is much less sophisticated than the Operation Aurora attacks. It is common bot code that could use infected machines to launch distributed denial of service attacks, monitor activity on compromised systems and for other nefarious purposes.
Chúng tôi tin tưởng những kẻ tấn công đầu tiên đã gây tổn thương cho www.vps.org, một webiste của Xã hội những người chuyên nghiệp Việt Nam, và đã thay thế trình điều khiển bàn phím hợp pháp bằng một con ngựa Trojan. Những kẻ tấn công sau đó đã gửi một thư điện tử tới những cá nhân có chủ đích mà đã chỉ chúng ngược lại tới website VPS này, nơi họ đã tải về Trojan thay vào đó.
Trình điều khiển bàn phím giả tạo, được gán tên W32/VulcanBot bởi McAfee, đã kết nối những máy tính bị lây nhiễm tới một mạng các máy tính bị tổn thương. Trong quá trình điều tra của chúng tôi trong botnet này chúng tôi đã thấy một tá các hệ thống lệnh và kiểm soát mạng của các máy tính cá nhân bị tấn công. Các máy chủ ra lệnh và kiểm soát đã chủ yếu được truy cập từ các địa chỉ IP tại Việt Nam.
We believe the attackers first compromised www.vps.org, the Web site of the Vietnamese Professionals Society (VPS), and replaced the legitimate keyboard driver with a Trojan horse. The attackers then sent an e-mail to targeted individuals which pointed them back to the VPS Web site, where they downloaded the Trojan instead.
The rogue keyboard driver, dubbed W32/VulcanBot by McAfee, connected the infected machines to a network of compromised computers. During our investigation into the botnet we found about a dozen command and control systems for the network of hijacked PCs. The command and control servers were predominantly being accessed from IP addresses in Vietnam.
The Trojan installs the following malware on the infected system:
Trojan cài đặt các phần mềm độc hại sau lên máy bị lây nhiễm:
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll
These files, when executed, initiate connections to the following domains:
Những tập này, khi được chạy, sẽ khởi tạo những kết nối tới các miền sau:
* google.homeunix.com
* tyuqwer.dyndns.org
* blogspot.blogsite.org
* voanews.ath.cx
* ymail.ath.cx
Trong khi ban đầu một số các miền và tệp này đã được báo cáo có liên quan tới Chiến dịch Aurora, thì chúng tôi đã đi tới tin tưởng rằng những phần mềm độc hại này không có liên quan tới Aurora và sử dụng một tập hợp các máy chủ Lệnh và Kiểm soát khác.
Chúng tôi tin tưởng rằng những thủ phạm có thể có những động lực chính trị và có thể có một số lòng thành đối với chính phủ của Cộng hòa Xã hội chủ nghĩa Việt Nam. Hiến chương của Xã hội của những người Chuyên nghiệp Việt Nam là để gia tăng tri thức và sự hiểu biết của các điều kiện xã hội và kinh tế tại quốc gia Đông Nam Á này, theo Wikipedia.
McAfee đã bổ sung sự dò tìm ra phần mềm độc hại này vào tháng 01, vào cùng thời gian mà chúng tôi đã cung cấp sự bảo vệ cho ví dụ mới nhất của các tin tặc và những cuộc tấn công có động cơ chính trị, mà chúng đang nổi lên và là một chủ đề mà chúng tôi tại McAfee đã thường thảo luận tới trong những xuất bản phẩm của chúng tôi. Trong một tài liệu tuyệt vời về Tội phạm không gian mạng và chủ nghĩa tin tặc (Hacktivism) được xuất bản vào tháng này, nhà nghiên cứu Francois Paget tranh luận đề tài này dài. Cũng bao trùm Báo cáo về Mối đe dọa theo Quý gấn đây nhất của chúng tôi.
Khi những sự kiện này được hé lộ, chúng tôi sẽ tiếp tục cập nhật cho các bạn.
While originally some of these domains and files had been reported to be associated with Operation Aurora, we have since come to believe that this malware is unrelated to Aurora and uses a different set of Command & Control servers.
We believe that the perpetrators may have political motivations and may have some allegiance to the government of the Socialist Republic of Vietnam. The charter of the Vietnamese Professionals Society is to increase the knowledge and understanding of the social and economic conditions in the Southeast Asian country, according to Wikipedia.
McAfee added detection of the malware in January, around the same time we provided protection for Operation Aurora related malware. The botnet is still active and attacks from the botnet continue today.
This incident underscores that not every attack is motivated by data theft or money. This is likely the latest example of hacktivism and politically motivated cyberattacks, which are on the rise and a topic we at McAfee have often discussed in our publications. In an excellent paper on Cybercrime and Hacktivism published this month, Researcher Francois Paget discusses the topic at length. It is also covered in our most recent Quarterly Threat Report.
As these events unfold, we will continue to keep you updated.
Dịch tài liệu: Lê Trung Nghĩa