Hầu hết sự kháng cự đối với các cuộc tấn công thâm nhập của 'Aurora' đều vô hiệu

Most resistance to 'Aurora' hack attacks futile, says report

Nhiều tới 100 công ty bị thâm nhập

As many as 100 companies pwned!

By Dan Goodin • Get more from this author

Posted in Security, 1st March 2010 06:35 GMT

Theo: http://www.theregister.co.uk/2010/03/01/aurora_resistence_futile/

Bài được đưa lên Internet ngày: 01/03/2010

Lời người dịch: Trong cuộc tấn công vào Google vào tháng 12 năm ngoái, không phải chỉ có thêm 33 công ty cùng bị tấn công, mà có thể là 100, theo một nghiên cứu của một hãng an ninh là iSec. Hơn nữa, cuộc tấn công này là hết sức tinh vi và hầu như không có công ty nào có khả năng chống lại được. “Những kẻ tấn công đã có thiện chí bỏ ra hàng tháng trời tấn công mọi người trong các công ty này, và họ viết các phần mềm độc hại tùy biến đặc chủng cho các công ty này. Các phần mềm độc hại đối với mỗi công ty này đã được tùy biến dựa trên những phiên bản phần mềm bị tổn thương mà họ đang chạy, cũng như dạng phần mềm chống virus nào mà họ đang sử dụng. Vấn đề là để bảo vệ chống lại mức độ đó của kẻ tấn công - thì cuộc chơi là hoàn toàn khác so với những gì mà hầu hết các công ty đang làm”. “Các máy Windows, các tác giả cũng khuyên, chỉ nên được chạy trong chế độ không được ưu tiên đối với đa số người sử dụng. Một tệp PDF của báo cáo này là ở đây.”

Hầu hết các doanh nghiệp không kháng cự được chống lại dạng các cuộc tấn công mà gần đây đã đánh Google và ít nhất 33 công ty khác, theo một báo cáo được xuất bản hôm thứ 2 mà nó ước tính con số thực sự các công ty bị đánh có thể hơn 100.

Những kẻ tấn công đằng sau cuộc tấn công không gian mạng có tên Aurora đã kiên cường săn đuổi những nạn nhân được chọn của chúng trong nhiều tháng trong một chiến dịch để xác định những người sử dụng đầu cuối và các ứng dụng cụ thể mà có thể là cái đích để giành được lối vào các mạng doanh nghiệp, báo cáo, được chuẩn bị bởi hãng an ninh iSec Partners, đã kết luận. Những thư điện tử hoặc các thông điệp tức thì (chat) mà chúng đã xuất hiện đã tới từ những người bạn và những đồng nghiệp tin cậy đã bị kết hợp với các chỗ bị tổn thương ngày số 0 có sức thuyết phục mạnh mẽ nhắm vào các ứng dụng chung. Trong nhiều trường hợp, những khai thác đã vặn vẹo để phá vỡ những phiên bản cụ thể của các chương trình chống virus.

Những phát hiện là đáng kể vì chúng gợi ý rằng nhiều phòng IT của các hãng có trải nghiệm tốt nhất đã từng đi theo nhiều năm là không có hiệu quả chống lại các cuộc tấn công này, mà Google đã nói là đã thành công sắc nhọn đối với những phòng vệ của hãng và việc truy cập vào các bí mật thương mại của hãng. Đối tác sáng lập của iSec là Alex Stamos đã nói rằng với sự ngoại lệ của Google và một nhúm các tổ chức khác với các ngân sách để hỗ trợ các đội an ninh thông tin đắt giá, thi các công ty là không được chuẩn bị để phòng vệ cho bản thân chống lại tầm cỡ mới này của các cuộc tấn công.

“Những kẻ tấn công đã có thiện chí bỏ ra hàng tháng trời tấn công mọi người trong các công ty này, và họ viết các phần mềm độc hại tùy biến đặc chủng cho các công ty này”, ông đã nói cho The Register. “Các phần mềm độc hại đối với mỗi công ty này đã được tùy biến dựa trên những phiên bản phần mềm bị tổn thương mà họ đang chạy, cũng như dạng phần mềm chống virus nào mà họ đang sử dụng. Vấn đề là để bảo vệ chống lại mức độ đó của kẻ tấn công - thì cuộc chơi là hoàn toàn khác so với những gì mà hầu hết các công ty đang làm”.

Most businesses are defenseless against the types of attacks that recently hit Google and at least 33 other companies, according to a report to be published Monday that estimates the actual number of targeted companies could top 100.

The attackers behind the cyber assault dubbed Aurora patiently stalked their hand-chosen victims over a matter of months in a campaign to identify specific end users and applications that could be targeted to gain entry to corporate networks, the report, prepared by security firm iSec Partners, concluded. Emails or instant messages that appeared to come from friends and trusted colleagues were combined with potent zero-day vulnerabilities targeting common applications. In many cases, exploits were tweaked to circumvent specific versions of anti-virus programs.

The findings are significant because they suggest that many of the best practices corporate IT departments have been following for years are ineffective against the attacks, which Google said were successful at piercing its defenses and accessing its trade secrets. iSec founding partner Alex Stamos said that with the exception of Google and a handful of other organizations with budgets to support expensive information security teams, companies are unprepared to defend themselves against this new caliber of attacks.

"Attackers are willing to spend months attacking people in these companies, and they write custom malware specific to those companies," he told The Register. "The malware for each of these companies has been customized based on the versions of vulnerable software they're running, as well as what kind of anti-virus they're using. The problem is to defend against that level of attacker - the game is completely different than what most companies are doing."

Trong những ngày ngay sau khi có sự thừa nhận hồi tháng 01 của Google, các nhà điều tra đã nói có tới 33 công ty khác đã bị đánh bởi cùng các cuộc tấn công này. Nhưng theo Stamos, mà ước đoán đã dựa vào phân tích của chỉ một kênh kiểm soát và ra lệnh theo sự kiểm soát của những kẻ tấn công. Sau việc sàng lọc qua các nội dung của 60 hoặc đại loại vậy các kênh bổ sung khác, thì Stamos đã nói số lượng của các công ty bị tổn thương có thể là 100, nhiều công ty với những phòng IT không được chuẩn bị một cách tang thương.

Những kẻ tấn công đã chỉ ra sự kiên nhẫn cần cù trong việc thu thập thông tin về những người sử dụng đầu cuối bị tổn thương, thường là các trường hợp các mạng xã hội để học những xác định của bạn bè và doanh nghiệp có liên quan nên các thông điệp tức thì (chat) và thư điện tử với những liên kết bị đầu độc sẽ xuất hiện vô thưởng vô phạt hơn. Họ cũng sử dụng một kiến thức bách khoa toàn thư của những yếu kém về mạng doanh nghiệp mà chúng đã cho phép họ chuyển một sự tổn thương của chỉ một máy tính thành một vật trung gian mà có thể gây đầu hàng cho sự truy cập không bị cùm tới những viên kim cương trên mũ miện đáng giá nhất của công ty.

“Những gã này thực sự hiểu cách để nắm quyền kiểm soát một chiếc máy tính xách tay và biến nó thành sự truy cập của người quản trị miền”, Stamos giải thích. “Mọi người không được chuẩn bị tốt cho dạng này”.

Đối với các công ty đi ngược lại được con thủy triều này, thì họ sẽ phải tiến hành những thay đổi cơ bản đối với cái cách mà họ nghĩ và quản lý an ninh bên trong chu vi mạng của họ. Hàng đầu trong số những thay đổi này là việc vô hiệu hóa tất cả các dịch vụ mà bất chấp những cảnh báo được lặp đi lặp lại, như là hàm băm quản lý mạng cục bộ LAN. Những khuyến cáo khác bao gồm việc ghi và điều tra tất cả các yêu cầu được thực hiện tới các máy chủ hệ thống tên miền nội bộ và việc xây dựng cảnh giới trong mạng mà nó ngăn ngừa những nguồn chủ chốt từ việc được truy cập ngay cả khi một máy trạm trong hệ thống bị trưng dụng.

Các máy Windows, các tác giả cũng khuyên, chỉ nên được chạy trong chế độ không được ưu tiên đối với đa số người sử dụng. Một tệp PDF của báo cáo này là ở đây.

In the days immediately following Google's January admission, investigators said as many as 33 other companies were hit by the same attacks. But according to Stamos, that estimate was based on the analysis of just one command and control channel under the control of the attackers. After sifting through the contents of another 60 or so additional channels, Stamos said the number of compromised companies could be as high as 100, many with woefully unprepared IT departments.

The attackers showed painstaking perseverance in gathering information about vulnerable end users, often casing social networks to learn the identities of friends and business associates so instant messages and emails with poisoned links will appear more innocuous. They also employed an encyclopedic knowledge of corporate networking weaknesses that allowed them to convert a compromise of a single computer into a vector that would surrender unfettered access to a company's most valuable crown jewels.

"These guys really understand how to take control of one laptop and turn it into domain admin access," Stamos explained. "People are not well prepared for this kind of stuff."

For companies to reverse the tide, they will have to make fundamental changes to the way they think about and manage security inside their network perimeters. Chief among the changes is disabling all services that despite repeated warnings often remain on, such as LAN Manager Hash. Other recommendations include logging and inspecting all queries made to internal domain name system servers and building safeguards into the network that prevent key resources from being accessed even when a client on the system has been commandeered.

Windows machines, the authors also recommend, should only be run in unprivileged mode for the vast majority of users. A PDF of the report is here. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com