Chiến dịch Con chuột cống: Cuộc tấn công lớn nhất của tin tặc từ trước tới nay

Operation Shady RAT: The Biggest Hacking Attack Ever

August 3, 2011 at 7:15 am PT

Theo: http://allthingsd.com/20110803/operation-shady-rat-the-biggest-hacking-attack-ever/

Bài được đưa lên Internet ngày: 03/08/2011

Lời người dịch: Cuối tháng 03/2009, một nhóm nghiên cứu tại Đại học Toronto đã phát hiện ra vụ gián điệp thông tin trên không gian mạng GhostNet được cho là lớn nhất thế giới cho tới thời điểm đó, kéo dài từ tháng 05/2007 đến tháng 03/2009, trong đó Việt Nam đứng số 2/103 quốc gia bị tấn công, với số lượng 130/1295 máy tính bị thâm nhập, trong số này có 74 chiếc của PetroVietnam. Còn bây giờ, sau khi thâm nhập được vào các máy chủ chỉ huy và kiểm soát của những kẻ tấn công và lấy được các nội dung trong các tệp lưu ký logs của chúng, “McAfee nói họ đã phát hiện một loạt các vụ thâm nhập trái phép lớn nhất vào các máy tính từ trước tới nay, bao trùm 72 tổ chức và chính phủ khắp thế giới, bao gồm Mỹ, Đài Loan, Việt Nam, Hàn Quốc, Canada và Ấn Độ - một số trong số đó là từ những năm 2006”. Xem bản đồ các mục tiêu của McAfee ở bên dưới. Điều tồi tệ, là chúng lén đột nhập rồi nằm vùng trong các mạng đó, lấy đi các dữ liệu bất kỳ, tới nay cỡ vài petabytes, rồi đem ra phân tích các dữ liệu ăn cắp được đó, dạng được gọi là “Mối đe dọa Thường trực Cao cấp” ATP (Advanced Persistent Threats). Bạn nghĩ nạn nhân của Việt Nam là ai??? Tôi đồ rằng, không ai khác, mà chính là PetroVietnam. Bạn có thể tải về báo cáo của McAfee ở đây. Chữ RAT có nghĩa là con chuột, nhưng là từ viết tắt của Remote Access Tools - Các công cụ truy cập ở xa.

Các nhà nghiên cứu từ hãng an ninh phần mềm McAfee nói họ đã phát hiện một loạt các vụ thâm nhập trái phép lớn nhất vào các máy tính từ trước tới nay, bao trùm 72 tổ chức và chính phủ khắp thế giới, bao gồm Mỹ, Đài Loan, Việt Nam, Hàn Quốc, Canada và Ấn Độ - một số trong số đó là từ những năm 2006. Xem bản đồ các mục tiêu của McAfee ở bên dưới.

Và chúng không phải là dạng các cuộc tấn công không gian mạng (KGM) được triển khai với những kể quấy phá vụng về như đám LulzSec, tạo nên những đầu đề nhưng thực sự chỉ gây ra một sự khó chịu cho các công ty như Sony. Trong các trường hợp này, các mạng đã bị tổn thương bằng các công cụ truy cập ở xa - hoặc RAT (Remote Access Tools), như chúng được biết tới trong nền công nghiệp này. Những công cụ đó - và chúng là các công cụ, vì chúng sử dụng một cách hợp pháp đối với những người quản trị hệ thống - trao cho ai đó khả năng truy cập tới một máy tính ở khắp trong một quốc gia hoặc toàn cầu. Tuy nhiên, trong trường hợp này, chúng đã được đặt một cách bí mật vào các hệ thống đích, ẩn dấu khỏi những con mắt của những người sử dụng và các nhà quản trị hàng ngày, và đã được sử dụng để cướp các tệp bí mật nhằm lấy các thông tin hữu dụng. Không phải vô cớ mà McAfee gọi đây là Chiến dịch Con chuột cống.

McAfee nói kẻ tấn công từng là một “tay chơi nhà nước”, dù hãng đã từ chối xưng tên nó. Tôi sẽ trao cho bạn 3 dự đoán ai là ứng viên hàng đầu, dù bạn có thể sẽ cần chỉ một: Trung Quốc.

Dmitri Alperovitch, Phó Chủ tịch của McAfee, bộ phận Nghiên cứu các Mối đe dọa, tuyên bố trên blog của mình về sự phát hiện này rằng nên để cho bất kỳ ai chú ý tới một chỗ ngắt mạng của công ty hoặc chính phủ: “Tôi bị thuyết phục rằng mỗi công ty trong từng nền công nghiệp có kích cỡ đáng kể có thể nhận thức được với tài sản trí tuệ đáng giá và các bí mật thương mại đã bị tổn thương (hoặc sẽ sớm bị), với đa số các nạn nhân hiếm khi phát hiện được sự thâm nhập trái phép hoặc ảnh hưởng của nó”. Ông sau đó phân chia bức tranh toàn cảnh các công ty trên thế giới thành 2 loại: những người đã bị tổn thương và biết nó, và những người chỉ đơn giản còn chưa biết nó.

Researchers from security software concern McAfee say they have discovered the biggest series of computer intrusions ever, covering some 72 organizations and governments around the world, including the U.S., Taiwan, Vietnam, South Korea, Canada and India — some of them dating back as far as 2006. (See the map of targets, courtesy of McAfee, below.)

And these aren’t the kind of cyber attacks carried out by bumbling troublemakers like the LulzSec gang, which make headlines but really only cause a nuisance for companies like Sony. In these cases, networks were compromised by remote access tools — or RATs, as they’re known in the industry. These tools — and they are tools, because they have legitimate uses for system administrators — give someone the ability to access a computer from across the country or around the world. In this case, however, they were secretly placed on the target systems, hidden from the eyes of day-to-day users and administrators, and were used to rifle through confidential files for useful information. It’s not for nothing that McAfee is calling this Operation Shady RAT.

McAfee says the attacker was a “state actor,” though it declined to name it. I’ll give you three guesses who the leading candidate is, though you’ll probably need only one: China.

Dmitri Alperovitch, McAfee’s Vice President, Threat Research, makes a statement in his blog entry on the discovery that should give everyone minding a corporate or government network pause: “I am convinced that every company in every conceivable industry with significant size and valuable intellectual property and trade secrets has been compromised (or will be shortly), with the great majority of the victims rarely discovering the intrusion or its impact.” He further divides the worldwide corporate landscape into two camps: Those who have been compromised and know it, and those who simply don’t know it yet.

Đây từng là một năm đặc biệt dơ dáy bẩn thỉu trên mặt trận an ninh không gian mạng. (Tôi ghét gọi như thế, nhưng tôi đã nói với bạn như thế). Trước hết, cuộc tấn công lớn mà ảnh hưởng đầy đủ của nó còn chưa được đo đếm là cuộc tấn công chống lại hệ thống SecureID của RSA, sử dụng các thiết bị chuỗi khóa phổ biến tạo ra một loạt thay đổi liên tục các con số tới lượt chúng tạo ra một mật khẩu thứ 2 để truy cập tới các tài nguyên hệ thống. Chúng được sử dụng một cách rộng rãi trong các giới quân sự và chính phủ và trong số các nhà thầu quân sự. Google từng là một đích thường xuyên trong những năm vừa qua.

Cuộc tấn công RSA và Chiến dịch Con chuột Cống là những ví dụ, Alperovitch nói, về một “Mối đe dọa Thường trực Cao cấp” ATP (Advanced Persistent Threats). Mệnh đề này đã trở thành một từ thông dụng, được dịch lòng thòng trong tiếng Anh, nghĩa là dạng tồi tệ nhất của tấn công không gian mạng mà bạn có thể tưởng tượng. Không giống như các cuộc tấn công từ chối dịch vụ và các cuộc thâm nhập trái phép mạng được LulzSec và đám người của nó triển khai, đòi hỏi chỉ với sự hiểu biết và kỹ năng tối thiểu về cách mà các mạng và các máy chủ làm việc, một APT được triển khai bằng ai đó với kỹ năng rất cao, người nhặt ra các mục tiêu một cách thận trọng và lén lút chui vào trong chúng theo một cách thức khó mà phát hiện ra được, cho phép truy cập hệ thống đích trên cơ sở hàng ngày có thể bền bỉ hàng năm.

Các cuộc tấn công này xảy ra như thế nào? Rất đơn giản: Ai đó tại tổ chức đích nhận được một thư điện tử trông có vẻ hợp lệ, nhưng có chứa một đính kèm không hợp lệ. Điều này được gọi là “phishing móc”, và nó đã trở thành vũ khí lựa chọn cho những kẻ tấn công không gian mạng tinh vi phức tạp. Những đính kèm không là những gì chúng dự định - các tài liệu Word hoặc các bảng tính hoặc những thứ thường nhật khác - vầ chứa các chương trình chứa mức truy cập mạng của người sử dụng đích. Những chương trình này sau đó tải về các phần mềm độc hại trao cho những kẻ tấn công sự truy cập tiếp sau. Tất cả những thứ này xảy ra theo một cách thức được tự động hóa, nhưng ngay sau đó, những kẻ tấn công thực sự đăng nhập vào hệ thống để đào bới thông qua những gì chúng có thể tìm thấy, sao chép những gì chúng có thể, và tạo một cửa - dù chúng thường để lại các cửa không được khóa sao cho chúng có thể quay lại viếng thăm thường xuyên.

This has been a particularly nasty year on the cyber security front. (I hate to say it, but I told you so.) Prior to this, the big attack whose full impact has not yet been fully sized up was the one against the RSA SecureID system, which uses popular keychain devices that create a constantly changing series of numbers that in turn create a second password for access to system resources. They’re widely used in government and military circles and among defense contractors. Google has been a regular target in recent years.

The RSA attack and Operation Shady RAT are examples, Alperovitch says, of an “Advanced Persistent Threat.” The phrase has come to be a buzzword that, loosely translated into English, means the worst kind of cyber attack you can imagine. Unlike the denial-of-service attacks and network intrusions carried out by LulzSec and its ilk, which require only minimal skill and marginal understanding of how networks and servers work, an APT is carried out by someone of very high skill who picks his targets carefully and sneaks inside them in a way that is difficult to detect, which allows access to the target system on an ongoing basis that may persist for years.

How did these attacks happen? Its very simple: Someone at the target organization received an email that looked legitimate, but which contained an attachment that wasn’t. This is called “spear phishing,” and it has become the weapon of choice for sophisticated cyber attackers. The attachments are not what they appear to be — Word documents or spreadsheets or other routine things — and contain programs that piggyback on the targeted user’s level of access to the network. These programs then download malware which gives the attackers further access. This all happens in an automated way, but soon after, live attackers log in to the system to dig through what they can find, copy what they can, and make a getaway — though they often leave the doors unlocked so they can come back for repeat visits.

Alperovitch lưu ý - chính xác, theo suy nghĩ của tôi - rằng mệnh đề này đã được chọn và được lạm dụng bởi các phòng quảng cáo của nhiều công ty an ninh. Điểm lớn hơn của ông là quá thường xuyên những người này đã tấn công theo cách từ chối tiến lên và để lộ ra những gì họ đã học được, vì thế cho phép sự nguy hiểm tiếp tục cho từng người khác nữa.

Alperovitch nói rằng các dữ liệu được lấy trong Chiến dịch Con chuột Cống bổ sung cho vài petabytes giá trị thông tin. Không rõ chúng được sử dụng như thế nào. Nhưng, như ông nói: “Thậm chí nếu một phần nhỏ của nó được sử dụng để xây dựng các sản phẩm cạnh tranh tốt hơn hoặc đánh thắng một đối thủ cạnh tranh ở một vụ thương thảo chủ chốt (do đã ăn cắp được sách giải trí của đội khác”, thì sự mất mát đại diện cho một mối đe dọa khổng lồ về kinh tế không chỉ đối với các công ty và các nền kinh tế riêng rẽ mà còn cho toàn bộ các quốc gia đang đối mặt với viễn cảnh tăng trưởng kinh tế gia tăng”. Điều này cũng là tồi tệ cho an ninh quốc gia đích (nước bị nhắm tới), vì các nhà thầu quốc phòng làm việc trong các vấn đề quân sự nhạy cảm thường là những cái đích. Thứ tốt nhất có thể xảy ra là các nạn nhân bắt đầu nói về các cuộc tấn công của họ và chia sẻ thông tin với nhau sao cho mỗi người có thể sẵn sàng cho cuộc sau, mà nó chắc chắn sẽ tới.

Alperovitch notes — correctly, to my mind — that the phrase has been picked up and overused by the marketing departments of numerous security companies. His larger point is that too often those attacked in this way refuse to come forward and disclose what they’ve learned, thereby allowing the danger to continue for everyone else.

Alperovitch says that the data taken in Operation Shady RAT adds up to several petabytes worth of information. It’s not clear how it has been used. But, as he says, “If even a fraction of it is used to build better competing products or beat a competitor at a key negotiation (due to having stolen the other team’s playbook), the loss represents a massive economic threat not just to individual companies and industries but to entire countries that face the prospect of decreased economic growth.” It’s also bad for a target’s national security, because defense contractors dealing in sensitive military matters are often the targets. The best thing that can happen is that victims start talking about their attacks and sharing information with each other so that everyone can be ready for the next one, which is surely coming.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com