Virus gián điệp Gauss giống Stuxnet đánh vào các ngân hàng ở Trung Đông

Stuxnet-like spy virus Gauss hits Middle East banks

Updated 12:29 PM Aug 10, 2012

Theo: http://www.todayonline.com/Technology/EDC120810-0000086/Stuxnet-like-spy-virus-Gauss-hits-Middle-East-banks

Bài được đưa lên Internet ngày: 10/08/2012

Lời người dịch: Kaspersky Lab, một hãng an ninh nổi tiếng có trụ sở tại Moscow đã vừa phát hiện ra một virus mới trinh sát không gian mạng (KGM) đã được phát hiện tại Trung Đông có thể gián điệp các giao dịch ngân hàng và ăn cắp các mật khẩu khi đăng nhập, Gauss, trên hơn 2.500 máy tính cá nhân, phần lớn tại Li băng, Israel và các vùng lãnh thổ của Palestin. Các mục tiêu bao gồm các ngân hàng của Li băng như BlomBank, ByblosBank và Credit Libanais, cũng như Citibank và hệ thống thanh toán trực tuyến PayPal eBay. “Sau khi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói với mức độ chắc chắn cao rằng Gauss tới từ chính 'nhà máy' hoặc 'các nhà máy' đó”, Kaspersky nói trên website của mình. “Tất cả các bộ công cụ tấn công đó thể hiện sự cao cấp các hoạt động chiến tranh KGM và gián điệp KGM do nhà nước tài trợ”.

Luân Đôn – Một virus mới trinh sát không gian mạng (KGM) đã được phát hiện tại Trung Đông có thể gián điệp các giao dịch ngân hàng và ăn cắp các mật khẩu khi đăng nhập, theo Kaspersky Lab, một hãng an ninh máy tính hàng đầu.

Nhấn mạnh tới Gauss, virus nào cũng có thể có khả năng tấn công hạ tầng sống còn và nhiều khả năng được xây dựng trong cùng các phòng thí nghiệm như Stuxnet, sâu máy tính được tin tưởng một cách rộng rãi đã từng được Mỹ và Israel sử dụng để tấn công chương trình hạt nhân của Iran, Kaspersky Lab nói ngày hôm qua.

Hãng có trụ sở ở Moscow này nói hãng thấy Gauss đã lây nhiễm cho hơn 2.500 máy tính cá nhân, phần lớn trong số chúng là tại Li băng, Israel và các vùng lãnh thổ của Palestin. Các mục tiêu bao gồm các ngân hàng của Li băng như BlomBank, ByblosBank và Credit Libanais, cũng như Citibank và hệ thống thanh toán trực tuyến PayPal eBay.

Các quan chức của các ngân hàng Li băng nói họ không biết gì về virus này. Người phát ngôn của PayPal là Anuj Nayar nói công ty đang điều tra vụ việc nhưng không thấy bất kỳ sự gia tăng nào các “hoạt động giả mạo” do Gauss gây nên. Một người phát ngôn của Citibank đã từ chối bình luận.

Kaspersky Lab có thể không điều tra xem ai đứng đằng sau Gauss, nhưng nói virus này đã có quan hệ với Stuxnet và 2 công cụ gián điệp KGM có liên quan khác, Flame và Duqu. Bộ Quốc phòng Mỹ đã từ chối bình luận.

“Sau khi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói với mức độ chắc chắn cao rằng Gauss tới từ chính 'nhà máy' hoặc 'các nhà máy' đó”, Kaspersky nói trên website của mình. “Tất cả các bộ công cụ tấn công đó thể hiện sự cao cấp các hoạt động chiến tranh KGM và gián điệp KGM do nhà nước tài trợ”.

Ông Jeffrey Carr, một chuyên gia về chiến tranh KGM, người điều hành hãng an ninh Taia Global, nói Chính phủ Mỹ đã giám sát các ngân hàng của Li băng từ lâu vì những manh mối về các hoạt động của các nhóm vũ trang và bọn tội phạm rửa tiền. Ông nói Gauss có khả năng được xây dựng bằng công nghệ được triển khai trong Flame.

LONDON - A new cyber surveillance virus has been found in the Middle East that can spy on banking transactions and steal login and passwords, according Kaspersky Lab, a leading computer security firm.

Dubbed Gauss, the virus may also be capable of attacking critical infrastructure and was very likely built in the same laboratories as Stuxnet, the computer worm widely believed to have been used by the US and Israel to attack Iran's nuclear programme, Kaspersky Lab said yesterday.

The Moscow-based firm said it found Gauss had infected more than 2,500 personal computers, the bulk of them in Lebanon, Israel and the Palestinian territories. Targets included Lebanon's BlomBank, ByblosBank and Credit Libanais, as well as Citibank and eBay's PayPal online payment system.
Officials with the Lebanese banks said they were unaware of the virus. PayPal spokesman Anuj Nayar said the company was investigating the matter but was not aware of any increase in "rogue activity" as a result of Gauss. A Citibank spokeswoman declined to comment.

Kaspersky Lab would not speculate on who was behind Gauss, but said the virus was connected to Stuxnet and two other related cyber espionage tools, Flame and Duqu. The US department of defense declined to comment.

"After looking at Stuxnet, Duqu and Flame, we can say with a high degree of certainty that Gauss comes from the same 'factory' or 'factories,'" Kaspersky on its website. "All these attack toolkits represent the high end of nation-state-sponsored cyber-espionage and cyberwar operations."

Mr Jeffrey Carr, an expert on cyber-warfare who runs security firm Taia Global, said the US government has long monitored Lebanese banks for clues about the activities of militant groups and drug cartels. He said Gauss was likely built by adapting technology deployed in Flame.

"You've got this successful platform. Why not apply it to this investigation into Lebanese banks and whether or not they are involved in money laundering for Hezbollah?" he said.

New York's state banking regulator this week accused Britain's Standard Chartered Plc of violating US anti-money laundering laws by scheming with Iran to hide more than US$250 billion (S$311.6 billion) of transactions.

Experts said that surveillance viruses like Gauss are perfect tools for government intelligence units to gather information for such investigations, though they did not specifically link Gauss to the Standard Chartered case.

According to Kaspersky Lab, Gauss can also steal passwords and other data, and send information about system configurations.

Modules in the virus have internal names that researchers believe were chosen to pay homage to famous mathematicians and philosophers, including Johann Carl Friedrich Gauss, Kurt Godel and Joseph-Louis Lagrange.

“Bạn đã có nền tảng thành công này. Vì sao không áp dụng nó cho điều tra trong các ngân hàng ở Li Băng và dù có hay không chúng có liên quan tới rửa tiền cho Hezbollah?”, ông nói.

Luật sư ngân hàng bang New York tuần này đã tố cáo Standard Chartered PLC của Anh vi phạm các luật chống rửa tiền của Mỹ bằng việc giúp Iran dấu hơn 250 tỷ USD giao dịch.

Các chuyên gia nói rằng các virus trinh sát như Gauss là các công cụ tuyệt vời cho các đơn vị tình báo của chính phủ thu thập thông tin cho những điều tra như vậy, dù họ đã không liên hệ đặc biệt Gaus tới vụ của Standard Chartered.

Theo Kaspersky Lab, Gauss cũng có thể ăn cắp các mật khẩu và các dữ liệu khác, và gửi thông tin về các cấu hình hệ thống.

Các module trong virus đó có các cái tên nội bộ mà các nhà nghiên cứu tin tưởng đã được chọn để tưởng nhớ tới các nhà toán học và triết học nổi tiếng, bao gồm cả Johann Carl Friedrich Gauss, Kurt Godel và Joseph-Louis Lagrange.

Kaspersky Lab nói hãng đã gọi là virus Gauss vì nó là tên của một module quan trọng nhất, triển khai các khả năng ăn cắp dữ liệu của virus.

Một trong những nhà nghiên cứu hàng đầu của hãng nói Gauss cũng có một module có tên là “Godel” có thể đưa một vũ khí như Stuxnet vào cho việc tấn công các hệ thống kiểm soát công nghiệp như Stuxnet. Stuxnet, được phát hiện trong năm 2010, từng được sử dụng để tấn công các máy tính kiểm soát các máy li tâm tại một cơ sở làm giàu hạt nhân tại Natanz, Iran.

Ông Roel Schouwenberg, một nhà nghiên cứu kỳ cựu ở Kaspersky, nói mã nguồn của Godel có thể đưa vào một thứ tương tự như một “đầu đạn hạt nhân”.

Godel sao chép một chương trình được nén và được mã hóa vào các ổ USB. Chương trình đó sẽ chỉ giải nén và kích hoạt khi nó có được liên hệ với một hệ thống đích.

Trong khi Kaspersky còn chưa phá được hoàn toàn mã nguồn của Godel, thì ông Schouwenberg nói ông đồ rằng đây là một vũ khí KGM được thiết kế để gây ra những thiệt hại vật lý và các lập trình viên của nó đã đi tới nhiều mối quan tâm dấu mục đích của mình, bằng việc sử dụng một sơ đồ mã hóa mà có thể mất vài tháng hoặc thậm chí vài năm để tháo dỡ.

Trong khi chờ đợi, một cơ quan của Liên hiệp quốc chuyên tư vấn cho các quốc gia về bảo vệ các hạ tầng có kế hoạch gửi đi một cảnh báo về mã nguồn huyền bí này. The Guardian.

Kaspersky Lab said it called the virus Gauss because that is the name of the most important module, which implements its data-stealing capabilities.

One of the firm's top researchers said Gauss also contains a module known as "Godel" that may include a Stuxnet-like weapon for attacking industrial control systems. Stuxnet, discovered in 2010, was used to attack computers that controlled the centrifuges at a uranium enrichment facility in Natanz, Iran.

Mr Roel Schouwenberg, a senior researcher with Kaspersky, said the Godel code may include a similar "warhead."

Godel copies a compressed, encrypted program onto USB drives. That program will only decompress and activate when it comes in contact with a targeted system.

While Kaspersky has yet to fully crack Godel's code, Mr Schouwenberg said he suspects it is a cyber weapon designed to cause physical damage and that its developers went to a lot of trouble to hide its purpose, using an encryption scheme that could take months or even years to unravel.

Meanwhile, a UN agency that advises countries on protecting infrastructure plans to send an alert on the mysterious code. THE GUARDIAN

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com