Chủ Nhật, 13 tháng 1, 2013

Tấn công các ngân hàng là công việc của người Iran, các quan chức nói


Bank Hacking Was the Work of Iranians, Officials Say
By NICOLE PERLROTH and QUENTIN HARDY
Published: January 8, 2013
Bài được đưa lên Internet ngày: 08/01/2013
Lời người dịch: Thời làm ăn yên ổn của các ngân hàng trực tuyến, không chỉ riêng các ngân hàng Mỹ, mả rất có thể cả các ngân hàng khác nữa, có thể đã qua rồi. Một virus mới, Itsoknoproblembro, gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng. “Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ. Một trong những ngân hàng đã có 40 gigabit năng lực Internet, một lượng khổng lồ khi bạn coi đó là một doanh nghiệp cỡ trung chỉ có thể có 1 gigabit. Nhưng một số ngân hàng đã bị đánh với một cơn lũ bền vững các giao thông mà đạt tới 70 gigabit”.
San Francisco - Những kẻ tấn công đánh vào ngân hàng Mỹ này tới ngân hàng khác Như trong nhiều cuộc tấn công trước đó, hàng tá site ngân hàng trực tuyến đã chạy chậm lại, nấc lên hoặc dừng hẳn trước khi được phục hồi lại vài phút sau đó.
Nhưng còn có thứ gì đó đáng lo ngại khác về làn sóng các cuộc tấn công trực tuyến vào các ngân hàng Mỹ trong các tuần gần đây. Các nhà nghiên cứu an ninh nói rằng thay vì việc khai thác các máy tính riêng rẽ, những kẻ tấn công đã thiết kế các mạng máy tính tại các trung tâm dữ liệu, biến đổi một ít tiếng chó Chihuahuas sủa thành một cục lớn bễ thở của con Godzilla.
Kỹ năng được yêu cầu để triển khai các cuộc tấn công phạm vi này đã thuyết phục được các quan chức chính phủ và các nhà nghiên cứu về an ninh của Mỹ rằng họ đang làm việc với Iran, hầu hết có lẽ trong sự trả thù vì những hình phạt về kinh tế và các cuộc tấn công trực tuyến của Mỹ.
“Không nghi ngờ gì trong chính phủ Mỹ rằng Iran đứng đằng sau các cuộc tấn công đó”, James A. Lewis, cựu quan chức trong Bộ Ngoại giao và Thương mại Mỹ và là một chuyên gia về an ninh máy tính tại Trung tâm Nghiên cứu Chiến lược và Quốc tế tại Washington, nói.
Ông Lewis đã nói số lượng làm tràn ngập giao thông các site ngân hàng Mỹ là “nhiều lần” so với số lượng mà Nga đã nhằm vào Estonia trong cuộc tấn công trực tuyến dài cả tháng vào năm 2007 mà gần như đã đánh què quốc gia Baltic này.
Các quan chức Mỹ còn chưa đưa ra bất kỳ bằng chứng kỹ thuật nào để bảo vệ cho sự kêu ca của họ, nhưng các chuyên gia an ninh máy tính nói các cuộc tấn công gần đây đã chỉ ra một mức độ phức tạp vượt xa các kẻ tấn công không chuyên nghiệp. Hơn nữa, những kẻ tấn công chọn theo đuổi sự phá hoại, không theo tiền: một dấu hiệu khác của các cuộc tấn công do nhà nước bảo trợ, các chuyên gia nói.
“Phạm vi, mức độ và tính hiệu quả của các cuộc tấn công đó là chưa từng có từ trước tới nay”, Carl Herberger, phó chủ tịch các giải pháp an ninh tại Radware, một hãng an ninh từng nghiên cứu các cuộc tấn công nhân danh các ngân hàng và các nhà cung cấp dịch vụ đám mây, nói. “Chưa từng có nhiều định chế tài chính bị cầm tù nhiều thế này”.
Kể từ tháng 9, những kẻ thâm nhập trái phép đã gây ra những vụ phá hoại chính cho các site ngân hàng trực tuyến của Bank of America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital One, Fifth Third Bank, BB&T và HSBC.
Họ đã sử dụng các cuộc tấn công DDoS, hoặc các cuộc tấn công từ chối dịch vụ phân tán, ấy là các tin tặc từ chối các dịch vụ khách hàng bằng việc nhằm một lượng lớn các giao thông tới một site cho tới khi nó sập. Không tài khoản ngân hàng nào bị đánh thủng và không khách hàng nào bị mất tiền cả.
Bằng việc sử dụng các trung tâm dữ liệu, những kẻ tấn công đơn giản giữ thời gian. Các công ty và khách hàng ngày càng tiến hành việc kinh doanh của họ qua các “đám mây” phạm vi rộng lớn của hàng trăm, hàng ngàn các máy chủ được kết nối mạng.
Những đám mây đó do Amazon hoặc Google quản lý, nhưng cũng còn do nhiều tay chơi nhỏ thường thuê chúng từ các công ty khác. Dường như các tin tặc tấn công từ xa một số đám mây và đã sử dụng sức mạnh tính toán để đánh sập các site ngân hàng của Mỹ.
“Có ý nghĩa bây giờ rằng các kẻ tấn công đang vặn vẹo các đám mây riêng của riêng họ”, hoặc bằng việc tạo ra các mạng các máy tính cá nhân hoặc bằng việc ăn cắp toàn bộ các tài nguyên từ các đám mây tập đoàn được quản lý tồi, John Kindervag, một nhà phân tích tại Forrester Research, nói.
Làm thế nào, chính xác, các tin tặc tấn công được các trung tâm dữ liệu vẫn còn là điều bí ẩn. Làm cho các vấn đề trở nên phức tạp hơn, chúng cùng một lúc đã đưa ra một vũ khí khác: các cuộc tấn công DDoS được mã hóa.
Các ngân hàng mã hóa các giao dịch trực tuyến của các khách hàng để có an ninh, nhưng quá trình mã hóa sử dụng các tài nguyên hệ thống. Bằng việc gây ngập lụt các site ngân hàng với các yêu cầu mã hóa, các tin tặc có thể làm chậm tiếp hoặc đánh què các site với ít hơn các yêu cầu.
Một nhóm tin tặc tự gọi mình là Các chiến binh KGM Izz ad-Din al-Qassam đã nhận đưa lên trực tuyến nó có trách nhiệm về các cuộc tấn công.
Nhóm này nói nó đã tấn công các ngân hàng để trả thù video chống đạo Hồi đã chế nhạo nhà tiên tri Muhammad, và thề sẽ tiếp tục chiến dịch cho tới khi video đó bị loại bỏ khỏi Internet. Nó đã gọi chiến dịch đó là Chiến dịch Ababil, một tham chiếu tới một câu chuyện trong kinh Koran mà thánh Allah gửi các con chim nhạn để đánh thắng đội quân voi được vua Yemen gửi đi để tấn công thánh địa Mecca vào năm 571 trước công nguyên.
Nhưng các quan chức tình báo Mỹ nói nhóm đó thực sự là một cái vỏ của Iran. Họ kêu Iran đang chỉ huy các cuộc tấn công để trả thù những trừng phạt kinh tế của phương Tây và về một loạt các cuộc tấn công KGM vào các hệ thống của riêng họ. Trong 3 năm qua, 3 virus máy tính phức tạp - gọi là Flame, Duqu và Stuxnet - đã tấn công các máy tính của Iran. Tờ New York Times đã nói vào năm ngoái rằng Mỹ, cùng với Israel, đã có trách nhiệm về Stuxnet, virus được sử dụng để phá hủy các máy li tâm tại cơ sở hạt nhân của Iran vào năm 2010.
“Đây một chút là trận đấu hận thù”, ông Lewis của Trung tâm Nghiên cứu Chiến lược và Quốc tế, nói. (Hôm thứ tư, chính phủ Iran đã từ chối liên quan trong các cuộc tấn công. “Không giống như Mỹ, mà theo các báo cáo trong báo chí đã tự trao cho mình giấy phép tham gia vào cuộc chiến tranh KGM bất hợp pháp chống lại Iran, Iran tôn trọng luật quốc tế và kìm nén khỏi việc nhằm vào các cơ quan kinh tế và tài chính của các quốc gia khác”, Alireza Miryousefi, thư ký thứ nhất của Iran tại Liên hiệp quốc, viết trong một thư điện tử).
Các nhà nghiên cứu tại Radware đã nghiên cứu các cuộc tấn công vào vài ngân hàng đã thấy rằng giao thông tới tử các trung tâm dữ liệu trên thế giới. Họ đã phát hiện rằng nhiều dịch vụ đám mây và dịch vụ thuê đặt chỗ web (hosting) khác nhau đã bị lây nhiễm với một dạng phần mềm độc hại đặc biệt phức tạp, gọi là Itsoknoproblembro, đã được thiết kế để tránh bị dò tìm ra từ các chương trình chống virus. Phần mềm độc hại đó đã tồn tại nhiều năm, nhưng các cuộc tấn công ngân hàng đã lần đầu tiên nó đã sử dụng các trung tâm dữ liệu để tấn công các nạn nhân ở bên ngoài.
Các botnet, hoặc các mạng các máy tính cá nhân bị lây nhiễm, có thể thường bị theo dõi ngược lại tới một trung tâm chỉ huy kiểm soát, nhưng các chuyên gia về an ninh nói Itsoknoproblembro đã được thiết kế để làm cho rất khó trói nó vào một bên nào. Các nhà nghiên cứu an ninh đã đi tới một cái tên mới cho các máy chủ bị lây nhiễm với Itsoknoproblembro: họ gọi chúng là các “bRobots”.
Trong một botnet nghiệp dư, trung tâm chỉ huy kiểm soát có thể dễ dàng được xác định, nhưng ông Herberger nói gần như không có khả năng làm như vậy trong trường hợp này, gợi ý cho ông rằng “chiến dịch có thể do nhà nước quốc gia hỗ trợ so với các phần mềm độc hại nghiệp dư”.
Những kẻ tấn công đã sử dụng các máy chủ bị lây nhiễm để đánh cùng một lúc giao thông ở từng site ngân hàng cho tới khi nó chậm lại hoặc sập hẳn.
Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ. Một trong những ngân hàng đã có 40 gigabit năng lực Internet, ông Herberger nói, một lượng khổng lồ khi bạn coi đó là một doanh nghiệp cỡ trung chỉ có thể có 1 gigabit. Nhưng một số ngân hàng đã bị đánh với một cơn lũ bền vững các giao thông mà đạt tới 70 gigabit.
Ông Herberger đã từ chối nói các nhà cung cấp dịch vụ đám mây nào đã bị tổn thương, trích các thỏa thuận không công bố với các khách hàng của Radware, nhưng ông đã nói rằng mỗi cuộc tấn công vào một ngân hảng mới đã cung cấp bằng chứng rằng ngày càng nhiều hơn các trung tâm dữ liệu đã bị lây nhiễm và bị khai thác.
Những kẻ tấn công đã nói vào tuần trước rằng họ đã không có ý định dừng chiến dịch của họ. “Các quan chức các ngân hàng Mỹ phải mong đợi các cuộc tấn công khổng lồ của chúng tôi”, họ đã viết. “Từ bây giờ trở đi, không ngân hàng nào cùa Mỹ sẽ có an toàn cả”.
SAN FRANCISCO — The attackers hit one American bank after the next. As in so many previous attacks, dozens of online banking sites slowed, hiccupped or ground to a halt before recovering several minutes later.
But there was something disturbingly different about the wave of online attacks on American banks in recent weeks. Security researchers say that instead of exploiting individual computers, the attackers engineered networks of computers in data centers, transforming the online equivalent of a few yapping Chihuahuas into a pack of fire-breathing Godzillas.
The skill required to carry out attacks on this scale has convinced United States government officials and security researchers that they are the work of Iran, most likely in retaliation for economic sanctions and online attacks by the United States.
“There is no doubt within the U.S. government that Iran is behind these attacks,” said James A. Lewis, a former official in the State and Commerce Departments and a computer security expert at the Center for Strategic and International Studies in Washington.
Mr. Lewis said the amount of traffic flooding American banking sites was “multiple times” the amount that Russia directed at Estonia in a monthlong online assault in 2007 that nearly crippled the Baltic nation.
American officials have not offered any technical evidence to back up their claims, but computer security experts say the recent attacks showed a level of sophistication far beyond that of amateur hackers. Also, the hackers chose to pursue disruption, not money: another earmark of state-sponsored attacks, the experts said.
“The scale, the scope and the effectiveness of these attacks have been unprecedented,” said Carl Herberger, vice president of security solutions at Radware, a security firm that has been investigating the attacks on behalf of banks and cloud service providers. “There have never been this many financial institutions under this much duress.”
Since September, intruders have caused major disruptions to the online banking sites of Bank of America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital One, Fifth Third Bank, BB&T and HSBC.
They employed DDoS attacks, or distributed denial of service attacks, named because hackers deny customers service by directing large volumes of traffic to a site until it collapses. No bank accounts were breached and no customers’ money was taken.
By using data centers, the attackers are simply keeping up with the times. Companies and consumers are increasingly conducting their business over large-scale “clouds” of hundreds, even thousands, of networked computer servers.
These clouds are run by Amazon and Google, but also by many smaller players who commonly rent them to other companies. It appears the hackers remotely hijacked some of these clouds and used the computing power to take down American banking sites.
“There’s a sense now that attackers are crafting their own private clouds,” either by creating networks of individual machines or by stealing resources wholesale from poorly maintained corporate clouds, said John Kindervag, an analyst at Forrester Research.
How, exactly, attackers are hijacking data centers is still a mystery. Making matters more complex, they have simultaneously introduced another weapon: encrypted DDoS attacks.
Banks encrypt customers’ online transactions for security, but the encryption process consumes system resources. By flooding banking sites with encryption requests, attackers can further slow or cripple sites with fewer requests.
A hacker group calling itself Izz ad-Din al-Qassam Cyber Fighters has claimed in online posts that it was responsible for the attacks.
The group said it attacked the banks in retaliation for an anti-Islam video that mocked the Prophet Muhammad, and pledged to continue its campaign until the video was scrubbed from the Internet. It called the campaign Operation Ababil, a reference to a story in the Koran in which Allah sends swallows to defeat an army of elephants dispatched by the king of Yemen to attack Mecca in A.D. 571.
But American intelligence officials say the group is actually a cover for Iran. They claim Iran is waging the attacks in retaliation for Western economic sanctions and for a series of cyberattacks on its own systems. In the last three years, three sophisticated computer viruses — called Flame, Duqu and Stuxnet — have hit computers in Iran. The New York Times reported last year that the United States, together with Israel, was responsible for Stuxnet, the virus used to destroy centrifuges in an Iranian nuclear facility in 2010.
“It’s a bit of a grudge match,” said Mr. Lewis of the Center for Strategic and International Studies.
(On Wednesday, the Iranian government denied involvement in the cyberattacks. “Unlike the United States, which has per reports in the media given itself the license to engage in illegal cyber-warfare against Iran, Iran respects the international law and refrains from targeting other nations’ economic or financial institutions,” wrote Alireza Miryousefi, first secretary of the Iranian mission to the United Nations, in an e-mail.)
Researchers at Radware who investigated the attacks for several banks found that the traffic was coming from data centers around the world. They discovered that various cloud services and public Web hosting services had been infected with a particularly sophisticated form of malware, called Itsoknoproblembro, that was designed to evade detection by antivirus programs. The malware has existed for years, but the banking attacks were the first time it used data centers to attack external victims.
Botnets, or networks of individual infected slave computers, can typically be traced back to a command and control center, but security experts say Itsoknoproblembro was engineered to make it very difficult to tie it to one party. Security researchers have come up with a new name for servers infected with Itsoknoproblembro: they call them “bRobots.”
In an amateur botnet, the command and control center can be easily identified, but Mr. Herberger said it had been nearly impossible to do so in this case, suggesting to him that “the campaign may be state-sponsored versus amateur malware.”
Attackers used the infected servers to fire traffic simultaneously at each banking site until it slowed or collapsed.
By infecting data centers instead of computers, the hackers obtained the computing power to mount enormous denial of service attacks. One of the banks had 40 gigabits of Internet capacity, Mr. Herberger said, a huge amount when you consider that a midsize business may only have one gigabit. But some banks were hit with a sustained flood of traffic that peaked at 70 gigabits.
Mr. Herberger declined to say which cloud service providers had been compromised, citing nondisclosure agreements with Radware’s clients, but he said that each new bank attack provided evidence that more data centers had been infected and exploited.
The attackers said last week that they had no intention of halting their campaign. “Officials of American banks must expect our massive attacks,” they wrote. “From now on, none of the U.S. banks will be safe.”
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.