Thứ Tư, 3 tháng 12, 2014

Các mạng sống còn ở Mỹ, 15 nước khác, có thể bị Iran hoàn toàn sở hữu


Critical networks in US, 15 other nations, completely owned, possibly by Iran
Chiến dịch Con dao pha chiếm gần như hoàn toàn sự kiểm soát các hãng hàng không, các nhà sản xuất khí, quân sự.
Operation Cleaver gets near-complete control of airlines, gas producers, defense.
by Dan Goodin - Dec 3 2014, 5:30am ICT
Bài được đưa lên Internet ngày: 03/12/2014


Lời người dịch: Phát hiện mới nhất từ các tin tặc Iran là Chiến dịch Con dao pha đánh vào 50 hạ tầng sống còn của 16 quốc gia trên thế giới trong vòng hơn 2 năm qua. “Hơn 2 năm qua, các tin tặc thân Iran đã thâm nhập trái phép một vài mạng máy tính nhạy cảm nhất thế giới, bao gồm các mạng của các hãng hàng không, nhà sản xuất ô tô, nhà sản xuất khí tự nhiên, nhà thầu quân sự, và cơ sở quân sự có trụ sở ở Mỹ, các nhà nghiên cứu về an toàn, nói”. “Có lẽ bằng chứng ớn lạnh xương nhất mà chúng tôi đã thu thập được trong chiến dịch này là việc ngắm đích và làm tổn thương các mạng giao thông và các hệ thống như các máy bay và các sân bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ truy cập dường như ở khắp mọi nơi: các miền Active Directory đã hoàn toàn bị tổn thương, cùng với toàn bộ các chuyển mạch switch Cisco Edge, các bộ định tuyến router và hạ tầng kết nối mạng nội bộ. Hoàn toàn bị tổn thương các ủy quyền VPN có nghĩa hạ tầng truy cập ở xa toàn bộ chuỗi cung ứng của họ nằm dưới sự kiểm soát của đội Con dao pha, cho phép thường trực liên tục với các ủy quyền bị tổn thương. Họ đã đạt được sự truy cập hoàn toàn tới các cổng sân bay và các hệ thống kiểm soát an toàn của chúng, tiềm tàng cho phép họ đánh lừa được các ủy quyền của các cổng. Họ đã giành được sự truy cập tới các ủy quyền của PayPal và Go Daddy, cho phép họ thực hiện các cuộc mua sắm giả mạo và cho phép truy cập không bị cùm tới các miền của các nạn nhân. Chúng tôi đã chứng kiến một lượng truy cập thật sốc trong các phần sâu nhất của các công ty đó và các sân bay ở đó họ vận hành”. Tài liệu kỹ thuật chi tiết về chiến dịch này có ở đây.

Hơn 2 năm qua, các tin tặc thân Iran đã thâm nhập trái phép một vài mạng máy tính nhạy cảm nhất thế giới, bao gồm các mạng của các hãng hàng không, nhà sản xuất ô tô, nhà sản xuất khí tự nhiên, nhà thầu quân sự, và cơ sở quân sự có trụ sở ở Mỹ, các nhà nghiên cứu về an toàn, nói.

Trong nhiều trường hợp, “Chiến dịch Con dao pha”, như đang được gọi chiến dịch đột nhập liên tục, đã đạt tới các mức truy cập hệ thống cao nhất các mục tiêu nằm ở tổng cộng 16 nước, thao một báo cáo do hãng an toàn Cylance hôm thứ ba xuất bản. Các hệ thống bị tổn thương trong các cuộc tấn công đang diễn ra bao gồm các trình kiểm soát miền Active Directory mà lưu trữ các ủy quyền đăng nhập của các nhân viên, các máy chủ chạy Microsoft Windows và Linux, các bộ định tuyến router, các bộ chuyển mạch switch, và các mạng riêng ảo. Với hơn 50 nạn nhân bao gồm các sân bay, bệnh viện, các nhà cung cấp viễn thông, các công ty hóa chất và các chính phủ, các tin tặc có trụ sở ở Iran được nêu có sự kiểm soát đặc biệt đối với nhiều hạ tầng sống còn của thế giới. Các nhà nghiên cứu của Cylance đã viết:

Có lẽ bằng chứng ớn lạnh xương nhất mà chúng tôi đã thu thập được trong chiến dịch này là việc ngắm đích và làm tổn thương các mạng giao thông và các hệ thống như các máy bay và các sân bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ truy cập dường như ở khắp mọi nơi: các miền Active Directory đã hoàn toàn bị tổn thương, cùng với toàn bộ các chuyển mạch switch Cisco Edge, các bộ định tuyến router và hạ tầng kết nối mạng nội bộ. Hoàn toàn bị tổn thương các ủy quyền VPN có nghĩa hạ tầng truy cập ở xa toàn bộ chuỗi cung ứng của họ nằm dưới sự kiểm soát của đội Con dao pha, cho phép thường trực liên tục với các ủy quyền bị tổn thương. Họ đã đạt được sự truy cập hoàn toàn tới các cổng sân bay và các hệ thống kiểm soát an toàn của chúng, tiềm tàng cho phép họ đánh lừa được các ủy quyền của các cổng. Họ đã giành được sự truy cập tới các ủy quyền của PayPal và Go Daddy, cho phép họ thực hiện các cuộc mua sắm giả mạo và cho phép truy cập không bị cùm tới các miền của các nạn nhân. Chúng tôi đã chứng kiến một lượng truy cập thật sốc trong các phần sâu nhất của các công ty đó và các sân bay ở đó họ vận hành.
Báo cáo 86 trang hôm thứ ba dựa vào bằng chứng tường tận để đi tới kết luận rằng 20 hoặc nhiều hơn các tin tặc tham gia trong Chiến dịch Con dao pha được chính phủ Iran hậu thuẫn. Các thành viên lấy các tên hiệu vùng Vịnh như Salman Ghazikhani và Bahman Mohebbi; họ làm việc từ vô số các miền Internet, các địa chỉ IP, và các số hệ thống tự quản được đăng ký ở Iran; và nhiều trong số các công cụ đột nhập được thiết lập cấu hình tùy biến mà họ sử dụng đưa ra các cảnh báo khi các địa chỉ IP bên ngoài của chúng lần vết ngược về quốc gia Trung Đông. Hạ tầng hỗ trợ cho chiến dịch khổng lồ đó là quá vươn rộng không thể là công việc của một cá nhân hoặc nhóm nhỏ; nó chỉ có thể được một nhà nước quốc gia hỗ trợ.
Báo thù Stuxnet
Sự phát hiện Chiến dịch Con dao pha tới 28 tháng sau khi phần mềm độc hại phá hoại cao độ được biết tới như là Shamoon đã phá hủy vĩnh viễn các dữ liệu trong hơn 30.000 máy tính thuộc về hãng Saudi Aramco và RasGas, 2 nhà sản xuất khí tự nhiên lớn nằm ở Ả rập Xê út và Qatar một cách tương ứng. Cũng trong khoảng thời gian đó, một loạt các cuộc tấn công từ chối dịch vụ phá hoại cực kỳ đã đánh được vào các ngân hàng chủ chốt của Mỹ. Một năm trước đó, vào tháng 8/2011, các tin tặc đã thâm nhập trái phép Cơ quan chứng thực của Hà Lan là DigiNotar và đã làm giả các chứng thực số đối với Gmail và các site nổi tiếng khác. Vài nhà nghiên cứu về an toàn đã nói rằng Iran đã đứng đằng sau tất cả 3 vụ đột nhập như một phần của một nỗ lực trả đũa cho Stuxnet, Duqu, và Flame, các chiến dịch phần mềm độc hại rộng rãi được tin tưởng được dàn phối từ Mỹ và Israel để giám sát và phá hủy các chương trình hạt nhân của Iran.

“Sự tinh vi phức tạp về không gian mạng của Iran đã phát triển nhanh chóng kể từ bình minh của Stuxnet và họ đã đầu tư nhiều tiền được kết hợp với niềm tự hào dân tộc để giúp xây dựng quân đội không gian mạng của họ”, báo cáo của Cylance đã nêu. “Ít sự nghi ngờ cam kết của họ như một chính phủ và một nhà nước quốc gia cấp tiền và tuyển mộ các chiến binh không gian mạng để thâm nhập trái phép và gây thiệt hại cho các kẻ địch của họ. Và được mặc nhận chung rằng hầu hết tất cả các hoạt động kể từ 2010 tới từ Iran có liên quan tới sự trả đũa vì Stuxnet/Duqu/Flame, dường như là tự nhiên khi biết về ảnh hưởng khốc liệt”.

Hầu hết các cuộc tấn công của Chiến dịch Con dao phay được Cylance dò tìm ra được bắt đầu với các đột nhập nhỏ vào một hệ thống đích, bằng việc sử dụng các kỹ thuật như các khai thác tiêm SQL để thổi các lệnh vào máy chủ phụ trợ của một website. Từ đó, các tin tặc đã leo thang sự truy cập của họ bằng việc ngắm đích các chỗ bị tổn thương chưa được vá như MS08-067. Những kẻ tấn công có thể sau đó cài đặt một đống các công cụ được tùy biến vào các máy chủ đó để trao cho những kẻ tấn công một loạt các khả năng. Trong ít nhất một trường hợp, các chứng thực ký riêng tư của mục tiêu đã bị tóm, cho phép đội đó gây tổn thương phần còn lại của hạ tầng đích. Không giống như Stuxnet, không có bằng chứng bất kỳ chỗ bị tổn thương ngày số 0 nào bị khai thác.
Trong vòng 2 năm qua, Cylance đã thu thập hơn 8 GB dữ liệu có liên quan tới chiến dịch đó, bao gồm 80.000 tệp dữ liệu bị chộp, các công cụ của tin tặc, các lưu ký của nạn nhân, và các dữ liệu do thám nhạy cảm cao. Các nhà nghiên cứu đã truy xuất dữ liệu bằng việc sử dụng hệ thống tên miền Internet để làm trệch hướng đi giữa các hệ thống bị tổn thương và các máy chủ chỉ huy kiểm soát của những kẻ tấn công, một tiến trình được biết như là “nhấn chìm lỗ thủng”.

Chỉ một phần nhỏ được dò tìm ra
Tất cả, 50 mục tiêu ở 16 quốc gia được biết đã bị tổn thương. Trong danh sách có 10 nạn nhân ở Mỹ, 4 ở Israel, và 5 ở Pakistan. Các nhóm ở Anh, Pháp, Đức và nhiều nước ở Trung Đông cũng đã bị đánh. Báo cáo của Cylance bao gồm các chi tiết kỹ thuật sâu để giúp các quản trị hệ thống xác định liệu các hệ thống của họ có từng bị tổn thương hay không.

Các nhà nghiên cứu của Cylance nói họ tin tưởng họ chỉ mới dò tìm ra được một phần nhỏ các mục tiêu bị Chiến dịch Con dao pha thâm nhập trái phép. Với hơn 2 năm nó đã từng hoạt động, họ đã cảnh báo thời gian có thể đã hết.

“Chúng tôi tin tưởng rằng nếu chiến dịch đó còn tiếp tục không bị suy yếu đi, thì đó chỉ là vấn đề thời gian trước khi sự an toàn vật lý của thế giới bị ảnh hưởng vì nó”, họ viết. “Trong khi sự hé mở thông tin này sẽ là một sự thiệt hại cho khả năng của chúng tôi để lần vết hoạt động của nhóm này, thì nó sẽ cho phép toàn bộ nền công nghiệp an toàn tối thiểu hóa tác động bổ sung thêm trong thế giới thực và phòng ngừa có thêm nhiều nạn nhân nữa”.
For more than two years, pro-Iranian hackers have penetrated some of the world's most sensitive computer networks, including those operated by a US-based airline, auto maker, natural gas producer, defense contractor, and military installation, security researchers said.

In many cases, "Operation Cleaver," as the sustained hacking campaign is being dubbed, has attained the highest levels of system access of targets located in 16 countries total, according to a report published Tuesday by security firm Cylance. Compromised systems in the ongoing attacks include Active Directory domain controllers that store employee login credentials, servers running Microsoft Windows and Linux, routers, switches, and virtual private networks. With more than 50 victims that include airports, hospitals, telecommunications providers, chemical companies, and governments, the Iranian-backed hackers are reported to have extraordinary control over much of the world's critical infrastructure. Cylance researchers wrote:

Perhaps the most bone-chilling evidence we collected in this campaign was the targeting and compromise of transportation networks and systems such as airlines and airports in South Korea, Saudi Arabia and Pakistan. The level of access seemed ubiquitous: Active Directory domains were fully compromised, along with entire Cisco Edge switches, routers, and internal networking infrastructure. Fully compromised VPN credentials meant their entire remote access infrastructure and supply chain was under the control of the Cleaver team, allowing permanent persistence under compromised credentials. They achieved complete access to airport gates and their security control systems, potentially allowing them to spoof gate credentials. They gained access to PayPal and Go Daddy credentials allowing them to make fraudulent purchases and allow[ing] unfettered access to the victim’s domains. We were witnessed [sic] a shocking amount of access into the deepest parts of these companies and the airports in which they operate.

Tuesday's 86-page report relies on circumstantial evidence to arrive at the conclusion that the 20 or more hackers participating in Operation Cleaver are backed by Iran's government. Members take Persian handles such as Salman Ghazikhani and Bahman Mohebbi; they work from numerous Internet domains, IP addresses, and autonomous system numbers registered in Iran; and many of the custom-configured hacking tools they use issue warnings when their external IP addresses trace back to the Middle Eastern country. The infrastructure supporting the vast campaign is too sprawling to be the work of a lone individual or small group; it could only have been sponsored by a nation state.

Avenging Stuxnet
The disclosure of Operation Cleaver comes 28 months after highly destructive malware known as Shamoon permanently destroyed data on more than 30,000 computers belonging to Saudi Aramco and RasGas, two large natural gas producers located in Saudi Arabia and Qatar respectively. Around that same time, a series of extremely disruptive denial-of-service attacks knocked out access to major US banks. A year earlier, in August 2011, hackers penetrated the Dutch certificate authority DigiNotar and made off with digital certificates for Gmail and other high-profile sites. Some security researchers have said that Iran was behind all three hacks as part of an effort to retaliate for Stuxnet, Duqu, and Flame, malware campaigns widely believed to have been orchestrated by the US and Israel to monitor and disrupt Iran's nuclear programs.

"Iran's cyber sophistication has grown rapidly since the dawn of Stuxnet and they have used hard dollars combined with national pride to help build their cyber army," the Cylance report stated. "Few doubt their commitment as a government and nation state to funding and recruiting cyber warriors to infiltrate and damage their enemies. And it has been commonly postulated that almost all activity since 2010 coming out of Iran is associated with retaliation for Stuxnet/Duqu/Flame, which seems natural given the severity of the impact."

Most of the Operation Cleaver attacks detected by Cylance began with small incursions into a target system, using techniques such as SQL injection exploits to pipe commands into the back-end server of a website. From there, the hackers elevated their access by targeting unpatched vulnerabilities such as MS08-067. The attackers would then install a battery of customized tools on the servers that gave the attackers a variety of capabilities. In at least one case, a target's private signing certificates were captured, allowing the team to compromise the rest of the target's infrastructure. Unlike Stuxnet, there's no evidence any zero-day vulnerabilities were exploited.

Over the past two years, Cylance has collected more than eight gigabytes of data connected to the campaign, including 80,000 files of captured data, hacker tools, victim logs, and highly sensitive reconnaissance data. The researchers retrieved the data by using the Internet's domain name system to divert traffic traveling between compromised systems and the attackers' command and control servers, a process known as "sink holing."

Only a fraction detected

In all, 50 targets in 16 countries are known to have been compromised. The tally includes 10 victims in the US, four in Israel, and five in Pakistan. Groups in the UK, France, Germany, and numerous Middle Eastern countries were also hit. The Cylance report includes in-depth technical details to help system administrators determine if their systems were compromised.

Cylance researchers said they believe they detected only a fraction of the targets penetrated by Operation Cleaver. With more than two years it has been active, they warned time may be running out.

"We believe that if the operation is left to continue unabated, it is only a matter of time before the world’s physical safety is impacted by it," they wrote. "While the disclosure of this information will be a detriment to our ability to track the activity of this group, it will allow the security industry as a whole to defend against this threat. As such, we are exposing this cyber campaign early in an attempt to minimize additional real-world impact and prevent further victimization."
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.