Duquhackers scrub evidence from command servers, shut down spying op
Xóatất cả các tệp và các lưu ký chỉ vài ngày sau khi cácnhà nghiên cứu đã phát hiện sự tồn tại của botnet.
Deleteall files and logs just days after researchers revealed botnet'sexistence
By Gregg Keizer, November30, 2011 04:02 PM ET
Bài được đưa lênInternet ngày: 30/11/2011
Lờingười dịch: Thông tin thêm về Duqu: “Duqu đã đượcthiết kế, Symantec và Kaspersky nói, bởi các tin tặc caocấp, có lẽ đúng là được hậu thuẫn bởi một chínhphủ củ các quốc gia còn chưa được rõ. Không giốngnhư Stuxnet, nó đã không được giả mạo để trút sựtàn phá lên các máy li tâm làm giàu uranium, mà để trinhsát dò tìm ra các cài đặt có khả năng bị tổn thươngvà các mạng máy tính như một kẻ dẫn đầu cho sự pháttriển một sâu khác sẽ nhằm vào các hệ thống kiểmsoát công nghiệp”. “Theo Kaspersky, mỗi biến thể Duqu -và nó có thậm chí khoảng 1 tá biến thể - đã sử dụngmột máy chủ bị tổn thương khác để quản lý các máytính cá nhân bị lây nhiễm với phiên bản đặc thù đócủa phần mềm độc hại. Các máy chủ đó đã nằmở Bỉ, Ấn Độ, Hà Lan và Việt Nam, trong số cácquốc gia khác”. Chính các tin tặc đã thực hiện việc:“12 chiếc máy chủ chỉ huy và kiểm soát (C&C)được biết cho Duqu đã được lau chùi sạch tất cảcác tệp vào 20/10/2011, theo Phòng thí nghiệm Kassperskycó trụ sở ở Moscow”.
Computerworld - Các tintặc đằng sau botnet Duqu đã đánh sập hoạt động rìnhmò của họ, một nhà nghiên cứu về an ninh đã nói hômnay.
12chiếc máy chủ chỉ huy và kiểm soát (C&C) được biếtcho Duqu đã được lau chùi sạch tất cả các tệp vào20/10/2011, theo Phòng thí nghiệm Kasspersky có trụ sở ởMoscow.
Điều đó đã xảyra chỉ 2 ngày sau khi hãng chống virus Symantec công khai vớiphân tích của hãng về Duqu, một botnet dựa vào ngựaTrojan mà nhiều chuyên gia an ninh tin tưởng mã nguồn vàcác tính năng chung được chia sẻ với Stuxnet, sâu siêuphức tạp vào năm ngoái đã phá hoại chương trình hạtnhân của Iran.
Duquđã được thiết kế, Symantec và Kaspersky nói, bởi cáctin tặc cao cấp, có lẽ đúng là được hậu thuẫn bởimột chính phủ củ các quốc gia còn chưa được rõ.Không giống như Stuxnet, nó đã không được giả mạo đểtrút sự tàn phá lên các máy li tâm làm giàu uranium, màđể trinh sát dò tìm ra các cài đặt có khả năng bịtổn thương và các mạng máy tính như một kẻ dẫn đầucho sự phát triển một sâu khác sẽ nhằm vào các hệthống kiểm soát công nghiệp.
“Tôi nghĩ phần nàycủa hoạt động [của Duqu] bây giờ đã đóng lại”,Roel Schouwenberg, một nhà nghiên cứu lâu năm củaKaspersky, trong một thư trả lời điện tử cho các câuhỏi hôm nay. “[Nhưng] điều đó không nói lên một hoạtđộng mới/được sửa đổi có thể đang diễn ra”.
Hôm thứ tư trướcđó, một chuyên gia khác của Kaspersky đã đưa lên mộtcập nhật về điều tra của hãng này về Duqu mà đã lưuý rằng vào ngày 20/10 các tin tặc đã lau chùi nhà rồi.
TheoKaspersky, mỗi biến thể Duqu - và nó có thậm chí khoảng1 tá biến thể - đã sử dụng một máy chủ bị tổnthương khác để quản lý các máy tính cá nhân bị lâynhiễm với phiên bản đặc thù đó của phần mềm độchại. Các máy chủ đó đã nằm ở Bỉ, Ấn Độ, Hà Lanvà Việt Nam, trong số các quốc gia khác.
Computerworld - The hackers behindthe Duqu botnet have shut down their snooping operation, a securityresearcher said today.
The12 known command-and-control (C&C) servers for Duqu were scrubbedof all files on Oct. 20, 2011, according to Moscow-based KasperskyLab.
Thatwas just twodays after rival antivirus firm Symantec went public with itsanalysis of Duqu, a Trojan horse-based botnet that many securityexperts believe shared common code and characteristics with Stuxnet,the super-sophisticated worm that last year sabotaged Iran's nuclearprogram.
Duquwas designed, said Symantec and Kaspersky, by advanced hackers, mostlikely backed by an unknown country's government. Unlike Stuxnet, itwas not crafted to wreak havoc on uranium enrichment centrifuges, butto scoutout vulnerable installations and computer networks as a lead-into the development of another worm targeting industrial controlsystems.
"Ithink this part of the [Duqu] operation is now closed." saidRoel Schouwenberg, a Kaspersky senior researcher, in an emailed replyto questions today. "[But] that's not to say a new/modifiedoperation may be under way."
EarlierWednesday, another Kaspersky expert postedan update on the company's investigation into Duqu that noted theOct. 20 hackers' house-cleaning.
Accordingto Kaspersky, each Duqu variant -- and it knows of an even dozen --used a different compromised server to manage the PCs infected withthat specific version of the malware. Those servers were located inBelgium, India, the Netherlands and Vietnam, among other countries.
“Những kẻ tấncông đã quét sạch từng máy chủ đơn mà chúng đã sửdụng như từng làm vào năm 2009”, Kaspersky nói, tham chiếutới công việc lau dọn sạch hôm 20/10.
Các tin tặc đã khôngchỉ xóa tất cả các tệp từ các hệ thống đó, mà cònkiểm tra lại 2 lần trước đó rằng việc lau dọn sạchđã có hiệu quả, Kaspersky đã lưu ý. “Mỗi [máy chủC&C] đã được điều tra đều đã được làm sạch”,Schouwenberg nói.
Kaspersky cũng đã tiếtlộ những manh mối về hoạt động của Duqu mà hãng đãgiải mã.
Cáccuộc tấn công đã nhanh chóng cập nhật từng phiên bảnmáy chủ bị tổn thương của OpenSSH - đối với trìnhbiên dịch an ninh của OpenBSD, một bộ công cụ nguồn mởcho việc mã hóa giao thông Internet - tới một xuất bảnmới, thay thế phiên bản 4.3 bằng một phiên bản mớihơn 5.8.
Dù đã có những báocáo rằng OpenSSh có một chỗ bị tổn thương còn chưađược vá, hoặc “ngày số 0” - có lẽ bị các tin tặccủa Duqu khai thác để thâm nhập bất hợp pháp các máychủ để họ sử dụng - thì Kaspersky cuối cùng cũng đãphủ định lý thuyết đó, nói rằng điều đó đơn giảntừng là “quá kinh hãi” để thưởng ngoạn.
Ngay cả như vậy, thìđây từng là một trong những lý do mà Schouwenberg đã đềxuất cho bản cập nhật nhanh cho OpenSSH 5.8.
“Sử dụng logic ởđây là việc chúng ta đang nhìn vào khả năng một chỗbị tổn thương trong phiên bản cũ hơn và/hoặc một tínhnăng được bổ sung trong phiên bản mới mà kẻ tấn côngsử dụng”, Schouwenberg nói.
Bằng việc cập nhậtOpenSSH từ OpenSSH 4.3 có khả năng bị tổn thương, cáclập trình viên Duqu có thể đã có ý định đảm bảorằng các tội phạm khác không thể ăn cắp được cácmáy chủ đã bị ăn cắp của họ.
Iran, mà năm ngoái đãnhận thức được một số hệ thống, bao gồm các hệthống trong các cơ sở hạt nhân của mình, đã bị lâynhiễm với Stuxnet, 2 tuần trước đã thừa nhận Duqu cũngđã ngọ nguậy trong các máy tính cá nhân PC tại đấtnước này.
Duquđã được theo dõi có các cuộc tấn công tại vài quốcgia khác Iran, như Sudan, và có thể đã được xây dựngtừ năm tháng 08/2007.
"Theattackers wiped every single server they had used as far back as2009," Kaspersky said, referring to the Oct. 20 cleaning job.
Thehackers not only deleted all their files from those systems, butdouble-checked afterward that the cleaning had been effective,Kaspersky noted. "Each [C&C server] we've investigated hasbeen scrubbed," said Schouwenberg.
Kasperskyalso uncovered clues about Duqu's operation that it has yet todecipher.
Theattackers quickly updated each compromised server's version ofOpenSSH -- for Open BSD Secure Shell, an open-source toolkit forencrypting Internet traffic -- to a newer edition, replacing thestock 4.3 version with the newer 5.8.
Althoughthere have been reports that OpenSSH contains an unpatched, or"zero-day," vulnerability -- perhaps exploited by the Duquhackers to hijack legitimate servers for their own use -- Kasperskyeventually rejected that theory, saying it was simply "tooscary" to contemplate.
Evenso, it was one of two reasons Schouwenberg proposed for the fastupdate to OpenSSH 5.8.
"Thelogical assumption here is that we're looking at possibly avulnerability in the older version and/or an added feature in the newversion that's of use to the attacker," said Schouwenberg.
Byupdating OpenSSH from the possibly-vulnerable OpenSSH 4.3, the Duqudevelopers may have intended to ensure that other criminals couldn'tsteal their stolen servers.
Iran,which last year acknowledged some systems, including ones in itsnuclear facilities, had been infected with Stuxnet, two weeks agoadmittedDuqu had also wiggled its way onto PCs in the country.
Duquhas been traced to attacks in several countries other than Iran,including the Sudan, and may have been underconstruction since August 2007.
Dịch tài liệu: Lê Trung Nghĩa
Link to full article
0 nhận xét:
Đăng nhận xét