10 chiến dịch đột nhập hàng đầu do nhà nước bảo trợ: từ PRISM tới Stuxnet và Mask


Lời người dịch: 10 chiến dịch đột nhập hàng đầu do nhà nước bảo trợ gồm: (1) Stuxnet; (2) PRISM; (3) Flame; (4) DarkSeoul; (5) Gauss; (6) Duqu; (7) Mask; (8) APT1; (9) Red October; (10) Shady RAT. Trong số này, những chiến dịch được cho là xuất xứ từ Mỹ gồm: (1) Stuxnet [cùng với Israel]; (2) PRIMS; (3) Flame; (5) Gauss; (6) Duqu; những chiến dịch được cho là xuất xứ từ Trung Quốc gồm: (8) APT1; (9) Red October; (10) Shady RAT. Phần còn lại được cho là có xuất xứ từ Bắc Triều Tiên (4) DarkSeoul; Riêng xuất xứ còn chưa rõ là của (7) Mask. Xem thêm: ‘Chương trình gián điệp PRISM trên không gian mạng‘.

 

Kể từ khi chiếc máy tính đầu tiên từng được kết nới với Internet thì chúng ta đã thấy một dòng vững chắc các vụ quét không gian mạng và các phương án phần mềm độc hại mới vây quanh. Tuy nhiên, chỉ ít năm qua mọi điều đã thực sự nóng bỏng, với một số tiết lộ đáng ngạc nhiên chỉ ra không chỉ các tội phạm ra tăng nhanh và sự lỏng lẻo của luật và các dữ liệu trực tuyến.
Kể từ 2011 khi mà phần mềm độc hại nổi tiếng Stuxnet đã bị phát hiện, các nhà nghiên cứu đã phát hiện bằng chứng rằng nhiều chiến dịch đột nhập nguy hiểm nổi tiếng thực sự đang được triển khai từ các cơ quan chính phủ. Điều này là gây lo ngại khi mà các công nghệ hiện đại của các cuộc tấn công làm cho chúng gần với sự không thể để chống lại. Tệ hơn, các chiến dịch đó cũng đã trao cho các tội phạm không gian mạng trung bình các ý tưởng về các cách thức để cải thiện các cuộc tấn công của riêng chúng.
Như là một hệ quả, thậm chí nếu một doanh nghiệp không phải là nạn nhân trực tiếp của cuộc tấn công của một chính phủ, thì CIO của họ cũng vẫn cần phải hiểu biết và được học từ các trường hợp của các nạn nhân của các nhà nước quốc gia đó. Để giúp điều này chúng tôi đi tới một danh sách chắc chắn 10 chiến dịch tấn công tồi tệ nhất do nhà nước bảo trợ mà các nhà lãnh đạo CNTT cần phải biết.
10. Shady RAT
Shady RAT là một Trojan truy cập từ xa (RAT), nó đánh vào các đầu đề trong năm 2011 sau khi McAfee đã phát hiện nhiều mạng của chính phủ và công ty đã bị tổn thương như một phần của các chiến dịch đột nhập do nhà nước bảo trợ phạm vi ồ ạt.
McAfee đã biết về chiến dịch đó sau khi nó đã giành được sự truy cập tới một máy chủ chỉ huy kiểm soát được những kẻ tấn công sử dụng và thu thập các chi tiết lưu ký phát hiện ra tất cả các nạn nhân từ năm 2006.
Nghiên cứu của McAfee đã tiết lộ trong thời cao điểm của nó, chiến dịch Shady RAT trải rộng 14 nước và đã làm tổn thương đáng kinh ngạc 72 tổ chức – bao gồm cả Liên hiệp quốc, các nhà thầu quân sự và thậm chí các ủy ban Olympic.
Chiến dịch Shady RAT có nhiều nét tương đồng với các chiến dịch đột nhập Rạng Đông (Aurora) và Con rồng Đêm (Night Dragon), và được tin tưởng từng được chính phủ Trung Quốc tài trợ.
9. Red October (Tháng 10 Đỏ)
Red October từng được Kaspersky phát hiện vào tháng 01/2013. Hãng an ninh đó khá nhút nhát về việc tiết lộ hãng nghĩ ở đâu các cuộc tấn công đó đã khởi xướng, như các kỹ thuật được sử dụng của những kẻ phạm tội đã chỉ ra thứ gì đó khá tiên tiến.
“Những kẻ tấn công đã tạo ra phần mềm độc hại độc nhất, mềm dẻo cao độ để ăn cắp dữ liệu và tình báo địa lý từ các hệ thống máy tính của nạn nhân, các điện thoại di động và các thiết bị mạng doanh nghiệp”, một báo cáo nêu khi đó.
Phần mềm độc hại đó đã nhằm vào các chính phủ và các nhóm chính trị cũng như các doanh nghiệp, với đa phần các lây nhiễm được thấy ở Nga và Kazakhstan. Các dấu hiệu đã chỉ ra hướng vào một cuộc tấn công do nhà nước bảo trợ bao gồm một “module sống lại được” tiên tiến mà đã đánh lừa người sử dụng nghĩ nó đã được loại bỏ. Phần mềm độc hại đó cũng bao gồm các lần vết phần mềm được sử dụng như thứ tương tự của Nato và EU.
8. APT1
Chiến dịch đột nhập của APT1 từng được hãng an ninh Mandiant phát hiện vào tháng 02/2013. Chiến dịch đó nổi tiếng không chỉ vì nó được tin tưởng đã đột nhập thành công vào 141 công ty khắp thế giới, mà còn vì được cho là các liên kết của nó với chính phủ Trung Quốc.
Trong khi đã từng có những cáo buộc cho rằng Trung Quốc có thể từng cấp vốn cho các cuộc tấn công, thì APT1 từng là chiến dịch nghiêm trọng đầu tiên có một hãng an ninh gọi tên trực tiếp Trung Quốc. Đặc biệt, Mandiant đã nêu mối liên kết mà chiến dịch đó với một đơn vị quân đội Trung Quốc có trụ sở ở khu Pudong của Thượng Hải.
7. Mask (Mặt nạ)
Mask là một chiến dịch đột nhập nổi tiếng được hãng an ninh Nga Kaspersky phát hiện vào tháng 02/2014 nhằm vào các văn phòng ngoại giao và các đại sứ quán, các công ty dầu khí, các viện nghiên cứu, các hãng cổ phần tư nhân và các nhà hoạt động xã hội bằng các phần mềm độc hại.
Các nhà nghiên cứu của Kaspersky đã liệt chiến dịch Mask như một trong những chiến dịch tiên tiến nhất từng thấy cho tới nay, nêu nó đặc trưng bằng vài khả năng phòng thủ né tránh làm cho hầu như không có khả năng để chống lại nó. Các nhà nghiên cứu nói các sức mạnh tiên tiến đã cho phép các tin tặc thâm nhập vào 380 chính phủ và doanh nghiệp khắp 31 quốc gia, bao gồm cả nước Anh.
Trong khi còn chưa rõ ai đứng đằng sau chiến dịch Mask, thì các nhà nghiên cứu đã thấy bản chất tự nhiên tiên tiến của nó như một dấu hiệu rằng nó được nhà nước bảo trợ.
6. Duqu
Phần mềm độc hại Duqu ban đầu đã lộ cái đầu xấu xí của nó vào mùa thu 2011, khi nó bị bắt đang nhằm vào nhiều hệ thống của công ty và chính phủ ở Trung Đông và Bắc Phi.
Phần mềm độc hại Duqu đã gây ra làn sóng trong cộng đồng an ninh khi nó đã sử dụng một ngôn ngữ lập trình được coi là bí ẩn và chưa từng có trước đó. Một số nhà nghiên cứu tin tưởng Duqu có liên kết với Stuxnet – một số đã còn đi xa hơn khi nói nó có thể đã được chính nhóm các tin tặc đó tạo ra.
Dù bất kể thế nào, thì Duqu chắc chắn tự bản thân nó là đáng sợ và được thiết kế để ăn cắp thông tin mà có thể được sử dụng để dấy lên các cuộc tấn công vào các hệ thống kiểm soát công nghiệp – những hệ thống quản lý hạ tầng sống còn của chúng ta.
5. Gauss
Gauss từng là một phần mềm độc hại đặc biệt tệ khi được nhằm vào gián điệp được hãng phần mềm an ninh Nga Kaspersky phát hiện vào năm 2013.
Phần mềm độc hại đó là nguy hiểm khi nó có vài nét tương đồng với các phần mềm độc hại tiên tiến khác, như Flame nổi tiếng. Tuy nhiên Gauss từng không điển hình bất chấp có tất cả các dấu hiệu của một phần mềm độc hại theo truyền thống để làm gián điệp và do nhà nước tạo ra, cơ sở các đích ngắm của nó không là các nhà máy điện hay cơ quan chính phủ.
Thay vào đó chiến dịch Gauss đã có trọng tâm đặc biệt trong việc ăn cắp các dữ liệu của các cơ quan tài chính. Tệ hơn, phạm vi đầy đủ của chiến dịch đó còn chưa rõ, dù các nhà nghiên cứu của Kaspersky ước tính nó đã gây lây nhiễm cho 2.500 máy.
4. DarkSeoul (Seoul Đen tối)
Các mối quan hệ giữa Bắc và Nam Triều Tiên là căng thẳng nhất cho tới nay. Theo truyền thống thì đó là chương trình hạt nhân của Bắc Triều Tiên mà đã áp đảo các đầu đề báo chí và từng là lý do chính cho điều này. Tuy nhiên, trong năm 2013 điều này tất cả đã thay đổi, khi các tin tặc hoạt động dưới bí danh DarkSeoul đã nhận trách nhiệm về một làn sóng các cuộc tấn công vào vài ngân hàng và đài phát thanh quốc gia.
Kể từ đó các chuyên gia an ninh khắp thế giới đã biên dịch một danh sách ngày một gia tăng các bằng chứng gợi ý rằng nhóm DarkSeoul là do nhà nước bảo trợ. Điều này bắt đầu với Symantec vào tháng 06/2013, nó đã nêu phân tích các công cụ tấn công được nhóm đó sử dụng đã chỉ ra một mức độ phức tạp vượt khỏi hầu hết các nhóm tin tặc thông thường.
Sau đó nó đã tiếp tục vào tháng 07/2013, khi McAfee đã nêu bằng chứng được phát hiện gợi ý các cuộc tấn công của DarkSeoul là một phần của một chiến dịch đột nhập nguy hiểm và rộng lớn hơn mà đã và đang diễn ra trong ít nhất 4 năm.
3. Flame (Ngọn lửa)
Vào tháng 05/2012 Iran đã phát hiện nó đang bị đánh với một cuộc tấn công bằng phần mềm độc hại mức cao với cái tên đáng sợ Flame.
Đội Ứng cứu Khẩn cấp Máy tính của Iran (Maher) đã tiết lộ nó đã phát hiện cuộc tấn công đó mặc dù thực tế là Flame đã không bị 43 công cụ chống virus khác nhau phát hiện ra trước đó. Nó làm cho đội an ninh ở Kaspersky phải tìm kiếm nó, và chỉ sau khi Liên đoàn Viễn thông Quốc tế – ITU (International Telecommunication Union) của Liên hiệp quốc đã kêu gọi hãng tới để giúp phát hiện vì sao thông tin nhạy cảm đã bị xóa khắp Trung Đông.
Trong khi phát hiện ra Flame thì hãng an ninh Nga đã gắn nói như là “vũ khí không gian mạng phức tạp nhất từng bị phát hiện” và với vài chức năng lừng danh, bao gồm cả việc giám sát mạng, quét đĩa, chụp màn hình, ghi âm từ các microphone được xây dựng sẵn và thâm nhập vào các hệ điều hành Windows khác nhau.
“Flame có thể dễ dàng được mô tả như là một trong những mối đe dọa phức tạp nhất từ trước tới nay bị phát hiện. Nó là lớn và phức tạp chưa từng thấy. Nó xác định lại khác nhiều dấu hiệu của một cuộc chiến tranh không gian mạng và gián điệp không gian mạng”, nhà nghiên cứu Alexander Gostev của Kaspersky đã nói khi đó.
Việc phát hiện ra Flame từng không phải lần đầu tiên Iran đã tiết lộ nước này từng là mục tiêu của một vũ kỹ không gian mạng siêu tinh vi phức tạp, dù, như chúng ta sẽ thấy.
2. Vụ lùm xùm gián điệp PRISM
Trước mùa hè năm 2013, cái tên Edward Snowden chẳng có nghĩa gì và cái từ PRISM có thể được viết bằng chữ thường. Bây giờ, Snowden là tai họa của các cơ quan gián điệp ở cả 2 bờ Đại Tây dương, và PRISM chính danh được viết hoàn toàn bằng chữ hoa. Thứ nghiêm túc.
Theo nhiều cách PRISM đã chỉ phục vụ để khẳng định các lý thuyết hoang tưởng rằng các chính phủ đã và đang gián điệp các giao tiếp truyền thông số của chúng ta, nhưng mức độ gián điệp đã gây ra nhiều ngạc nhiên, khi cả NSA và GCHQ của Anh đã tham gia vào giám sát ồ ạt và thu thập dữ liệu của những người sử dụng web và các chính phủ.
Các cáp điện thoại đã bị nghe lén, điện thoại của các lãnh đạo bị cài rệp và các khóa mã hóa bị phá, tất cả vì những lợi ích an ninh quốc gia. Châu Âu từng tức giận và nhiều sự rà soát lại và báo cáo đã được đưa ra, dù dường như không ai thực sự đã làm bất kỳ điều gì sai trái cả – ngoại trừ Snowden, tất nhiên rồi.
Bất chấp các lỗ hổng pháp lý, dù, đối với các doanh nghiệp thì PRISM đã đánh dấu một thời điểm thác đổ nơi mà tính riêng tư dữ liệu và sự bảo vệ đã đi vượt ra khỏi nỗi sợ hãi của các tội phạm được xác định và đi vào thực tế của một câu chuyện của Franz Kafka hoặc George Orwell, nơi mà chính phủ của riêng bạn có thể ăn cắp và rình mò các dữ liệu riêng tư của bạn.
Như lời nói xưa: “Chỉ vì bạn hoang tưởng không có nghĩa là họ sẽ không đi theo sau bạn”.
1. Stuxnet
Stuxnet hoàn toàn có thể là là ví dụ thành công nhất của một cuộc tấn công có chủ đích bằng phần mềm độc hại, ít nhất với những gì đã trở thành tri thức công khai.
Việc ngắm đích chính xác các thiết bị kiểm soát công nghiệp từ hãng CNTT Siemens của Stuxnet đã dẫn các nhà nghiên cứu an ninh nhanh chóng tới kết luận rằng nó đã có chủ ý được một hoặc nhiều cơ quan an ninh nhà nước phát triển – được cho là Mỹ và Israel – để tấn công các mục tiêu đặc thù.
Trong trường hợp này, đó từng là các máy li tâm bằng việc làm cho chúng quay vượt ra khỏi sự kiểm soát trong khi ngụy trang hoạt động của nó bằng việc ghi lại một cách giả dối việc vận hành bình thường.
Stuxnet từng là một thời điểm thác đổ theo đó nó từng là cuộc tấn công không gian mạng thành công đầu tiên vào hạ tầng của một quốc gia khác. Nó bị chỉ trích từ nhiều người trong giới công nghiệp an ninh vì việc hợp pháp hóa sử dụng các vũ khí như vậy, và vì các quốc gia khác có thể có khả năng tùy biến thích nghi nó cho các mục đích của riêng họ.
Các phương án bị nghi ngờ của Stuxnet như FlameDuqu đã từng được ghi chép thành tài liệu, và đã tác động tới các nước ngoài Iran, như Indonesia, Pakistan và Azerbaijan.
Top 10 worst state-sponsored hack campaigns: From PRISM to Stuxnet and Mask
by V3 staff, 21 Feb 2014

Theo:http://www.v3.co.uk/v3-uk/news/2329347/top-10-worst-state-sponsored-hack-campaigns-from-prism-to-stuxnet-and-mask

Dịch: Lê Trung Nghĩa

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s