Critical networks in US, 15 other nations, completely owned, possibly by Iran
Chiến dịch Con dao pha chiếm gần như hoàn toàn sự kiểm soát các hãng hàng không, các nhà sản xuất khí, quân sự.
Operation Cleaver gets near-complete control of airlines, gas producers, defense.
By Dan Goodin – Dec 3 2014, 5:30am ICT
Lời người dịch: Phát hiện mới nhất từ các tin tặc Iran là
Chiến dịch Con dao pha đánh vào 50 hạ tầng sống còn của 16 quốc gia trên thế giới trong vòng hơn 2 năm qua. “Hơn 2 năm qua,
các tin tặc thân Iran đã thâm nhập trái phép một vài mạng máy tính nhạy cảm nhất thế giới, bao gồm các mạng của các hãng hàng không, nhà sản xuất ô tô, nhà sản xuất khí tự nhiên, nhà thầu quân sự, và cơ sở quân sự có trụ sở ở Mỹ, các nhà nghiên cứu về an toàn, nói”. “
Có lẽ bằng chứng ớn lạnh xương nhất mà chúng tôi đã thu thập được trong chiến dịch này là việc ngắm đích và làm tổn thương các mạng giao thông và các hệ thống như các máy bay và các sân bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ truy cập dường như ở khắp mọi nơi: các miền Active Directory đã hoàn toàn bị tổn thương, cùng với toàn bộ các chuyển mạch switch Cisco Edge, các bộ định tuyến router và hạ tầng kết nối mạng nội bộ. Hoàn toàn bị tổn thương các ủy quyền VPN có nghĩa hạ tầng truy cập ở xa toàn bộ chuỗi cung ứng của họ nằm dưới sự kiểm soát của đội Con dao pha, cho phép thường trực liên tục với các ủy quyền bị tổn thương.
Họ đã đạt được sự truy cập hoàn toàn tới các cổng sân bay và các hệ thống kiểm soát an toàn của chúng, tiềm tàng cho phép họ đánh lừa được các ủy quyền của các cổng.
Họ đã giành được sự truy cập tới các ủy quyền của PayPal và Go Daddy, cho phép họ thực hiện các cuộc mua sắm giả mạo và cho phép truy cập không bị cùm tới các miền của các nạn nhân.
Chúng tôi đã chứng kiến một lượng truy cập thật sốc trong các phần sâu nhất của các công ty đó và các sân bay ở đó họ vận hành”. Tài liệu kỹ thuật chi tiết về chiến dịch này có
ở đây.
Hơn 2 năm qua, các tin tặc thân Iran đã thâm nhập trái phép một vài mạng máy tính nhạy cảm nhất thế giới, bao gồm các mạng của các hãng hàng không, nhà sản xuất ô tô, nhà sản xuất khí tự nhiên, nhà thầu quân sự, và cơ sở quân sự có trụ sở ở Mỹ, các nhà nghiên cứu về an toàn, nói.
Trong nhiều trường hợp, “Chiến dịch Con dao pha”, như đang được gọi chiến dịch đột nhập liên tục, đã đạt tới các mức truy cập hệ thống cao nhất các mục tiêu nằm ở tổng cộng 16 nước, thao một
báo cáo do hãng an toàn Cylance hôm thứ ba xuất bản. Các hệ thống bị tổn thương trong các cuộc tấn công đang diễn ra bao gồm các trình kiểm soát miền Active Directory mà lưu trữ các ủy quyền đăng nhập của các nhân viên, các máy chủ chạy Microsoft Windows và Linux, các bộ định tuyến router, các bộ chuyển mạch switch, và các mạng riêng ảo. Với hơn 50 nạn nhân bao gồm các sân bay, bệnh viện, các nhà cung cấp viễn thông, các công ty hóa chất và các chính phủ, các tin tặc có trụ sở ở Iran được nêu có sự kiểm soát đặc biệt đối với nhiều hạ tầng sống còn của thế giới. Các nhà nghiên cứu của Cylance đã viết:
Có lẽ bằng chứng ớn lạnh xương nhất mà chúng tôi đã thu thập được trong chiến dịch này là việc ngắm đích và làm tổn thương các mạng giao thông và các hệ thống như các máy bay và các sân bay ở Hàn Quốc, Ả rập Xê út và Pakistan. Mức độ truy cập dường như ở khắp mọi nơi: các miền Active Directory đã hoàn toàn bị tổn thương, cùng với toàn bộ các chuyển mạch switch Cisco Edge, các bộ định tuyến router và hạ tầng kết nối mạng nội bộ. Hoàn toàn bị tổn thương các ủy quyền VPN có nghĩa hạ tầng truy cập ở xa toàn bộ chuỗi cung ứng của họ nằm dưới sự kiểm soát của đội Con dao pha, cho phép thường trực liên tục với các ủy quyền bị tổn thương. Họ đã đạt được sự truy cập hoàn toàn tới các cổng sân bay và các hệ thống kiểm soát an toàn của chúng, tiềm tàng cho phép họ đánh lừa được các ủy quyền của các cổng. Họ đã giành được sự truy cập tới các ủy quyền của PayPal và Go Daddy, cho phép họ thực hiện các cuộc mua sắm giả mạo và cho phép truy cập không bị cùm tới các miền của các nạn nhân. Chúng tôi đã chứng kiến một lượng truy cập thật sốc trong các phần sâu nhất của các công ty đó và các sân bay ở đó họ vận hành.
Báo cáo 86 trang hôm thứ ba dựa vào bằng chứng tường tận để đi tới kết luận rằng 20 hoặc nhiều hơn các tin tặc tham gia trong Chiến dịch Con dao pha được chính phủ Iran hậu thuẫn. Các thành viên lấy các tên hiệu vùng Vịnh như Salman Ghazikhani và Bahman Mohebbi; họ làm việc từ vô số các miền Internet, các địa chỉ IP, và
các số hệ thống tự quản được đăng ký ở Iran; và nhiều trong số các công cụ đột nhập được thiết lập cấu hình tùy biến mà họ sử dụng đưa ra các cảnh báo khi các địa chỉ IP bên ngoài của chúng lần vết ngược về quốc gia Trung Đông. Hạ tầng hỗ trợ cho chiến dịch khổng lồ đó là quá vươn rộng không thể là công việc của một cá nhân hoặc nhóm nhỏ; nó chỉ có thể được một nhà nước quốc gia hỗ trợ.
Báo thù Stuxnet
“Sự tinh vi phức tạp về không gian mạng của Iran đã phát triển nhanh chóng kể từ bình minh của Stuxnet và họ đã đầu tư nhiều tiền được kết hợp với niềm tự hào dân tộc để giúp xây dựng quân đội không gian mạng của họ”, báo cáo của Cylance đã nêu. “Ít sự nghi ngờ cam kết của họ như một chính phủ và một nhà nước quốc gia cấp tiền và tuyển mộ các chiến binh không gian mạng để thâm nhập trái phép và gây thiệt hại cho các kẻ địch của họ. Và được mặc nhận chung rằng hầu hết tất cả các hoạt động kể từ 2010 tới từ Iran có liên quan tới sự trả đũa vì Stuxnet/Duqu/Flame, dường như là tự nhiên khi biết về ảnh hưởng khốc liệt”.
Hầu hết các cuộc tấn công của Chiến dịch Con dao phay được Cylance dò tìm ra được bắt đầu với các đột nhập nhỏ vào một hệ thống đích, bằng việc sử dụng các kỹ thuật như các khai thác tiêm SQL để thổi các lệnh vào máy chủ phụ trợ của một website. Từ đó, các tin tặc đã leo thang sự truy cập của họ bằng việc ngắm đích các chỗ bị tổn thương chưa được vá như
MS08-067. Những kẻ tấn công có thể sau đó cài đặt một đống các công cụ được tùy biến vào các máy chủ đó để trao cho những kẻ tấn công một loạt các khả năng. Trong ít nhất một trường hợp, các chứng thực ký riêng tư của mục tiêu đã bị tóm, cho phép đội đó gây tổn thương phần còn lại của hạ tầng đích. Không giống như Stuxnet, không có bằng chứng bất kỳ chỗ bị tổn thương ngày số 0 nào bị khai thác.
Trong vòng 2 năm qua, Cylance đã thu thập hơn 8 GB dữ liệu có liên quan tới chiến dịch đó, bao gồm 80.000 tệp dữ liệu bị chộp, các công cụ của tin tặc, các lưu ký của nạn nhân, và các dữ liệu do thám nhạy cảm cao. Các nhà nghiên cứu đã truy xuất dữ liệu bằng việc sử dụng hệ thống tên miền Internet để làm trệch hướng đi giữa các hệ thống bị tổn thương và các máy chủ chỉ huy kiểm soát của những kẻ tấn công, một tiến trình được biết như là “nhấn chìm lỗ thủng”.
Chỉ một phần nhỏ được dò tìm ra
Tất cả, 50 mục tiêu ở 16 quốc gia được biết đã bị tổn thương. Trong danh sách có 10 nạn nhân ở Mỹ, 4 ở Israel, và 5 ở Pakistan. Các nhóm ở Anh, Pháp, Đức và nhiều nước ở Trung Đông cũng đã bị đánh. Báo cáo của Cylance bao gồm các chi tiết kỹ thuật sâu để giúp các quản trị hệ thống xác định liệu các hệ thống của họ có từng bị tổn thương hay không.
Các nhà nghiên cứu của Cylance nói họ tin tưởng họ chỉ mới dò tìm ra được một phần nhỏ các mục tiêu bị Chiến dịch Con dao pha thâm nhập trái phép. Với hơn 2 năm nó đã từng hoạt động, họ đã cảnh báo thời gian có thể đã hết.
“Chúng tôi tin tưởng rằng nếu chiến dịch đó còn tiếp tục không bị suy yếu đi, thì đó chỉ là vấn đề thời gian trước khi sự an toàn vật lý của thế giới bị ảnh hưởng vì nó”, họ viết. “Trong khi sự hé mở thông tin này sẽ là một sự thiệt hại cho khả năng của chúng tôi để lần vết hoạt động của nhóm này, thì nó sẽ cho phép toàn bộ nền công nghiệp an toàn tối thiểu hóa tác động bổ sung thêm trong thế giới thực và phòng ngừa có thêm nhiều nạn nhân nữa”.
For more than two years, pro-Iranian hackers have penetrated some of the world’s most sensitive computer networks, including those operated by a US-based airline, auto maker, natural gas producer, defense contractor, and military installation, security researchers said.
In many cases, “Operation Cleaver,” as the sustained hacking campaign is being dubbed, has attained the highest levels of system access of targets located in 16 countries total, according to a
report published Tuesday by security firm Cylance. Compromised systems in the ongoing attacks include Active Directory domain controllers that store employee login credentials, servers running Microsoft Windows and Linux, routers, switches, and virtual private networks. With more than 50 victims that include airports, hospitals, telecommunications providers, chemical companies, and governments, the Iranian-backed hackers are reported to have extraordinary control over much of the world’s critical infrastructure. Cylance researchers wrote:
Perhaps the most bone-chilling evidence we collected in this campaign was the targeting and compromise of transportation networks and systems such as airlines and airports in South Korea, Saudi Arabia and Pakistan. The level of access seemed ubiquitous: Active Directory domains were fully compromised, along with entire Cisco Edge switches, routers, and internal networking infrastructure. Fully compromised VPN credentials meant their entire remote access infrastructure and supply chain was under the control of the Cleaver team, allowing permanent persistence under compromised credentials. They achieved complete access to airport gates and their security control systems, potentially allowing them to spoof gate credentials. They gained access to PayPal and Go Daddy credentials allowing them to make fraudulent purchases and allow[ing] unfettered access to the victim’s domains. We were witnessed [sic] a shocking amount of access into the deepest parts of these companies and the airports in which they operate.
Tuesday’s 86-page report relies on circumstantial evidence to arrive at the conclusion that the 20 or more hackers participating in Operation Cleaver are backed by Iran’s government. Members take Persian handles such as Salman Ghazikhani and Bahman Mohebbi; they work from numerous Internet domains, IP addresses, and
autonomous system numbers registered in Iran; and many of the custom-configured hacking tools they use issue warnings when their external IP addresses trace back to the Middle Eastern country. The infrastructure supporting the vast campaign is too sprawling to be the work of a lone individual or small group; it could only have been sponsored by a nation state.
Avenging Stuxnet
“Iran’s cyber sophistication has grown rapidly since the dawn of Stuxnet and they have used hard dollars combined with national pride to help build their cyber army,” the Cylance report stated. “Few doubt their commitment as a government and nation state to funding and recruiting cyber warriors to infiltrate and damage their enemies. And it has been commonly postulated that almost all activity since 2010 coming out of Iran is associated with retaliation for Stuxnet/Duqu/Flame, which seems natural given the severity of the impact.”
Most of the Operation Cleaver attacks detected by Cylance began with small incursions into a target system, using techniques such as SQL injection exploits to pipe commands into the back-end server of a website. From there, the hackers elevated their access by targeting unpatched vulnerabilities such as
MS08-067. The attackers would then install a battery of customized tools on the servers that gave the attackers a variety of capabilities. In at least one case, a target’s private signing certificates were captured, allowing the team to compromise the rest of the target’s infrastructure. Unlike Stuxnet, there’s no evidence any zero-day vulnerabilities were exploited.
Over the past two years, Cylance has collected more than eight gigabytes of data connected to the campaign, including 80,000 files of captured data, hacker tools, victim logs, and highly sensitive reconnaissance data. The researchers retrieved the data by using the Internet’s domain name system to divert traffic traveling between compromised systems and the attackers’ command and control servers, a process known as “sink holing.”
Only a fraction detected
In all, 50 targets in 16 countries are known to have been compromised. The tally includes 10 victims in the US, four in Israel, and five in Pakistan. Groups in the UK, France, Germany, and numerous Middle Eastern countries were also hit. The Cylance report includes in-depth technical details to help system administrators determine if their systems were compromised.
Cylance researchers said they believe they detected only a fraction of the targets penetrated by Operation Cleaver. With more than two years it has been active, they warned time may be running out.
“We believe that if the operation is left to continue unabated, it is only a matter of time before the world’s physical safety is impacted by it,” they wrote. “While the disclosure of this information will be a detriment to our ability to track the activity of this group, it will allow the security industry as a whole to defend against this threat. As such, we are exposing this cyber campaign early in an attempt to minimize additional real-world impact and prevent further victimization.”
Dịch: Lê Trung Nghĩa