SC Magazine
Công ty TrapX về An ninh Mạng đã tố cáo ngày 11/7, nhà cầm
quyền Trung Quốc bị tình nghi dính líu vào một cuộc tấn công loại "0
Day" khá đặc biệt (có nghĩa là chưa có vá an ninh để trám lỗ hổng ) nhằm
vào các công ty chuyển vận linh kiện, tiếp liệu hàng hóa và chế hóa phẩm.
Trong bản tường trình về cuộc tấn công loại "O Day" này, TrapX
cho biết mã độc đã được kín đáo gài vào các loại scanner cầm tay và cũng
như vào nhu liệu tại một hãng xưởng Trung Quốc về dụng cụ phụ tùng, và sau
đó được gởi tới 7 công ty về chuyển tải và tiếp liệu cùng với một
công ty chế hóa phẩm. Trong mục tiêu xâm nhập vào hệ thống ERP (Entreprise Resources
Planning) và lấy cắp các dữ kiện về tài chánh.
Theo TrapX, mã độc loại tinh vi này được gọi là Zombie
Zero, đã được gài vào hệ điều hành Windows XP của máy scanner, cũng như
trên trang mạng support của hãng Trung Quốc nói trên (có nghĩa nếu một hãng xử
dụng loại scanner cần cập nhật, sẽ tải xuống một nhu liệu cập nhật trong đó có
chứa mã độc). Máy scanner được dùng để ghi lại (flash) các ký hiệu (Id Code)
các dụng cụ phụ tùng và chuyển lên máy chủ ERP bằng đường liên lạc không dây
wifi.
Khi nhân viên xử dụng máy scanner bị gài mã độc Zombie Zero,
mã độc này đột nhập vào hệ thống điện toán của hãng, và đi tìm máy chủ
có ứng dụng ERP. Sau đó, sẽ thu thập các dữ kiện về
tài chánh, về số lượng mua đồ phụ tùng, tiếp liệu của hãng bị tấn công, gởi đến
một máy chủ bên Trung Quốc,. Mã độc vượt qua được các hàng rào Tường
Lửa (Firewall), IPS (Intrusion Detection System), phòng chống mã độc, vì
được gài ngay trong phần firmware bên dưới hệ điều hành. TrapX tìm
ra địa chỉ IP máy chủ của Zombie Zero nằm trong Trung Tâm LanXiang,
trong mạng viễn Thống UNICOM tại tỉnh Quảng Đông. Được biết Trường LaoXiang
cũng bị khám phá là dính líu đến Chiến Dịch Tấn Công AURORA cách đây
hơn 2 năm nhằm vào công ty Google bên Trung Quốc.. Và hãng Trung
Quốc chế tạo máy scanner bị gài mã độc nằm cách Trường LaoXiang, chỉ vài khu
phố.
Những biện pháp đề phòng các máy điện toán hay máy kỹ
nghệ được điều động bởi điện toán, bị gài mã độc trong phần
hardware hay firmware:
- Thật cẩn thận khi bị bắt buộc phải mua dụng cụ có nhu liệu
(như scanner, máy y khoa được điều khiển bằng điện toán, các máy tự động trong
kỹ nghệ như máy hàn, đo nhiệt độ, hơi nước,áp xuất,...) made in China, hay made
in RPC. Cần người trách nhiệm hãng cho biết rõ nguồn gốc, chi tiết chế
tạo, các ứng dụng cài đặt,... Nên nhờ một công ty chuyên về an ninh mạng kiểm
soát lại xem cho bị gài mã độc hay không, bằng cách thử máy trong một sandbox ,
để xem có những liên lạc oubound ra bên ngoài cho một máy chủ C&C để nhận
lệnh hay không?
- Nếu không bị bắt buộc nên mua một máy tương đương nhưng
không phải chế tạo từ Trung Quốc, dù giá mắc hơn một chút, nhưng chắc chắn an toàn
hơn không bị gài mã độc.
- Hiện nay có một số máy điện thoại tinh khôn chế tạo bên
Trung Quốc như loại STAR N9500 cũng bị gài mã độc. trong firmware và không thể bỏ
đi được (uninstall), trừ khi cài đặt lại hoàn toàn.
Được biết qua tiết lộ của phân tích viên Edward Snowden,
nhóm chuyên viên rất đặc biệt TAO (Tailored Acced Operations) của cơ
quan an ninh quốc gia Hoa Kỳ, NSA cũng dùng cách thức cài đặt ngay từ xưởng chế
tạo nhằm vào một số mục tiêu đặc biệt rất khó tấn công cách khác. Tuy nhiên
theo cái nhìn một số chuyên viên bên ngoài, Trung Quốc chuyên xử dụng tin tặc
dể đột nhập vào các hệ thống điện toán các hãng xưởng về quốc phòng hay về kỹ thuật
tiền tiến để lấy cắp kỹ thuật, bản quyền để độc
chiếm thị trường, và không bị ai kiểm soát; trong lúc NSA, ít nhất cho dến
giờ, nhắm nhiều vào các thành phần khủng bố hay nguy hại đến an ninh Hoa Kỳ,
chứ không nhằm vào các hãng xưởng ngoại quốc và các hoạt đông bị tình nghi
là vi phạm hiến pháp đang bị điều tra và đang bị Quốc Hội Hoa Kỳ cứu
xét nhằm giới hạn phạm vi và đối tượng bị theo dõi.
0 nhận xét:
Đăng nhận xét