Inside Cyber Warfare - Chương II - Phần 1

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat News #ID:2018, 19/09/18, 11:09 AM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 126
    Đã được thích: 31
    Điểm thành tích:
    28
    Phần này sẽ đề cập đến cuộc chiến giữa Nga và Gruzia năm 2008 - ví dụ đầu tiên về tấn công mạng diễn ra đồng thời với xâm lược đất đai, biển và không phận giữa hai quốc gia. Nga đã xâm lược Gruzia để đáp lại cuộc tấn công của Gruzia vào phe ly khai tại miền Nam Ossetia. Một chiến dịch mạng được phối hợp đồng bộ nhắm tới hàng loạt trang web của chính phủ Gruzia cũng như nhiều trang web chiến lược quan trọng khác.
    Chương 2
    Sự nổi dậy của tin tặc phi chính phủ

    Danh sách các mục tiêu đầu tiên bị tấn công được đăng tải trên website http://www.stopgeorgia.ru/?pg=tar. Hầu hết các website và hệ thống trong danh sách đang bị tấn công DDoS vào thời điểm này. Những ai có thể giúp, chúng tôi đều tuyển mộ. Hãy để lại ý kiến của bạn trên danh sách ở topic đó.

    —Quản trị viên, diễn đàn StopGeorgia.ru

    Ngày 09 tháng 08 2008

    Diễn đàn StopGeorgia.ru Project

    Ngày 08 tháng 08 năm 2008, Liên bang Nga phát động một cuộc tấn công quân sự chống lại Gruzia. Một ngày sau đó, diễn đàn StopGeorgia.ru xuất hiện với 30 thành viên ban đầu và lên đến 200 thành viên chỉ sau 1 tuần.

    Diễn đàn này không chỉ xuất hiện cùng nhóm tin tặc có trình độ mà còn liệt kê 37 mục tiêu có giá trị cao, mỗi mục tiêu được kiểm tra xem các địa chỉ IP từ Nga hoặc Lithuania có thể truy cập được hay không. Điều này được thực hiện do chính quyền Gruzia bắt đầu chặn các IP từ Nga một tháng trước đó, khi website của Tổng thống nước này bị tấn công DDoS vào ngày 21 tháng 7 năm 2008.

    Ngoài danh sách mục tiêu, nhóm này còn cung cấp cho các thành viên bộ công cụ tấn công DDoS (kit) có thể tải về cũng như chỉ dẫn về cách phát động các cuộc tấn công một cách tinh vi hơn, chẳng hạn như SQL injection.

    StopGeorgia.ru không phải là diễn đàn duy nhất tham gia vào cuộc tấn công mang tính chất chủ nghĩa dân tộc có tổ chức, nhưng được xem là ví dụ điển hình về việc bành trướng gần đây của chiến tranh mạng giữa các quốc gia. Ngoài diễn đàn này, một kênh chat IRC đã được lập trên irc.dalnet.ru, với tài khoản “stopgeorgia”.

    Diễn đàn StopGeorgia.ru có hệ thống cấp bậc rõ rệt, những người đứng đầu cung cấp các công cụ cần thiết, xác định các lỗ hổng ứng dụng và cung cấp danh sách mục tiêu chung cho các thành viên ít kinh nghiệm hơn thực hiện việc tấn công.

    Nhóm thành viên xác định các lỗ hổng theo cấp độ ứng dụng và công bố danh sách mục tiêu dường như là những người có trình độ trung bình/cao, trong khi nhóm thực hiện cuộc tấn công trên thực tế chỉ có trình độ thấp/trung bình.

    Nhóm đứng đầu diễn đàn đã phân tích các công cụ tấn công DoS và thấy chúng đơn giản nhưng hiệu quả. Một vài thành viên thì thấy khó khăn khi sử dụng công cụ, càng củng cố thêm rằng nhiều thành viên diễn đàn chỉ có trình độ ở mức thấp/trung bình, nhưng vẫn có khả năng thực hiện các cuộc tấn công nhờ sự hỗ trợ của các công cụ và việc phân tích lỗ hổng đã được xác định trước đó.

    Các biện pháp "phản" giám sát truy cập tại chỗ

    Các quản trị viên diễn đàn trên cả hai website tin tặc có tiếng của Nga là XAKEP.ruStopGeorgia.ru đều giám sát những người truy cập vào các trang của mình và theo dõi những gì được đăng tải trên đó.

    Trong suốt một tuần thực hiện thu thập tập trung trên diễn đàn XAKEP.ru, các nhà phân tích của dự án Grey Goose đã trải qua hai vụ việc cho thấy các biện pháp bảo mật hoạt động (OPSEC) đã có tác dụng.

    Chỉ vài giờ sau khi tôi tìm thấy một bài đăng trên XAKEP.ru trỏ đến vùng trao đổi được bảo vệ bằng mật khẩu tên là ARMY của diễn đàn StopGeorgia.ru, đường dẫn này đã bị quản trị viên diễn đàn xoá.

    Khoảng nửa tá các nhà phân tích của Grey Goose sau đó đã mất một tuần truy tìm sự thật những bài đăng liên quan trên diễn đàn XAKEP.ru, tất cả các địa chỉ IP từ Mỹ đều bị chặn truy cập trên diễn đàn (trả về lỗi 403). Vụ việc này kéo dài khoảng 10 ngày trước khi việc chặn được gỡ bỏ.

    Diễn đàn StopGeorgia.ru cũng phải chống đỡ những cuộc tấn công từ các tin tặc người Gruzia, khi nhóm này đánh sập diễn đàn và “project site” (trang dự án) của họ từ ngày 14 đến 18 tháng 08, cả hai trang này đều có máy chủ đặt tại Mỹ do Công ty SoftLayer Technologies sở hữu.

    Theo một cuộc trao đổi giữa hai thành viên của diễn đàn StopGeorgia (Alexander và CatcherMax), một diễn đàn tin tặc của Gruzia có trên 10.000 thành viên, đã chặn tất cả các địa chỉ IP của Nga truy cập đến diễn đàn. Ví lý do đó, các thành viên thường xuyên trao đổi về việc sử dụng các máy chủ proxy khác nhau, ví dụ FreeCap.ru.

    Chiến tranh thông tin Nga

    Tài liệu này giúp khắc hoạ bức tranh về cách quân đội Nga và giới chức chính trị đánh giá các nhân tố mạng trong cuộc xung đột giữa Nga – Gruzia năm 2008.

    Anatoly Tsyganok là một sỹ quan nghỉ hưu, hiện làm giám đốc của Trung tâm Dự báo Quân sự - Viện phân tích Chính trị và Quân sự Matxcơva. Bài viết “Chiến tranh thông tin – Thực tế địa chính trị (http://en.fondsk.ru/article.php?id=1714)” của ông được Stategic Culture Foundation xuất bản, là một cái nhìn hay về cuộc chiến mạng giữa Nga và Gruzia xảy ra vào tháng bảy và tháng tám dưới góc nhìn của một chuyên gia quân sự người Nga có tầm ảnh hưởng. Toàn bộ bài báo thảo luận về chiến tranh thông tin, nhưng phần này tập trung vào việc giao tranh trên không gian mạng:

    Gruzia cũng là quốc gia đầu tiên khơi mào một cuộc tấn công trên không gian mạng. Khi thành phố Tskhinvali bị tấn công vào ngày 08 tháng 08, phần lớn các khu vực tại Nam Ossetia cũng bị phá hủy. Truyền thông Nga sau đó, bao gồm cả tờ Nước Nga Ngày Nay cũng hứng chịu các cuộc tấn công mạng. Hành động đáp trả ngay sau đó là các website của Tổng thống Gruzia, quốc hội, chính phủ, Bộ ngoại giao cũng phải gánh chịu các cuộc tấn công mã độc. Website của Tổng thống Gruzia Saakashvili bị 500 địa chỉ IP tấn công đồng thời. Khi những địa chỉ dùng ban đầu bị chặn, các cuộc tấn công lại trở lại từ các địa chỉ khác. Mục đích là làm cho các website của Gruzia bị tê liệt hoàn toàn. Các cuộc tấn công DDoS khiến các máy chủ Internet bị quá tải và tê liệt cực kỳ hiệu quả. Các địa chỉ gửi yêu cầu dịch vụ đến các trang bị quá tải đã bị các chuyên gia chặn từ các hệ thống Tulip, nhưng các cuộc tấn công từ 500 địa chỉ IP mới lại bắt đầu chỉ trong vài phút. Việc dọn dẹp sau một cuộc tấn công mạng mất trung bình 2 giờ đồng hồ.
    TT  Gruzia.jpg
    Cựu Tổng thống Gruzia Saakashvili
    Phần này hay ở cách Tsyganok lựa chọn từ ngữ. Ông nhấn mạnh một cách rõ ràng Gruzia đã khơi mào cuộc tấn công mạng chống lại Nga trước, cho thấy đây được xem là hành động của một quốc gia hơn là của công dân. Sau đó ông đã cẩn trọng nhấn mạnh phản ứng của Nga, ví dụ như “Đáp trả lại chỉ trong một thời gian ngắn”. Vì mục đích của việc giao tranh này là cảnh báo hai quốc gia, nên “Đáp trả chỉ trong một thời gian ngắn”, ngụ ý đến hành động của một quốc gia hơn là hành động mang tính tự phát của một nhóm được gọi là hacktivist (tấn công vì một mục tiêu xã hội hay mang tính chất chính trị).

    Khi mô tả các sự kiện, Tsyganok cố gắng nhấn mạnh một thực tế của chính phủ Nga là tách mình ra khỏi cộng đồng tin tặc theo chủ nghĩa dân tộc, vì thế cho mình quyền phủ nhận trong khi đang chống đỡ các cuộc chiến mạng một cách bị động mà vẫn tận hưởng những lợi ích chiến lược từ hành động của mình.

    Nền tảng cho một cuộc chiến về chính trị hiệu quả trên không gian mạng (Ngày 1)

    Trang Pravada.ru đã cho in một bài báo của Maksim Zharov thuộc Tổ chức Effective Politics (FEP) giật tít: “Nga đấu Gruzia: Cuộc chiến trên mạng – Ngày 1” xuất bản ngày 09 tháng 8 năm 2008. Zharov cũng là một trong những tác giả của cuốn “Biên niên sử về Chiến tranh thông tin” và từng làm việc cho Nikita Ivanov, người sau này là Vụ phó vụ các quan hệ liên vùng và văn hoá với nước ngoài dành cho Ban Cố vấn của Tổng thống và quan sát viên các phong trào thanh niên ủng hộ Kremlin (như phong trào Nashi). (Zharov trước đó đã đăng tải (thông qua Yevropa) một hướng dẫn cho các blogger muốn “đấu tranh chống lại kẻ thù của nước Nga” trên các trang blog).

    FEP là một tổ chức thân Kremlin do Gleb Pavlovsky sáng lập, một trong những người đầu tiên chấp thuận dùng mạng Internet của Nga dành cho các mục đích tuyên truyền của nhà nước. Thông tin về Pavlovsky và FEP được đề cập trong Chương 11.

    Zharov phê phán việc sử dụng các phong trào thanh niên Nga để tiến hành chiến tranh mạng. Điều này đã được quản trị viên của diễn đàn StopGeorgia.ru nhắc lại trong thông báo sau đây đến các thành viên vào ngày 09 tháng 08 năm 2008 lúc 3:08 phút chiều:

    Hãy để tôi nhắc các bạn nhớ vào ngày 08 tháng 08, các nhà lãnh đạo của phong trào thanh niên Nga đã ký tuyên bố kêu gọi những người ủng hộ tiến hành chiến tranh thông tin chống lại Tổng thống Gruzia Michael Saakashvili trên tất cả các nguồn Internet.

    Zharov thêm thắt cho sự việc này bằng cách đề cập đến một sự kiện tại thành phố Krasnoyarsk nơi các nhà lãnh đạo phong trào thanh niên Nga đưa ra tuyên bố chung:

    Chúng tôi tuyên bố chiến tranh thông tin dưới chế độ Saakashvili. Mạng Internet sẽ đối đầu với tổ chức tuyên truyền Mỹ-Gruzia dựa trên các tiêu chuẩn kép.

    Ông ta coi Nashi là một kiểu tổ chức mà các nhà lãnh đạo có mối quan hệ khăng khít với điện Kremlin và các thành viên tham gia vào những cuộc chiến mạng Internet này, đều thuộc Estonia và Gruzia.

    Chiến tranh mạng, theo như Zharov được bắt nguồn từ các tin tặc người Gruzia tấn công các website của Nam Ossetia vào ngày 07 tháng 08, một ngày trước cuộc tấn công của người Nga.

    Trang của Nam Ossetia http://cominf.org thông báo vào chiều ngày 07 tháng 08 do bị tấn công DDoS nên các trang của Ossetia không thể truy cập trong một khoảng thời gian dài. Nhằm giảm nhẹ cuộc tấn công, trang tskhinval.ru dự phòng được dựng lên. Bênh cạnh đó, cũng xuất hiện một trang giả mạo hãng thông tấn Osinform http://www.os-inform.com do Gruzia tạo ra.

    Cá nhân Zharov thích lấy thông tin về cuộc chiến Gruzia từ LiveJournal, còn được biết đến tại Nga với cái tên ZhZh (Zhivoy Zhurnal), một diễn đàn Internet nổi tiếng nhất của Nga, đặc biệt là cộng đồng chiến tranh Gruzia. Theo lời của Zharov, nó có “một chỉ số tương đối khách quan về tình trạng các vấn đề nhà nước trên mặt trận Internet, mà ở đó các quan điểm khác nhau đều được công khai”.

    Điều thú vị hơn cả trong cuốn “Nga đấu Gruzia: Cuộc chiến mạng. Ngày ba”, của Zharov được tờ Pravda.ru xuất bản ngày 11 tháng 08 năm 2008 tại Matxcova, Nga đó là giả định của tác giả về quốc gia có khả năng khơi mào một cuộc tấn công DDoS tầm cỡ kéo dài 5 ngày:

    Nhìn chung, nhiều người có quan điểm những cuộc tấn công này chắc chắn không phải do các tin tặc Gruzia thực hiện.

    Và thành thật mà nói, tôi không tin quân đội Nga xây dựng được lực lượng đặc biệt để đánh sập tất cả các website của Gruzia thậm chí còn nhanh gọn hơn vào đúng ngày xảy ra các cuộc tấn công bất ngờ từ người Gruzia.

    Tuy nhiên, tại Mỹ, các tiểu đội của đội quân mạng như vậy lại được thành lập từ cách đây nhiều năm (nhấn mạnh thêm).

    Vì vậy, Zharov khẳng định có sự liên quan của Mỹ trong việc tổ chức một “cuộc chiến thông tin” chống lại Gruzia, nhưng hoàn toàn phủ nhận sự tham gia của họ trong cuộc chiến mạng, thay vào đó ông suy đoán rằng chỉ có lực lượng quân đội mới có khả năng đánh sập toàn bộ website của Gruzia nhanh đến như vậy và đó là quân đội Mỹ. Đây là một ví dụ khác trong chiến lược tạo ra những tranh cãi xung quanh cuộc chiến mạng về khả năng quân sự hơn là sử dụng các tin tặc của Nga và tất nhiên để đánh tiếng Mỹ có thể trở thành phe tấn công bất cứ khi nào.

    Nguồn: Inside Cyber Warfare
    Tác giả: Jeffrey Carr


  2. Bài viết đã đăng:
    Inside Cyber Warfare - Chương I - Phần I
    Inside Cyber Warfare - Chương I - Phần II
     
    Chỉnh sửa cuối: 19/09/18, 03:09 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan