Inside Cyber Warfare - Chương V: Yếu tố tình báo trong chiến tranh mạng (Phần 2)

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat News #ID:2018, 19/09/19, 05:09 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 243
    Đã được thích: 71
    Điểm thành tích:
    28
    Năng lực không gian mạng của Cộng hòa Dân chủ Nhân dân Triều Tiên

    Triều Tiên là một đất nước “phân khúc” thú vị. Đây là một xã hội đứng bên bờ vực của sự chia rẽ do nghèo đói cùng cực, cơ sở hạ tầng gần như bằng không, mạng lưới điện yếu kém và tài nguyên thiên nhiên nghèo nàn. Trừ lực lượng quân đội, không ai trên khắp Triều Tiên được tiếp cận với Internet.

    Đó là bởi nước này đã đầu tư gần như toàn bộ tiền bạc cho quân đội, đặc biệt là cho việc huấn luyện những thanh niên có trình độ học vấn cao tại một trong bảy trung tâm nghiên cứu - theo thông tin từ tài liệu năm 2004 có tiêu đề: “Phát triển phương pháp luận đáng tin cậy để đánh giá mối đe dọa từ các hoạt động mạng máy tính của Triều Tiên” của Christopher Brown, Học viện Naval Postgraduate School (trường đào tạo sau đại học của Hải quân Mỹ).

    Theo mô tả của Brown, ba trung tâm nghiên cứu hàng đầu vào năm 2004 bao gồm:

    Trung tâm tin học Bình Nhưỡng (PIC)

    “PIC tuyển dụng hơn 200 kỹ sư phần mềm có năng lực với tuổi đời trung bình là 28, tỷ lệ 1,5 máy tính/người (theo bài báo của phóng viên Park Chan-Mo vào tháng 08/2001: ‘Thực trạng phát triển phần mềm tại CHDCND Triều Tiên và sự hợp tác giữa hai miền Nam Bắc’). PIC chủ yếu tập trung vào phát triển phần mềm và chịu trách nhiệm phát triển các hệ thống General Korean Electronic Publication (hệ thống xuất bản điện tử chung của Triều Tiên), 3D CAD (phần mềm thiết kế đồ họa 3D), phần mềm nhúng Linux, các ứng dụng Web, các chương trình tương tác, phần mềm kế toán cùng phần mềm thực tế ảo. Có thông tin là PIC cũng chịu trách nhiệm phát triển các bộ lọc được dùng cho kết nối giữa Kwang Myong Intranet (mạng nội bộ của Triều Tiên) và Internet.”

    Trung tâm máy tính Triều Tiên (KCC)

    KCC.jpg
    Hình ảnh Trung tâm máy tính Triều Tiên (Nguồn: Wikipedia)

    “KCC do Chủ tịch Kim Nhật Thành sáng lập vào năm 1990 nhằm thúc đẩy nền công nghệ thông tin ở Triều Tiên. Những ngày đầu, KCC tuyển dụng khoảng 800 nhân viên với độ tuổi trung bình 26. Kim Jong Nam - con trai Kim Nhật Thành, người đứng đầu cơ quan Tình báo Triều Tiên, Cơ quan An ninh Quốc gia (SSA) – lãnh đạo KCC. Kim Jong Nam cũng là Chủ tịch của Ủy ban Máy tính Triều Tiên. Tháng 5 năm 2001, tờ Chosun Ilbo của Hàn Quốc đưa tin Kim Jong Nam đã sát nhập đơn vị thu thập thông tin tình báo nước ngoài của SSA vào KCC. Đơn vị này hoạt động chủ yếu bằng việc tấn công và giám sát các phương tiện truyền thông của các nước khác. Năm 2001, giới truyền thông Hàn Quốc đưa tin KCC hoạt động chẳng khác gì trung tâm chỉ huy ngành công nghiệp chiến tranh mạng của Bình Nhưỡng, dưới vỏ bọc là một cơ sở nghiên cứu phần mềm vô thưởng vô phạt với toàn những người đam mê máy tính”.

    Các phòng Lab Silver Star (Unbyol)

    “Các phòng Lab Silver Star (SSL) được thành lập năm 1995 trực thuộc Tập đoàn thương mại tổng hợp Unbyol của Triều Tiên. Theo Kang Yong Jun, giám đốc của SSL, độ tuổi trung bình của các nhà nghiên cứu làm việc tại SSL là 26, hầu hết đều tốt nghiệp Đại học Kim Nhật Thành và các trường đại học danh tiếng khác tại Triều Tiên. Những nhân viên có triển vọng thường tốt nghiệp trường trung học số 1 của Bình Nhưỡng, một lò đào tạo các thiên tài.”

    “SSL phát triển các chương trình như Silver Mirror, một chương trình điều khiển từ xa, phương tiện truyền thông và phần mềm trí tuệ nhân tạo. SSL cũng sản xuất một số chương trình nhận diện ngôn ngữ cùng phần mềm đa phương tiện, ngoài ra còn sản xuất theo các đơn đặt hàng đặc biệt từ các công ty nước ngoài (theo thông tin từ Thông tấn Trung ương Triều Tiên, 'các phòng Lab Silver Star của Triều Tiên'). SSL đã vô địch hai lần liên tiếp vào năm thứ 4 và 5 (1998 và 1999) tại Giải vô địch cờ vây máy tính thế giới được tổ chức thường niên.

    Nói cách khác, Triều Tiên không có cơ sở hạ tầng để nuôi một đội quân tin tặc dân sự. Tất cả tiền bạc và tài năng (những thanh niên đáp ứng được một số tiêu chuẩn cần thiết nhất định) của đất nước này đều thuộc lực lượng quân đội.

    Phần payload của botnet trong vụ việc lần này không khớp với bất kỳ cơ sở nghiên cứu IT chính thức nào có mối liên hệ với Triều Tiên. Đó là những cá nhân được đào tạo bài bản, một vài người đã theo học tại Viện công nghệ Ấn Độ (một trong những trường công nghệ hàng đầu thế giới) và có kỹ năng làm việc tốt.

    Một tin tặc người Triều Tiên, nếu không làm việc cho quân đội, sẽ không có đủ tài nguyên để thực hiện cuộc tấn công như vậy từ bên trong biên giới nước này. Nhiều khả năng, hoặc tên này là sinh viên Triều Tiên được cấp phép theo học tại một trường đại học ở Ấn Độ, Trung Quốc hoặc Nhật Bản, hoặc đang sinh sống bất hợp pháp ở một quốc gia khác.

    Một giả thuyết khác là một tin tặc người Nga hoặc Trung Quốc muốn tạo nên một kịch bản để gây rắc rối cho Mỹ, đồng thời hướng nghi ngờ vào một quốc gia vốn luôn đứng đầu danh sách bị nghi ngờ là CHDCND Triều Tiên.

    Hệ quả của cuộc tấn công này là gì? Đó là chứng minh được website chính phủ dễ bị tấn công như thế nào, kể cả ở Mỹ và Hàn Quốc.

    Về phía Mỹ, các trang web bị tê liệt trong suốt cuộc tấn công vào cuối tuần đúng ngày Quốc khánh gồm website Bộ Giao thông, Sở Mật vụ và Ủy ban Thương mại Liên bang. Trang web của Bộ Ngoại giao đã bị tấn công làm gián đoạn dịch vụ. Các website của Nhà Trắng và Bộ Quốc phòng cũng bị tấn công nhưng không có hậu quả nghiêm trọng nào.

    Rõ ràng Cơ quan An ninh Quốc gia Mỹ (NSA) sẽ có nhiều việc phải làm hơn nữa, khi mà cơ quan này vừa được giao thêm nhiệm vụ bảo vệ các website của chính phủ Mỹ, còn Bộ An ninh Nội địa (DHS) sẽ tập trung vào việc bảo vệ hệ thống mạng dân sự của nước này.

    Một hệ quả khác là phản ứng của Pete Hoekstra (Đại diện bang Michigan), cựu chủ tịch Ủy ban Tình báo Hạ viện Mỹ và hiện là thành viên cấp cao của Đảng Cộng hòa.Vị này đã kêu gọi quân đội Mỹ tấn công Triều Tiên. Tạp chí Wired đã đăng tải câu chuyện này vào ngày 10 tháng 7 năm 2008 như sau:

    “Các bạn biết đấy, dù đó có là một đòn phản công trên mạng, dù có nhiều lệnh trừng phạt quốc tế hơn ... nhưng đã đến lúc Mỹ và Hàn Quốc, Nhật Bản và các nước khác trừng phạt Triều Tiên nếu không lần tới ... họ sẽ tấn công và đánh sập một hệ thống ngân hàng hoặc sẽ thao túng dữ liệu tài chính hay mạng lưới điện, tại Mỹ hoặc Hàn Quốc... Hay họ sẽ thử làm gì đó và có thể sai sót để rồi có thể gây thiệt hại về người”.

    Pete Hoekstra cũng cho biết nhiều chuyên gia điều tra vụ tấn công nói rằng “có vẻ mọi manh mối” đều hướng về Triều Tiên và đây là “hành động của một nhà nước” chứ không phải của “vài kẻ nghiệp dư nào đó”.

    Tất nhiên, chẳng có thông tin nào là đúng cả. Không chắc chắn vì sao Hoekstra lại có tuyên bố như vậy, nhưng hành động này của ông gợi nhớ đến những tuyên bố chính trị trước đó về các mối đe dọa tưởng tượng bắt nguồn từ việc nhận định không chính xác các dữ kiện và phát hiện tình báo.

    Một năm sau cuộc chiến Nga – Gruzia, các trang mạng xã hội bị đánh sập bằng tấn công DDoS
    Georgia_Russia.png
    Bản đồ vị trí của Nga, Gruzia và Nam Ossetia (Nguồn: Wikipedia)

    Ngày 6 tháng 8 năm 2009, gần tròn một năm ngày quân đội Nga xâm chiếm Gruzia (08 tháng 08), Cyxymu (nickname của blogger người Gruzia) đã trở thành tâm điểm của hàng loạt các cuộc tấn công DDoS, khiến mạng xã hội Twitter bị tê liệt, cản trở nghiêm trọng việc truy cập và gây phiền phức cho hàng triệu người dùng Facebook và LiveJournal.

    Ban đầu, có vẻ như những kẻ phát động các cuộc tấn công DDoS đã mạnh tay quá mức cần thiết. Nhưng sau đó, xuất hiện thông tin liên quan đến các mạng botnet chỉ được sử dụng ở quy mô nhỏ, thì rõ ràng điều đáng trách ở đây chính là cơ sở hạ tầng yếu kém của Twitter.

    Twitter gặp vấn đề về băng thông ngay từ những ngày đầu. Facebook cũng ở tình cảnh tương tự và LiveJournal được vận hành bởi đội ngũ nhân viên ít ỏi nhất kể từ khi được SUP mua lại từ Six Apart năm 2008. Do vậy, không mất quá nhiều thời gian để làm tê liệt mạng lưới của các dịch vụ rất phổ biến này.

    Cuộc tấn công DDoS này kết hợp spam qua email, tấn công TCP-Syn (tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này) và tấn công DDoS bằng HTTP query (gửi nhiều truy vấn đến máy chủ cùng một lúc):

    Spam qua email (còn gọi là “joe-job”) được gửi từ 300 máy zombie trong mạng botnet vốn trước đó được sử dụng để gửi thư rác về cờ bạc trực tuyến.

    Các cuộc tấn công TCP-Syn được gửi từ 3.000 máy zombie trong mạng botnet. Kiểu tấn công này làm gián đoạn quá trình bắt tay ba bước (three-way handshake) cần có để một gói tin đi từ máy gửi đến máy nhận. Vì quá trình này không hoàn tất nên hàng đợi kết nối sẽ bị quá tải và từ chối người dùng khác truy cập các dịch vụ.

    Tấn công DDoS bằng HTTP query chiếm hết tài nguyên của máy chủ bằng cách gửi nhiều truy vấn vượt quá giới hạn xử lý đến máy chủ đó.

    Sự yếu kém của các hệ thống mạng bị tấn công không ảnh hưởng đến quan điểm của Cyxymu về vụ việc. Vị giáo sư người Gruzia chuyên viết blog bằng tiếng Nga này bị thuyết phục rằng quy mô của các cuộc tấn công (đánh sập ba dịch vụ lớn) chính là bằng chứng cho thấy có sự hậu thuẫn của chính phủ Nga. Trong một bài phỏng vấn trên tờ Guardian ngày 07/08/2009, Cyxymu cho biết:

    “Có thể cuộc tấn công được thực hiện bởi các tin tặc bình thường nhưng tôi chắc chắn rằng chính phủ Nga đưa ra mệnh lệnh này.

    Một cuộc tấn công với quy mô như vậy đã ảnh hưởng đến ba dịch vụ phổ biến trên toàn thế giới với vô số các máy chủ chỉ có thể được vận hành những người có tiềm lực cực lớn”.

    Đến nay, dù vẫn chưa xác định được kẻ phải chịu trách nhiệm cho vụ tấn công này nhưng giữa Nga và Gruzia vẫn tồn tại mối thù địch sâu sắc.

    Trên các diễn đàn tin tặc của Nga lại khá im hơi lặng tiếng về vụ việc này, khác hoàn toàn so với cuộc chiến mạng giữa Nga và Gruzia năm 2008. Điều này ám chỉ đây nhiều khả năng là một sự trả thù mang tính cục bộ được sắp đặt bởi một nhóm gồm vài cá nhân nhỏ lẻ hơn là cuộc huy động tấn công vũ trang trên không gian mạng.

    Sự im ắng và tình trạng thù địch căng thẳng biểu hiện qua cuộc tấn công này đã khiến các điều tra viên của PGG xét đến giả thuyết có sự tham gia của các Hiệp hội thanh thiếu niên của Nga. Những người này được cho là liên quan đến các cuộc tấn công Estonia và Gruzia cũng như các cuộc tấn công nhằm vào các website, tổ chức và cá nhân chống đối điện Kremlin.

    Nghiên cứu của PGG tiết lộ rằng Gruzia là vấn đề dễ gây “kích động” với một số thành viên của tổ chức Nashi (một tổ chức đoàn thanh niên thế hệ mới của Nga). Trang Eurasia.net đưa tin, một đoàn xe gồm 5 chiếc mô-tô với gần 20 thành viên Nashi đã bị các nhà chức trách Gruzia chặn đường khi họ cố tiến vào lãnh thổ nước này vào ngày 15/04/2009. “Chính ủy” của Nashi, Aleksandr Kuznetsov đã bị bắt giữ để thẩm vấn về các kế hoạch của tổ chức này. Kuznetsov sau đó đã trình lên một lá thư từ Vasili Yakemenko, người đứng đầu Ủy ban các vấn đề Thanh thiếu niên của Nga, xác nhận nhiệm vụ của đoàn xe mô-tô và yêu cầu giới chức Nga tiếp xúc với Kuznetsov để trợ giúp ông này. Yakemenko là cựu thủ lĩnh của Nashi và là người sáng lập Walking Together - tổ chức thanh thiếu niên khác của Nga vào tháng 05 năm 2000.

    Vụ việc tại biên giới Gruzia bắt nguồn từ cuộc biểu tình do Nashi tổ chức tại Đại sứ quán Gruzia ở Matxcova vào ngày 09/04/2009, ngay trước ngày đoàn xe mô-tô rời Matxcova đến Tbilisi. Ngoài ra, theo các nhà chức trách Gruzia có tham gia thẩm vấn Kuznetsov, vài người trong số 20 thành viên của Nashi đã được trang bị vũ khí và sẵn sàng giao chiến với các nhà chức trách Gruzia ở khu vực biên giới nếu bị cản trở tiến vào khu vực mục tiêu.

    Sự thù địch nhằm vào blogger người Gruzia Cyxymu đã có từ lâu, từ cuộc tấn công DDoS đầu tiên vào tháng 10 năm 2008 làm tê liệt trang LiveJournal. Thực tế là blogger này có lượng độc giả rộng khắp và các bài blog bằng tiếng Nga khiến ông trở thành mục tiêu ưa thích của các phe phái chống lại Gruzia trong lòng nước Nga.

    Bằng cách xem xét cẩn thận hơn các ghi chép lịch sử, các điều tra viên của PGG có thể sàng lọc kỹ hơn những người có liên quan và đưa ra đánh giá rõ ràng hơn về kẻ đứng sau các cuộc tấn công cùng động cơ thực hiện. Các điều tra viên kết luận rằng đây dường như là hành động do tổ chức Nashi sắp đặt nhằm vào blogger có tầm ảnh hưởng và thích tranh luận này, thể hiện lập trường chống lại Gruzia của tổ chức Nashi vào đúng dịp kỷ niệm cuộc chiến Nga-Gruzia. Việc đánh sập hai mạng xã hội lớn hiện tại là nhằm chỉ trích cơ sở hạ tầng yếu kém của Twitter và LiveJournal hơn là phô trương sức mạnh của cuộc tấn công.

    Nguồn: Inside Cyber Warfare
    Tác giả: Jeffrey Carr


  2. Bài viết đã đăng
    Inside Cyber Warfare - Chương V: Yếu tố tình báo trong chiến tranh mạng (Phần 1)
     
    Chỉnh sửa cuối: 20/09/19, 11:09 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
Tags: