WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Inside Cyber Warfare - Chương VII: Ở đâu có tiền ở đó có dấu vết (Phần 1)
Không gian mạng là một trong nhiều mặt trận của chiến tranh hiện đại, tạo ra những rắc rối chưa từng có trong các loại xung đột khác. Bạn không thể nhận diện kẻ thù, không biết quốc tịch kẻ thù. Điều mà bạn có thể chắc chắn là cuộc chiến trên không gian ảo cần “hạ tầng, thiết bị và vũ khí” và có người chi trả cho chúng. Do đó, chiến lược hợp lý trong điều tra không gian mạng là lần theo dấu vết của dòng tiền được tạo ra bởi các công việc hậu cần cần thiết để tổ chức một cuộc tấn công mạng như đăng ký tên miền, dịch vụ lưu trữ, mua lại phần mềm, băng thông …
Danh tính giả mạo
Một trong những lý do chính khiến các hoạt động độc hại có thể hoành hành trên mạng là do việc xác minh lỏng lẻo dữ liệu đăng ký tên miền, hay còn được gọi là thông tin WHOIS (who is). Từ Cơ quan quản lý số và tên miền ICANN (Internet Corporation for Assigned Names and Numbers) đến các công ty lưu trữ và đăng ký tên miền được công nhận ở mọi quy mô, việc xác minh dữ liệu đăng ký tên miền không được thực thi đầy đủ.
May mắn là thế giới đang hướng tới điện toán xã hội, một trong những phương pháp điều tra số có thể bẻ khóa danh tính giả mạo. Trong thế giới số Internet, cũng như trong không gian vật lý, bạn đến nơi đâu, dấu chân của bạn sẽ lưu lại nơi đó.
Nếu bạn là một fan cuồng của điện toán xã hội, có tài khoản Facebook, MySpace, LiveJournal hoặc Twitter, dấu chân ảo của bạn sẽ lưu lại ở rất nhiều nơi. Nếu bạn là nhà cung cấp dịch vụ web hoặc quản trị viên diễn đàn, dấu chân của bạn sẽ còn nhiều hơn nữa.
IDC là một tổ chức nghiên cứu lượng dữ liệu được tạo ra mỗi năm bởi các cá nhân và doanh nghiệp (Hình 7-1). Theo sách trắng “Thế giới số đa dạng và bùng nổ” của IDC (tháng 3/2008), “thế giới số có 281.000.000.000 gigabyte dữ liệu, tương đương khoảng 45 gigabyte mỗi người”. Trong đó, một nửa là các hoạt động trực tuyến của cá nhân. Nửa còn lại là những gì mà IDC gọi là “cái bóng” ở dạng số của bạn - là những nội dung do người khác tạo ra về bạn (video trên camera giao thông hoặc tại các cây ATM, giao dịch thẻ tín dụng, hồ sơ y tế…).
Hình 7-1. Thế giới số ngày càng mở rộng
(Thông tin số được tạo ra trên toàn thế giới đã tăng 10 lần trong 5 năm từ 2006 đến 2011)
Giờ hãy tưởng tượng rằng bạn muốn tạo ra một diễn đàn để tuyển dụng, đào tạo và khởi động các cuộc tấn công mạng nhằm vào các mạng lưới hoặc website nhà nước. Bạn sẽ không sử dụng tên thật hoặc bí danh đã được biết đến của mình vì sợ bị phát hiện. Thay vào đó, bạn sẽ tạo một cái tên giả khi đăng ký tên miền và/hoặc thuê dịch vụ lưu trữ máy chủ để không thể lần ra dấu vết về bạn.
Điều này không dễ dàng như người ta vẫn tưởng, vì một số công ty đăng ký tên miền sẽ cố gắng xác minh tính xác thực của thông tin mà bạn cung cấp. Tên và địa chỉ của bạn cũng có thể phải khớp với thông tin thẻ tín dụng mà bạn sử dụng để mua hàng. Điều này đặt ra một vấn đề nghiêm trọng cho những cá nhân muốn có hành động gian lận.
Do đó, các thành viên của thế giới ngầm trong không gian mạng đã xác định các nhà cung cấp dịch vụ lưu trữ và các công ty đăng ký tên miền có chính sách thanh toán và xác minh lỏng lẻo để “qua lại” với họ. Mạng doanh nghiệp Nga (RBN – The Russian Business Network) là một ví dụ điển hình. Mặc dù RBN ngừng hoạt động vào tháng 11/2007 sau khi các hoạt động của mạng này thu hút quá nhiều chú ý, một số khối IP được liên kết với mạng này vẫn còn hoạt động.
Biệt tài của RBN là xây dựng một lớp chống đạn đảm bảo cho các dịch vụ trực tuyến của mình không bị gián đoạn, bất chấp việc có rất nhiều khiếu nại về các trang web mà RBN quản lý.
Giống như RBN, diễn đàn StopGeorgia.ru là một phần của một mạng lưới được chống đạn. Chương này sẽ giới thiệu với các bạn về các mối quan hệ phức tạp, các bí danh và các công ty vỏ bọc được tạo ra để phục vụ cho mục đích đó. Trước khi tìm hiểu chi tiết về mạng StopGeorgia.ru, hãy bắt đầu với cách hoạt động của mạng chống đạn.
Thành phần của mạng chống đạn
Mạng chống đạn có liên quan đến một loạt quan hệ kinh doanh khiến cơ quan chức năng gặp nhiều khó khăn để đóng cửa các doanh nghiệp web có tham gia vào hoạt động phạm tội.
Mọi mạng chống đạn bắt đầu với điểm yếu cố hữu của ICANN trong việc thực thi thông tin WHOIS chuẩn xác.
ICANN
ICANN là một tổ chức phi lợi nhuận có trụ sở tại Marina del Rey, bang California. Tổ chức này tiếp nhận trách nhiệm đăng ký và cấp phép từ chính phủ Mỹ vào năm 1998.
Khi bạn đăng ký một tên miền với một công ty đăng ký được công nhận, ICANN sẽ cấp một địa chỉ IP tương ứng. Quá trình đăng ký yêu cầu khách hàng cung cấp thông tin WHOIS chuẩn xác. Thật không may, ICANN đã không thực thi quy tắc của chính mình một cách hiệu quả.
Kết quả kiểm toán của Cơ quan kiểm định trách nhiệm chính phủ (GAO) năm 2005 đã nghiên cứu vấn đề này và thấy rằng khoảng “2,31 triệu tên miền (5,14%) được đăng ký với dữ liệu rõ ràng là giả mạo – dữ liệu không được xác minh với bất kỳ dữ liệu tham chiếu – trong một hoặc nhiều trường thông tin liên hệ bắt buộc” (từ báo cáo của GAO về “Quản lý Internet – Sự phổ biến của thông tin liên hệ giả mạo khi đăng ký tên miền”, xuất bản tháng 11/2005, xem hình 7-2).
Hình 7-2. Phân tích của GAO về thông tin liên hệ khi đăng ký tên miền
ICANN dựa vào các công ty đăng ký để thực thi việc thu thập thông tin đăng ký chuẩn xác, và đây là tầng thứ hai của mạng chống đạn: một công ty đăng ký được ICANN công nhận.
Công ty đăng ký được công nhận
Người muốn xuất hiện trên Internet vì các mục đích bất chính cần phải tìm một công ty đăng ký được công nhận. Công ty này không tìm cách xác minh thông tin đăng ký giả mạo. Điều này sẽ cho phép người đó nhập một bút danh thay vì tên thật, cũng như thông tin liên lạc giả mạo (email và điện thoại). Trong trường hợp của diễn đàn StopGeorgia.ru, công ty đăng ký đó là Naunet, một công ty dịch vụ Internet của Nga cung cấp dịch vụ đăng ký và lưu trữ tên miền.
Công ty lưu trữ
Trong trường hợp của StopGeorgia.ru, người đăng ký có được dịch vụ lưu trữ thông qua SteadyHost.ru, một công ty nhỏ của Nga. SteadyHost.ru lại là đại lý lưu trữ cho một công ty có trụ sở tại London, Anh là Innovation IT Solutions Corp, công ty này lại “kết giao” với một công ty lưu trữ và trung tâm dữ liệu rất lớn là SoftLayer Technologies.
SoftLayer Technologies và The Planet, đều có trụ sở tại Texas, đã chứng minh là những lựa chọn hấp dẫn cho các trang web spam và lừa đảo, giống như Atrivo/Intercage có trụ sở tại Bắc Canada. Atrivo cuối cùng cũng đóng cửa vào tháng 10/2008, làm giảm đáng kể mức độ spam trên phạm vi toàn cầu, theo mục Security Fix trên tờ Washington Post đăng tải vào ngày 9/10/2008.
Mạng chống đạn StopGeorgia.ru
Hình 7-3 cho thấy mối liên kết giữa các công ty hỗ trợ diễn đàn StopGeorgia.ru.
StopGeorgia.ru
Như đã thảo luận trong Chương 2, StopGeorgia.ru là một diễn đàn có mật khẩu được dựng trên gói phần mềm Bulletin Board (phpBB) và được đưa lên trong vòng 24 giờ sau khi bắt đầu cuộc đột kích trên bộ, trên không và trên biển của Nga vào Georgia ngày 08/08/2008.
Tấn công mạng vào các website của chính phủ Georgia có từ ngày 21/07/2008, nhưng diễn đàn này không hoạt động cho đến khi diễn ra cuộc xâm lược. Diễn đàn này cung cấp cho hacker ở mọi trình độ danh sách mục tiêu, link dẫn tới mã độc được sử dụng để nhắm vào các website của chính phủ Georgia và tư vấn chuyên môn cho các hacker mới vào nghề (vốn rất nhiều).
Tìm kiếm WHOIS trên tên miền StopGeorgia.ru trả về thông tin sau:
Hình 7-3. Mạng StopGeorgia.ruNAUNET.RU
NAUNET là một công ty đăng ký và quản lý tên miền của Nga nằm trong danh sách đen của Spamhaus Project (tổ chức quốc tế theo dõi các hoạt động liên quan đến thư rác) về việc cung cấp các tên miền tội phạm/spam/lừa đảo không gian mạng (Khuyến cáo số #SBL67369 của Spamhaus SBL ngày 01/12/2008).
Tên miền StopGeorgia.ru được mua tại Naunet.ru. Một phần khiếu nại về Naunet trong hồ sơ tại Spamhaus là Naunet cố tình chấp nhận thông tin giả mạo (cụ thể là liên quan đến các địa chỉ IP DNS không hợp lệ trong thông tin WHOIS), vi phạm quy định của Viện Nghiên cứu phát triển mạng công cộng Nga (RIPN).
Trong thông tin WHOIS của StopGeorgia.ru, số điện thoại 7 908 3400066 và địa chỉ email [email protected] đều được liệt kê trong thông tin đăng ký cho nhiều trang web chuyên cung cấp những thứ như hộ chiếu giả, khiêu dâm người lớn và tấn công skimmer ATM.
Mặc dù thông tin tên miền của StopGeorgia.ru không liệt kê tên một người cụ thể, thay vào đó là “private person” mà ở đâu cũng thấy, các tên miền khác với số điện thoại và địa chỉ email tương tự được đăng ký dưới tên Andrej V Uglovatyj.
Tuy nhiên, Andrej V Uglovatyj rất có thể là một người không có thật. Tìm kiếm trên Yandex.com chỉ trả về hai kết quả cho cái tên này. Xem xét lượng dữ liệu cá nhân được thu thập trực tuyến ngày nay, cũng như việc Andrej V Uglovatyj cố tình thực hiện một số hoạt động kinh doanh trực tuyến, việc nhận được rất ít kết quả trả về có thể do cái tên này là một bí danh được sử dụng trong các tên đăng ký tên miền mờ ám. Ví dụ, trong Hình 7-4 là thông tin cho dịch vụ cung cấp hộ chiếu giả tại một trang web có tên Dokim.ru.
Dòng chữ phía dưới cái tên Dokim.ru có nghĩa là “Làm hộ chiếu và giấy phép lái xe tại Nga và các nước EU”.
Hình 7-4. Một trong những tên miền của Andrej V Uglovatyj cung cấp tài liệu giả mạo
Danh tính giả mạo
Một trong những lý do chính khiến các hoạt động độc hại có thể hoành hành trên mạng là do việc xác minh lỏng lẻo dữ liệu đăng ký tên miền, hay còn được gọi là thông tin WHOIS (who is). Từ Cơ quan quản lý số và tên miền ICANN (Internet Corporation for Assigned Names and Numbers) đến các công ty lưu trữ và đăng ký tên miền được công nhận ở mọi quy mô, việc xác minh dữ liệu đăng ký tên miền không được thực thi đầy đủ.
May mắn là thế giới đang hướng tới điện toán xã hội, một trong những phương pháp điều tra số có thể bẻ khóa danh tính giả mạo. Trong thế giới số Internet, cũng như trong không gian vật lý, bạn đến nơi đâu, dấu chân của bạn sẽ lưu lại nơi đó.
Nếu bạn là một fan cuồng của điện toán xã hội, có tài khoản Facebook, MySpace, LiveJournal hoặc Twitter, dấu chân ảo của bạn sẽ lưu lại ở rất nhiều nơi. Nếu bạn là nhà cung cấp dịch vụ web hoặc quản trị viên diễn đàn, dấu chân của bạn sẽ còn nhiều hơn nữa.
IDC là một tổ chức nghiên cứu lượng dữ liệu được tạo ra mỗi năm bởi các cá nhân và doanh nghiệp (Hình 7-1). Theo sách trắng “Thế giới số đa dạng và bùng nổ” của IDC (tháng 3/2008), “thế giới số có 281.000.000.000 gigabyte dữ liệu, tương đương khoảng 45 gigabyte mỗi người”. Trong đó, một nửa là các hoạt động trực tuyến của cá nhân. Nửa còn lại là những gì mà IDC gọi là “cái bóng” ở dạng số của bạn - là những nội dung do người khác tạo ra về bạn (video trên camera giao thông hoặc tại các cây ATM, giao dịch thẻ tín dụng, hồ sơ y tế…).
Hình 7-1. Thế giới số ngày càng mở rộng
(Thông tin số được tạo ra trên toàn thế giới đã tăng 10 lần trong 5 năm từ 2006 đến 2011)
Giờ hãy tưởng tượng rằng bạn muốn tạo ra một diễn đàn để tuyển dụng, đào tạo và khởi động các cuộc tấn công mạng nhằm vào các mạng lưới hoặc website nhà nước. Bạn sẽ không sử dụng tên thật hoặc bí danh đã được biết đến của mình vì sợ bị phát hiện. Thay vào đó, bạn sẽ tạo một cái tên giả khi đăng ký tên miền và/hoặc thuê dịch vụ lưu trữ máy chủ để không thể lần ra dấu vết về bạn.
Điều này không dễ dàng như người ta vẫn tưởng, vì một số công ty đăng ký tên miền sẽ cố gắng xác minh tính xác thực của thông tin mà bạn cung cấp. Tên và địa chỉ của bạn cũng có thể phải khớp với thông tin thẻ tín dụng mà bạn sử dụng để mua hàng. Điều này đặt ra một vấn đề nghiêm trọng cho những cá nhân muốn có hành động gian lận.
Do đó, các thành viên của thế giới ngầm trong không gian mạng đã xác định các nhà cung cấp dịch vụ lưu trữ và các công ty đăng ký tên miền có chính sách thanh toán và xác minh lỏng lẻo để “qua lại” với họ. Mạng doanh nghiệp Nga (RBN – The Russian Business Network) là một ví dụ điển hình. Mặc dù RBN ngừng hoạt động vào tháng 11/2007 sau khi các hoạt động của mạng này thu hút quá nhiều chú ý, một số khối IP được liên kết với mạng này vẫn còn hoạt động.
Biệt tài của RBN là xây dựng một lớp chống đạn đảm bảo cho các dịch vụ trực tuyến của mình không bị gián đoạn, bất chấp việc có rất nhiều khiếu nại về các trang web mà RBN quản lý.
Giống như RBN, diễn đàn StopGeorgia.ru là một phần của một mạng lưới được chống đạn. Chương này sẽ giới thiệu với các bạn về các mối quan hệ phức tạp, các bí danh và các công ty vỏ bọc được tạo ra để phục vụ cho mục đích đó. Trước khi tìm hiểu chi tiết về mạng StopGeorgia.ru, hãy bắt đầu với cách hoạt động của mạng chống đạn.
Thành phần của mạng chống đạn
Mạng chống đạn có liên quan đến một loạt quan hệ kinh doanh khiến cơ quan chức năng gặp nhiều khó khăn để đóng cửa các doanh nghiệp web có tham gia vào hoạt động phạm tội.
Mọi mạng chống đạn bắt đầu với điểm yếu cố hữu của ICANN trong việc thực thi thông tin WHOIS chuẩn xác.
ICANN
ICANN là một tổ chức phi lợi nhuận có trụ sở tại Marina del Rey, bang California. Tổ chức này tiếp nhận trách nhiệm đăng ký và cấp phép từ chính phủ Mỹ vào năm 1998.
Khi bạn đăng ký một tên miền với một công ty đăng ký được công nhận, ICANN sẽ cấp một địa chỉ IP tương ứng. Quá trình đăng ký yêu cầu khách hàng cung cấp thông tin WHOIS chuẩn xác. Thật không may, ICANN đã không thực thi quy tắc của chính mình một cách hiệu quả.
Kết quả kiểm toán của Cơ quan kiểm định trách nhiệm chính phủ (GAO) năm 2005 đã nghiên cứu vấn đề này và thấy rằng khoảng “2,31 triệu tên miền (5,14%) được đăng ký với dữ liệu rõ ràng là giả mạo – dữ liệu không được xác minh với bất kỳ dữ liệu tham chiếu – trong một hoặc nhiều trường thông tin liên hệ bắt buộc” (từ báo cáo của GAO về “Quản lý Internet – Sự phổ biến của thông tin liên hệ giả mạo khi đăng ký tên miền”, xuất bản tháng 11/2005, xem hình 7-2).
Hình 7-2. Phân tích của GAO về thông tin liên hệ khi đăng ký tên miền
Công ty đăng ký được công nhận
Người muốn xuất hiện trên Internet vì các mục đích bất chính cần phải tìm một công ty đăng ký được công nhận. Công ty này không tìm cách xác minh thông tin đăng ký giả mạo. Điều này sẽ cho phép người đó nhập một bút danh thay vì tên thật, cũng như thông tin liên lạc giả mạo (email và điện thoại). Trong trường hợp của diễn đàn StopGeorgia.ru, công ty đăng ký đó là Naunet, một công ty dịch vụ Internet của Nga cung cấp dịch vụ đăng ký và lưu trữ tên miền.
Công ty lưu trữ
Trong trường hợp của StopGeorgia.ru, người đăng ký có được dịch vụ lưu trữ thông qua SteadyHost.ru, một công ty nhỏ của Nga. SteadyHost.ru lại là đại lý lưu trữ cho một công ty có trụ sở tại London, Anh là Innovation IT Solutions Corp, công ty này lại “kết giao” với một công ty lưu trữ và trung tâm dữ liệu rất lớn là SoftLayer Technologies.
SoftLayer Technologies và The Planet, đều có trụ sở tại Texas, đã chứng minh là những lựa chọn hấp dẫn cho các trang web spam và lừa đảo, giống như Atrivo/Intercage có trụ sở tại Bắc Canada. Atrivo cuối cùng cũng đóng cửa vào tháng 10/2008, làm giảm đáng kể mức độ spam trên phạm vi toàn cầu, theo mục Security Fix trên tờ Washington Post đăng tải vào ngày 9/10/2008.
Mạng chống đạn StopGeorgia.ru
Hình 7-3 cho thấy mối liên kết giữa các công ty hỗ trợ diễn đàn StopGeorgia.ru.
StopGeorgia.ru
Như đã thảo luận trong Chương 2, StopGeorgia.ru là một diễn đàn có mật khẩu được dựng trên gói phần mềm Bulletin Board (phpBB) và được đưa lên trong vòng 24 giờ sau khi bắt đầu cuộc đột kích trên bộ, trên không và trên biển của Nga vào Georgia ngày 08/08/2008.
Tấn công mạng vào các website của chính phủ Georgia có từ ngày 21/07/2008, nhưng diễn đàn này không hoạt động cho đến khi diễn ra cuộc xâm lược. Diễn đàn này cung cấp cho hacker ở mọi trình độ danh sách mục tiêu, link dẫn tới mã độc được sử dụng để nhắm vào các website của chính phủ Georgia và tư vấn chuyên môn cho các hacker mới vào nghề (vốn rất nhiều).
Tìm kiếm WHOIS trên tên miền StopGeorgia.ru trả về thông tin sau:
Hình 7-3. Mạng StopGeorgia.ru
NAUNET là một công ty đăng ký và quản lý tên miền của Nga nằm trong danh sách đen của Spamhaus Project (tổ chức quốc tế theo dõi các hoạt động liên quan đến thư rác) về việc cung cấp các tên miền tội phạm/spam/lừa đảo không gian mạng (Khuyến cáo số #SBL67369 của Spamhaus SBL ngày 01/12/2008).
Tên miền StopGeorgia.ru được mua tại Naunet.ru. Một phần khiếu nại về Naunet trong hồ sơ tại Spamhaus là Naunet cố tình chấp nhận thông tin giả mạo (cụ thể là liên quan đến các địa chỉ IP DNS không hợp lệ trong thông tin WHOIS), vi phạm quy định của Viện Nghiên cứu phát triển mạng công cộng Nga (RIPN).
Trong thông tin WHOIS của StopGeorgia.ru, số điện thoại 7 908 3400066 và địa chỉ email [email protected] đều được liệt kê trong thông tin đăng ký cho nhiều trang web chuyên cung cấp những thứ như hộ chiếu giả, khiêu dâm người lớn và tấn công skimmer ATM.
Mặc dù thông tin tên miền của StopGeorgia.ru không liệt kê tên một người cụ thể, thay vào đó là “private person” mà ở đâu cũng thấy, các tên miền khác với số điện thoại và địa chỉ email tương tự được đăng ký dưới tên Andrej V Uglovatyj.
Tuy nhiên, Andrej V Uglovatyj rất có thể là một người không có thật. Tìm kiếm trên Yandex.com chỉ trả về hai kết quả cho cái tên này. Xem xét lượng dữ liệu cá nhân được thu thập trực tuyến ngày nay, cũng như việc Andrej V Uglovatyj cố tình thực hiện một số hoạt động kinh doanh trực tuyến, việc nhận được rất ít kết quả trả về có thể do cái tên này là một bí danh được sử dụng trong các tên đăng ký tên miền mờ ám. Ví dụ, trong Hình 7-4 là thông tin cho dịch vụ cung cấp hộ chiếu giả tại một trang web có tên Dokim.ru.
Dòng chữ phía dưới cái tên Dokim.ru có nghĩa là “Làm hộ chiếu và giấy phép lái xe tại Nga và các nước EU”.
Hình 7-4. Một trong những tên miền của Andrej V Uglovatyj cung cấp tài liệu giả mạo
Nguồn: Inside Cyber Warfare
Tác giả: Jeffrey Carr
Tác giả: Jeffrey Carr