Inside Cyber Warfare - Chương VII: Ở đâu có tiền ở đó có dấu vết (Phần 2)

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat News #ID:2018, 04/05/20, 05:05 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 304
    Đã được thích: 100
    Điểm thành tích:
    43
    Không gian mạng là một trong nhiều mặt trận của chiến tranh hiện đại, tạo ra những rắc rối chưa từng có trong các loại xung đột khác. Bạn không thể nhận diện kẻ thù, không biết quốc tịch kẻ thù. Điều mà bạn có thể chắc chắn là cuộc chiến trên không gian ảo cần “hạ tầng, thiết bị và vũ khí” và có người chi trả cho chúng. Do đó, chiến lược hợp lý trong điều tra không gian mạng là lần theo dấu vết của dòng tiền được tạo ra bởi các công việc hậu cần cần thiết để tổ chức một cuộc tấn công mạng như đăng ký tên miền, dịch vụ lưu trữ, mua lại phần mềm, băng thông …

    SteadyHost.ru

    Tìm kiếm thông tin WHOIS (who is) trên địa chỉ IP là một bước quan trọng trong quy trình lần theo dấu vết dòng tiền. Ai đó cần phải mua thời gian trên máy chủ để lưu trữ diễn đàn PHP. Địa chỉ IP của StopGeorgia.ru là 75.126.142.110, địa chỉ này lại trỏ tới một công ty nhỏ của Nga có tên Steadyhost (http://www.Steadyhost.ru).

    Đăng ký tên miền của Steadyhost.ru cung cấp các thông tin sau:
    Chapter7_6.PNG
    Sergey A. Deduhin, người đăng ký tên miền Steadyhost.ru, dường như không có nhiều dấu vết trên Internet hơn Andrej V Uglovatyj của StopGeorgia.ru.

    Theo thông tin liên lạc tại trang web của Steadyhost, công ty này có văn phòng tại một tòa nhà chung cư ở 88 Khoroshevskoe Shosse, Matxcova.

    Hàng xóm của Steadyhost, ở tòa nhà bên cạnh, là Viện nghiên cứu của Bộ Quốc phòng được gọi là Trung tâm Nghiên cứu Sức mạnh Quân sự Nước ngoài. Và tại địa chỉ 76 Khoroshevskoe Shosse là trụ sở của GRU, còn được gọi là Thủy cung (xem Hình 7-5).

    GRU là Tổng cục Tình báo của Lực lượng Vũ trang Nga. Hoạt động chính của GRU là triển khai hàng ngàn điệp viên ở nước ngoài để thu thập thông tin chính trị và quân sự.
    Chapter7_7.PNG
    Hình 7-5. Trụ sở của GRU từ Google Earth​

    Theo website của Liên đoàn các nhà khoa học Mỹ (FAS), GRU có thể được coi là một cơ quan tương đương với Cơ quan tình báo quốc phòng Mỹ (DIA). GRU tham gia vào hoạt động thu thập tin tức tình báo về con người (HUMINT) thông qua các điệp viên ở nước ngoài, tin tức tình báo tín hiệu (SIGINT) thông qua các phương tiện điện tử khác nhau và tin tức tình báo hình ảnh (IMINT) thông qua hình ảnh vệ tinh.

    Trong một cuộc phỏng vấn năm 1996 với Pravda, Tướng Fedor Ladygin, người đứng đầu GRU tại thời điểm đó, đã đưa cả hoạt động gián điệp kỹ thuật vào nhiệm vụ của tổ chức (Komsomolskaya Pravda, ngày 5 tháng 11 năm 1996). Nhiệm vụ này gồm tấn công mạng máy tính để có quyền truy cập vào dữ liệu nhạy cảm.

    Trong một cuộc phỏng vấn với CDI Russia Weekly vào ngày 17 tháng 7 năm 2003, người đứng đầu GRU vào thời điểm hiện tại, Tướng Valentin Korabelnikov, đã thêm tin tức tình báo nguồn mở (OSINT) vào nhiệm vụ của GRU. Vị trí “văn phòng” thực tế của Steadyhost.ru ở gần trụ sở GRU chỉ mang tính suy diễn và không được coi là bằng chứng cho thấy sự liên quan của GRU; đó chỉ đơn giản là một trong nhiều yếu tố để xem xét khi cân nhắc các kết nối có thể có giữa nhà nước và hacker.

    Công ty Innovation IT Solutions

    Hầu hết các công ty đăng ký hợp pháp sẽ xác nhận ít nhất một số thông tin đăng ký do khách hàng cung cấp. Các công ty đăng ký không làm như vậy trở thành “đối tác” yêu thích của những kẻ gửi thư rác và tội phạm mạng.

    Nếu xem kỹ thông tin trên địa chỉ IP của StopGeorgia.ru, bạn sẽ thấy đó là một phần của khối IP được Công ty SoftLayer Technologies (chuyên cung cấp dịch vụ lưu trữ, điện toán đám mây, máy chủ chuyên dụng) ở Dallas cho Công ty Innovation IT Solutions (chuyên cung cấp giải pháp đổi mới về lưu trữ) ở Anh thuê.

    Công ty Innovation IT Solutions có một URL website tại http://init-sol.com, nhưng không có trang web. Thay vào đó, khách truy cập thấy một thông báo cung cấp thông tin liên hệ cơ bản (Hình 7-6).

    Chapter7_8.PNG
    Hình 7-6. Trang web của Công ty Innovation IT Solutions​

    Theo dữ liệu WHOIS, tên miền Init-sol.com được đăng ký bởi Andrey Nesterenko, một nhân viên của Công ty Innovation IT Solutions. Nesterenko mua tên miền qua một công ty khác là MIRhosting.com.

    Nếu kiểm tra các hồ sơ WHOIS trong bảng sau, bạn sẽ thấy Nesterenko rõ ràng được cả hai công ty kể trên tuyển dụng và cả hai công ty đều có cùng địa chỉ kinh doanh tại 95 Wilton Road, Suite 3, London. Kết quả tìm kiếm địa chỉ đó trên Google trả về nhiều loại hình kinh doanh, bao gồm một trang web khiêu dâm (Cheeky-Touch), một trang web tuổi teen, Goldstein Equitas, Inc. và Global Securities Consulting; nói cách khác, 95 Wilton Road, Suite 3, London là một địa chỉ chuyên để đăng ký.

    Innovation IT Solutions không phải là một doanh nghiệp đã đăng ký ở Anh hay bất cứ nơi nào khác trên thế giới và dường như không tồn tại ngoài địa chỉ đăng ký ở London.

    Mirhosting.com

    Trang Mirhosting.com cung cấp một số thông tin quan trọng trên website về các dịch vụ của mình, bằng tiếng Nga. Theo Dun và Bradstreet (Tập đoàn cung cấp thông tin doanh nghiệp và xếp hạng tín nhiệm), cổ đông chính và duy nhất của Mirhosting, Andrey Nenkoenko, là công dân Nga sống ở Hà Lan, tuy nhiên địa chỉ đăng ký lại ở London, cùng địa chỉ được sử dụng bởi Công ty Innovation IT Solutions (xem dữ liệu WHOIS sau đây):
    Chapter7_9.PNG

    SoftLayer Technologies

    The IP address for the StopGeorgia.ru forum (75.126.142.110) can be traced backward from SteadyHost to Innovation IT Solutions Corp to SoftLayer Technologies, a US company based in Dallas, TX, with server locations in Seattle, WA, and Washington, DC. See Figure 7-7.

    Địa chỉ IP của diễn đàn StopGeorgia.ru (75.126.142.110) có thể được truy ngược từ Steadyhost đến Công ty Innovation IT Solutions rồi đến SoftLayer Technologies, một công ty của Mỹ có trụ sở tại thành phố Dallas, tiểu bang Texas, còn máy chủ đặt ở thành phố Seattle, tiểu bang Washington và thủ đô Washington, DC. Xem hình 7-7.
    Chapter7_10.PNG
    Hình 7-7. Dữ liệu WHOIS trên địa chỉ IP 75.126.142.110​

    SoftLayer Technologies and The Planet (also in Dallas, TX) share the unique distinction of being on StopBadware.org’s top 10 worst badware network blocks (Figure 7-8). To add some perspective to this, StopBadware.org’s May 2008 report reveals China to be the world leader, hosting 52% of all badware sites, whereas the United States hosts 21%. None of the other countries involved, including Russia, individually hosts more than 4%.

    SoftLayer Technologies và The Planet (cũng ở Dallas, Texas) chỉ khác nhau về vị trí trong Top 10 khối mạng phần mềm tệ nhất của StopBadware.org (Hình 7-8). Ngoài ra, báo cáo của StopBadware.org vào tháng 5/2008 cho thấy Trung Quốc là nước dẫn đầu khi lưu trữ 52% tổng các trang web cung cấp phần mềm độc hại trên thế giới, trong khi Mỹ chỉ lưu trữ 21%. Không một quốc gia nào khác, kể cả Nga, lưu trữ hơn 4%.

    Chapter7_11.PNG
    Hình 7-8. Top 10 khối mạng lưu trữ website cung cấp phần mềm độc hại​

    Khi công bố báo cáo, StopBadware.org đã cố gắng liên hệ với các công ty mà mình nêu tên để cho họ cơ hội phản hồi. Và SoftLayer Technologies đã đưa ra tuyên bố sau, được xuất bản trên blog của StopBadware.org vào ngày 24 tháng 6 năm 2008:

    SoftLayer Technologies is a provider of data center services centered around the delivery of on-demand server infrastructure. We do not manage the content or applications hos- ted from our infrastructure as this is the direct responsibility of our customers, many of which are in fact hosting resellers. Having said that, we also have a very strict acceptable use policy which you can find here: http://www.softlayer.com/legal.html.

    SoftLayer Technologies là nhà cung cấp dịch vụ trung tâm dữ liệu tập trung vào cơ sở hạ tầng máy chủ theo yêu cầu. Chúng tôi không quản lý nội dung hoặc ứng dụng được lưu trữ trên cơ sở hạ tầng của chúng tôi vì đây là trách nhiệm trực tiếp của khách hàng, nhiều khách hàng trong đó thực tế là các đại lý dịch vụ lưu trữ. Chúng tôi cũng có chính sách sử dụng rất nghiêm ngặt tại: http://www.softlayer.com/legal.html.

    Chúng tôi cố gắng chủ động nhất có thể trong việc loại bỏ bất kỳ và tất cả nội dung vi phạm các điều khoản của chính sách này. Nhưng đây không phải là một nhiệm vụ dễ dàng.

    Tôi đã chuyển tiếp email của bạn đến bộ phận phòng ngừa lạm dụng của chúng tôi để điều tra những phát hiện mà bạn đã đề xuất. Chúng tôi sẽ thực hiện tất cả các hành động cần thiết để xóa bỏ bất kỳ tài liệu độc hại khỏi mạng của chúng tôi để có thể phục vụ khách hàng và cộng đồng Internet tốt hơn.

    Khoảng 45 ngày sau, diễn đàn StopGeorgia.ru, được lưu trữ trên một máy chủ của SoftLayer, trở thành tâm điểm cho cuộc tấn công của hacker Nga chống lại các trang web của chính phủ Georgia. Ngay lập tức SoftLayer Technologies chủ động hủy quyền truy cập của StopGeorgia.ru vào các máy chủ của mình vì vi phạm Điều khoản dịch vụ.

    SORM-2

    Ngay cả với một mạng chống đạn, điều quan trọng cần nhớ là mặc dù cấp quyền truy cập Internet mở toàn cầu cho công dân của mình, điện Kremlin cũng thu thập và kiểm soát tất cả dữ liệu bắt nguồn từ biên giới của đất nước.

    Cuộc phỏng vấn gần đây với Anton Nosik, tổng biên tập của trang tin tức Nga BFM.ru, được đăng trên trang báo trực tuyến New Times. Trong đó, Nosik đã nói về SORM-2 (Hệ thống biện pháp nghiên cứu hoạt động), sao chép từng byte lưu lượng truy cập Internet từ các hộ gia đình, doanh nghiệp Nga và gửi đến Cục An ninh Liên bang (FSB) thông qua hệ thống đĩa độc lập dự phòng (RAID).

    Nosik cũng chỉ ra rằng điện Kremlin hoặc sở hữu các đường truyền (qua các công ty viễn thông như Rostelekom, Transtelekom và Elektrotelekom) hoặc kiểm soát giấy phép của mọi kênh truyền thông ở Nga. Mức độ kiểm soát này có thể là bằng chứng chống lại Liên bang Nga nếu một cơ quan quốc tế xác định rằng điện Kremlin đáng lẽ ra có thể hành động để ngăn chặn các cuộc tấn công mạng bắt nguồn từ bên trong biên giới của mình nhưng lại không làm như vậy.

    Điện Kremlin và Internet Nga

    Một trong những câu hỏi khó nhất mà nhóm Project Grey Goose phải đối mặt khi điều tra cuộc chiến tranh mạng giữa Nga và Georgia là có bằng chứng cho thấy sự tham gia của chính phủ Nga hay không. Phát hiện chính của chúng tôi vào tháng 10/2008 là:

    Chúng tôi tin rằng chính phủ Nga có thể sẽ tiếp tục thực hiện hành vi tách mình ra khỏi cộng đồng hacker Nga để dễ dàng chối bỏ trách nhiệm khi ủng hộ một cách thụ động và thụ hưởng những lợi ích chiến lược từ hành động của họ.

    Mặc dù các thành viên diễn đàn khá cởi mở về mục tiêu và phương pháp của họ, chúng tôi không thể qua thông tin thu thập/phân tích này để tìm ra bất kỳ liên kết với các tổ chức nhà nước dẫn dắt hoặc chỉ đạo các cuộc tấn công. Trường hợp này có thể được giải thích là:

    Không có sự tham gia hoặc chỉ đạo từ bên ngoài của các tổ chức nhà nước.

    Nỗ lực thu thập của chúng tôi không đủ sâu rộng để xác định các mối liên hệ.

    Sự tham gia của các tổ chức nhà nước được thực hiện theo cách hoàn toàn không thể quy kết được.

    Tuy nhiên tình hình đã thay đổi. Vào tháng 2/2009, các phương tiện truyền thông Nga đưa tin một câu chuyện cung cấp bằng chứng mới cho thấy cách chính phủ Nga tài trợ và trả tiền cho lãnh đạo của các tổ chức thanh niên Nga tham gia vào các hoạt động thông tin, tới mức và bao gồm hoạt động hacking, để bịt miệng hoặc đàn áp các nhóm đối lập.
    Nguồn: Inside Cyber Warfare
    Tác giả: Jeffrey Carr

    Bài viết đã đăng:
    Inside Cyber Warfare - Chương VII: Ở đâu có tiền ở đó có dấu vết (Phần 1)

     
    Chỉnh sửa cuối: 04/05/20, 05:05 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  1. WhiteHat News #ID:2018
  2. WhiteHat News #ID:2017
  3. WhiteHat News #ID:2017
  4. WhiteHat News #ID:2018
  5. WhiteHat News #ID:2017