Google: Malware Attacks Target Vietnam Dissidents
Google and McAfee have traced widespread malware attacks back to a dispute over a mining operation in Vietnam backed by China. Infected machines have been used to spy on their owners as well as launch distributed denial-of-service attacks against the mining operation’s critics.
Google and McAfee have uncovered evidence that a campaign of politically motivated cyber-attacks is targeting critics of a Chinese-backed mining operation in Vietnam.
In a blog post, Neel Mehta of Google’s security team noted the cyber-assault on Vietnamese activists is separate from the Aurora incident the company reported in January, and potentially involves tens of thousands of users who “downloaded Vietnamese keyboard language software and possibly other legitimate software.”
“These infected machines have been used both to spy on their owners as well as participate in distributed denial of service (DDoS) attacks against blogs containing messages of political dissent,” he wrote. “Specifically, these attacks have tried to squelch opposition to bauxite mining efforts in Vietnam, an important and emotionally charged issue in the country.”
Bauxite is one of Vietnam’s most valuable natural resources, and the mining plans—backed by the Vietnamese government and state-run Chinese aluminum firm Chinalco—have become a source of political controversy.
Mehta did not directly accuse China of participating in the attacks. However, the company has been in a tense war-of-the-words with the country’s government for months, and just a week ago closed the Chinese version of its search engine.
According to security researchers at McAfee, attackers used malware disguised as the keyboard driver VPSKeys, which is used to insert accents at the appropriate locations when using Windows. Once infected, the machines join a botnet with about a dozen command and control servers located around the globe but accessed predominantly from IP addresses inside Vietnam, McAfee reported.
“We suspect the effort to create the botnet started in late 2009, coinciding by chance with the Operation Aurora attacks,” blogged McAfee CTO George Kurtz. “While McAfee Labs identified the malware during our investigation into Operation Aurora, we believe the attacks are not related.
“We believe the attackers first compromised www.vps.org, the Web site of the Vietnamese Professionals Society (VPS), and replaced the legitimate keyboard driver with a Trojan horse,” he continued. “The attackers then sent an e-mail to targeted individuals which pointed them back to the VPS Web site, where they downloaded the Trojan instead.”
At the same time, news that foreign journalists working in China have once again had their e-mails hacked has raised eyebrows even further. Earlier this year, the Foreign Correspondents’ Club of China (FCCC) issued a warning to its members stating that journalists working in China had had their e-mails hacked. This time, the group has reportedly said eight members had their e-mail accounts hacked in recent weeks and that several were suspended by Yahoo March 25. Also, as of roughly 11:55 a.m. Eastern time today, the FCCC Website is down.
“We believe that malware is a general threat to the Internet, but it is especially harmful when it is used to suppress opinions of dissent,” Mehta wrote.
via: http://www.eweek.com/c/a/Security/Google-Malware-Attacks-Target-Vietnam-Dissidents-498247/
Hội Chuyên Gia VPS gặp Google, khẳng định: ‘Tin tặc đến từ Việt Nam’
Mấy ngày qua, thông tin nói rằng, hai công ty Google và McAfee cùng nghiên cứu, và phát hiện tin tặc (có nguồn gốc từ Việt Nam) thay đổi nhu liệu font chữ Việt VPSKeys của Hội Chuyên Gia Việt Nam, nhằm gài virus Trojan vào máy điện toán của người sử dụng, khi “download” nhu liệu này, sẽ bị nhiễm virus. Giới quan sát tin rằng, tin tặc (hacker) có liên quan đến nhà nước Hà Nội, nhằm trấn áp quan điểm của người chống đối, và cụ thể là ngăn chặn quan điểm phản đối khai thác bauxite tại Việt Nam. Hội Chuyên Gia Việt Nam là một tổ chức bất vụ lợi, thành lập từ năm 1990, có mặt tại nhiều quốc gia. Hiện nay, hội có hơn 25 phân hội trên toàn thế giới. Người Việt đã liên lạc (qua email), và được ông Trần Hữu Nhân, Tổng Thư Ký Hội Chuyên Gia Việt Nam, trả lời phỏng vấn sau đây về vụ tin tặc có nguồn gốc Việt Nam.
Người Việt đã liên lạc (qua email), và được ông Trần Hữu Nhân, Tổng Thư Ký Hội Chuyên Gia Việt Nam, trả lời phỏng vấn sau đây về vụ tin tắc có nguồn gốc Việt Nam.
Người Việt: Những ai đang sử dụng nhu liệu VPSkey phải làm sao? Xóa bỏ cái đã có trước đây rồi download cái mới?
Trần Hữu Nhân: Những người đang sử dụng VPSKeys, nếu đã dùng VPSKeys từ lâu rồi thì không có gì phải lo cả. Chỉ có những ai có lấy (download) bộ VPSKeys 4.3 từ trang web www.vps.org trong khoảng thời gian từ tháng 11, 2009 đến hết tháng 1, 2010, là có thể bị nhiễm virus. Nếu bị nhiễm thì cần tháo gỡ virus trước đã. Tháo gỡ luôn ấn bản VPSKeys có trong máy. Rồi download lại.
Người Việt: VPSkey mới, có bộ phận chống “trojan,” malware xâm nhập không? Nếu không thì người sử dụng phải làm sao?
Trần Hữu Nhân: VPSKeys chỉ là nhu liệu để gõ/đánh máy tiếng Việt, không phải là nhu liệu phòng chống virus. Trong thời buổi hiện nay, máy vi tính sử dụng đều phải có những nhu liệu phòng chống virus của các công ty, như McAfee, Norton, Kasperky, ZoneAlarm, v.v… Những nhu liệu này làm công việc phòng chống virus, trojan, malware xâm nhập.
Người Việt: Ðại đa số người sử dụng VPSkey để đánh máy đều là những người hiểu biết rất kém về an toàn trên Internet, cũng chẳng hiểu bao nhiêu về cách sử dụng các chương trình điện toán. Các anh cho lời khuyên.
Trần Hữu Nhân: Chúng tôi có soạn một số câu hỏi/trả lời những thắc mắc có thể có, đính kèm theo đây, cũng như cho lên trang web www.vps.org.
Người Việt: Các anh nói “đang hợp tác với các công ty liên hệ trong việc này và những công ty chuyên truy tìm nguồn gốc tin tặc,” vậy bây giờ câu chuyện đã tới đâu? Tìm thấy nguồn gốc từ đâu không? Có đúng từ cơ quan an ninh cộng sản Việt Nam không? Có liên quan gì đến công ty an ninh mạng của ông Nguyễn Tử Quảng không? (BachKhoa Internetwork Security Center – BKIS).
Trần Hữu Nhân: Ðại diện của Hội Chuyên Gia Việt Nam đã gặp bên Google để tìm hiểu thêm về vụ việc này. Bên phía Google xác nhận lại những điều mà tin tức đã đưa ra trong những ngày qua. Về phía chúng tôi thì biết chắc là tin tặc đến từ Việt Nam qua hai địa chỉ IP: #yiv1997301504 #AOLMsgPart_3_e914f731-a70f-4cfe-8c26-8d3b2b7d65e8 td{color:black;}#yiv1997301504 #AOLMsgPart_3_e914f731-a70f-4cfe-8c26-8d3b2b7d65e8 p.MsoNormal, #yiv1997301504 #AOLMsgPart_3_e914f731-a70f-4cfe-8c26-8d3b2b7d65e8 li.MsoNormal, #yiv1997301504 #AOLMsgPart_3_e914f731-a70f-4cfe-8c26-8d3b2b7d65e8 div.MsoNorma {margin:0in;margin-bottom:.0001pt;font-size:12.0pt;font-family:“Times New Roman”;} _filtered #yiv1997301504 {margin:1.0in 1.25in 1.0in 1.25in;}#yiv1997301504 #AOLMsgPart_3_e914f731-a70f-4cfe-8c26-8d3b2b7d65e8 div.Section1 {} 125.234.5.26 (viettel.vn) và 203.162.3.165 (vdc.com.vn).
Còn qua cuộc điều tra của công ty McAfee thì họ dùng chữ “may” tức là “có thể” liên hệ đến chính quyền Việt Nam, chứ họ không khẳng định dứt khoát. Về phần chúng tôi thì cũng chỉ khẳng định là hacker đến từ IP ở Việt Nam chứ không thể kết luận gì hơn. Phần kết luận tùy ở độc giả.
Còn về công ty BKIS thì chúng tôi không có ý kiến.
Người Việt: Xin cám ơn ông.
via: http://www.nguoi-viet.com/absolutenm/anmviewer.asp?a=110904&z=3