Sâu công nghiệp Stuxnet đã được viết hơn một năm trước

StuxnetIndustrial Worm Was Written Over a Year Ago

By Robert McMillan, IDGNews, Aug 5, 2010 8:20 am

Theo:http://www.pcworld.com/businesscenter/article/202609/stuxnet_industrial_worm_was_written_over_a_year_ago.html

Bài được đưa lênInternet ngày: 05/08/2010

Lờingười dịch: Sâu Windows Stuxnet không phải bây giờ mớiđược xây dựng, mà nó được cho là đã có phiên bảnđầu từ tháng 06/2009. Nó là hơn hẳn với Aurora từngđánh vào Google hồi cuối năm 2009. Cả Aurora và Stuxnetlợi dụng những lỗi “ngày số 0” còn chưa được vátrong các sản phẩm của Microsoft. Nhưng Stuxnet đáng chú ýhơn về mặt kỹ thuật so với cuộc tấn công vào Google,Schouwenberg nói. “Aurora đã có một lỗi ngày số 0, nhưngnó là lỗi ngày số 0 chống lại IE6”, ông nói. “Ởđây chúng tôi có một chỗ bị tổn thương mà là có ảnhhưởng chống lại mọi phiên bản của Windows kể từWindows 2000”. “Sau khiStuxnet đã được tạo ra, các tác giả của nó đã bổsung thêm các phần mềm mới mà cho phép nó lan truyềntrong các ổ USB mà thực sự không cần tới sự can thiệpcủa nạn nhân. Và chúng cũng bằng cách nào đó đã sờđược tới các khóa mã hóa thuộc về các công ty sảnxuất chip là Realtek và JMicron và ký điện tử cho phầnmềm độc hại, thế nên các trình quét virus có thể khómà tìm ra nó”.

Một sâu tinh vi phứctạp được thiết kế để ăn cắp các bí mật côngnghiệp đã từng có từ lâu hơn nhiều so với đượcnghĩ trước đây, theo các chuyên gia an ninh nghiên cứuphần mềm độc hại.

Được gọi làStuxnet, sâu này đã không nổi tiếng cho tới giữa tháng7, khi nó đã được xác định bởi những thanh tra củaVirusBlockAda, một nhà cung cấp về an ninh tại Minsk,Belarus. Sâu này đáng lưu ý không chỉ vì sự tinh vi phứctạp về kỹ thuật của nó, mà còn vì thực tế là nónhằm vào các máy tính của các hệ thống kiểm soát côngnghiệp được thiết kế để chạy các nhà máy sản xuấtvà các nhà máy điện.

Bây giờ các chuyêngia tại Symantec nói rằng họ đã xác định được mộtphiên bản sớm của sâu này mà đã được tạo ra vàotháng 06/2009, và rằng phần mềm độc hại này sau đó đãđược làm tinh vi phức tạp hơn nhiều vào đầu năm2010.

Phiên bản sớm củaStuxnet hoạt động theo cùng cách như sự hiện thân hiệnhành của nó - nó cố gắng kết nối với các hệ thốngquản lý SCADA của Siemens (hệthống điều khiển giám sát và thu thập dữ liệu nhằmhỗ trợ con người trong quá trình giám sát và điềukhiển từ xa) và ăn cắp các dữ liệu - nhưng nó khôngsử dụng một số kỹ thuật đáng chủ ý của các sâumới hơn để tránh sự dò tìm của các phần mềm chốngvirus và tự cài đặt bản thân lên các hệ thốngWindows. Những tính năng này có lẽ đã được bổ sungvào từ vài tháng trước khi sâu mới nhất lần đầutiên đã bị phát hiện, Roel Schouwenberg, một nhà nghiêncứu với nhà cung cấp chống virus Kaspersky Lab, nói. “Khôngcòn nghi ngờ gì đây là cuộc tấn công có chủ đíchtinh vi phức tạp nhất mà chúng tôi từng thấy cho tớinay”, ông nói.

Saukhi Stuxnet đã được tạo ra, các tác giả của nó đã bổsung thêm các phần mềm mới mà cho phép nó lan truyềntrong các ổ USB mà thực sự không cần tới sự can thiệpcủa nạn nhân. Và chúng cũng bằng cách nào đó đã sờđược tới các khóa mã hóa thuộc về các công ty sảnxuất chip là Realtek và JMicron và ký điện tử cho phầnmềm độc hại, thế nên các trình quét virus có thể khómà tìm ra nó.

Asophisticated worm designed to steal industrial secrets has beenaround for much longer than previously thought, according to securityexperts investigating the malicious software.

CalledStuxnet, the worm was unknown until mid-July, when it was identifiedby investigators with VirusBlockAda, a security vendor based inMinsk, Belarus. The worm is notable not only for its technicalsophistication, but also for the fact that it targets the industrialcontrol system computers designed to run factories and power plants.

Nowresearchers at Symantec say that they've identified an early versionof the worm that was cre-ated in June2009, and that the malicious software was then made much moresophisticated in the early part of 2010.

Thisearlier version of Stuxnet acts in the same way as its currentincarnation -- it tries to connect with Siemens SCADA (supervisorycontrol and data acquisition) management systems and steal data --but it does not use some of the newer worm's more remarkabletechniques to evade antivirus detection and install itself on Windowssystems. Those features were probably added a few months before thelatest worm was first detected, said Roel Schouwenberg, a researcherwith antivirus vendor Kaspersky Lab. "This is without any doubtthe most sophisticated targeted attack we have seen so far," hesaid.

AfterStuxnet was cre-ated, its authors added new software that allowed itto spread among USB devices with virtually no intervention by thevictim. And they also somehow managed to get their hands onencryption keys belonging to chip companies Realtek and JMicron anddigitally sign the malware, so that antivirus scanners would have aharder time detecting it.

Realtek và JMicron cùngcó văn phòng tại Hsinchu Science Park tại Hsinchu, ĐàiLoan, và Schouwenberg tin tưởng rằng ai đó có thể đã ăncắp các khóa bằng việc truy cập vật lý các máy tính ở2 công ty này.

Các chuyên gia an ninhnói những cuộc tấn công có chủ đích này từng xảy ravài năm nay, nhưng chỉ gần đây chúng mới bắt đầugiành được sự chú ý của dòng chính thống, sau khiGoogle đã phát hiện rằng hãng đã bị nhằm tới bằngmột cuộc tấn công được biết tới như là Aurora.

CảAurora và Stuxnet lợi dụng những lỗi “ngày số 0” cònchưa được vá trong các sản phẩm của Microsoft. NhưngStuxnet đáng chú ý hơn về mặt kỹ thuật so với cuộctấn công vào Google, Schouwenberg nói. “Aurora đã có mộtlỗi ngày số 0, nhưng nó là lỗi ngày số 0 chống lạiIE6”, ông nói. “Ở đây chúng tôi có một chỗ bị tổnthương mà là có ảnh hưởng chống lại mọi phiên bảncủa Windows kể từ Windows 2000”.

Hôm thứ hai, Microsoftđã vội vã làm một bản vá sớm cho chỗ bị tổn thươngcủa Windows mà Stuxnet sử dụng để lan truyền từ hệthống này sang hệ thống khác. Microsoft đã tung ra bảncập nhật ngay khi mã nguồn của cuộc tấn công bằngStuxnet đã bắt đầu được sử dụng trong những cuộctấn công hiểm độc hơn.

Mặc dù Stuxnet có thểđã từng được sử dụng bởi một kẻ giả mạo đểăn cắp các bí mật công nghiệp - các dữ liệu nhà máyvề cách thành lập các câu lạc bộ đánh golf, ví dụthế - thì Schouwenberg đồ là một quốc gia đã đứngđằng sau những cuộc tấn công này.

Tới nay, Siemens nói 4trong số các khách hàng của hãng đã từng bị lây nhiễmvới sâu này. Nhưng tất cả những cuộc tấn công này đãảnh hưởng tới những hệ thống kỹ thuật, hơn là bấtkỳ thứ gì trên sàn của nhà máy.

Mặc dù phiên bảnđầu tiên của sâu này đã được viết vào tháng06/2009, thì rõ ràng là phiên bản đó đã được sử dụngtrong một cuộc tấn công thế giới thực. Schouwenberg tintưởng cuộc tấn công đầu tiên có thể còn sớm hơntháng 07/2009. Cuộc tấn công được khẳng định đầutiên mà Symantec biết về ngày tháng là từ tháng 01/2010,Vincent Weafer, phó chủ tịch của Symantec về công nghệ vàphản ứng về an ninh đã nói.

Hầu hết các hệthống bị lây nhiễm là tại Iran, ông bổ sung, dù tạiẤn Độ, Indonesia và Pakistan cũng bị. Điều này bảnthân nó là rất không bình thường, Weaver nói. “Đây làlần đầu tiên trong 20 năm tôi có thể nhớ Iran nổi lênquá nặng nề”.

Realtekand JMicron both have offices in the Hsinchu Science Park in Hsinchu,Taiwan, and Schouwenberg believes that someone may have stolen thekeys by physically accessing computers at the two companies.

Securityexperts say these targeted attacks have been ongoing for years now,but they only recently started gaining mainstream attention, afterGoogle disclosed that it had been targeted by an attack known asAurora.

BothAurora and Stuxnet leverage unpatched "zero-day" flaws inMicrosoft products. But Stuxnet is more technically remarkable thanthe Google attack, Schouwenberg said. "Aurora had a zero-day,but it was a zero-day against IE6," he said. "Here you havea vulnerability which is effective against every version of Windowssince Windows 2000."

OnMonday, Microsoft rushed out an earlypatch for the Windows vulnerability that Stuxnet uses to spreadf-rom system to system. Microsoft released the up-date just as theStuxnet attack code started to be used in morevirulent attacks.

AlthoughStuxnet could have been used by a counterfeiter to steal industrialsecrets -- factory data on how to make golf clubs, for example --Schouwenberg suspects a nation state was behind the attacks.

Todate, Siemens says four of its customers have been infected with theworm. But all those attacks have affected engineering systems, ratherthan anything on the factory floor.

Althoughthe first version of the worm was written in June 2009, it's unclearif that version was used in a real-world attack. Schouwenbergbelieves the first attack could have been as early as July 2009. Thefirst confirmed attack that Symantec knows about dates f-rom January2010, said Vincent Weafer, Symantec's vice president of securitytechnology and response.

Mostinfected systems are in Iran, he added, although India, Indonesia andPakistan are also being hit. This in itself is highly unusual, Weaversaid. "It is the first time in 20 years I can remember Iranshowing up so heavily."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com