Duqu, Stuxnet là những sâu khác nhau: Kaspersky

Thứ hai - 31/10/2011 06:14

Duqu,Stuxnet are different worms: Kaspersky

CBR Staff WriterPublished 24 October 2011

Theo:http://security.cbronline.com/news/duqu-stuxnet-are-different-worms-kaspersky-241011

Bài được đưa lênInternet ngày: 24/10/2011

Lờingười dịch: Thông tin thêm từ Phòng thí nghiệm Kasperskyvề sâu Duqu, một loại sâu giống như Stuxnet: “Các phầncủa Duqu là gần y hệt với Stuxnet, nhưng với một mụctiêu hoàn toàn khác... Phòng thí nghiệm Kaspersky nói sâuDuqu từng được phát hiện lần đàu vào đầu tháng09/2011, sau khi một người sử dụng tại Hungary đã tảilên một trong những thành phần của phần mềm độc hạinày lên website Virustotal... Phòng thí nghiệm có trụ sở ởMoscow tin tưởng rằng dù có một số tổng thể giốngnhau giữa 2 sâu, thì Duqu và Stuxnet vẫn có một số khácbiệt đáng kể. Mục tiêu cuối cùng của Duqu còn chưarõ”. Xem thêm [01].

Phần mềm độc hạinhằm vào các mục tiêu đặc biệt, với các module khácnhau cho từng mục tiêu, công ty phát hiện.

Công ty an ninh máytính Kaspersky Lab đã phát hiện rằng có những khác biệtđáng kể giữa sâu Stuxnet và anh em sinh đôi mới pháthiện của nó là Duqu.

Sự lan truyền khắpInternet vài phiên bản chương trình độc hại Duqu đã gâyra cảnh báo trong nền công nghiệp và các chính phủ vềan ninh CNTT. Những lo lắng một phần vì do một số sựgiống nhau giữa sâu mới, nó tạo ra các tệp với tiếpđầu ngữ “DQ”, và sâu Stuxnet nổi tiếng vào năm ngoáitừng nhằm vào các hệ thống kiểm soát được hãngSiemens của Đức xây dựng.

Được tin tưởngvirus Stuxnet ban đầu đã được phát triển để phá hoạichương trình hạt nhân của Iran. Các chuyên gia an ninh máytính phân tích đã chỉ ra sâu đó đã khai thác không íthơn 4 chỗ bị tổn thương trước đó còn chưa đượcbiết tới trong Microsoft Windows để chiếm lấy các hệthống kiểm soát công nghiệp, làm cho nó phức tạp hơnbất kỳ virus nào được biết trước đó. Một khi nằmtrong một máy Windows, mã nguồn tự động nhân bản tìmkiếm các kết nối tới các hệ thống kiểm soát côngnghiệp của Siemens, khai thác nhiều hơn các chỗ bị tổnthương trong hệ điều hành của riêng Siemens để tạo ranhững tinh chỉnh giấu giếm bí mật đối với các quitrình công nghiệp.

Stuxnet đã nhằm vàocác hệ thống kiểm soát công nghiệp được Siemens bánvà được sử dụng rộng rãi khắp thế giới để quảnlý mọi thứ từ các lò phản ứng điện hạt nhân vàcác nhà máy hóa chất cho tới các hệ thống cấp thoátnước và các nhà máy dược phẩm.

Malwareaimed at specific targets, with different modules for each target,reveals company

Computersecurity company Kaspersky Lab has revealed that there aresignificant differences between the Stuxnet worm and its newlydiscovered twin Duqu.

Thespread across the Internet of several versions of the maliciousprogram Duqu has caused alarm in the IT Security industry andgovernments alike. The concerns are partly due to some similaritiesbetween the new worm, which cre-ates files with "DQ" in theprefix, and last year's infamous Stuxnet worm that targets controlsystems built by German firm Siemens.

Itis believed the Stuxnet virus was originally developed to disruptIran's nuclear programme. Analysis by computer security experts hasshowed the worm exploited no fewer than four previously unknownvulnerabilities in Microsoft Windows to take over industrial controlsystems, making it more sophisticated than any virus seen before.Once inside a Windows systems, the self-replicating code looks forconnections to Siemens industrial control systems exploiting morevulnerabilities in the Siemens' own operating system to makeclandestine adjustments to industrial processes.
Stuxnet targetedindustrial control systems sold by Siemens that are widely usedaround the globe to manage everything f-rom nuclear power generatorsand chemical factories to water distribution systems andpharmaceuticals plants.

Sâu đó lần đầuđược phát hiện là vào cuối năm ngoái sau khi các nghiêncứu đã chỉ ra có thể một “nhà nước quốc gia”đứng đằng sau sâu đó nghĩa là nhằm vào chương trìnhhạt nhân của Iran. Vào tháng 4, Iran đã kêu rằng Siemensđã giúp Mỹ và Israel tung ra sâu máy tính Stuxnet chốnglại các cơ sở hạt nhân của mình.

Các nhà phân tích củaBộ An ninh Nội địa và Phòng thí nghiệm Quốc gia Idahođang cố gắng tìm ra các cách thức để đấu tranh vớisâu này. Nhưng gốc gác của sâu vẫn còn chưa rõ.

Trước đó, RalphLangner, một trong những nhà nghiên cứu đầu tiêu chỉ racông việc của phần mềm độc hại phức tạp đó, đãphát hiện rằng ông tin tưởng Mossad có liên quan, nhưngMỹ là nguồn hàng đầu của sâu đó.

Tuần trước, công tyan ninh máy tính Symantec đã phát hiện rằng một phòng thínghiệm nghiên cứu đã phát hiện ra một mã nguồn độchại mới mà “dường như rất giống với Stuxnet”.

Symantec đã nói,“Những kẻ tấn công đang tìm kiếm thông tin như cáctài liệu thiết kế mà có thể giúp cho họ thực hiệnmột cuộc tấn công trong tương lai vào một cơ sở kiểmsoát công nghiệp”.

“Cácphần của Duqu là gần y hệt với Stuxnet, nhưng với mộtmục tiêu hoàn toàn khác”.

“Duqu về cơ bản làđiềm báo trước cho một cuộc tấn công giống Stuxnet”,Symantec đã nói.

Phòngthí nghiệm Kaspersky nói sâu Duqu từng được phát hiệnlần đàu vào đầu tháng 09/2011, sau khi một người sửdụng tại Hungary đã tải lên một trong những thành phầncủa phần mềm độc hại này lên website Virustotal, nóphân tích các tệp bị lây nhiễm bằng các chương trìnhchống virus của các nhà sản xuất khác nhau.

Công ty này đã bổsung, “Tuy nhiên, mẫu lần đầu được tìm ra này hóa ralà chỉ là một trong vài thành phần tạo nên toàn bộsâu đó. Sau đó một chút, theo một cách y hệt, cácchuyên gia chống phần mềm độc hại của Phòng thínghiệm Kaspersky đã nhận được một mẫu của mộtmodule khác của sâu thông qua Virustotal, và phân tích đặcbiệt của nó đã cho phép tìm ra sự giống nhau vớiStuxnet”.

Theworm first came into light late last year after studies showed alikelihood of a "nation state" to be behind the worm meantto target Iran's nuclear programme. In April, Iran claimed thatSiemens helped the US and Israel to launch the computer worm Stuxnetagainst its nuclear facilities.

HomelandSecurity and Idaho National Laboratory analysts are trying to findout ways to fight the worm. But the origin of the worm is stillunknown.

Earlier,Ralph Langner, one of the first researchers to show the working ofthe sophisticated malware, had revealed that he believes Mossad isinvolved, but the US is the leading source of the worm.

Lastweek, computer security company Symantec revealed that a research labhad discovered a new malicious code that "appeared to be verysimilar to Stuxnet."

Symantechad said, "The attackers are looking for information such asdesign documents that could help them mount a future attack on anindustrial control facility."

"Partsof Duqu are nearly identical to Stuxnet, but with a completelydifferent purpose.

"Duquis essentially the precursor to a future Stuxnet-like attack,"Symantec had said.

KasperskyLab said the Duqu worm was first detected in early September 2011,after a user in Hungary uploaded one of the components of the malwareto the Virustotal website, which analyses infected files withanti-virus programs of different manufacturers.

Thecompany added, "However, this first-detected sample of turnedout to be just one of several components that make up the whole ofthe worm. A little later, in a similar way, the Kaspersky Labanti-malware experts received a sample of another module of the wormvia Virustotal, and it was specifically its analysis that permittedfinding a resemblance with Stuxnet."

Phòngthí nghiệm có trụ sở ở Moscow tin tưởng rằng dù cómột số tổng thể giống nhau giữa 2 sâu, thì Duqu vàStuxnet vẫn có một số khác biệt đáng kể.

Các chuyên gia củaPhòng thí nghiệm Kaspersky đã bắt đầu theo dõi một vàibiến thể của Duqu trong những nỗ lực gây lây nhiễmtheo thời gian thực của sâu trong những người sử dụngMạng An ninh Kaspersky dựa vào đám mây. Công ty này nóithật ngạc nhiên thấy rằng trong vòng 24 giờ đồng hồchỉ 1 hệ thống đã bị lây nhiễm với sâu này. Stuxnet,mặt khác, đã lây nhiễm hàng chục ngàn hệ thống khắptoàn cầu; được cho là nó đã có, tuy nhiên, một mụctiêu cuối cùng duy nhất - các hệ thống kiểm soát côngnghiệp được sử dụng trong các chương trình hạt nhâncủa Iran.

Mụctiêu cuối cùng của Duqu còn chưa rõ. Điều đang báo độngtrong trường hợp này tuy nhiên là việc mục tiêu cuốicùng của Duqu còn chưa được biết, Phòng thí nghiệmKaspersky nói.

Các chuyên gia tạiPhòng thí nghiệm Kaspersky đã thấy rằng sự lây nhiễmduy nhất với sâu này trong những người sử dụng MạngAn ninh Kaspersky từng là một lây nhiễm với một trong vàimodule được cho là tạo nên sâu Duqu.

TheMoscow-based Kaspersky Lab believes that though there are someoverall similarities between the two worms, Duqu and Stuxnet havesome significant differences.

KasperskyLab experts started to track several variants of Duqu in real timeinfection attempts by the worm among users of the cloud-basedKaspersky Security Network. The company said it was surprise to findthat during the first 24 hours only one system had been infected bythe worm. Stuxnet, on the other hand, infected tens of thousands ofsystems all around the world; it is assumed that it had, however, asingle ultimate target - industrial control systems used in Iran'snuclear programs.

Theultimate target of Duqu is as yet unclear. What is alarming in thiscase however is that the ultimate objective of Duqu remains unknown,said Kaspersky Lab.

Thesecurity experts at Kaspersky Lab found that only infection with theworm among users of the Kaspersky Security Network was an infectionwith one of the several modules that presumably make up the Duquworm.

Hãng này nói các vụlây nhiễm với module thứ 2, mà là, về cơ bản, mộtchương trình độc hại riêng rẽ - một Trojan - Gián điệp- còn chưa được tìm ra. Đặc biệt là module này củaDuqu mà sở hữu chức năng độc hại - nó thu thập cácthông tin về máy bị lây nhiễm và cũng theo dõi các phímbấm trên bàn phím, Phòng thí nghiệm Kaspersky cảnh báo.

Chuyên gia an ninh hàngđầu của Phòng thí nghiệm Kaspersky Alexander Gostev nói,“Chúng tôi còn chưa thấy bất kỳ vụ lây nhiễm nàocác máy tính của các khách hàng của chúng tôi vớimodule Trojan-Gián điệp của Duqu. Điều này có nghĩa làDuqu có thể nhằm vào một số lượng nhỏ các mục tiêuđặc biệt, và các module khác có thể được sử dụngđể nhằm đích một trong số chúng”.

Phòng thí nghiệmKaspersky nói một trong những điều huyền bí còn chưađược giải quyết của Duqu là phương pháp thâm nhậpban đầu của nó vào một hệ thống: trình cài đặt hoặc“trình thả” cần cho điều này còn chưa được tìmra.

Thecompany said instances of infection by the second module, which is,in essence, a separate malicious program - a Trojan-Spy - have notyet been found. It is specifically this module of Duqu that possessesthe malicious functionality - it gathers information about theinfected machine and also tracks key strokes made on its keyboard,warned Kaspersky Lab .

KasperskyLab chief security expert Alexander Gostev said, "We've notfound any instances of infections of computers of our clients withthe Trojan-Spy module of Duqu. This means that Duqu may be aimed at asmall quantity of specific targets, and different modules may be usedto target each of them."

KasperskyLab said one of the yet-to-be-solved mysteries of Duqu is its initialmethod of penetration into a system: the installer or "d-ropper"needed for this has not yet been found.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập63
  • Máy chủ tìm kiếm3
  • Khách viếng thăm60
  • Hôm nay511
  • Tháng hiện tại597,998
  • Tổng lượt truy cập37,399,572
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây