Một số mã nguồn của Flame được thấy trong virus Stuxnet

Thứ tư - 13/06/2012 06:33
SomeFlame code found in Stuxnet virus: experts

By Jim Finkle and JosephMenn, Tue Jun 12, 2012 5:04am EDT

Theo:http://www.reuters.com/article/2012/06/12/us-media-tech-summit-flame-idUSBRE85A0TN20120612

Bài được đưa lênInternet ngày: 12/06/2012

Lờingười dịch: Cả Kaspersky Lab và Symantec đều khẳng địnhcó những mã nguồn trong Flamevà trong phiên bản Stuxnet năm 2009 là y hệt nhau,chứng tỏ 2 virus này có cùng nơi sản xuất. “Flame làmột virus máy tính phức tạp cao mà ngụy trang bản thânnó như phần mềm nghiệp vụ chung. Nó đã đượctriển khai ít nhất 5 năm trước và có thể nghe trộmtrong các cuộc đàm thoại trên các máy tính mà nó gâylây nhiễm và ăn cắp dữ liệu”.Xem thêm: [01],[02],[03].

(Reuters) – 2 hãng anninh máy tính hàng đầu đã liên kết một số mã nguồnphần mềm trong virus mạnh Flame với vũ khí không gian mạngStuxnet, từng được tin tưởng rộng rãi đã từng đượcMỹ và Israel sử dụng để tấn công chương trình hạtnhân của Iran.

Eugene Kaspersky, giámđốc điều hành của Kaspersky Lab có trụ sở ở Moscow,mà đã phát hiện Flame tháng trước, nói tại Hội nghịThượng đỉnh Công nghệ và Truyền thông Toàn cầu củaReuters hôm thứ 2 rằng các nhà nghiên cứu của ông đãthấy rằng một phần của mã nguồn chương trình Flamegần như y hệt với mã nguồn tìm thấy trong một phiênbản năm 2009 của Stuxnet.

Cuối ngày, hãng anninh lớn nhất, Symantec Corp, nói hãng đã khẳng địnhrằng một số mã nguồn đã được chia sẻ.

Nghiên cứu mới nàycó thể nhấn mạnh sự tin tưởng của nhiều chuyên giaan ninh rằng Stuxnet từng là một phần của chương trìnhKGM do Mỹ cầm đầu vẫn còn tích cực tại Trung Đông vàcó lẽ các phần khác nữa trên thế giới.

Flame là chương trìnhgián điệp máy tính phức tạp nhất từ trước tới nayđược phát hiện và xuất hiện nhằm vào các văn phòngcủa chính phủ và công nghiệp năng lượng tại Iran,Israel, các lãnh thổ của Palestin và Sudan. Nó có khả năngăn cắp hoặc sửa các tài liệu điện tử. Flame có mãnguồn gấp 20 lần so với Stuxnet và đã thâm nhập vàoqui trình của Microsoft cho những cập nhật tự động đểtự cài đặt mình.

Dù cả Kaspersky vàSymantec đều không nói họ nghĩ ai đã xây dựng Flame, thìcác tổ chức thạo tin, bao gồm cả Reuters và Thời báoNew York, đã nói Mỹ và Israel từng đứng đằng sauStuxnet - mà đã được bóc trần trong năm 2010 sau khi nógây thiệt hại cho các máy li tâm được sử dụng đểlàm giàu uranium tại một cơ sở ở Natanz, Iran.

Thay vì đưa ra nhữnglời từ chối, các nhà chức trách tại Washington gần đâyđã tung ra những vụ điều tra trong việc rò rỉ về dựán bí mật cao này. Nhà Trắng đã từ chối bình luận.

Về Stuxnet và Flame,“đã có 2 đội khác nhau làm việc cộng tác”, Kasperskyđã nói tại Hội nghị Thượng đỉnh của Reuters tạiLuân Đôn.

(Reuters) - Two leading computersecurity firms have linked some of the software code in the powerfulFlame virus to the Stuxnet cyber weapon, which was widely believed tohave been used by the United States and Israel to attack Iran'snuclear program.

Eugene Kaspersky, chief executiveof Moscow-based Kaspersky Lab, which uncovered Flame last month, saidat the Reuters GlobalMedia and Technology Summit on Monday his researchers have sincefound that part of the Flame program code is nearly identical to codefound in a 2009 version of Stuxnet.

Later in the day, the largestsecurity firm, Symantec Corp, said it had confirmed that some sourcecode had been shared.

The new research could bolster thebelief of many security experts that Stuxnet was part of a U.S.-ledcyber program still active in the Middle East and perhaps other partsof the world.

Flame is the most complex computerspying program ever discovered and appeared to be aimed at governmentand energy-industry offices in Iran,Israel, the Palestinian territories and Sudan. It has the capacity tosteal or al-ter electronic documents. Flame has 20 times as much codeas Stuxnet and hijacked Microsoft's process for automatic up-dates inorder to install itself.

Although neither Kaspersky norSymantec said who they thought built Flame, news organizations,including Reuters and The New York Times, have reported the U.S. andIsrael were behind Stuxnet -- which was uncovered in 2010 after itdamaged centrifuges used to enrich uranium at a facility in Natanz,Iran.

Instead of issuing denials,authorities in Washington recently launched investigations into leaksabout the highly classified project. The White House declined tocomment.

On Stuxnet and Flame, "therewere two different teams working in collaboration," Kasperskytold the Reuters Summit in London.

Flamelà một virus máy tính phức tạp cao mà ngụy trang bảnthân nó như phần mềm nghiệp vụ chung. Nó đã đượctriển khai ít nhất 5 năm trước và có thể nghe trộmtrong các cuộc đàm thoại trên các máy tính mà nó gâylây nhiễm và ăn cắp dữ liệu.

Các chuyên gia an ninhđã nghi ngờ các mối liên kết giữa Flame, Stuxnet và Duqu- những mảnh khác của phần mềm độc hại từng bịphát hiện năm ngoái - nhưng Kaspersky Lab từng là ngườiđầu tiên nói hãng thấy bằng chứng.

Cuối ngày thứ 2,người quản lý nghiên cứu của Symantec là Liam O Murchu đãđồng ý, sử dụng tên của công ty ông cho virus mớinhất, Flamer. “Phản ứng An ninh của Symantec khẳng địnhFlamer và Stuxnet chia sẻ một số mã nguồn của mình”, OMurchu đã viết, bổ sung thêm rằng phân tích có thể sẽtiếp tục.

Nếu Mỹ được chứngminh là lực lượng đằng sau Flame, thì hãng có thể khẳngđịnh quốc gia đã sáng chế ra Internet có liên can tronggián điệp KGM - thứ gì đó nó đã chỉ trích Trung Quốc,Nga và các quốc gia khác.

Một báo cáo của Lầu5 góc vào năm ngoái đã phác thảo chiến lược KGM cònđang tiến bộ của Mỹ đã nói gián điệp kinh tế cóthể chứng minh mối đe dọa lớn nhất về lâu dài đốivới các quyền lợi Mỹ, chỉ tới những kẻ cắp các bímật công nghiệp và quân sự thông qua phần mềm giánđiệp Internet.

“Có một sự phânchia thành các vùng thù địch của KGM đang xảy ra, và cáccông ty cần chọn phe nào họ theo”, Dmitri Alperovich, đồngsáng lập hãng an ninh Mỹ CrowdStrike, nói.

Flame is a highly sophisticatedcomputer virus that disguises itself as common business software. Itwas deployed at least five years ago and can eavesd-rop onconversations on the computers it infects and steal data.

Security experts have suspectedlinks among Flame, Stuxnet and Duqu -- another piece of malicioussoftware that was discovered last year -- but Kaspersky Lab was thefirst to say it found hard evidence.

Late on Monday, Symantec researchmanager Liam O Murchu agreed, using his company's name for the newestvirus, Flamer. "Symantec Security Response confirms Flamer andStuxnet share some of its source code," O Murchu wrote, addingthat the analysis would continue.

If the United States is proven tobe a force behind Flame, it would confirm the country that inventedthe Internet is involved in cyber espionage -- something for which ithas criticized China,Russia and other nations.

A Pentagon report last year thatoutlined the still-evolving U.S. cyber strategy said economicespionage could prove the greatest threat to long-term U.S.interests, pointing to thefts of industrial and defense secrets viaInternet spyware.

"There's a Balkanization ofcyberspace that's occurring, and companies need to choose which sidethey're on," said Dmitri Alperovich, co-founder of U.S. securityfirm CrowdStrike.

SIMILAR TRAITS

Nhữngnét giống nhau

Kaspersky Lab đã nóiFlame đã được phát triển với một tập hợp các côngcụ khác so với Stuxnet, dù hãng nói phân tích của hãngtừng chỉ bắt đầu và có thể mất vài tháng.

Sau khi đục sâu hơn,Kaspersky Lab nói hôm thứ 2 các nhà nghiên cứu của hãngđã nhận diện các phân đoạn của Flame và một phiênbản của Stuxnet được tung ra vào năm 2009 đã gần như yhệt nhau - gợi ý các kỹ sư mà đã xây dựng 2 virus nàyđã truy cập tới cùng tập hợp mã nguồn.

Điều đó đã gợi ýsự cộng tác chặt chẽ giữa các đội đằng sau 2 virusđó. Eugene Kaspersky nói rõ ràng đã có 2 hoặc nhiều độihơn với các kiểu cách khác nhau, và rằng Flame như làtổng thể có thể đã sử dụng 100 người.

Các nhà nghiên cứuđã và đang tìm kiếm một sự kết nối giữa Stuxnet vàFlame vì cả 2 virus đã gây lây nhiễm cho các máy bằngviệc lợi dụng một lỗi của Windows để khởi xướngtính năng “autorun”, và gây lây nhiễm cho các máy tínhcá nhân từ một ổ nhỏ được cắm vào lỗ USB.

Phần mã nguồn bâygiờ đã trích dẫn như việc kết nối 2 mẩu phần mềmđộc hại không chỉ liên quan tới lỗi đó mà còn làmthế theo cùng kiểu cách.

Lỗi của Windows từngđược biết trước khi phát hiện Stuxnet trong năm 2010,theo Roel Schouwenberg, một trong những nhà nghiên cứu củaKaspersky Lab, người đã giúp phát hiện ra virus Flame.

Các nhà nghiên cứucủa Kaspersky Lab đã không thấy các thành phần của Flametrong các phiên bản tiên tiến hơn của Stuxnet, Schouwenbergnói.

“Flame đã được sửdụng như một số dạng khởi xướng để làm cho dự ánStuxnet tiếp tục”, Schouwenberg nói lý thuyết. “Ngay khiđội Stuxnet đx có mã nguồn của họ sẵn sàng, thì họđi theo đường của họ”.

Kaspersky Lab had said Flame wasdeveloped with a different set of tools than Stuxnet, though it saidits analysis was just beginning and would take many months.

After digging deeper, Kaspersky Labsaid Monday its researchers identified segments of Flame and aversion of Stuxnet released in 2009 that were nearly identical --suggesting the engineers who built the two viruses had access to thesame set of source code.

That suggested tight collaborationbetween the teams behind the two viruses. Eugene Kaspersky said itwas clear there were two or more teams with differing styles, andthat Flame as a whole might have employed 100 people.

Researchers have been looking for aconnection between Stuxnet and Flame because both viruses infectedmachines by taking advantage of a Windows flaw to launch the"autorun" feature, and infected personal computers f-rom asmall drive in-serted via USB slot.

The section of code now cited asconnecting the two pieces of malicious software not only concernsthat flaw but does so in the same style.

The Windows flaw was unknown beforeStuxnet's discovery in 2010, according to Roel Schouwenberg, one ofthe Kaspersky Lab researchers who helped discover the Flame virus.

Kaspersky Lab researchers did notfind the Flame components in more advanced versions of Stuxnet, addedSchouwenberg.

"Flame was used as some sortof a kick-starter to get the Stuxnet project going,"Schouwenberg theorized. "As soon as the Stuxnet team had theircode ready, they went their way."

Ông đã nghi ngờ cácnhà sáng tạo ra Stuxnet đã loại bỏ các thành phần đượcmượn từ các phiên bản sau này sao cho chương trình Flamegiữ được ẩn mình cho tới tháng trước, khi một cơquan của Liên hiệp quốc đã yêu cầu Kaspersky Lab tìmkiếm một virus mà Iran nói đã phá hoại các máy tính củamình, xóa các dữ liệu có giá trị. Khi đội củaKaspersky đã bắt đầu tìm kiếm các tệp nghi vấn tạiTrung Đông, họ đã thấy Flame.

Eugene Kaspersky nói tạiHội nghị Thượng đỉnh Reuters hãng của ông gần đâyđã đồng ý cố vấn về các vấn đề an ninh Internet địachính trị rộng lớn hơn cho ITU của Liên hiệp quốc. Ngavà những nước khác muốn nhóm đó nắm một vai trò tíchcực hơn trong điều hành Internet.

Schouwenberg nói ông đãnghi ngờ Flame có thể có khả năng xóa các dữ liệu vàtấn công các hệ thống kiểm soát công nghiệp mà điềuhành các nhà máy như cơ sở làm giàu uranium tại Natanz,nhưng ông còn chưa tìm ra bằng chứng.

Các nhà nghiên cứucủa Kaspersky Lab vẫn đang cố gắng hiểu chức năng củahơn 100 tệp bí ẩn được xây dựng trong những ví dụcủa Flame mà họ đã phát hiện ra, ông nói.

He suspected the creators ofStuxnet removed the borrowed components f-rom later versions so theFlame program would not be compromised if the attack on the Iraniannuclear program was discovered.

Stuxnet was discovered in 2010 andhas been closely scrutinized by the world's smartest cyber sleuths.Yet Flame remained hidden until last month, when a United Nationsagency asked Kaspersky Lab to look for a virus that Iran said hadsabotaged its computers, deleting valuable data.

When Kaspersky's team startedlooking for suspicious files in the Middle East, they found Flame.

Eugene Kaspersky said at theReuters Summit his firm recently agreed to advise on geopoliticalInternet security issues more broadly for the U.N.'s InternationalTelecommunication Uni-on. Russiaand others want the group to take a more active role in Internetgovernance.

Schouwenberg said he suspectedFlame may be capable of deleting data and attacking industrialcontrol systems that run plants like the uranium enrichment facilityat Natanz, but he has yet to find the evidence.

Kaspersky Lab researchers are stilltrying to understand the function of more than 100 mysterious filesbuilt into the Flame samples that they have discovered, he said.

Follow Reuters Summits on Twitter@Reuters_Summits.

(Editing by AldenBentley, Jeffrey Benkoe Steve Orlofsky)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập144
  • Máy chủ tìm kiếm8
  • Khách viếng thăm136
  • Hôm nay2,255
  • Tháng hiện tại451,034
  • Tổng lượt truy cập36,509,627
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây