Sâu Stuxnet lầm lũi con đường của mình tại Ấn Độ

Stuxnetworm making its way into India quietly

TNN,Dec 23, 2010, 09.05pm IST

Theo:http://timesofindia.indiatimes.com/tech/enterprise-it/security/Stuxnet-worm-making-its-way-into-India-quietly/articleshow/7152552.cms

Bàiđược đưa lên Internet ngày: 23/12/2010

Lờingười dịch: Ấn Độ, nước đứng số 3 về số lượngcác hệ thống bị lây nhiễm Stuxnet, sau Iran và Indonesia,với 10.000 hệ thống trong lĩnh vực điện và hóa dầu,cũng đang lo chống lại sự tàn phá của Stuxnet có thểgây ra cho nền công nghiệp của nước này.

KOLKATA:Nếu bạn nghĩ đây chỉ là các máy chủ và máy tính cánhân của bạn mới có thể bị tin tặc thâm nhập, thìchỉ cần khởi động lại một lần là xong. Một virustinh vi phức tạp không dò tìm lỗi được đang lén lútmở cho nó đường vào các cơ sở công nghiệp sống còncủa Ấn Độ.

Stunxnetlà một sâu máy tính đặc chủng của Windows, lần đầubị phát hiện vào tháng 07/2010 bởi VirusBlokAda, một hãngan ninh tại Belarus, mà đã lây nhiễm cho hơn 10.000 hệthống tại Ấn Độ, khắp các đơn vị điện và các nhàmáy hóa dầu, hãng an ninh Internet hàng đầu Symantec, nói.

Trongkhi đây không phải là lần đầu các tin tặc đã nhằmvào các hệ thống công nghiệp, thì đây là lần đầu đãphát hiện sâu mà gián điệp trong và lập trình lại cáchệ thống công nghiệp, và lần đầu đưa vào mộtrootkit của bộ kiểm soát logic có thể lập trình được.

Điềusống còn là việc khi đã gây lây nhiễm được cho cáckiểm soát này, thì virus có thể truyền lệnh một cáchcó hiệu quả của các thiết lập này tới một vị tríở xa, thường là ở nước ngoài. Nói một cách đơngiản, Stuxnet có thể đánh sập hoặc truyền sự kiểmsoát của bất kỳ cài đặt nào miễn là nó có một hệthống kiểm soát điện tử thông minh.

KOLKATA:If you thought it is only your personal comps and servers that can behacked, just reboot again. A sophisticated bug-free virus isstealthily making its way into critical Indian industrialinstallations.

Stuxnetis a Windows-specific computer worm, first discovered in July 2010 byVirusBlokAda , a security firm based in Belarus,which has already affected more than 10,000 Indian systems, acrosspower units and petrochemical plants, says leading internet securityfirm Symantec.

Whileit is not the first time that hackers have targeted industrialsystems, it is the first discovered worm that spies on and reprogramsindustrial systems, and the first to include a programmable logiccontroller rootkit.

What'scrucial is that having affected the controls, the virus can transferthe effective command of these installations to a remote location,mostly overseas. Simply said, Stuxnet can shut down or transfercontrol of any installation as long as it has an intelligentelectronic control systems.
Mối đedọa thực sự

“Mốiđe dọa là rất hiện thực”, Devendra Parulekar, đối tác,bảo đảm rủi ro công nghệ thông tin (ITA) của Ernst andYoung, nói. “Ấn Độ bị bao bọc bởi những ngườiláng giềng thù địch và các cuộc tấn công khủng bốngày mai có thể thông qua Stuxnet”, ông nói.

“Đâylà lần đầu tiên sâu máy tính ảnh hưởng tới thiếtbị của thế giới thực và được dò tìm ra trong khoảng100.000 hệ thống trên toàn cầu. Ấn Độ là quốc giađứng thứ 3 trong số các quốc gia bị lây nhiễm, sauIran và Indonesia”, Shantanu Ghosh, phó chủ tịch, các hoạtđộng của Symantec tại Ấn Độ, nói. “Chúng tôi đãquan sát rằng các máy tính bị lây nhiễm Stuxnet đã cóliên hệ với các máy chủ tại Malaysia và Đan Mạch.Trong khi chúng tôi có thể khẳng định rằng có nhữngđơn vị bị ảnh hưởng ở Ấn Độ, thì chúng tôi lạikhông thể tranh luận các tên của những cài đặt mà đãbị ảnh hưởng vì bản chất nhạy cảm của vấn đềnày”, ông nói.

REALTHREAT

"Thethreat is very real," said Devendra Parulekar, partner,information technology-risk-assurance (ITA), at Ernst& Young." Indiais surrounded by hostile neighbours and tomorrow's terror attackscould be through Stuxnet," he said.

"Itis the first computer worm to affect real-world equipment and wasdetected in some 100,000 systems globally. India is the third largestinfected nation, after Iranand Indonesia,"Shantanu Ghosh, vice-president, India product operations at Symantec, said. "We observed that Stuxnet-infected machines werecontacting servers in Malaysiaand Denmark. While we can confirm that there are in-fected units inIndia, we cannot discuss the names of installations that have beenaffected given the sensitive nature of the issue," he said.

Phântích của Symantec chỉ ra các tác giả của virus có khảnăng giám sát các đầu vào và thay đổi các đầu ra.Điều này ám chỉ rằng phần mềm độc hại này có thểdẫn tới sự phá sập hệ thống, nổ hoặc vô hiệu hóađể kiểm soát các thuộc tính quan trọng như áp suất vànhiệt độ, sống còn đối với các nhà máy điện vàcác cài đặt điều khiển xử lý.

Stuxnetcó thể nhân giống thông qua nhiều phương tiện bao gồmcác đầu USB, để lây nhiễm cho các hệ thống mà thườngkhông được kết nối tới Internet vì lý do an ninh. “Khôngcó các vụ việc được báo cáo về virus gây ra bất kỳthiệt hại nào cho bất kỳ thứ gì cho tới bây giờ,nhưng khả năng của virus này bắt đầu trút sự tàn phámột khi nó đã gây lây nhiễm một số lượng lớn cáccài đặt mà không thể kiểm soát được“, AkhileshTuteja, giám đốc điều hành tại KPMG, đã chỉ ra.

JeffreyCarr, một chuyên gia chiến tranh không gian mạng, đã hỏitrên blog của ông liệu Insat 4B có phải đã bị phá hủyvì Stuxnet hay không. Nhưng ISRO đã từ chối bất kỳ khảnăng nào như vậy.

“Đồnrằng ban đầu Stuxnet đã được thiết kế để tấn côngcác cơ sở hạt nhân của Iran. Dù không có bằng chứngxác minh, nhưng 58% tất cả cá lây nhiễm đã được dòtìm ra tại Iran”, Tuteja của KPMG nói. Parulekar của Ernst& Young nói “những cuộc tấn công này được sửdụng tốt nhất khi được triển khai 'đúng lúc'. Cácvirus đang được cài cắm âm thâm và có thể kích hoạtđúng lúc đối với những kẻ tấn công”.

Vấnđề lo lắng lớn nhất là việc các quan chức cao cấptại Ấn Độ không nhận thức được về một virus nhưthế này. “Chưa từng nghe về một virus như thế này vànhững gì nó có thể làm”, Protyush Kumar Ghosh, nhân viênquan hệ công chúng tại Metro Railway, nói. Một số lượnglớn các quan chức lĩnh vực điện cũng dường như phớtlờ.

Khảosát Bảo vệ Hạ tầng Sống còn 2010 mới nhất củaSymantec nói khoảng 57% công ty của Ấn Độ không có sựbảo vệ chống lại những ý đồ đánh sập hoặc vôhiệu hóa mạng máy tính của họ. Khoảng 63% không có cáchệ thống để dừng điều khiển thiết bị vật lýthông qua mạng IT. Hơn nữa, hơn 2/3 các nhà cung cấp hạtầng sống còn nói những cuộc tấn công này đang vẫnnhư thế hoặc đang gia tăng.

Vềsự chuẩn bị của họ để điều khiển các cuộc tấncông như vậy, chỉ hơn một nửa những người Ấn Độđược hỏi đối với khảo sát nói họ được chuẩn bịđối với các cuộc tấn công triển khai với những ýđịnh chính trị, bao gồm cả những ý định ăn cắpthông tin điện tử, điều khiển thiết bị vật lý thôngqua mạng, đánh sập hoặc vô hiệu hóa các mạng và sửahoặc phá hủy thông tin điện tử.

Symantec'sanalysis shows the authors of the virus are capable of monitoringinputs and changing outputs. This implies that this malware couldlead to system shutdowns, explosions or inability to controlimportant attributes like pressure and temperature, critical to powerplants and process-driven installations.

Stuxnetcan propagate through multiple means including USB drives, to infectsystems that are typically not connected to the internet forsecurity. "There are no reported incidents of the virus doingany damage to any unit till now, but the possibility of the virusstarting to wreak havoc once it has infected a large number ofinstallations cannot be ruled out," Akhilesh Tuteja, executivedirector at KPMG,points out.

JeffreyCarr, a cyber warfare expert, has questioned in his blog whether theInsat 4B was destroyed because of the Stuxnet or not. But ISRO hasdenied any such possibilities.

"Itis rumoured that Stuxnet was originally designed to attack Iraniannuclear facilities. Although there is no definitive proof, but 58% ofall infections have been detected in Iran," KPMG's Tuteja said.Ernst & Young's Parulekar says "these attacks are best usedwhen deployed at the 'right time'. The viruses are getting plantedsilently and may activate when the time is right for the attackers."

Thebiggest bugbear is that senior officials at Indian establishments arenot aware of such a virus. "Never heard of such a virus and whatit can do," says Protyush Kumar Ghosh, public relations officerat Metro Railway. A large number of power sector officials alsoappeared ignorant. Symantec'slatest 2010 Critical Infrastructure Protection survey says barely 57%of Indian companies do not have protection against attempts toshutdown or degrade their computer network.

Some63% do not have systems to stop manipulation of physical equipmentthrough the IT network. Further, over two-thirds of criticalinfrastructure providers said these attacks were staying the same orincreasing.

Interms of their prepar-edness to handle such attacks, just over halfof Indian respondents for the survey said they are prepared forattacks carried out with political intentions, including attempts tosteal electronic information, manipu-late physical equipment throughthe network, shut down or degrade networks and al-ter or destroyelectronic information.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com