Stuxnet Redux: Hỏi và Đáp

StuxnetRedux: Questions and Answers

Posted bySean @ 11:21 GMT |

Tuesday,November 23, 2010

Theo:http://www.f-secure.com/weblog/archives/00002066.html

Bàiđược đưa lên Internet ngày: 23/11/2010

Lờingười dịch: Đây là những thông tin cơ bản để tìmhiểu về những vấn đề liên quan tới Stuxnet cùaF-Sucure như: Stuxnet là gì? Nó được lan truyền như thếnào? Nó đánh vào đâu và vào cái gì? Cấu tạo củaStuxnet gồm những gì? Vì sao nó có thể làm việc đượctrên Windows? Nó đã tận dụng được bao nhiều lỗi vàlà những lỗi cụ thể nào trong Windows? Kich thước củanó là bao nhiêu? Ai đã viết ra nó và vì sao? Nước Mỹquan tâm tới nó như thế nào? Và nhiều câu hỏi đáp thúvị khác.

Stuxnet tiếp tục làmột chủ đề nóng. Đây là một tập hợp cập nhật cáccâu hỏi và đáp về nó.

H: Stuxnet là gì?

Đ: Đây là một sâuWindows, lan truyền thông qua các ổ USB. Một khi nằm trongmột tổ chức, nó cũng có thể lan truyền bằng việc tựsao chép nó vào mạng của những máy chia sẻ nếu họ cónhững mật khẩu yếu.

H: Nó có thể lantruyền qua các thiết bị khác được không?

Đ: Chắc chắn, nó cóthể lan truyền bất kỳ thứ gì mà bạn có thể đưa lênthành một ổ. Như một ổ đĩa cứng USB, điện thoại diđộng, khung ảnh và vân vân.

H: Nó sẽ làm gì sauđó?

Đ: Nó gây lây nhiễmhệ thống, tự ẩn mình với một rootkit và xem liệu máytính bị lây nhiễm có được kết nối tới một hệthống nhà máy Simatic của Siemens (Bước 7) hay không.

H: Nó sẽ làm gì vớiSimatic?

Đ: Nó sửa các lệnhđược gửi từ máy tính Windows tới các Trình kiểm soátLogic Có thể lập trình được - PLC (ProgrammableLogic Controllers, như các máy mà thực sự kiểm soát cácmáy móc). Một khi chạy được trên PLC, thì nó tìmkiếm một môi trường máy móc cụ thể. Nếu không tìmthấy, thì nó sẽ không làm gì cả.

Stuxnetcontinues to be a hot topic. Here's an up-dated set of Questions andAnswers on it.

Q:What is Stuxnet?

A:It's a Windows worm, spreading via USB sticks. Once inside anorganization, it can also spread by copying itself to network sharesif they have weak passwords.

Q:Can it spread via other USB devices?

A:Sure, it can spread anything that you can mount as a drive. Like aUSB hard drive, mobile phone, picture frame and so on.

Q:What does it do then?

A:It infects the system, hides itself with a rootkit and sees if theinfected computer is connected to a Siemens Simatic (Step7) factorysystem.

Q:What does it do with Simatic?

A:It modifies commands sent f-rom the Windows computer to the PLC(Programmable Logic Controllers, i.e. the boxes that actually controlthe machinery). Once running on the PLC, it looks for a specificfactory environment. If this is notfound, it does nothing.

Đ:Chúng tôi không biết.

H:Thế nó có tìm ra được nhà máy mà nó đang tìm kiếmkhông?

Đ:Chúng tôi không biết.

H:Thế nó có thể làm gì nếu nó tìm thấy nhà máy?

Đ:Sự sửa đổi PLC tìm kiếm sự truyền động của các bộchuyển tốc tần số cao (các truyền động AC) và sửađổi hoạt động của chúng.

H:Sự truyền động của bộ chuyển tốc tần số cao làgì?

Đ:Về cơ bản, đây là một thiết bị mà có thể kiểmsoát tốc độ của một động cơ. Stuxnet tìm kiếm cáctruyền động AC cụ thể được Vacon (hãng có trụ sở ởPhần Lan) và Fararo Paya (hãng có trụ sở ở Iran) sảnxuất.

H:Thế Stuxnet có lây nhiễm cho những truyền động củaVacon và Fararo Paya không?

Đ:Không. Các truyền động của họ không bị lây nhiễm.PLC bị lây nhiễm sẽ sửa đổi cách mà các truyền độngchạy. Sự sửa đổi này xảy ra chỉ khi những điềukiện rất cụ thể tất cả đều đúng và cùng lúc, đưavào một tần số đầu ra cực kỳ cao. Vì thế, bất kỳảnh hưởng có thể nào cũng có thể liên quan tới nhữngvùng ứng dụng truyền động AC cực kỳ có giới hạn.

H:Những vùng ứng dụng đó là gì vậy? Các truyền độngAC được sử dụng để làm gì?

Đ:chúng được sử dụng cho nhiều mục đích, ví dụ, chocác hệ thống nén khí có hiệu quả.

H:Còn có bất kỳ ví dụ nào khác không?

Đ:Vâng có đấy, chúng cũng được sử dụng cho các máy litâm làm giàu.

H:Như trong?

Đ:Như trong việc làm giàu Uranium nơi mà các máy li tâm quayvới một tốc độ cực kỳ lớn. Điều này giải thíchvì sao các truyền động được coi như công nghệ sửdụng đúp và nằm trong danh sách hạn chế xuất khẩu củaCơ quan Năng lượng Nguyên tử Quốc tế IAEA.

Q:Which plant is it looking for?

A:We don't know.

Q:Has it found the plant it's looking for?

A:We don't know.

Q:What would it do if it finds it?

A:The PLC modification searches for specific high-frequencyconverter drives (AC drives) and modifiestheir operation.

Q:What's a high-frequency converter drive?

A:Basically, it's a device that can control the speed of a motor.Stuxnet searches for specific ACdrives manufactured by Vacon(based in Finland) and Fararo Paya(based in Iran).

Q:So does Stuxnet infect these Vacon and Fararo Paya drives?

A:No. They drives do not get infected. The infected PLC modifies howthe drives run. The modification happens only when very specificconditions are all true at the same time, including an extremely highoutput frequency. Therefore, any possible effects would concernextremely limited AC drive application areas.

Q:What are those application areas? What are AC drives used for?

A:They are used for various purposes, for example for efficient airpressure systems.

Q:Any other examples?

A:Well yes, they are also used for enrichment centrifuges.

Q:As in?

A:As in Uranium enrichment whe-re centrifuges spin at a very high speed.This is why high-frequency drives are considered dual-use technologyand are under the IAEA exportrestriction list.

H: Liệu mãnguồn của Stuxnet có làm cho các máy li tâm tích hợp saivào các luồng phóng ở khoảng Mach (tốc độ) 2 hay không?

Đ: Hìnhnhư những sửa đổi có thể gây ra cho những máy li tâmsản xuất ra uranium chất lượng tồi. Những thay đổi đócũng có thể không dò tìm ra được trong một khoảng thờigian dài.

H: Ông đãtừng có liên hệ với Vacon chứ?

Đ: Vângcó. Họ từng nghiên cứu vấn đề này và họ không nhậnthức được về bất kỳ sự cố nào nơi mà Stuxnet cóthể đã tạo ra những vấn đề trong các hoạt động củacác khách hàng của Vacon.

H: Một sốngười cho là mục tiêu của Stuxnet là các trang thiết bịlàm giàu của Natanz tại Iran. Liệu có các truyền độngAC của Vacon trong các trang thiết bị đó không?

Đ: TheoVacon, họ không nhận thức được về bất kỳ truyềnđộng nào của Vacon đang sử dụng trong chương trình hạtnhân của Iran, và họ có thể khẳng định rằng họkhông bán bất kỳ truyền động AC Vacon nào cho Iran chốnglại lệnh cấm vận cả.

H: Thế ôngcó liên hệ với Fararo Paya không?

Đ: Không.

H: Ông biếtgì về công ty này?

Đ: Khônggì cả. Dường như là nó rất nổi tiếng ngoài Iran.Chúng tôi không biết về bất kỳ khách hàng nào củatruyền động AC mà họ có thể có bên ngoài Iran.

H: Điềuđó có thể chỉ ra quốc gia đích là nước nào, phảikhông?

Đ: Câu hỏitiếp đi.

H: Liệu cóthiệt hại phụ thêm nào không? Liệu Stuxnet có đánh vàonhà máy khác mà không phải là mục tiêu ban đầu không?

Đ: Nó cóthể rất tương tự với mục tiêu ban đầu.

Q:Would the Stuxnet code cause centrifuges to disintegrateinto projectiles traveling at around Mach 2?

A:It's more likely the modifications would cause the centrifuges toproduce bad-quality uranium. The changes could go undetected forextended periods of time.

Q:Have you been in touch with Vacon?

A:Yes. They have been investigating the matter and they are not awareof any instances whe-re Stuxnet would have cre-ated problems in theoperations of Vacon's customers.

Q:Some suggest the target of Stuxnet was the Natanz enrichment facilityin Iran. Are there Vacon AC drives in these facilities?

Q:According to Vacon, they are not aware of any Vacon drives in use inthe Iranian nuclear program, and they can confirm that they have notsold any AC drives to Iran against the embargo.

Q:Have you been in touch with Fararo Paya?

A:No.

Q:What do you know about this company?

A:Nothing. It doesn't seem to be very well known outside of Iran. We'renot aware of any AC drive customers they would have outside of Iran.

Q:That would indicate what the target country was, wouldn't it?

A:Next question.

Q:Could there be collateral damage? Could Stuxnet hit another plantthat was not the original target?
A:It would have to be very similar to the original target.

H:Ông có biết về bất kỳ nhà máy nào tương tự như nhàmáy làm giàu uranium của Iran không?

Đ:Hóa ra là Bắc Triều Tiên dường như có một nhà máy màchia sẻ cùng thiết kế y hệt.

H:Vì sao Stuxnet được cho là rất tinh vi phức tạp?

Đ:Nó sử dụng nhiều chỗ bị tổn thương và còn bỏ thêmtrình điều khiển của riêng nó vào hệ thống.

H:Nó có thể cài đặt thế nào trình điều khiển củariêng nó nhỉ? Liệu các trình điều khiển có được kýcho chúng làm việc trong Windows hay không?

Đ:Trình điều khiển của Stuxnet đã được ký với mộtchứng chỉ bị ăn cắp từ RealtekSemiconductor Corp.

H:Làm sao ông ăn cắp được một chứng chỉ?

Đ:Có thể với phần mềm độc hại tìm kiếm các tệpchứng chỉ và sử dụng một trình ghi lại gõ bàn phímđể thu thập các mật ngữ khi nó được gõ vào. Hoặcđột nhập vào và ăn cắp đồ để ký, rồi ép mộtcách vũ phu để có được mật ngữ.

H:Liệu chứng chỉ bị ăn cắp có được rút bỏ không?

Đ:Có. VeriSign đã rút bỏ nó vào ngày 16/07rồi. Một biến thể được sửa đổi được ký vớimột chứng chỉ ăn cắp được từ JMicronTechnology Corp đã được tìm thấy vàongày 17/07.

Q:Do you know of any plants that would be similar to Iran's uraniumenrichment plant?
A:Turns out NorthKorea seems to have a plant that shares the same design.

Q:Why is Stuxnet considered to be so complex?

A:It uses multiple vulnerabilities and d-rops its own driver to thesystem.

Q:How can it install its own driver? Shouldn't drivers be signed forthem to work in Windows?
A:Stuxnet driver was signed with a certificate stolen f-rom RealtekSemiconductor Corp.

Q:How do you steal a certificate?

A:Maybe with malware looking for certificate files and using akeylogger to collect the passphrase when it's typed in. Or breakingin and stealing the signing gear, then brute-forcing the passphrase.

Q:Has the stolen certificate been revoked?

A:Yes. VeriSign revoked it on July16th.A modified variant signed with a certificate stolen f-rom JMicronTechnology Corpwas found on July17th.

H: Thếquan hệ giữa Realtek và Jmicron là thế nào?

Đ: Khônggì cả. Nhưng các công ty này có các trụ sở của họtrong cùng một khu văn phòng tại Đài Loan... mà điều nàylà kỳ dị khó hiểu.

H: Nhữngchỗ bị tổn thương nào mà Stuxnet khai thác?

Đ: Tổngcộng, Stuxnet khai thác 5 chỗ bị tổn thương khác nhau, 4trong số đó là các lỗi ngày số 0:

• LNK (MS10-046)

• Print Spooler (MS10-061)

• Server Service (MS08-067)

• Leo thang các quyền ưu tiên thông qua tệp trình bày của Bàn phím (MS10-073)

• Leo thang quyền ưu tiên thông qua trình đặt lịch các tác vụ Task Scheduler

H: Nhữngthứ này đã được Microsoft vá xong chưa?

Đ: Tất cảrồi ngoại trừ một trong 2 sự leo thang quyền ưu tiên đãtừng được vá. Một khai thác công khai đối với chỗbị tổn thương còn lại cuối cùng đã được tung ra vàotháng 11.

H: Liệunhững người đã tạo ra Stuxnet có tự mình tìm thấynhững chỗ bị tổn thương ngày số 0 hay họ đã muachúng từ chợ đen?

Đ: Chúngtôi không biết.

H: Nhữngchỗ bị tổn thương như vậy có đắt tiền không?

Đ: Cũngcòn tùy. Một lỗi chạy được mã nguồn từ xa ngày số0 trong một phiên bản phổ biến của Windows có thể cógiá giữa 50.000 USD đến 500.000 USD.

H: Vì saonó cũng chậm phân tích chi tiết Stuxnet vậy?

Đ: Nó phứctạp không bình thường và lớn không bình thường.Stuxnet có kích cỡ hơn 1.5MB.

Q:What's the relation between Realtek and Jmicron?

A:Nothing. But these companies have their HQs in the same office parkin Taiwan… which is weird.
Q:What vulnerabilities does Stuxnet exploit?

A:Overall, Stuxnet exploits five different vulnerabilities, fourof which were 0-days:

• LNK (MS10-046)

• Print Spooler (MS10-061)

• Server Service (MS08-067)

• Privilege escalation via Keyboard layout file (MS10-073)

• Privilege escalation via Task Scheduler

Q:And these have been patched by Microsoft?

A:All but one of the two Privilege escalations has been patched. Apublic exploit for the last remaining vulnerability was releasedin November.

Q:Did the Stuxnet creators find their own 0-day vulnerabilities or didthey buy them f-rom the black market?

A:We don't know.

Q:How expensive would such vulnerabilities be?

A:This varies. A single remote code execution zero-day in a popularversion of Windows could go for anything between $50,000 to $500,000.

Q:Why was it so slow to analyze Stuxnet in detail?

A:It's unusually complex and unusually big. Stuxnet is over 1.5MB insize.

H:Khi nào Stuxnet đã bắt đầu lan truyền?

Đ:Vào tháng 06/2009, hoặc thậm chí còn sớm hơn. Một trongnhững thành phần có một ngày biên dịch vào tháng01/2009.

H:Nó bị phát hiện khi nào?

Đ:Một năm sau, vào tháng 06/2010.

H:Làm thế nào điều đó lại có thể được?

Đ:Câu hỏi tốt.

H:Mất bao lâu để tạo ra được Stuxnet?

Đ:Chúng tôi ước tính rằng nó cần hơn 10 người - năm đểphát triển Stuxnet.

H:Ai có thể đã viết Stuxnet?

Đ:Nhìn vào sự đầu tư về tài chính và nghiên cứu &phát triển cần có và kết hợp điều này với thực tếlà không có cơ chế kiếm tiền một cách rõ ràng bêntrong Stuxnet, thì chỉ có thể có 2 khả năng: một nhómkhủng bố hoặc một nhà nước. Và chúng tôi không tinbất kỳ nhóm khủng bố nào có thể có được dạng cáctài nguyên này.

H:Thế thì Stuxnet đã được một chính phủ viết ra à?

Đ:Đó là những gì nó có thể trông giống, vâng.

H:Làm thế nào mà các chính phủ có thứ gì đó quá phứctạp được?

Đ:Câu hỏi láu cá. Thú vị thật. Câu hỏi tiếp theo đi.

H:Là Israel à?

Đ:Chúng tôi không biết.

H:Hay là Ai Cập? Hay là Ả Rập Xê Út? Hay là Mỹ?

Đ:Chúng tôi không biết.

Q:When did Stuxnet start spreading?

A:In June 2009, or maybe even earlier. One of the components has acompile date in January 2009.

Q:When was it discovered?

A:A year later, in June 2010.

Q:How is that possible?

A:Good question.

Q:How long did it take to cre-ate Stuxnet?

A:We estimate that it took over 10 man-years to develop Stuxnet.

Q:Who could have written Stuxnet?

A:Looking at the financial and R&D investment required andcombining this with the fact that there's no obvious money-makingmechanism within Stuxnet, that leaves only two possibilities: aterror group or a nation-state. And we don't believe any terror groupwould have this kind of resources.
Q:So was Stuxnet written by a government?

A:That's what it would look like, yes.

Q:How could governments get something so complex right?

A:Trick question. Nice. Next question.

Q:Was it Israel?

A:We don't know.

Q:Was it Egypt? Saudi Arabia? USA?

A:We don't know.

H: Và đãnhằm vào Iran?

Đ: Chúngtôi không biết.

H: Liệu cóđúng là có những tham chiếu của kinh thánh bên trongStuxnet hay không?

Đ: Có mộttham chiếu tới “Myrtus” (mà là một nhà máy mía). Tuynhiên, điều này không là “ẩn” trong mã nguồn. Đâylà một sự giả tưởng để lại bên trong chương trìnhkhi nó đã được biên dịch. Về cơ bản thì điều nàynói cho chúng tôi nơi mà tác giả lưu trữ mã nguồn tronghệ thống của anh ta. Đường dẫn cụ thể trong Stuxnetlà: \myrtus\src\objfre_w2k_x86\i386\guava.pdb.Các tác giả có lẽ đã không muốn chúng toi biết họcđã gọi dự án của họ là “Myrtus”, nhưng nhờ có sựgiả tưởng này mà chúng tôi biết được. Chúng tôi cũngđã thấy những giả tưởng này trong các phần mềm độchại khác. Cuộc tấn công Chiến dịch Aurora chống lạiGoogle đã có tên là Aurora sau khi đường dẫn này đãđược tìm ra bên trong một trong những tệp nhị phântrong: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

H: Làm thếnào chính xác “Myrtus” là một tham chiếu của kinh thánhđược?

Đ: Ờ...chúng tôi không biết, thực sự đấy. (Tuy nhiên, độcgiả Craig B. đã để lại một bình luận trong một phiênbản sớm của bài viết này).

H: Liệu nócó còn có ý nghĩa nào khác không?

Đ: Ề: nócó nghĩa “My RTUs”, chứ không phải là “Myrtus”. RTUlà một từ viết tắt cho Remote Terminal Units, nghĩa là cácđơn vị đầu cuối từ xa, được sử dụng trong các hệthống máy móc.

H: Làm thếnào Stuxnet biết được nó đã gây lây nhiễm được chomột máy?

Đ: Nóthiết lập khó đăng ký Registry với một giá trị“19790509” như một đánh dấu lây nhiễm.

H: Ý nghĩacủa “19790509” là gì vậy?

Đ: Đó làmột ngày. Ngày 09/05/1979.

Q:Was the target Iran?

A:We don't know.

Q:Is it true that there's are biblical references inside Stuxnet?

A:There is a reference to "Myrtus" (which is a myrtle plant).However, this is not "hidden" in the code. It's an artifactleft inside the program when it was compiled. Basically this tells uswhe-re the author stored the source code in his system. The specificpath in Stuxnet is: \myrtus\src\objfre_w2k_x86\i386\guava.pdb.The authors probably did not want us to know they called theirproject "Myrtus", but thanks to this artifact we do. Wehave seen such artifacts in other malware as well. The OperationAurora attack against Google was named Aurora after this path wasfound inside one of the binaries:\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

Q:So how exactly is "Myrtus" a biblical reference?

A:Uhh… we don't know, really. (However, reader Craig B. lefta comment in an earlierversion of this post.)

Q:Could it mean something else?

A:Yeah: it could mean "My RTUs", not "Myrtus". RTUis an abbreviation for RemoteTerminal Units, used in factory systems.

Q:How does Stuxnet know it has already infected a machine?

A:It sets a Registry key with a value "19790509" as aninfection marker.

Q:What's the significance of "19790509"?

A:It's a date. 9th of May, 1979.

H:Điều gì đã xảy ra trong ngày 09/05/1979?

Đ:Có thể là ngày sinh nhật của tác giả chăng? Một lầnnữa, trong ngày đó một doanh nhân người Do thái – Iranđược gọi là Hbib Elghanian đã bị hành hình tại Iran.Ông đã bị tố cáo làm gián điệp cho Israel.

H:Ồ

Đ:Ề.

H:Rõ ràng những kẻ tấn công đã có nhiều thông tin nộibộ của nhà máy đích và có thể đã có một nội gián.Vì sao cuối cùng họ đã sử dụng một sâu? Vì sao họkhông thể chỉ nhờ nội gián của họ tiến hành làm cácsửa đổi?

Đ:Chúng tôi không biết. Vì có thể bị từ chối chăng? Cólẽ nội gián đã không truy cập được tới các hệthống chủ chốt chăng? Có thể nội gián đã không ởnhà máy mà đã truy cập tới các kế hoạch thiết kếchăng? Có thể không có nội gián chăng?

H:Liệu có sự liên kết nào giữa Stuxnet và Conficker haykhông?

Đ:Có thể. Các biến thể của Conficker đã được tìm thấyvào giữa tháng 11/2008 và tháng 04/2009. Các biến thể banđầu của Stuxnet đã được phát hiện ngay sau đó. Cả 2đều khai thác chỗ bị tổn thương MS08-067. Cả 2 sửdụng các ổ USB để lan truyền. Cả 2 sử dụng nhữngmật khẩu mạng yếu để lan truyền. Và, tất nhiên, cả2 đều tinh vi phức tạp một cách không bình thường.

Q:What happened on 9th of May, 1979?

A:Maybe it's the birthday of the author? Then again, on that date aJewish-Iranian businessman called HabibElghanian was executed in Iran. He wasaccused to be spying for Israel.

Q:Oh.

A:Yeah.

Q:Obviously the attackers had lots of inside information of the targetplant and possibly had a mole inside. Why did they use a worm at all?Why couldn't they just have their mole do the modifications?
A:We don't know. For deniability? Maybe the mole had no access to thekey systems? Maybe the mole was not at the plant but had access tothe design plans? Maybe there was no mole?

Q:Is there a link between Stuxnet and Conficker?

A:It's possible. Conficker variants were found between November 2008and April 2009. The first variants of Stuxnet were found shortlyafter that. Both exploit the MS08-067 vulnerability. Both use USBsticks to spread. Both use weak network passwords to spread. And, ofcourse, both are unusually complex.

H: Liệu cómột liên kết nào tới bất kỳ phần mềm độc hại nàokhác không?

Đ: Một sốbiến thể của Zlob từng là đầu tiên sử dungụng chỗbị tổn thương của LNK.

H: Việc vôhiệu hóa AutoRun có thể là dừng Stuxnet, có đúng không?

Đ: Sai.Stuxnet đã sử dụng một lỗi ngày số 0. Khi nó là mới,thì nó có thể đã gây lây nhiễm máy Windows của bạnthậm chí nếu bạnđược vá đầy đủ, đã vô hiệu hóa AutoRun, đã chạytheo một tài khoản người sử dụng mức thấp bị hạnchế và đã vô hiệu hóa việc chạy các chương trình từcác ổ USB.

H: Nhưngnói chung, việc vô hiệu hóa AutoRun trong Windows sẽ làmdừng các sâu của USB, có đúng không?

Đ: Sai. Cómột vài cơ chế lan truyền khác mà các sâu USB sử dụng,như là những lây nhiễm bầu bạn. Vẫn là một ý tưởngtốt để vô hiệu hóa nó, nhưng không phải là cách cứuchữa đầy đủ.

H: LiệuStuxnet có lan truyền mãi mãi không?

Đ: Nhữngphiên bản hiện hành có một “ngày chết” là24/06/2012. Nó sẽ dừng lan truyền vào ngày đó.

H: Có baonhiêu máy tính đã bị lây nhiễm?

Đ: Hàngtrăm ngàn máy.

H: NhưngSiemens đã công bố rằng chỉ 15 nhà máy đã bị lâynhiễm cơ mà.

Đ: Họđang nói về các nhà máy. Hầu hết các máy bị lây nhiễmlà những lây nhiễm phụ kèm, như những chiếc máy tínhthông thường ở gia đình hoặc công sở mà không đượckết nối tới các hệ thống SCADA.

H: Làm thếnào những kẻ tấn công có thể làm cho một Trojan nhưthế chui vào được một trang thiết bị an ninh nhỉ?

Q:Is there a link to any other malware?

A:Some Zlob variants were the first to use the LNK vulnerability.

Q:Disabling AutoRun would have stopped Stuxnet, right?

A:Wrong. Stuxnet used a zero-day. When it was new, it would haveinfected your Windows box evenif you were fully patched, had AutoRun disabled, were running under arestricted low-level user account and had disabled execution ofprograms f-rom USB drives.

Q:But in general, disabling AutoRun in Windows will stop USB worms,right?

A:Wrong. There are several other spreading mechanisms USB worms use,such as companion infections. It is still a good idea to disable it,but it's not a cure-all.

Q:Will Stuxnet spread forever?

A:The current versions have a "kill date" of June 24, 2012.It will stop spreading on this date.

Q:How many computers did it infect?

A:Hundreds of thousands.

Q:But Siemens has announced that only 15 factories have been infected.

A:They are talking about factories. Most of the infected machines arecollateral infections, i.e. normal home and office computers that arenot connected to SCADA systems.

Q:How could the attackers get a trojan like this into a securefacility?

Đ: Ví dụ,bằng việc đột nhập được vào nhà của một nhânviên, tìm thấy ổ USB của anh ta và gây lây nhiễm cho nó.Rồi chờ cho nhân viên đó mang ổ USB đó làm việc vàgây lây nhiễm cho máy tính làm việc của anh ta. Sự lâynhiễm này sẽ lan truyền tiếp bên trong trang thiết bịan ninh thông qua các ổ USB, cuối cùng đánh được vàođích. Như một hiệu ứng phụ, nó sẽ tiếp tục lantruyền tiếp bất cứ đâu. Điều này giải thích vì saoStuxnet đã lan truyền khắp thế giới.

H: LiệuStuxnet có nhấn chìm được DeepwaterHorizon (một siêu giàn khoan dầu ngoàikhơi) và gây ra thảm họa tràn dầu Mexico được không?

Đ: Không,chúng tôi không nghĩ thế. Mặc dù dường như là DeepwaterHorizon quả thực đã có một số hệ thống PLC củaSiemens trên nó.

H: Liệu cóđúng là Thượng viện Mỹ đã tổ chức điều trần vềStuxnet không?

Đ: Vângđúng, vào tháng 11.

H: F-Securecó dò tìm ra được Stuxnet không?

Đ: Có.

Lưu ý:Chúng tôi đã học được nhiều chi tiết được nhắctới trong phần Hỏi & Đáp này trong các thảo luậnvới các nhà nghiên cứu từ Microsoft, Kaspersky, Symantec, vàcác nhà cung cấp khác.

Video từBản tin 2010 về Virus mà nhà nghiên cứu của Symantec làLiam O'Murchu trình bày chứng minh khái niệm sự sửa đổiSCADA như Stuxnet mà nó làm thay đổi hoạt động của mộtmáy bơm khí có thể xem ởđây.

A:For example, by breaking into a home of an employee, finding his USBsticks and infecting it. Then wait for the employee to take thesticks to work and infect his work computer. The infection willspread further inside the secure facility via USB sticks, eventuallyhitting the target. As a side effect, it will continue spreadelsewhe-re also. This is why Stuxnet has spread worldwide.

Q:Did Stuxnet sink Deepwater Horizonand cause the Mexican oil spill?

A:No, we do not think so. Although it does seem Deepwater Horizonindeed did have some Siemens PLC systems on it.

Q:Is it true that the US Senate held hearings on Stuxnet?

A:Yes, inNovember.

Q:Does F-Secure detect Stuxnet?

A:Yes.

Note:We have learned many of the details mentioned in this Q&A indiscussions with researchers f-rom Microsoft, Kaspersky, Symantec, andother vendors.

Videof-rom Virus Bulletin 2010 whe-re Symantec researcher Liam O'Murchudemonstrates a proof of concept Stuxnet-like SCADA modification thatchanges the operation of an air pump.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com