Stuxnet có 2 mục tiêu

Stuxnethas a double payload

16November 2010, 19:49

Theo:http://www.h-online.com/security/news/item/Stuxnet-has-a-double-payload-1137521.html

Bàiđược đưa lên Internet ngày: 16/11/2010

Lờingười dịch: Không giốngnhư phát hiện của Symantec đối với Stuxnet là chỉ có 1mục tiêu phá hoại các bộ chuyển tốc động cơ các nhàmáy làm giàu uranium và hạt nhân của Iran, hãng LangnerCommunications còn phát hiện rằng Stuxnetcòn có mục tiêu phá hoại thứ 2 nữa là phá hoại cáchệ thống kiểm soát tuabin. Thời gian từ3-8 năm theo dự đoán của Trung tâmvề các Nghiên cứu Quốc tế và Chiến lược của Mỹ vềsự chuyển hướng an ninh không gian mạng từ gián điệpthông tin sang phá hoại có lẽ đã không còn đúng nữa.Sự phá hoại đang diễn ra chứ không phải là sẽ diễnra nữa.

Theophân tích mới nhất, Stuxnet không chỉ nhằm vào việc phávỡ một hệ thống duy nhất, mà là 2 hệ thống khácnhau. Theo hãng an ninh các hệ thống kiểm soát LangnerCommunications, sâu này không chỉ được thiết kế đểcan thiệp với các hệ thống kiểm soát động cơ, tầnsố biến đổi đặc biệt - mà nó còn dự định pháhoại các hệ thống kiểm soát tuabin. Theo Langner, điềunày có thể có nghĩa là, đối với nhà máy làm giàuuranium của Iran tại Natanz, nhà máy nguyên tử Bushehr củaquốc gia này có thể từng là mục tiêu tiếp theo củacuộc tấn công bằng Stuxnet.

Cácchuyên gia đã từng phỏng đoán về mục tiêu của sâunày từ vài tuần nay, với những tin đồn sớm liên quantới việc nó nhằm vào việc phá hoại Natanz hoặcBushehr. Tuy nhiên, không ai ban đầu nghi ngờ rằng mụctiêu của nó là để phá hoại cả 2 nhà máy này, dù manhmối mà điều này có thể gây ra từng nổi lên đôi lúc.Stuxnet tấn công vào hệ thống kiểm soát của Siemens cácdạng S7-300 (315) và S7-400 (417). Các module tấn công dườngnhư đã được tạo ra có sử dụng các công cụ khácnhau - có lẽ thậm chí bởi các đội khác nhau.

Mãcho hệ thống S7-417 – được sử dungụng trong các hệthống kiểm soát tuabin ở Bushehr – được cho là tinh viphức tạp hơn nhiều sao với hệ thống S7-315. Mã nguồnnày triển khai số lượng nào vào một cuộc tấn công cócon người làm vật trung gian để vượt qua được cácgiá trị đầu vào và đầu ra giả mạo để đi tới đượcmã thật kiểm soát nhà máy. Mã của người sử dụngchạy trên một trình kiểm soát logic có khả năng lậptrình được (PLC) không thường yêu cầu các cổng I/O mộtcách trực tiếp, mà thay vào là việc đọc từ một ảnhquá trình đầu vào và viết vào một ảnh quá trình đầura. Việc ánh xạ các cổng vật lý tới các cổng logicđược mong đợi sẽ đảm bảo các giá trị I/O sẽ khôngthay đổi trong các chu kỳ xử lý.

Accordingto the latest analysis, Stuxnet is aimed not at disrupting a singlesystem, but at two different systems. According to control systemssecurity firm Langner Communications, the worm is not just designedto interfere with specific, variable frequency, motor control systems– it also attempts to disrupt turbine control systems. According toLangner, thiswould mean that, in addition to Iran's uranium enrichment plantat Natanz, the country's Bushehr nuclear power plant may have been afurther target of the Stuxnet attack.

Specialistshave been puzzling over the worm's target for several weeks, withearly rumours circulating that it was aimed at sabotaging Natanz orBushehr. However, no-one initially suspected that its aim was tosabotage both plants, although clues that this might be the case havebeen emerging for some time. Stuxnet attacks Siemens control systemtypes S7-300 (315) and S7-400 (417). The attack modules appear tohave been cre-ated using different tools – probably even bydifferent teams.

Thecode for the S7-417 system – used in the turbine control systems atBushehr – is reported to be much more sophisticated than that forthe S7-315 system. The code carriesout what amounts to a man-in-the-middle attack in order to passfake input and output values to the genuine plant control code. Usercode running on a programmable logic controller (PLC) does notusually query I / O ports directly, but instead reads f-rom an inputprocess image and writes to an output process image. Mapping ofphysical ports to logical ports is intended to ensure that I / Ovalues do not change during processing cycles.

Theophân tích của Langner, các biến thể mã của Stuxnet thườngcập nhật các ảnh qui trình. Các giá trị được ghi vàocác ảnh quá trình bằng các mã bị thâm nhập trong PLC.Các giá trị sẽ có phụ thuộc vào đầu vào một cáchvật lý cho ảnh của quá trình hay không, khi mà nó là cóthể. Điều này cho phép phá các hệ thống kiểm soáttuabin, mà trong những trường hợp tột cùng có thể dẫntới sự phá huỷ tuabin.

Thựctrạng này là quả anh đào trên đỉnh của chiếc bánhkem. Phân tích ban đầu của Stuxnet đã chỉ ra rằng sâunày đã chứa một bộ công cụ rootkit cho PLC mà nó đãđánh lừa các lập trình viên nghĩ đã không có gì saivới mã ngnồn đối với hệ thống kiểm soát của họ.

Chỉqua cuối tuần vừa rồi, Symantec cũng đã tuyên bố rằnghãng đã phát hiện ra rằng sâu Stuxnet đã nhằm vào cácđộng cơ đặc biệt mà chúng có thể được sử dụngcho việc làm giàu uranium. Hãng này đã nói rằng Stuxnetđược thiết kế để can thiệp vào với các hệ thốngkiểm soát đối với các bộ chuyển tốc mà chúng xácđịnh các tốc độ của động cơ, nhưng bây giờ điềunày dường như mới chỉ là một trong 2 mục đích màthôi.

Accordingto analysis by Langner, the Stuxnet code deactivates regular updatingof the process images. Values are instead written to the processimages by code injected into the PLC. What these values are dependson whether or not an attack is under way. The Stuxnet code is able topass the original values f-rom the physical input to the process image– or not, as the case may be. This allows it to disrupt turbinecontrol systems, which in extreme cases can lead to destructionof the turbine.

Thisrealisation is the cherry on top of the icing on the cake. Initialanalysis of Stuxnet showed that the worm contained a rootkit for PLCswhich fooled programmers into thinking there was nothing wrong withthe code for their control system.

Justthis past weekend, Symantec announcedthat it had discovered that the Stuxnet worm was aimed at specificmotors which can be used, among other things, for uranium enrichment.The company reported that Stuxnet is designed to interfere withcontrol systems for the frequency converters which determine motorspeeds, but this now appears to be only one of the two payloads.

(crve)

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com