Stuxnet con được thấy trong các hệ thống tại châu Âu

Sonof Stuxnet Found in the Wild on Systems in Europe

• By Kim Zetter October 18, 2011, 3:54 pm  | 

• Categories: Stuxnet

Theo:http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/

Bài được đưa lênInternet ngày: 18/10/2011

Diagram of the Duqu malware, courtesy of Symantec.

Lờingười dịch: Theo hãng Symantec, thì họ đã tìm ra Stuxnetcon, dù rất giống nhưng cũng có những điểm khác biệtso với Stuxnet từng bị phát hiện ra hơn 1 năm trướctrong các cuộc tấn công nhằm triệt hạ chương trình hạtnhân của Iran, phần mềm độc hại này có tên là Duqu.Duqu lấy chứng thực số của một công ty Đài Loan là C-Media Electronics Incorporation để giả như là phần mềm hợppháp để gây lây nhiễm trong các lĩnh vực hạ tầng sốngcòn và sản xuất. Còn nhiều điều Symantec còn đangnghiên cứu về nó, nhưng hãng đã đưa ra những tài liệuđầu tiên về Duqu ởđây. Như một sự đương nhiên, Duqu chỉ dành riêngcho các máy tính chạy Windows!!!

Nhiều hơn 1 năm mộtchút sau khi sâu Stuxnet phá hủy hạ tầng đã được pháthiện trong các hệ thống máy tính tại Iran, một mẩu mớiphần mềm độc hại có sử dụng cùng y hệt các kỹthuật đã được tìm thấy lây nhiễm các hệ thống tạichâu Âu, theo các nhà nghiên cứu tại hãng an ninh Symantec.

Phần mềm độc hạimới này, gọi là “Duqu” [dü-kyü], chứa các phần gầnnhư y hệt Stuxnet và dường như được viết với cùngcác tác giả đứng đằng sau Stuxnet, hoặc ít nhất ai đóđã có được sự truy cập trực tiếp tới mã nguồn củaStuxnet, Liam O Murchu nói. Ông là một trong những chuyên giahàng đầu về Stuxnet, người đã giớithiệu phân tích bao quát về sâu đó với 2 đồng nghiệpcủa Symantec vào năm ngoái và đã đưara một tài liệu chi tiết phân tích Duqu tới nay.

Duqu, giống nhưStuxnet, tự ngụy trang bản thân như mã nguồn hợp phápcó sử dụng một tệp trình điều khiển được ký bằngmột chứng thực số hợp lệ. Chứng thực này thuộc vềmột công ty có trụ sở ở Đài Loan, mà Symantec đã từchối xác định. F-Secure, một hãng an ninh nằm ở PhầnLan, đã xác định công ty Đài Loan này là C- MediaElectronics Incorporation. Chứng thực này đã được thiếtlập hết hạn vào ngày 02/08/2012, nhưng các nhà chứctrách đã loại bỏ nó hôm 14/10, ngay sau khi Symantec đãđiều tra được phần mềm độc hại này.

Alittle more than one year after the infrastructure-destroying Stuxnetworm was discovered on computer systems in Iran, a new piece ofmalware using some of the same techniques has been found infectingsystems in Europe, according to researchers at security firmSymantec.

Thenew malware, dubbed “Duqu” [dü-kyü], contains parts that arenearly identical to Stuxnet and appears to have been written by thesame authors behind Stuxnet, or at least by someone who had directaccess to the Stuxnet source code, says Liam O Murchu. He’s one ofthe leading experts on Stuxnet who producedextensive analysis of that worm with two of his Symantec colleagueslast year and has posteda paper detailing the Duqu analysis to date.

Duqu,like Stuxnet, masks itself as legitimate code using a driver filesigned with a valid digital certificate. The certificate belongs to acompany headquartered in Taipei, Taiwan, which Symantec has declinedto identify. F-Secure, a security firm based in Finland, hasidentified the Taipei company as C-Media Electronics Incorporation.The certificate was set to expire on August 2, 2012, but authoritiesrevoked it on Oct. 14, shortly after Symantec began examining themalware.

Mã nguồn mở khôngtự nhân bản được để tự lan truyền - và vì thếkhông phải là một sâu. Nó cũng không chứa một tải pháhủy để gây hại cho phần cứng như cách mà Stuxnet đãlàm. Thay vào đó, nó dường như là một điềm báo trướcsẽ có một cuộc tấn công giống Stuxnet, được thiếtkế để tiến hành trinh sát trong một hệ thống kiểmsoát công nghiệp còn chưa được rõ và thu thập tình báomà có thể sau này được sử dụng để tiến hành mộtcuộc tấn công có chủ đích.

“Khi chúng tôi đãnói về Stuxnet trước đó, chúng tôi đã mong đợi đã cóthành phần khác của Stuxnet mà chúng tôi đã chưa thấynó thu thập các thông tin về cách mà nhà máy đã đượcbày ra”, O Murchu nói. “Nhưng chúng tôi đã chưa từngthấy bao giờ một thành phần như thế này [trong Stuxnet].Đây có thể là thành phần đó”.

Mặc dù Duqu đã đượctạo ra sau Stuxnet đôi chút, thì thành phần tương tự nhưnó có thể đã được những kẻ tấn công Stuxnet sửdụng để thu thập tình báo cho tải trọng [phá hủy] củanó.

Duqu dường như đãlàm việc được ít nhất 1 năm. Dựa vào ngày tháng trongcác tệp nhị phân đã được biên dịch, Symantec nói cáccuộc tấn công có sử dụng phần mềm độc hại có thểđã được tiến hành vào đầu tháng 12/2010, khoảng 5tháng sau khi Stuxnet đã bị phát hiện, và khoảng 18 thángsau khi Stuxnet đã được tin tưởng có được tung vào lầnđầu trên các máy tính tại Iran.

“Điều ngạc nhiênthực sự cho chúng tôi là những người này vẫn đanghoạt động”, O Murchu nói. “Chúng tôi nghĩ những ngườinày có thể đã ra đi sau khi tất cả công khai xung quanhStuxnet. Điều đó rõ ràng không phải thế. Họ rõ ràngđã và đang hoạt động suốt năm ngoái. Hoàn toàn giốngnhư là thông tin họ đang thu thập được là sẽ đượcsử dụng cho một cuộc tấn công mới. Chúng tôi hoàntoàn sốc khi chúng tôi thấy điều này”.

Thenew code does not self-replicate in order to spread itself — and istherefore not a worm. Nor does it contain a destructive payload todamage hardware in the way that Stuxnet did. Instead, it appears tobe a precursor to a Stuxnet-like attack, designed to conductreconnaissance on an unknown industrial control system and gatherintelligence that can later be used to conduct a targeted attack.

“Whenwe talked about Stuxnet before, we expected there was anothercomponent of Stuxnet we didn’t see that was gathering informationabout how a plant was laid out,” O Murchu says. “But we had neverseen a component like that [in Stuxnet]. This may be that component.”

AlthoughDuqu was cre-ated some time after Stuxnet, a component similar to itcould have been used by Stuxnet’s attackers to gather intelligencefor their payload.

Duquappears to have been operative for at least a year. Based on thedates the binary files were compiled, Symantec says attacks using themalware may have been conducted as early as December 2010, about fivemonths after Stuxnet was discovered, and about 18 months afterStuxnet was believed to have first been launched on computers inIran.

“Thereal surprising thing for us is that these guys are still operating,”O Murchu says. “We thought these guys would be gone after all thepublicity around Stuxnet. That’s clearly not the case. They’veclearly been operating over the last year. It’s quite likely thatthe information they are gathering is going to be used for a newattack. We were just utterly shocked when we found this.”

Symantec đã nhận được2 biến thể của phần mềm độc hại này vào ngày 14/10từ một phòng thí nghiệm nghiên cứu không được nêutên “với những quan hệ quốc tế mạnh”.

“Chắc chắn đây làmột chủ đề nhạy cảm, và vì bất kỳ lý do gì, họđã quyết định tại thời điểm này họ không muốnđược nêu tên”, O Murchu nói, tham chiếu tới sự tintưởng trước đó về Stuxnet đã được một nhà nướcquốc gia tạo ra với mục tiêu phá hoại chương trình hạtnhân của Iran.

Symantec đã nhận được2 biến thể của phần mềm độc hại, cả 2 đã gây lâynhiễm cho cùng một máy. Kể từ đó, O Murchu và các đồngnghiệp của anh ta đã thấy những ví dụ khác trong khoảng10 máy. Các nhà nghiên cứu thấy, sau khi tìm kiếm kho phầnmềm độc hại của riêng họ đối với các tệp y hệt,thì đó là một trong những biến thể lần đầu tiên bắtđược bởi hệ thống dò tìm mối đe dọa của Symantecvào ngày 01/09/2011. Symantec đã từ chối nêu tên các quốcgia nơi mà phần mềm độc hại này được tìm thấy,hoặc xác định chính xác nền công nghiệp nào bị lâynhiễm, ngoài việc nói chúng là trong các lĩnh vực hạtầng sống còn và sản xuất.

Dù đa số những lâynhiễm của Stuxnet đã nằm ở Iran, thì O Murchu nói nhữnglây nhiễm của Duqu được tìm ra cho tới nay lại khôngđược nhóm trong bất kỳ vùng địa lý nào. Ông nói, tuynhiên, điều này có thể thay đổi nếu những lây nhiễmmới sẽ được phát hiện.

Cái tên được đưara cho phần mềm độc hại này dựa vào tiếp đầu ngữ“~DQ” mà phần mềm độc hại sử dụng trong tên củacác tệp mà nó tạo ra trong một hệ thống bị lây nhiễm.O Murchu nói phần mềm độc hại sử dụng 5 tệp. Chúngbao gồm một tệp nhỏ giọt mà nhỏ tất cả các thànhphần vào một hệ thống bị lây nhiễm mà phần mềm độchại này sẽ cần làm công việc của nó; một trình tảiđặt các tệp đó vào bộ nhớ khi máy tính khởi động;một Trojan truy cập từ xa phục vụ như một cửa hậutrong các hệ thống bị lây nhiễm để truyền các dữliệu từ đó; một trình tải khác làm chạy Trojan, vàmột trình ghi lại những cái gõ bàn phím.

Symantecreceived two variants of the malware on Oct. 14 f-rom an unidentifiedresearch lab “with strong international connections.”

“Obviouslythis is a sensitive topic, and for whatever reason, they’ve decidedat this point they don’t want to be identified,” O Murchu says,referring to earlier beliefs about Stuxnet had been cre-ated by anation state with the aim of sabotaging Iran’s nuclear program.

Symantecreceived two variants of the malware, both of which had infected thesame machine. Since then, O Murchu and his colleagues have foundother samples on about 10 machines. The researchers found, aftersearching their own malware archive for similar files, that one ofthe variants was first captured by Symantec’s threat detectionsystem on Sept. 1, 2011. Symantec has declined to name the countrieswhe-re the malware was found, or to identify the specific industriesinfected, other than to say they are in the manufacturing andcritical infrastructure sectors.

Althoughthe vast majority of Stuxnet infections were based in Iran, O Murchusays the Duqu infections that have been discovered so far are notgrouped in any geographical region. He said, however, that this couldchange if new infections are discovered.

Thename given to the malware is based on a prefix “~DQ” that themalware uses in the names of files that it cre-ates on an infectedsystem. O Murchu says the malware uses five files. These include ad-ropper file that d-rops all of the components onto an infected systemthat the malware will need to do its work; a loader that places thefiles into memory when the computer starts; a remote access Trojanthat serves as a backdoor on infected systems to siphon data f-rom it;another loader that executes the Trojan; and a keystroke logger.

Giống như Stuxnet,Duqu sử dụng một kỹ thuật phức tạp và độc nhất vônhị để ẩn dấu các thành phần của nó trong bộ nhớmáy tính, hơn là trong ổ đĩa cứng, để tránh bị cácmáy diệt virus dò tìm ra, và cũng lừa hệ thống trongviệc tải các tệp từ bộ nhớ thay vì từ đĩa cứng.Kỹ thuật này từng là một trong những cờ đỏ đầutiên mà Symantec đã tìm ra trong Stuxnet, đã chỉ ra nó từnglàm gì đó vượt ra khỏi các dạng phần mềm độc hạikhác mà họ đã từng thấy trước đó.

Phần mềm độc hạinày được thiết lập cấu hình để chạy cho 36 ngày,sau đó nó tự động loại trừ chính mình khỏi một hệthống bị lây nhiễm.

O Murchu nói họ cònkhông biết làm thế nào mà Duqu đã được phân phối tớicác hệ thống bị lây nhiễm. Stuxnet ban đầu đã sửdụng một chỗ bị tổn thương ngày số 0, cho phép nólan truyền tới các hệ thống thông qua một USB bị lâynhiễm.

“Có một thành phầncủa trình cài đặt [đối với Duqu] mà chúng tôi đãchưa thấy”, O Murchu nói. “CHúng tôi chưa biết liệutrình cài đặt đó có tự nhân bản được không. Đó làmột mẩu của trò chơi lắp hình mà chúng tôi còn chưatìm ra ngay lúc này”.

Các biến thể làkhoảng 300 kbyte về kích thước - so với 500 kb củaStuxnet - và sử dụng một giao thức phổ biến để giaotiếp giữa hệ thống bị lây nhiễm và một máy chủ chỉhuy - kiểm soát để truyền dữ liệu từ một máy bịlây nhiễm và tải các thành phần mới vào đó. Theo OMurchu, phần mềm độc hại này cố ngụy trang giao tiếpđộc hại của nó bằng việc nối thêm nó vào một tệpjpeg 100x100 pixel. Các dữ liệu được nối thêm này đượcmã hóa, và các nhà nghiên cứu vẫn đang phân tích mãnguồn để xác định xem giao tiếp chứa đựng cái gì.

LikeStuxnet, Duqu uses a sophisticated and unique technique to hide itscomponents in the memory of a machine, rather than on the hard drive,to avoid detection by anti-virus engines, and also tricks the systeminto loading files f-rom memory instead of f-rom hard disk. Thistechnique was one of the first red flags Symantec had found inStuxnet that indicated it was doing something beyond other types ofmalware they had seen before.

Themalware is configured to run for 36 days, after which itautomatically removes itself f-rom an infected system.

OMurchu says they still have no idea how Duqu was delivered toinfected systems. Stuxnet primarily used a zero-day vulnerabilitythat allowed it to spread to systems via an infected USB stick.

“There’san installer component [to Duqu] we haven’t seen,” O Murchu saus.“We don’t know if the installer is self-replicating. That’s apiece of the jigsaw that we’re missing right now.”

Thevariants are about 300 kilobytes in size — compared to Stuxnet’s500 kb — and use a custom protocol to communicate between aninfected system and a command-and-control server to siphon data f-roman infected machine and load new components onto it. According to OMurchu, the malware tries to disguise its malicious communication byappending it to a 100 x 100 pixel jpeg file. The appended data isencrypted, and the researchers are still analyzing the code todetermine what the communication contains.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com