Stuxnet đã lây nhiễm mạng CNTT của Chevron

November 8, 2012, 3:10 PMET

Theo:http://blogs.wsj.com/cio/2012/11/08/stuxnet-infected-chevrons-it-network/

Bài được đưa lênInternet ngày: 08/11/2012

Stuxnet,một virus máy tính phức tạp được Mỹ và Israel tạora, để gián điệp trong và tấn công các cơ sở làm giàuhạt nhân của Iran tại Natanz cũng đã gây lây nhiễm chomạng của Chevron vào năm 2010, ngay khi nó đã thoát ra khỏiđích ngắm được dự kiến của nó.

Chevron đã thấyStuxnet trong các hệ thống của mình sau khi phần mềm độchại lần đầu tiên đã được báo cáo vào tháng 07/2010,Mark Koelmel, tổng giám đốc của phòng khoa học trái đấtcủa Chevron, nói. “Tôi không nghĩ chính phủ Mỹ thậmchí đã nhận thức được nó đã lan truyền rộng tớimức nào”, ông đã nói cho tạp chí CIO. “Tôi nghĩ mặttrái của những gì họ đã làm sẽ tồi tệ hơn nhiềuso với những gì chúng thực sự hoàn thành”, ông nói.

Chevron từng khôngphải bị lây nhiễm bất lợi với Stuxnet, người phátngôn của Chevron là Morgan Crinklaw, nói. “Chúng tôi thựchiện từng nỗ lực để bảo vệ các hệ thống dữ liệucủa chóng tôi khỏi các dạng đe dọa đó”, ông nói.

Kinh nghiệm củaChevron với Stuxnet dường như là kết quả của sự thoátra một cách không chủ ý (và có lẽ, không thể tránhkhỏi) của phần mềm độc hại trong một mạng lớn hơn,rất giống một việc thoát ra virus thí nghiệm từ mộtphóng thí nghiệm y học. Nhưng nhiều công ty cũng đang bịnhắm đích đặc biệt, đôi khi vì các tác nhân phức tạpít hơn cố gắng trả đũa chống lại sự xâm lượckhông gian mạng được thừa nhận. Dù họ có ít các tàinguyên hơn đằng sau họ, thì những chiến dịch con đườiươi đó dù sao cũng là khả năng làm thiệt hại thực,vật lý cho các nhà máy bị nhắm đích.

Chevron là công ty Mỹđầu tiên nhận thức được rằng các hệ thống củahãng đã bị Stuxnet gây lây nhiễm, dù hầu hết cácchuyên gia an ninh tin tưởng đã số lớn các vụ việcchọc ngoáy từng không được thuật lại vì những lý doan ninh hoặc tránh lúng túng. Các thiết bị được sửdụng trong thiết bị công nghiệp và được Stuxnet nhắmđích và được làm bởi các công ty lớn khồng lồ, baogồm cả Siemens (thiết bị của hãng này từng được bántrên thế giới sử dụng trong cơ sở hạ tầng củaIran). Hàng triệu thiết bị đó đã được bán trên thếgiới, nên tiềm tàng mỗi công ty công nghiệp sử dụngcác thiệt bị đó, được gọi là các trình điều khiểnthiết bị, hoặc PLC, bị rủi ro bị gây lây nhiễm.

Các quan chức Mỹ nóicác tin tặc của Irna với chính phủ gắn cho vỉrúShamoon mà đã phá hủy 30.000 máy tính của Saudi Arabian OilCo. trong tháng 08. Một công ty gas tự nhiên Qatari đượcgọi là Rasgas cũng đã bị tấn công trong tháng 08. VirusShamoon có khả năng là công việc của một cá nhân duynhất đã thiếu sự phức tạp của các tin tặc do nhànước tài trợ, theo một báo cáo trên Bloomberg.

Stuxnet,a sophisticated computer virus cre-atedby the United States and Israel, to spy on and attack Iran’snuclear enrichment facilities in Natanz also infected Chevron’s network in 2010, shortly after it escaped f-rom its intendedtarget.

Chevronfound Stuxnet in its systems after the malware was first reported inJuly 2010, said Mark Koelmel, general manager of the earth sciencesdepartment at Chevron. “I don’t think the U.S. government evenrealized how far it had spread,” he told CIO Journal. “I thinkthe downside of what they did is going to be far worse than what theyactually accomplished,” he said.

Chevronwas not adversely affected by Stuxnet, says Chevron spokesman MorganCrinklaw. “We make every effort to protect our data systems f-romthose types of threats,” he said.

Chevron’sexperience with Stuxnet appears to be the result of the unintentional(and perhaps, inevitable) release of malware upon a larger network,much like an experimental virus escaping f-rom a medical lab. But manycompanies are also being specifically targeted, sometimes by lesssophisticated actors attempting to retaliate against perceived U.S.cyber-aggression. Although they have fewer resources behind them,those guerrilla campaigns are nonetheless capable of doing real,physical damage to targeted plants.

Chevronis the first U.S. company to acknowledge that its systems wereinfected by Stuxnet, although most security experts believe the vastmajority of hacking incidents go unreported for reasons of securityor to avoid embarrassment.  The devices used in industrialequipment and targeted by Stuxnet are made by huge companies,including Siemens (whose devices were in use at Iran’s facility).Millions of these devices have been sold around the world, sopotentially every industrial company that uses these devices, calledprogrammable logic controllers, or PLCs, are at risk of beinginfected.

U.S.officials blame Iranian hackers with government ties for theso-called Shamoon virus that destroyed data on 30,000 computersbelonging to Saudi Arabian Oil Co. in August. A Qatari natural gascompany called Rasgas was also attacked in August. The Shamoon virusis likely the work of a single individual who lacked thesophistication of state-sponsored hackers, accordingto a Bloomberg report.

Aramco nói hãng nhanhchóng phát hiện từ cuộc tấn công trong tháng 8, nhưngmong đợi nhiều cuộc tấn công hơn trong tương lai. Rasgasnói cuộc tấn công hồi tháng 8 đã không ảnh hưởng tớicác hoạt động của nó.

“Mối lo thức sựlà nhiều chúng tôi từng nói chuyện về một năm trướclà thay vì ăn cắp thông tin, các tin tặc bây giờ có đượcsự kiểm soát của các hệ thống đích sao cho chúng cóthể gây ra tác động động lực”, Ed Skoudis, một chuyêngia dạy các lớp an ninh không gian mạng tại SANS, một tổchức huấn luyện các chuyên gia an ninh KGM và tiến hànhnghiên cứu an ninh thông tin.

“Tấtcả đã nói, virus Shamoon có lẽ từng là cuộc tấn côngphá hoại nhất mà khu vực tư nhân đã thấy cho tớinay”, Bộ trưởng Quốc phòng Mỹ Leon Panetta trong bàidiễn văn hôm 11/10 tại bữa tiệc của các Lãnh đạoDoanh nghiệp về An ninh Quốc gia, nói. Virus này làmột ví dụ về sự leo thang mà đã xảy ra trong một phạmvi và tốc độ của các cuộc tấn công KGM trong vài thángqua.

Các nhân viên có mộtsự hiểu biết sâu sắc về ANKGM và các hệ thống củacông ty sựỉ bảo vệ duy nhất chống lại một virus nhưStuxnet mà thường nhằm vào những chỗ bị tổn thươngmà đã còn chưa được xác định bởi các nhà nghiên cứuan ninh hoặc được vá bởi nhà cung cấp phần mềm, AlanPaller, nhà sáng lập của SANS, nói. Nhữngnhân viên đó cần hiểu phần mềm độc hại và các kỹthuật như điều tra gói sâu sắc, và có một tri thứcsâu của những gì giao thông mạng trông giống. “Có lẽchỉ 18-20 người tại nước này có những kỹ năng cơbản đó”, ông nói.

Việc nới lỏng cácvũ khí KGM tiềm tàng chỉ ra vấn đề lớn hơn về đánhngược lại, nơi mà “ai đó có thể giành lại đượccác tài sản độc hại, vặn vẹo nó và sử dụng nó”,Skoudis của SANS, nói. Ông nói các phần của mã nguồnStuxnet đã được sử dụng lại rồi trong tội phạm KGMtài chính để ăn cắp các thẻ tín dụng và thông tin tàikhoản ngân hàng rồi.

Nhận thức ngầm củacác quan chức chính phủ Mỹ rằng họ đã tạo ra Stuxnetlàm cho các công ty Mỹ trở thành một mục tiêu còn lớnhơn, Paller tại SANS. Ông nói các tin tặc mùa hè trướcđã đi từ

việcăn cắp thông tin tới sử dụng các cuộc tấn công KGM đểgây ra sự phá huỷ. Stuxnet “đã mở ra hộp Pandora”,ông nói. “Bất kỳ sự kiềm chế nào có thể đang nắmgiữ việc gây thiệt hại cho các cuộc tấn công tiếnhoặc lùi”.

Cuốicùng, các công ty bị để lại để làm sạch thứ lộnxộn có liên quan tới các virus như Stuxnet. “Chúng tôiđang thấy nó trong các hệ thống của chúng tôi và vìthế cả các công ty khác nữa”, Koelmel của Chevron nói.“Vì thế chúng tôi phải làm việc với điều này”.

Aramcosaid it quickly recovered f-rom the August attack, but expects moreattacks in the future. Rasgas says the August attack had no impact onits operations.

“Thereal worry that a lot of us have been talking about for a year or sois that instead of just stealing information, [hackers are] gainingcontrol of target systems so that they can cause kinetic impact,”said Ed Skoudis, an expert who teaches cybersecurity classes at SANS,an organization that trains cybersecurity experts and conductsinformation security research.

“Alltold, the Shamoon virus was probably the most destructive attack thatthe private sector has seen to date,” said U.S. Secretary ofDefense Leon Panetta in an October11 speech at a Business Executives for National Security dinner.The virus is an example of an escalation that has happened in thescale and speed of cyber attacks during the last few months.

Employeeswho have a deep understanding of cybersecurity and the company’ssystems are the only defense against a virus like Stuxnet that oftentarget vulnerabilities that haven’t yet been identified by securityresearchers or patched by the software vendor, says Alan Paller,founder of SANS. Those employees need to understand malware andtechniques like deep packet inspection, and have a deep knowledge ofwhat the network traffic should look like. “There are probably only18-20 people in the country who have those fundamental skills,” hesaid.

Unleashingpotent cyber weapons points to the larger problem of blowback, whe-re“somebody could recover malware assets, tweak them and use them,”said SANS’ Skoudis. He said portions of the Stuxnet code havealready been reused in financial cybercrime to steal credit cards andbank account information.

của Mỹ, nói rằng họ đã tạo ra Stuxnet làm cho các côngty Nga

Thetacit acknowledgement byU.S. government officials that they cre-ated Stuxnet makes U.S.companies an even bigger target, said Paller at SANS. He says hackerslast summer went f-rom stealing information to using cyber attacks tocause destruction. Stuxnet “opened Pandora’s box,” he said.“Whatever restraint might have been holding damaging attacks backare gone.”

Inthe end, companies are left to clean up the mess associated withviruses such as Stuxnet. “We’re finding it in our systems and soare other companies,” said Chevron’s Koelmel. “So now we haveto deal with this.”

Write torachael.king@wsj.com

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com