Symantec: Chúng tôi cuối cùng cũng hiểu được Stuxnet

Symantec:We finally understand Stuxnet

15November 2010, 12:36

Theo:http://www.h-online.com/security/news/item/Symantec-We-finally-understand-Stuxnet-1136249.html

Bàiđược đưa lên Internet ngày: 15/11/2010

Lờingười dịch: Từ năm 2009,James A. Lewis, người từng viết những cuốn sách vềchiến tranh không gian mạng, người là lãnh đạo củaTrung tâm về các Nghiên cứu Quốc tế và Chiến lượccủa Mỹ dự đoán rằng cuộc chiến tranh không gian mạngcó thể chuyểntừ gián điệp thông tin sang phá hoại trong vòng từ 3-8năm. Tuy nhiên, sự kiện mà hãng anninh Symantec vừa phát hiện ra rằng sâu “Stuxnetđược cho là phá hoại qui trình kiểm soát công nghiệpmà các động cơ được sử dụng”trong các bộ chuyển tốc tại các nhà máy hạt nhân tạiIran có lẽ đã truyền đi một thông điệp rằng sự pháhoại đó đã tới ngay lúc này, bây giờ, chứ không cònnằm ở thì tương lai nữa.

Hãngan ninh Symantec nói hãng đã phát hiện ra rằng sâu Stuxnetđã nhằm vào các động cơ đặc biệt được sử dụng,ví dụ, trong các qui trình làm giàu uranium. Với sự hỗtrợ của một chuyên gia người Hà Lan tại Profibus,Symantec nói, trên một bài viết blog, rằng hãng bây giờđã có thể hiểu được hoàn toàn mục đích của mãnguồn Stuxnet. Có lẽ là, Stuxnet được thiết kế đểđiều khiển các bộ chuyển tốc mà xác định tốc độcủa động cơ.

Nhữngphát hiện của Symantec chỉ ra rằng Stuxnet đã nhằm vàocác nhà máy công nghiệp với một sự kết hợp đặcbiệt của các thành phần các đặc điểm: máy tính đíchphải có dạng S7-300 CPU và được thiết kế để kiểmsoát tới 6 dạng module giao tiếp CP-342-5 Profibus mà chúngcó thể mỗi cái kết nối tới 31 bộ chuyển tốc.Symantec nói Stuxnet chỉ tấn công các bộ chuyển tốc nàomà được làm từ 2 nhà cung cấp cụ thể, một tại PhầnLan và một tại thủ đô Tehran của Iran. Phần mềm độchại được cho là yêu cầu các bộ chuyển tốc phảihoạt động giữa các tần số 807 Hz và 1210 Hz. Bằng việcthay đổi tần số đầu ra, và với tốc độ làm việccủa nó, của các động cơ trong một khoảng thời gianngắn trong các giai đoạn dài hàng tháng, Stuxnet đượccho là phá hoại qui trình kiểm soát công nghiệp mà cácđộng cơ được sử dụng.

Symantecnói rằng các kết quả của phân tích làm giảm óốlượng các mục tiêu tiềm tàng của Stuxnet tới chỉ mộtsố ít. Theo hãng an ninh này, sự tập trung của phần mềmđộc hại vào các mẫu điều tốc của chỉ 2 nhà cungcấp và các tần số đầu ra rất lớn đang xác địnhcác đặc tính. Symantec chỉ ra rằng, tại Mỹ, xuất khẩucác sản phẩm mà có thể có đầu ra hơn 600 Hz đượcđiều tiết theo Ủy ban Điều phối Hạt nhân của Mỹ,vì những sản phẩm này có thể được cho là được sửdụng để làm giàu uranium. “Chúng tôi không phải là cácchuyên gia trong các hệ thống kiểm soát công nghiệp”,Symantec nói, “nhưng ví dụ, một dây chuyền trong mộttrang thiết bị đóng gói lẻ hình như là mục tiêu”.Symantec đã bổ sung thêm rằng hãng có lẽ có quan tâmtrong cuộc điều trần xem những ứng dụng nào khác sửdụng bộ chuyển tốc ở các tần số như vậy.

Securityfirm Symantec says it has discoveredthat the Stuxnetworm targeted specific motors used, for instance, in uraniumenrichment processes. With the support of a Dutch Profibusexpert, Symantec says, in a blog posting, that it has now managed tofully interpret the purpose of the Stuxnet code. Apparently, Stuxnetis designed to manipulate frequency converters which determine motorspeed.

Symantec'sfindings indicate that Stuxnet targeted industrial plants with aspecific combination of components and c-haracteristics: The targetcomputer must have a type S7-300 CPU and is designed to control up tosix type CP-342-5 Profibus communications modules that can eachconnect to up to 31 frequency converters. Symantec said Stuxnet onlyattacks converter drives made by two specific vendors, one in Finlandand the other in the Iranian capital of Tehran. The malwarereportedly requires the frequency converter drives to be operatingbetween 807 Hz and 1210 Hz. By changing the output frequency, andwith it the working speed, of the motors for short intervals overperiods of months, Stuxnet reportedly sabotages the industrialcontrol process the motors are used for.

Symantecsays that the results of the analysis reduce the number of potentialStuxnet targets to only a few. According to the security firm, themalware's focus on converter models by two specific vendors and thevery high output frequencies are defining c-haracteristics. Symantecpoints out that, in the United States, the export of products thatcan output over 600 Hz is regulated by the US Nuclear RegulatoryCommission, as these products can reportedly be used for uraniumenrichment. "We are not experts in industrial control systems,"Symantec said, "but for example, a conveyor belt in a retailpackaging facility is unlikely to be the target." Symantec addedthat it would be interested in hearing what other applications usefrequency converter drives at these frequencies.

(crve)

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com