Symantec hé lộ mã nguồn của Stuxnet

SymantecUncovered Stuxnet’s Code

SPAMfighter News –06-07-2011

Theo:http://www.spamfighter.com/News-16403-Symantec-Uncovered-Stuxnets-Code.htm

Bài được đưa lênInternet ngày: 06/07/2011

Lờingười dịch: “Theo một tài liệu mà Symantec đã xuấtbản gần đây, công ty an ninh này đã hé lộ mã nguồncủa Stuxnet từng tấn công vào một nhà máy xử lý hạtnhân tại Iran. ReadWrite Hack đã đưa tin này hôm28/06/2011.... Hình như Symantec cảnh báo, những người sángtạo ra Stuxnet có thể sẽ mang lại thứ gì đó còn nguyhiểm hơn vào lần sau”.

Theo một tài liệu màSymantec đã xuất bản gần đây, công ty an ninh này đã hélộ mã nguồn của Stuxnet từng tấn công vào một nhà máyxử lý hạt nhân tại Iran. ReadWrite Hack đã đưa tin nàyhôm 28/06/2011.

Năm 2010, Symantec, vàongày 20/07, đã dàn xếp việc theo dõi giao thông web cóliên quan tới các máy chủ chỉ huy kiểm soát củaStuxnet. Hệ quả là, hãng đã thấy khoảng 40,000 địa chỉIP riêng bắt nguồn từ khoảng 155 quốc gia. Symantec nóirằng mạng các máy tính cá nhân PC nhà máy của Iran đãcó một cái gọi là “khe hở khí” trong số các máytính đã giúp trong việc giao tiếp với các trình kiểmsoát của Siemens, cũng như toàn bộ mạng nghiệp vụ củanhà máy, mà mạng này được kết nối trực tuyến.

Và khi mà những lâynhiễm làm ồn ào tại Iran, thì nó có lẽ đã chỉ rarằng mục tiêu đầu tiên của sâu là vào quốc gia này.Dù Stuxnet đại diện cho một phần mềm độc hại có mụcđích về bản chất tự nhiên, thì việc sử dụng cácphương pháp lây nhiễm dạng rộng lớn của nó là gợimở về sự reo rắc của nó vượt quá và vượt xa điểmtấn công ban đầu.

Được cho là, nhữngngười tạo ra Stuxnet đã tấn công 5 nhà thầu phụ cókhả năng của nhà máy, thừa nhận rằng cuối cùng mộttrong số các nhân viên của họ sẽ mang chiếc máy tínhcá nhân xách tay vào bên trong nhà máy nơi mà anh ta sẽtải một ít chương trình vào các máy tính của trìnhkiểm soát có sử dụng một ổ đĩa ngoài. Sau đó, sửdụng một cuộc tấn công lỗi ngày số 0 mới, virus nàycó thể chỉnh sửa biểu tượng của một tài liệuWindows bên trong Explorer mà bằng mắt thường có thể đãnhìn thấy được sự tổn thương của hệ thống bị lâynhiễm.

Xa hơn, khi vào tháng02/2011, Symantec đã thu thập được 3,280 ví dụ riêng biệtcủa 3 biến thể khác nhau. Một cách ngẫu nhiên, bất kểkhi nào một sự lây nhiễm Stuxnet mới xảy ra, thì sâunày đều duy trì thông tin của hệ thống. Nên việcnghiên cứu các dữ liệu này, Symantec đã đi tới kếtluận rằng Stuxnet đã thực hiện một cuộc tấn côngđược cá nhân hóa chống lại 5 tổ chức độc lập nhautrên cơ sở của các tên miền được đăng ký của cácmáy tính cá nhân.

Khi mô tả hành độngcủa Stuxnet, Symantec nói rằng hãng đã xoay ngang bên trongcác máy li tâm ở một tần số vượt mức gây ra sự pháhủy phạm vi rộng. Trong khi chờ đợi, virus đã thay thếgiao thông của trình điều khiển trong 2 tuần trước đốivới những ai vận hành nhà máy nên không ngạc nhiên làmnảy sinh cho tới khi các hệ thống đã bắt đầu hoạtđộng sai. Điều này cũng đã vô hiệu hóa các chuyểnmạch chết người được xây dựng sẵn trong các trìnhkiểm soát mà chúng đã ngăn cản một cách có hiệu quảcác hệ thống khỏi bị sập.

Hình như Symantec cảnhbáo, những người sáng tạo ra Stuxnet có thể sẽ mang lạithứ gì đó còn nguy hiểm hơn vào lần sau.

Accordingto a document that Symantec published recently, the security companyhas uncovered the code of Stuxnet, which attacked a nuclearprocessing plant in Iran. ReadWrite Hack reported this on June 28,2011.

Lastyear i.e. 2010, Symantec, on July 20, arranged for trackingweb-traffic that linked to the C&C servers of Stuxnet.Consequently, it found around 40,000 distinct Internet Protocoladdresses that emanated f-rom around 155 countries. Says Symantec thatthe PC-network of the Iranian plant had a so-called "air gap"among the computers, which helped in communicating with thecontrollers of Siemens, as well as the plant's plain businessnetwork, which was connected online.

Andas infections cluttered in Iran, it possibly showed that the worm'first target was this country. Although Stuxnet represents a malwarethat's targeted in nature, its utilization of propagation methods ofa large type is suggestive of its dissemination over and above theinitial attack point.

Reportedly,Stuxnet's creators attacked the plant's 5 probable subcontractors,perceiving that ultimately one of their employees will take hisnotebook PC inside the plant whe-re he'll load a few programs onto thecontroller computers utilizing an external drive. Thereafter, usingone particular new 0-day assault, the virus would al-ter the icon of aWindows document within Explorer that by simple viewing wouldcompromise the infected system.

Further,when it was February 2011, Symantec had already collected 3,280distinct samples of 3 separate variants. Incidentally, whenever afresh Stuxnet contamination happens, the worm maintains systeminformation. So studying this data, Symantec came to the conclusionthat Stuxnet executed a personalized assault against 5 separateorganizations on the basis of the registered domain names of the PCs.

DescribingStuxnet's action, Symantec said that it rotated horizontally withinthe centrifuges at an excessive frequency causing large-scaledestruction. During this while, the virus replayed the controllertraffic of the earlier 2-weeks to those operating the plant so nosuspicion arose till the time the systems began malfunctioning. Italso deactivated the controllers' inbuilt kill switches thateffectively prevented the systems f-rom shutting down.

ApparentlySymantec cautions, the creators of Stuxnet may bring something moredangerous next time.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com