Virus 'độc ác' tại Integral Energy làm bùng nổ mối đe dọa cho lưới điện

'Sinister'Integral Energy virus outbreak a threat to power grid

ASHER MOSES

October1, 2009

Theo:http://www.smh.com.au/technology/security/sinister-integral-energy-virus-outbreak-a-threat-to-power-grid-20091001-gdrx.html

Bàiđược đưa lên Internet ngày: 01/10/2009

Lờingười dịch: Lưới điện của Úc đã bị lây nhiễmvirus Windows “W32.Virut.CF, mà công ty về an ninh máy tínhSymantec mô tả trên website của mình như là 'một kẻ lâynhiễm tệp độc ác đặc biệt' mà nó lan truyền nhanhchóng và 'đang minh chứng cho sự khó khăn để loại bỏtừ các mạng bị lây nhiễm'”. “Chớ trêu thay, cácmạng máy tính của Integral Energy được bảo vệ bởi mộtgiải pháp an ninh của Symantec, một nguồn nói. Symantec đãcó một chữ ký cho virus W32.Virut.CF từ tháng 02”. Vâng,hết conficker, MyDoom, Clapi, … nay lại W32.Virut.CF đều lànhững virus, sâu bọ của Windows và đều đặc biệt độcác. Có lẽ chính bản thân Windows mới là virus độc áccần phải VỨT BỎ chăng? Hy vọng lưới điện của ViệtNam sẽ không có hân hạnh được đón tiếp những virusnày.

Một virus bùng nổđang trút sự tàn phá lên mạng máy tính của IntegralEnergy, ép nó phải xây dựng lại tất cả 1,000 máy tínhđể bàn của nó trước khi lỗi “độc ác đặc biệt”này lan tỏa sang các máy tính kiểm soát lưới điện.

Một người phát ngôncho Integral Energy, một nhà cung cấp điện chính, đã khẳngđịnh rằng hãng này đã kêu gọi các chuyên gia an ninhthông tin bên ngoài để “xây dựng lại tất cả các máytính để bàn chứa đựng và loại bỏ virus”.

Phần mềm độc hạiđã không ảnh hưởng đến các mạng cung cấp điện đốivới các dữ liệu của khách hàng hoặc các doanh nghiệpvà đã “chỉ nằm bên trong mạng công nghệ thông tin củaIntegral Energy”, người phát ngôn này nói.

Nhưng Chris Gatford, mộtnhà tư vấn an ninh tại Hacklabs, người mà đã dẫn dắtthử nghiệm thâm nhập lên hạ tầng mang tính sống còn,đã nói là đã thường xuyên có “sự phân ly không hiệuquả” hoặc “thường không gì cả nữa” giữa mạngIT và mạng mà những người giám sát và kiểm soát hạtầng.

Ông đã nói 2 mạngthường cần được kết nối theo một vài cách để chiasẻ các dữ liệu như việc sử dụng thông tin mà nó đượcsử dụng trong quá trình tính hóa đơn hoặc chất lượngđo đạc dịch vụ.

“Rủi ro có mộtvirus ở dạng này của môi trường là việc nó có thểảnh hưởng tới hoạt động của lưới điện nếu virusnày đã thâm nhập vào mạng kiểm soát quá trình này”,Gatford nói.

“Tôi nghĩ họ sẽđược ngợi khen vì phản ứng cực đoan này khi làm việcvới thứ gì đó mà có thể ảnh hưởng một cách tiềmtàng tới cung cấp điện”.

IntegralEnergy nói virus này là W32.Virut.CF, mà công ty về an ninhmáy tính Symantec mô tả trên website của mình như là “mộtkẻ lây nhiễm tệp độc ác đặc biệt” mà nó lantruyền nhanh chóng và “đang minh chứng cho sự khó khănđể loại bỏ từ các mạng bị lây nhiễm”.

Avirus outbreak is wreaking havoc with Integral Energy's computernetwork, forcing it to rebuild all 1000 of its desktop computersbefore the "particularly sinister" bug spreads to themachines controlling the power grid.

Aspokesman for Integral Energy, a major energy supplier, confirmedthat the company had called in external information security expertsto "rebuild all desktop computers to contain and remove thevirus".

Themalware had not affected power supplies to customers or business dataand was "contained within Integral Energy's informationtechnology network", the spokesman said.

ButChris Gatford, a security consultant at Hacklabswho has conducted penetration testing on critical infrastructure,said there was often "ineffective segregation" or "moretypically none at all" between the IT network and the networkthat monitors and controls the infrastructure.

Hesaid the two networks often needed to be connected in some way inorder to share data such as usage information that is used in thebilling process or quality of service measuring.

"Therisk of having a virus in this type of environment is it might affectthe operation of the power grid if the virus was to infiltrate theprocess control network," said Gatford.

"Ithink they're to be commended for this extreme reaction when dealingwith something that could potentially affect the supply of energy."

IntegralEnergy said the virus was the W32.Virut.CF strain, which computersecurity company Symantec describeson its website as "a particularly sinister file infector"that spreads quickly and "is proving difficult to remove f-rominfected networks".

Chớtrêu thay, các mạng máy tính của Integral Energy được bảovệ bởi một giải pháp an ninh của Symantec, một nguồnnói. Symantec đã có một chữ ký cho virus W32.Virut.CF từtháng 02.

“Điềunày có thể chỉ ra phần mềm chống virus này đã khôngđược cập nhật theo thời gian trên một số máy tínhhoặc là sản phẩm của Symantec đã không có khả năng dòra nó vì các kỹ thuật đen tối được sử dụng bởiphần mềm độc hại”, Gatford nói.

Websitecủa Symantec cũng đã nói rằng virus này cài đặt mộtcửa hậu, cho phép các tin tặc đưa ra các lệnh để lâynhiễm các máy thông qua một kênh chat có độ trễ (IRC)trên Internet.

Gatford nói điều nàyđã là một “mối quan ngại lớn” khi trên các mạngnhạy cảm mà hầu hết các mạng của các tập đoàn “cóthể không cho phép sự đi lại này bị phần mềm độchại vượt qua”.

Người phát ngôn củaIntegral Energy nói hãng đã đặt ra kế hoạch phục hồiđể hạn chế virus này khỏi các hệ thống kinh doanh củahọ và duy trì các mức dịch vụ cho các khách hàng.

“Như một phần củakế hoạch này, một sự điều tra đang được thực hiệnđể tìm nguyên nhân của sự lây nhiễm và một chiếnlược để tối thiểu hóa rủi ro này trong tương lai”,ông nói.

Ironically,Integral Energy's computer networks are protected by a Symantecsecurity solution, a source said. Symantec has had a virus signaturefor W32.Virut.CF since February.

"Thismight indicate the antivirus software was not up-dated in a timelymatter on some machines or that the Symantec product was not able todetect it due to the obfuscation techniques used by the malware,"Gatford said.

TheSymantec website also said that the virus installs a back door,enabling hackers to issue commands to the infected machines via aninternet relay chat (IRC) channel.

Gatfordsaid this was a "big concern" when on sensitive networksbut most corporate networks "would not allow for this traffic tobe passed by the malware".

TheIntegral Energy spokesman said the company had put in place recoveryplans to eliminate the virus f-rom its business systems and maintainservice levels to customers.

"Aspart of these plans, an investigation is under way into the cause ofthe infection and a strategy to minimise this risk in the future,"he said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com