Vũ khí Stuxnet có ít nhất 4 anh em, theo các nhà nghiên cứu

Stuxnetweapon has at least 4 cousins: researchers

Wed Dec 28, 2011 6:46pmEST

By Jim Finkle

Theo:http://ca.reuters.com/article/technologyNews/idCATRE7BR1EV20111228

Bài được đưa lênInternet ngày: 28/12/2011

Lờingười dịch: Một vài trích đoạn từ bài viết: “Stuxnetđã được liên kết tới virus khác, trojan ăn cắp dữliệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chươngtrình các vũ khí không gian mạngnày đã nhằm vào Iran có thể còn phức tạp hơn nhiềuso với được biết trước đó...Raiu nói nền tảng đó được cấu tạo từ một nhóm cácmodule phần mềm tương thích nhau được thiết kế đểkhớp được với nhau, mỗi mẩu với các chức năng khácnhau. Các lập trình viên có thểxây dựng các vũ khí không gian mạng mới bằng việc đơngiản bổ sung và loại bỏ các module.

“Hìnhnhư đây là một bộ Lego. Bạn có thể lắp ráp các thànhphần thành bất kỳ thứ gì: một con người máy hoặcmột con ngựa hoặc một cái xe tăng”,... Kaspersky gần đây đã phát hiện ra các thành phầnđược chia sẻ mới, chúng tìm kiếm ít nhất 3 khóa đăngký độc nhất vô nhị, mà gợi ý rằng các lập trìnhviên của Stuxnet và Duqu cũng đã xây dựng ít nhất 3 mẩuphần mềm độc hại khác có sử dụng cùng nền tảngnày, ông bổ sung. Các module đó nắm các nhiệm vụ baogồm việc phân phối phần mềm độc hại tới một PC,cài đặt nó, giao tiếp với những người vận hành, ăncắp dữ liệu và tự nhân bản nó... Kaspersky tin tưởngrằng Tilded đã có ít nhất từ 2007 vì mãnguồn đặc thù được Duqu cài đặt đã được biêndịch từ một thiết bị chạy hệ điều hành Windows vàongày 31/08/2007.”

Reuters - Virus Stuxnetmà năm ngoái đã làm hại cho chương trình hạt nhân củaIran có lẽ là một trong 5 vũ khí không gian mạng mớinhất được phát triển trên một nền tảng duy nhất màgốc rễ của chúng có từ năm 2007, theo nghiên cứu mớitừ Phòng thí nghiệm Kaspersky, hãng an ninh máy tính củaNga.

Các chuyên gia tintưởng rộng rãi rằng Mỹ và Israel đã đứng đằng sauStuxnet, dù 2 quốc gia này đã chính thức bác bỏ bìnhluận về vụ việc.

Một người phát ngôncủa Lầu 5 góc hôm thứ tư đã từ chối bình luận vềnghiên cứu của Kaspersky, mà đã không đề cập tới aiđã đứng đằng sau Stuxnet.

Stuxnetđã được liên kết tới virus khác, trojan ăn cắp dữliệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chươngtrình các vũ khí không gian mạng này đã nhằm vào Iran cóthể còn phức tạp hơn nhiều so với được biết trướcđó.

Giám đốc củaKaspersky về phân tích và nghiên cứu toàn cầu, CostinRaiu, đã nói với Reuters hôm thứ tư rằng đội của ôngđã thu thập các bằng chứng chỉ ra nền tảng y hệt đãđược sử dụng để xây dựng Stuxnet và Duqu cũng từngđược sử dụng để tạo ra ít nhất 3 mẩu phần mềmđộc hại khác.

Raiunói nền tảng đó được cấu tạo từ một nhóm cácmodule phần mềm tương thích nhau được thiết kế đểkhớp được với nhau, mỗi mẩu với các chức năng khácnhau. Các lập trình viên có thể xây dựng các vũ khíkhông gian mạng mới bằng việc đơn giản bổ sung vàloại bỏ các module.

“Hìnhnhư đây là một bộ Lego. Bạn có thể lắp ráp các thànhphần thành bất kỳ thứ gì: một con người máy hoặcmột con ngựa hoặc một cái xe tăng”, ông nói.

(Reuters) - The Stuxnet virus thatlast year damaged Iran's nuclear program was likely one of at leastfive cyber weapons developed on a single platform whose roots traceback to 2007, according to new research f-rom Russian computersecurity firm Kaspersky Lab.

Security experts widely believethat the United States and Israel were behind Stuxnet, though the twonations have officially declined to comment on the matter.

A Pentagon spokesman on Wednesdaydeclined comment on Kaspersky's research, which did not address whowas behind Stuxnet.

Stuxnet has already been linked toanother virus, the Duqu data-stealing trojan, but Kaspersky'sresearch suggests the cyber weapons program that targeted Iran may befar more sophisticated than previously known.

Kaspersky's director of globalresearch & analysis, Costin Raiu, told Reuters on Wednesday thathis team has gathered evidence that shows the same platform that wasused to build Stuxnet and Duqu was also used to cre-ate at least threeother pieces of malware.

Raiu said the platform is comprisedof a group of compatible software modules designed to fit together,each with different functions. Its developers can build new cyberweapons by simply adding and removing modules.

"It's like a Lego set. You canassemble the components into anything: a robot or a house or a tank,"he said.

Kaspersky đã nói nềntảng đó là “Tilded” vài nhiều tệp trong Duqu vàStuxnet có các tên bắt đầu với dấu ngã “~” và chữcái “d”.

Các nhà nghiên cứuvới Kaspersky đã không thấy bất kỳ dạng mới nào củaphần mềm độc hại được xây dựng trên nền tảngTilded, Raiu nói, nhưng họ khá chắc chắn rằng chúng tồntại vì các thành phần được chia sẻ của Stuxnet vàDuqu dường như đang tìm kiếm họ hàng của chúng.

Khimột máy tính bị lây nhiễm với Duqu hoặc Stuxnet, thìcác thành phần được chia sẻ trên nền tảng đó sẽtìm 2 khóa đăng ký duy nhất trên PC đó được kết nốitới Duqu và Stuxnet rồi sau đó được sử dụng để tảimẩu phần mềm độc hại chính vào máy tính đó, ôngnói.

Kasperskygần đây đã phát hiện ra các thành phần được chia sẻmới, chúng tìm kiếm ít nhất 3 khóa đăng ký độc nhấtvô nhị, mà gợi ý rằng các lập trình viên của Stuxnetvà Duqu cũng đã xây dựng ít nhất 3 mẩu phần mềm độchại khác có sử dụng cùng nền tảng này, ông bổ sung.

Cácmodule đó nắm các nhiệm vụ bao gồm việc phân phốiphần mềm độc hại tới một PC, cài đặt nó, giao tiếpvới những người vận hành, ăn cắp dữ liệu và tựnhân bản nó.

Các nhà sản xuấtcác phần mềm chống virus, bao gồm cả Kaspersky, hãngSymantec Corp của Mỹ và Trend Micro Inc của Nhật đã kếthợp công nghệ vào các sản phẩm của họ để bảo vệcác máy tính khỏi bị lây nhiễm với Stuxnet và Duqu.

Vângcó thể khá dễ dàng đối với các lập trình viên củacác virus tinh vi phức tạp cao đó tạo ra những vũ khíkhác mà có thể lẩn tránh được sự dò tìm ra củanhững chương trình chống virus đó với những module trongnền tảng Tilded, ông nói.

Kasperskytin tưởng rằng Tilded đã có ít nhất từ 2007 vì mãnguồn đặc thù được Duqu cài đặt đã được biêndịch từ một thiết bị chạy hệ điều hành Windows vàongày 31/08/2007.

Kaspersky named the platform"Tilded" because many of the files in Duqu and Stuxnet havenames beginning with the tilde symbol "~" and the letter"d."  

Researcherswith Kaspersky have not found any new types of malware built on theTilded platform, Raiu said, but they are fairly certain that theyexist because shared components of Stuxnet and Duqu appear to besearching for their kin.

When a machine becomes infectedwith Duqu or Stuxnet, the shared components on the platform searchfor two unique registry keys on the PC linked to Duqu and Stuxnetthat are then used to load the main piece of malware onto thecomputer, he said.

Kaspersky recently discovered newshared components that search for at least three other uniqueregistry keys, which suggests that the developers of Stuxnet and Duqualso built at least three other pieces of malware using the sameplatform, he added.

Those modules handle tasksincluding delivering the malware to a PC, installing it,communicating with its operators, stealing data and replicatingitself.

Makers of anti-virus softwareincluding Kaspersky, U.S. firm Symantec Corp and Japan's Trend MicroInc have already incorporated technology into their products toprotect computers f-rom getting infected with Stuxnet and Duqu.

Yet it would be relatively easy forthe developers of those highly sophisticated viruses to cre-ate otherweapons that can evade detection by those anti-virus programs by themodules in the Tilded platform, he said.

Kaspersky believes that Tildedtraces back to at least 2007 because specific code installed by Duquwas compiled f-rom a device running a Windows operating system onAugust 31, 2007.

(Reporting By Jim Finkle; Editing by Phil Berlowitz)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com