Phần mềm độc hại được vũ khí hóa: 4 công cụ tấn công không gian mạng hàng đầu

By Ken Presti, PUBLISHEDNOV. 9, 2012

Theo:http://www.crn.com/news/security/240077512/weaponized-malware-top-four-cyberattack-tools.htm

Bàiđược đưa lên Internet ngày: 09/11/2012

Lờingười dịch: Trong vòng 2 năm qua, 4 mẩu phần mềm độchại đã nổi lên như là những vũ khí thực sự và đãđược sử dụng cho những mục đích phá hoại hoặc hỗtrợ các cuộc tấn công như vậy gồm: (1) Stuxnet; (2)Duqu; (3) Flame và (4) Shamoon. Trong số này, Flame được coilà còn phức tạp hơn cả Stuxnet.

Trong vòng 2 năm qua, 4mẩu phần mềm độc hại đã nổi lên như là những vũkhí thực sự và đã được sử dụng cho những mục đíchphá hoại hoặc hỗ trợ các cuộc tấn công như vậy.

1. Stuxnet là nổitiếng nhất trong số 4 phần mềm độc hại đó. Stuxnettừng được thiết kế với một tảy trọng phần mềmđộc hại chuyên dụng cao được nhằm vào các hệ thốngSCADA kiểm soát các tiến trình công nghiệp. Ban đầu đượcsử dụng để tấn công các máy li tâm từng là một phầncủa chương trình được cho là vũ khí hạt nhân củaIran, có khả năng đã được phát triển với sự hỗ trợcủa một nhà nước quốc gia.

Lần đầu đượcphát hiện vào tháng 06/2010, phần mềm độc hại này đượctin tưởng đã được tung vào sự hoang dã một cách ngẫunhiên khi máy tính của một kỹ sư đã từng được kếtnối tới các máy li tâm về sau được nối tới Internet.Trong khi không ai chịu nhận trách nhiệm về Stuxnet, thìMỹ và Israel bị nghi ngờ nhiều nhất, theo nhiều chuyêngia an ninh.

2. Được phát hiệnvào tháng 9 năm ngoái, Duqu được cho là có liên quan tớiStuxnet. Sâu này được lập trình để tìm kiếm các dữliệu có thể tạo thuận lợi cho các cuộc tấn công vàocác hệ thống kiểm soát công nghiệp. Tuy nhiên, các khảnăng của nó không hề bị giới hạn tói hạ tầng SCADA.Khi được cô lập trên các máy tính cá nhân PC, sâu đóthường tự xóa mình cũng như tải trọng của nó và thậmchí cả các nội dung của ổ đĩa cứng, vì thế làm chonó khó điều tra hơn nhiều.

3. Flame, còn đượcbiết như là Flamer và Skywiper, được module hóa cao độvề bản chất tự nhiên, nghĩa là nhiều khả năng củanó có thể được nhấc khỏi mã nguồn Flame và bỏ vàophần mềm độc hại mới theo sự lựa chọn của kẻ tấncông. Được phát hiện vào năm nay, nó từng được sửdụng hầu hết cho các hoạt động gián điệp tại TrungĐông và có khả năng đã được các nhân viên tại Mỹvà/hoặc Israel phát triển, các chuyên gia an ninh đã nói.Được một số người xem là thậm chí còn phức tạphơn cả Stuxnet, Flame tải lên những hình chụp tới cácmáy chủ chỉ huy và kiểm soát, và ghi lại âm thanh, gõbàn phím và hoạt động của mạng.

4. Shamoon là mới gầnđây nhất. Sâu đó từng được phát hiện hồi tháng 8như điểm trọng tâm của một cuộc tấn công chống lạiAramco, một công ty dầu khi lớn của Ả rập Xê út.Shamoon tải lên các tệp tới các máy chủ kiểm soát củanó và thường xóa chúng trên máy chủ chứa sau khi làmthế. Virus này cũng phá hỏng bản ghi khởi động chủMBR, vì thế làm cho máy tính hoàn toàn chết.

Overthe past two years, four pieces of malware have emerged as veritableweapons and have been used for destructive purposes or to assist insuch attacks.

1.Stuxnet is the most widely known of the four. Stuxnet was designedwith a highly specialized malware payload that targeted SCADA systemsthat control specific industrial processes. Originally used to attackcentrifuges that were part of Iran's alleged nuclear weapons program,it's likely to have been developed with the support of a nationstate.

Firstdiscovered in June 2010, the malware is believed to been releasedinto the wild by accident when an engineer's computer that had beenconnected to the centrifuges was subsequently connected to theInternet. While no one has claimed responsibility for Stuxnet, theU.S. and Israel are widely suspected, according to many securityexperts.

2.Discovered in September of last year, Duqu is thought to be relatedto Stuxnet. This worm is programmed to look for data that canfacilitate attacks on industrial control systems. However, itscapabilities are by no means limited to SCADA infrastructure. Whenisolated onto PCs, the bug frequently de-letes itself as well as itspayload and even the contents of the hard drive, thereby making itfar more difficult to investigate.

3.Flame, which is also known as Flamer and Skywiper, is highly modularin nature, meaning that many of its capabilities can be lifted out ofthe Flame code and d-ropped into new malware of the attacker'schoosing. Discovered this year, it has been used mostly forcyberespionage activities in the Middle East and is likely to havebeen developed by operatives in the U.S. and/or Israel, securityexperts have said. Considered by some to be even more sophisticatedthan Stuxnet, Flame uploads screenshots to its command and controlservers, and records audio, keystrokes and network activity.

4.Shamoon is the most recent arrival. The bug was discovered in Augustas the focal point of an attack against Aramco, a large Saudi Arabianoil company. Shamoon uploads files to its control servers andtypically erases them on the host machine after doing so. The virusalso corrupts the master boot record, thereby taking the machinecompletely out of service.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com