Giải mã sâu tấn công lò phản ứng hạt nhân Iran

Giải mã "sâu" tấn công lò phản ứng hạt nhân IranCác nhà nghiên cứu bảo mật cho biết, sâu Stuxnet đã lén lút tấn công các mục tiêu của ngành công nghiệp nặng, điển hình như lò phản ứng hạt nhân của Iran nhưng chính tác giả tạo sâu Stuxnet đã bị thất bại vì sự bất lực của Stuxnet. USB làm hỏng kế hoạch Sâu được thiết kế thâm nhập vào các chương trình điều khiển ngành công nghiệp nặng. Đây là chương trình giám sát và quản lý các nhà máy, hệ thống dẫn dầu, nhà máy phát...
Nội dung trích xuất từ tài liệu:
Giải mã "sâu" tấn công lò phản ứng hạt nhân Iran Giải mã sâu tấn công lò phản ứng hạt nhân IranCác nhà nghiên cứu bảo mật cho biết, sâu Stuxnet đã lénlút tấn công các mục tiêu của ngành công nghiệp nặng,điển hình như lò phản ứng hạt nhân của Iran nhưng chínhtác giả tạo sâu Stuxnet đã bị thất bại vì sự bất lực củaStuxnet.USB làm hỏng kế hoạchSâu được thiết kế thâm nhập vào các chương trình điều khiểnngành công nghiệp nặng. Đây là chương trình giám sát vàquản lý các nhà máy, hệ thống dẫn dầu, nhà máy phát điện,….Sâu này chỉ bị phát hiện trên các rada của các nhà nghiên cứutrong mùa hè vừa qua, gần một năm sau khi chúng xuất hiệnlần đầu tiên.Tuy nhiên, việc phát tán chúng có thể là các mục tiêu có chủđích, theo Roel Schouwenberg, nhà nghiên cứu diệt virus caocấp của Kaspersky Lab (một trong hai hãng bảo mật đã mấtnhiều thời gian phân tích sâu Stuxnet).Hầu hết các nhà nghiên cứu đều nhất trí rằng, Stuxnet đã pháttriển tinh vi hơn trước và được gọi là groundbreaking tức là,chúng được xây dựng bởi một nhóm có tiềm lực về tài chính,quyền lực mà đứng đằng sau có thể là một chính phủ. Có lẽmục tiêu của sâu này là nhắm vào Iran và các hệ thống trongchương trình năng lượng hạt nhân của nước này.Đầu tuần này, các quan chức Iran đã cho biết, hàng chụcnghìn máy tính Windows đã bị nhiễm sâu Stuxnet, bao gồmmột số địa điểm ở một nhà máy năng lượng hạt nhân ở TâyNam Iran. Tuy nhiên, họ phủ nhận việc cuộc tấn công đã gâythiệt hại cho bất cứ phương tiện nào. Tuy nhiên, sâu Stuxnetđã góp phần gây ra việc trì hoãn hoạt động của lò phản ứngnày.Nhưng nếu Stuxnet nhắm vào một danh sách mục tiêu cụ thểthì tại sao chúng lại lây nhiễm cho hàng nghìn máy tính PCbên ngoài Iran, ở một số quốc gia như Trung Quốc, Đức,Kazakhstan và Indonesia?Liam O Murchu, nhà quản lý về bảo mật của Symantec chobiết, cho dù các nhà chế tạo Stuxnet có giới hạn khả năng pháttán thì vẫn có một số thứ hoạt động không đúng như tác giảmong đợi.O Murchu cho biết, phương thức lây nhiễm thường thông quacác thiết bị USB gồm bộ đếm để giới hạn lây lan cho 3 máytính. Điều này rõ ràng cho thấy những kẻ tấn công khôngmuốn Stuxnet lây lan rộng ra. Chúng muốn Stuxnet duy trìgần với những điểm lây nhiễm ban đầu.Nghiên cứu của O Murchu cũng cho thấy, cửa sổ giới hạn lâynhiễm 21 ngày hay nói cách khác là sâu sẽ xâm nhập các máykhác trong một mạng chỉ trong 3 tuần trước khi thoát ra. Mặcdù có việc chống nhân bản nhưng Stuxnet vẫn lan rộng ra.Vậy nguyên nhân là do đâu?Schouwenberg của Kaspersky tin rằng, đó là do thiết bị USBđã bị nhiễm sâu Stuxnet và đã làm hỏng kế hoạch mà kẻ sảnxuất Stuxnet muốn.Lây lan dựa theo nhận biết phần cứng mạngTheo quan điểm của Schouwenberg, biến thể đầu tiên củaStuxnet không đạt đến được mục đích của chúng. Ông cũngđề cập tới phiên bản 2009 của sâu này (chúng thiếu nhiều cơchế lây lan linh hoạt nhắ́m tới nhiều lỗ hổng zero-day củaWindows). Vì vậy, chúng đã tạo ra phiên bản tinh vi hơn đểđạt được mục đích cuối cùng.Phiên bản phức tạp hơn đã được phát triển hồi tháng 3 nămnay nhưng phiên bản trước đó đã hoạt động trong nhiều thángvà thậm chí lâu hơn nữa trước khi một hãng cung cấp phầnmềm diệt virus ít tên tuổi từ Belarus đầu tiên phát hiện rachúng hồi tháng 6. Phiên bản đầu tiên không đủ lây lan và tácgiả của Stuxnet đã mạo hiểm bỏ qua ý tưởng tàng hình chosâu này.Theo giả định của Schouwenberg, các nhà phát triển Stuxnetđã thực sự gặp thất bại trong việc xâm nhập vào các mục tiêucó chủ đích. Schouwenberg quả quyết, chúng đã tốn nhiềuthời gian và tiền bạc cho sâu Stuxnet. Chúng có thể thử lại vàvẫn sẽ thất bại hoặc có thể bổ sung thêm nhiều chức năng để“tăng lực” cho Stuxnet.O Murchu đã đồng ý rằng, tác giả sâu đã sai lầm khi dùngStuxnet lây nhiễm hệ thống máy tính. Sâu Stuxnet đã tiến hóatheo thời gian, bổ sung các cách lây lan mới trên mạng với hyvọng tìm ra các PLC (chương trình lập trình điều khiển logic)cụ thể để chiếm quyền kiểm soát. Nhưng có lẽ các cuộc tấncông này đã không quản lý tất cả các mục tiêu của chúng. Sựphức tạp của Stuxnet tăng lên trong năm 2010 nhưng chúngđã không đạt được mục tiêu như đã đặt ra.Với sự gia tăng của Stuxnet, Schouwenberg cho rằng, quốcgia tạo ra sâu này có thể chính họ cũng bị ảnh hưởng. Nguycơ đó có thể là khá nhỏ vì những cơ sở hạ tầng quan trọng củahọ đã không bị ảnh hưởng bởi sâu Stuxnet và vì hệ thống đókhông sử dụng Siemens PLCs.Stuxnet chỉ cố gắng xâm nhập các PLC được chế tạo bởi cácgã khổng lồ điện tử Đức –Siemens. Hãng này cung cấp một sốlớn phần cứng và phần mềm điều khiển cho ngành côngnghiệp ở Iran.Nghiên cứu của O Murchu có vẻ quay trở lại với quan điểmcủa Schouwenberg. Stuxnet đã tìm kiếm các loại phần cứngPLC cụ thể hiện nay. Chưa có chứng cớ rõ ràng việc phầncứng chính là mục tiêu nhận biết tấn công của Stuxnet. Nhưngđoạn mã của sâu Stuxnet chỉ lây nhiễm PLC sử dụng cardmạng cụ thể.Cả Schouwenberg và O Murchu cho biết, có thể không baogiờ biế ...