Hành trình phá mã Stuxnet, virus máy tính hắc ám nhất trong lịch sử – 2

Phần 1  2  3  4  5  6  7  8


“Nếu thứ hai có tin tôi tự tử chết, tôi chỉ muốn nhắc các bạn là, tôi không phải kiểu người muốn tự vẫn đâu nhé.” – Liam O Murchu


Tổng thống Iran – Mahmoud Ahmadinejad đang quan sát màn hình máy tính tại nhà máy làm giàu Uranium tại Natanz, nơi mà các chuyên gia cho rằng virus Stuxnet đã lây nhiễm trên các hệ thống máy tính ở đây và phá hỏng nhiều ống ly tâm. Nguồn: Văn phòng Tổng thống – Cộng hòa Hồi giáo Iran.

Ngày 17/06/2010, khi đang duyệt thư điện tử ở văn phòng tại Belarus, Sergey Ulasen bỗng chú ý tới một bản báo cáo về một máy tính của một khách hàng từ Iran bị khởi động lại liên tục mặc dù người vận hành đã cố gắng khắc phục. Đây là biểu hiện thường thấy khi máy bị nhiễm virus.

Ulasen là trưởng bộ phận chống virus của một hãng an ninh máy tính nhỏ tên là VirusBlokAda ở Minsk. Khởi đầu chỉ là một nhánh nhỏ của khoa học máy tính, chỉ trong vòng một thập niên, an ninh máy tính đã phát triển thành cả một ngành công nghiệp trị giá hàng tỷ đô la do sự bùng phát của những cuộc tấn công mạng tinh vi và sự biến đổi khôn lường của các loại virus máy tính, trojan*, và phần mềm gián điệp.

Các chuyên gia an ninh bậc nhất như Bruce Schneier, Dan Kaminsky và Charlie Miller được coi như các siêu sao trong mắt các đồng nghiệp. Đồng thời các công ty hàng đầu như Symantec, McAfee và Kaspersky đã trở thành những cái tên quen thuộc đối với công chúng, bảo vệ từ những máy tính xách tay của người già cho tới các mạng máy tính quan trọng trong quân sự.

Nhưng VirusBlokAda thì không phải là siêu sao cũng chẳng hề phổ biến mà chỉ là một công ty ít tên tuổi, rất ít người trong nghề biết tới. Nhưng điều này đã thay đổi trong chốc lát.

Nhóm nghiên cứu của Ulasen nhận được mẫu virus trong máy tính bị lây nhiễm của khách hàng và nhận ra rằng virus này lây lan qua một lỗ hổng bảo mật “chưa từng được biết tới” (zero-day exploit). Các lỗ hổng zero-day là vũ khí lợi hại nhất của giới tin tặc vì họ nhắm vào và lợi dụng những điểm yếu phần mềm mà hãng phát triển và các công ty chống virus chưa hề biết tới. Tuy nhiên, chúng cũng rất hiếm, để tìm được và sử dụng zero-day, tin tặc cần phải có kỹ năng tốt cùng với sự kiên trì cao độ. Trong số hơn 12 triệu mã độc được phát hiện hàng năm, có chưa tới một tá sử dụng các lỗ hổng zero-day.

Lần này, phương pháp tấn công cho phép virus lây một cách khôn khéo sang máy tính khác qua các bộ nhớ USB. Điểm yếu nằm ở tập tin dạng LNK** của chương trình Windows Explorer, một thành phần cơ bản trong hệ điều hành Windows của Microsoft. Khi một thẻ nhớ USB đã bị lây được cắm vào một máy tính, Explorer sẽ tự động quét nội dung của ổ USB và làm kích hoạt phần mã khai thác lỗi để lén truyền một tập tin lớn có một phần được mã hóa qua máy tính đích. Việc truyền tập tin này tương tự như việc một máy bay vận tải thả lính dù ngụy trang vào lãnh thổ của địch.

Nhìn lại, đây là phương pháp tấn công rất thông minh vì nó tấn công vào một chức năng phổ biến như vậy. Hơn nữa, không lâu sau đó, các chuyên gia ngạc nhiên nhận ra rằng kiểu tấn công này đã được sử dụng trước đó.

VirusBlokAda thông báo Microsoft về lỗ hổng này, và vào ngày 12/07, trong khi hãng phần mềm khổng lồ này chuẩn bị bản sửa lỗi thì VirusBlokAda công bố phát hiện này trên một bài đăng ở một diễn đàn về an ninh máy tính. Ba ngày sau, blogger về an ninh máy tính Brian Krebs viết về vấn đề này, trong khi các hãng chống virus trên thế giới đua nhau kiếm cho được mẫu của phần mềm ác tính này – được Microsoft gọi là Stuxnet nhờ kết hợp tên các tập tin (.stub và MrxNet.sys) tìm thấy trong phần mã của nó.

Thêm nhiều chi tiết được hé lộ khi cả ngành công nghiệp an ninh máy tính hối hả làm việc, giải mã và phân tích Stuxnet.

Hóa ra phần mã độc đã được triển khai vào khoảng một năm trước tức là vào tháng 06/2009. Hơn nữa, tác giả giấu mặt của Stuxnet cũng đã cập nhật và chỉnh sửa nó, đưa ra ba phiên bản khác nhau. Điểm đáng chú ý là một trong các tập tin thuộc trình điều khiển của virus này sử dụng một tập tin được ký số và xác nhận bằng một chứng thư số bị đánh cắp từ hãng RealTek Semiconductor, một hãng sản xuất phần cứng ở Đài Loan, để đánh lừa các hệ thống máy tính tưởng rằng virus này là một phần mềm đáng tin cậy của công ty này.

Các cơ quan quản lý quốc tế nhanh chóng hủy bỏ chứng thư số này. Tuy nhiên một trình điều khiển khác của Stuxnet bị phát hiện sử dụng một chứng thư khác, lần này ăn trộm từ công ty JMicron Technology, một công ty sản xuất mạch điện cũng của Đài Loan. Không biết là tình cờ hay không mà cả hai công ty này (RealTek và JMicron) đều có trụ sở chính ở tại cùng một khu văn phòng. Liệu những kẻ chủ mưu đã đột nhập trực tiếp vào trụ sở của các công ty này hay gián tiếp qua đường internet để đánh cắp mã khoá dùng để ký số các chứng thư kể trên? Không ai biết rõ.

“Hiếm khi chúng ta chứng kiến những kế hoạch chuyên nghiệp như thế này”, ESET, một công ty về an ninh máy tính, đánh giá trên blog của công ty. “Điều này cho thấy những kẻ tấn công có nguồn lực đáng kể.”

Tuy vậy ở mặt khác thì Stuxnet có vẻ dễ đoán cũng như không tham vọng lắm với mục tiêu nó nhắm tới. Các chuyên gia xác định virus này được thiết kế để nhắm vào Simatic WinCC Step7, một phần mềm điều khiển hệ thống công nghiệp của tập đoàn Siemens, Đức, thường dùng để điều khiển các động cơ, van, và các công tắc trong đủ các kiểu hệ thống công nghiệp như từ các nhà máy chế biến thực phẩm, tới các dây chuyền lắp ráp ôtô, các đường ống dẫn dầu và các nhà máy xử lý nước.

Mặc dù điều này khá mới mẻ, do các hệ thống điều khiển công nghiệp hiếm khi là đích ngắm của tin tặc vì không có kịch bản rõ ràng cho việc kiếm lời bất chính sau xâm nhập, thì những điều Stuxnet thực hiện trên Simatic lại không có gì là mới mẻ. Nó chỉ đơn giản là đánh cắp dữ liệu về cấu hình và thiết kế của các hệ thống. Hoạt động này được đánh giá ban đầu là để giúp các đối thủ cạnh tranh sao chép cách bố trí mặt bằng của nhà máy. Stuxnet, vào lúc này, chỉ có vẻ như là một vụ gián điệp công nghiệp.

Các công ty chống virus bổ sung các dấu hiệu số giúp nhận dạng mã độc dành cho các phiên bản Stuxnet khác nhau vào hệ thống phòng chống virus của họ, và phần lớn là chuyển qua làm các công việc khác.

Câu chuyện về Stuxnet có lẽ đã dừng lại ở đây. Tuy nhiên có một vài chuyên gia an ninh máy tính vẫn chưa muốn dừng bước.

*Trojan có nghĩa là phần mềm trá hình, trong ngữ cảnh an ninh máy tính. Trojan giả dạng là một phần mềm vô hại hay đáng tin cậy để lừa người dùng máy cài đặt hoặc kích hoạt nó. Sau khi thâm nhập Trojan thường âm thầm đánh cắp các thông tin có giá trị của người dùng máy, cũng như làm giảm mức độ an ninh của hệ thống.

**Tập tin LNK có chứa đường dẫn cụ thể tới một tập tin hoặc thư mục trong hệ điều hành Windows.


Phần 1  2  3  4  5  6  7  8


Advertisements

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s

%d bloggers like this: