Chuyên Mục Công Nghệ

Hành trình phá mã Stuxnet, virus máy tính hắc ám nhất trong lịch sử – 4

By Phạm Duy Đông / 01/07/2013 / Bảo mật / Bình luận về bài viết này

Phần 1 2 3 4 5 6 7 8

“Chúng tôi bàn tới việc mọi sự sẽ bùng nổ!” – Eric Chien

Eric Chien của hãng Symantec, cho biết công ty của anh không hề lo ngại rằng việc họ tiết lộ các chi tiết về Stuxnet có thể phá hỏng một điệp vụ bí mật chống Iran của chính phủ Mỹ. Nguồn: Jon Snyder, Wired.com.

Một tối thứ 6 vào cuối tháng 8, O Murchu đang ăn mừng sinh nhật của mình tại một quầy bar trên nóc Khách sạn Erwin có tầm nhìn hướng ra Thái Bình Dương ở Venice, California. Anh đang vui vẻ uống bia và cocktail cùng gia đình và bạn bè. Gần đó một nhóm quay phim của một show truyền hình thực tế đang ghi hình một cặp đôi đang hẹn hò “riêng tư”, thực hiện các cử chỉ “khó nói”. Vào lúc 9 giờ, khi nhóm O Murchu đã ở đây được ba giờ đồng hồ, Chien tới. Nhưng anh chẳng có chút tâm trí nào để tiệc tùng. Anh có việc muốn cho O Murchu biết, tuy nhiên lại không muốn bàn tới công việc.

“Tôi muốn cho cậu xem cái này, nhưng rồi không bàn tới nó nữa cho đến hết tối nhé,” anh nói với O Murchu. Anh lấy chiếc điện thoại BlackBerry của mình ra rồi mở một thư điện tử mới được gửi tới danh sách địa chỉ của một nhóm các chuyên gia an ninh máy tính. Trong thư điện tử này một chuyên gia khác đưa ra giả thuyết rằng còn có các lỗ hổng zero-day khác ẩn mình trong Stuxnet.

O Murchu lặng nhìn Chien. Họ đã rũ tung Stuxnet cả tháng nay và cũng thấy các manh mối của các cách khai thác mã khác trong đó, nhưng vẫn chưa xác nhận được trường hợp nào. Bức thư điện tử không có các chi tiết cụ thể nhưng chỉ riêng lời gợi ý về các yếu điểm zero-day đã đủ khơi dậy tinh thần đua tranh trong O Murchu.

“Thôi nhé,” anh nói. “Tôi không uống thêm gì nữa đâu.”

Sáng sớm hôm sau, thứ bảy, O Murchu tới văn phòng cắm cúi phân tích mã, tập trung vào phần Stuxnet dùng để lây nhiễm, đồng thời kiểm thử và ghi chép lại các kết quả thu được. Tới giữa giờ chiều thì anh nghỉ xả hơi và giao lại công việc cho Chien tiếp tục phân tích suốt buổi tối. Đáng kinh ngạc thay, kết thúc cuối tuần đó họ phát hiện được tận ba cách khai thác mã zero-day nữa.

Ngoài điểm yếu LNK, Stuxnet còn khai thác một yếu điểm về trình xử lý hàng đợi in ấn trong các máy chạy Windows để lây nhiễm giữa các máy tính dùng chung một máy in. Cách khai thác thứ ba và thứ tư lần lượt tấn công vào một tập tin điều khiển bàn phím và lập lịch tác vụ (Task Scheduler) của Windows để nâng quyền quản trị cho những kẻ tấn công, giúp chúng có toàn quyền điều khiển máy. Hơn nữa, Stuxnet khai thác một mật khẩu cố định mà Siemens thiết lập sẵn trong phần mềm Step7. Stuxnet sử dụng mật khẩu này để truy cập và lây lan vào một máy chủ có chứa một cơ sở dữ liệu dùng cho Step7, rồi từ đó lây lan tới các máy khác có kết nối với máy chủ này.

Những kẻ tấn công có dã tâm lan truyền mã độc này thật điên cuồng, nhưng lại theo một cách hạn chế đến kỳ lạ. Khác với phần lớn các phần mềm độc hại thông thường hay dùng tới thư điện tử hoặc các trang web để lây lan theo diện rộng trong thời gian ngắn; Stuxnet chỉ lây lan trong mạng nội bộ. Cách chính duy nhất để Stuxnet lây nhiễm vào một trụ sở mới là một ai đó vô tình hay cố ý mang một ổ USB đã bị nhiễm vào trong trụ sở này.

Dường như những kẻ tấn công nhắm tới các hệ thống mà họ biết rõ là không có kết nối Internet. Do chúng sử dụng tới bốn lỗ hổng zero-day để làm việc này, các mục tiêu phải có giá trị rất cao.

Đây là một chiến thuật tấn công bừa bãi và không chính xác – kiểu như lây một virus lạ cho các bà vợ của Osama bin Laden, hi vọng rằng các bà này sẽ truyền bệnh cho thủ lĩnh Al Qaeda. Chắc chắn là virus sẽ lây sang nhiều người khác nữa, vượt ra ngoài mục tiêu chính, và làm gia tăng khả năng kế hoạch bị bại lộ.

Đây chính là điều xảy ra với Stuxnet. Nhóm nghiên cứu của Symantec phát hiện ra rằng tất cả các mẫu Stuxnet đều có chứa tên miền và nhãn thời gian của từng hệ thống nó đã lây nhiễm. Điều này giúp họ lần theo dấu vết của từng lần lây nhiễm tới máy tính bị nhiễm đầu tiên. Họ phát hiện ra những kẻ chủ mưu đã tập trung tấn công vào năm tổ chức ở Iran mà chúng tin là các cửa ngõ dẫn tới mục tiêu chính. Năm tổ chức này hứng chịu các đợt tấn công vào tháng 6 và tháng 7 năm 2009 và sau đó vào tháng 3, 4 và 5 năm 2010. Tuy nhiên do sử dụng các khai thác mã zero-day nên Stuxnet lây lan ra khỏi các tổ chức này tạo nên cả một mạng lưới lây nhiễm.

Symantec thông báo thêm các điểm yếu zero-day đã tìm thấy này cho Microsoft và các hãng chống virus khác. Các hãng này rà soát kho lưu trữ mã độc của họ để xem có điều gì tương tự với các khai thác này đã xuất hiện trước đây không.

Đáng chú ý là họ phát hiện ra một phương thức khai thác mã LNK tấn công yếu điểm tương tự trong trình Window Explorer đã từng lộ diện vào tháng 11/2008. Cách khai thác mã này được dùng để lây lan một biến thể của Zlob, một họ Trojan chuyên cài đặt phần mềm quảng cáo và các “backdoor độc hại*” trên các máy bị nhiễm. Biến thể Zlob này đã bị các hãng chống virus phát hiện qua hệ thống báo cáo mã độc tự động từ phía khách hàng, tuy nhiên lỗ hổng zero-day thì bị bỏ sót. Sau lần xuất hiện đầu tiên đó, cách khai thác mã này lặn mất tăm cho tới khi tái xuất với Stuxnet.

Cách khai thác điểm yếu trong trình xử lý hàng đợi in ấn cũng đã lộ diện trước đó. Vào tháng 4/2009, một tạp chí về an ninh máy tính của Ba Lan có đăng một bài đề cập tới chi tiết về yếu điểm này và thậm chí còn cung cấp cả mã nguồn khai thác để tấn công vào yếu điểm này từ xa. Dù vậy, Microsoft không biết tới bài báo đó, do vậy đã không vá yếu điểm này.

Thậm chí cả mật khẩu cơ sở dữ liệu được thiết lập cố định của Siemens cũng đã lộ ra từ trước. Tháng 04/2008, một ai đó sử dụng tên “Cyber” đăng mật khẩu này trên các diễn đàn kỹ thuật chuyên về các sản phẩm của Siemens bằng tiếng Nga và tiếng Đức.

Có phải tác giả của Stuxnet, hay ai đó làm việc cho họ đã biết mã khai thác LNK vào năm 2008 để rồi sau đó thu thập nó dùng vào việc tấn công với hi vọng rằng Microsoft sẽ không vá nó? Hay là họ mua lại từ tác giả của Zlob (được cho là các tin tặc Đông Âu) qua các chợ đen chuyên cung cấp mã khai thác, nơi mà các lỗ hổng zero-day được bán với giá từ 50 tới 500 nghìn Đô la? Có phải họ cũng tìm ra các yếu điểm còn lại theo cách tương tự?

*Backdoor độc hại là một dạng chương trình máy tính tự động mở một cổng dịch vụ trái phép trên máy bị lây nhiễm để kẻ tấn công có thể kết nối/kiểm soát từ xa máy tính này.

Phần 1 2 3 4 5 6 7 8