Hành trình phá mã Stuxnet, virus máy tính hắc ám nhất trong lịch sử – 6

By / / Bảo mật / Bình luận về bài viết này

Phần 1  2  3  4  5  6  7  8

Chúng tôi nhận ra rằng đây là câu chuyện về mã độc quan trọng nhất từ trước tới nay. Đây là công việc thú vị nhất mà tôi từng làm.” – Ralph Langner

Chuyên gia an ninh máy tính người Đức, Ralp Langner, là người đầu tiên nhận định rằng Stuxnet là một vũ khí chính xác với mục tiêu phá hoại chương trình hạt nhân của Iran. Nguồn: David Ahntholz, Wired.com.

Ở nửa kia của trái đất, một người Đức, 52 tuổi, tên là Ralp Langner đang hào hứng đọc bài blog của Symantec. Langner không quan tâm lắm tới các hệ thống chạy Windows hay virus trên Internet – thậm chí nhà ông không có cả kết nối Internet. Tuy vậy ông lại là chuyên gia về một nhánh khoa học không mấy nổi tiếng gọi là an ninh hệ thống điều khiển trong công nghiệp. Đây là hướng duy nhất mà công ty nhỏ gồm ba người của ông làm. Chính vì vậy mà ông cảm thấy tò mò khi đọc thấy nhóm Symantec viết rằng Stuxnet phá hoại các bộ PLC.

“Tới lúc này thì chúng tôi bắt đầu chú ý tới Stuxnet,” Langner nói. “Chúng tôi nghĩ, được rồi, bắt đầu thú vị rồi đây.”

Langner biết rằng có hàng nghìn khách hàng của Siemens có khả năng đang có virus nguy hiểm này trong hệ thống, và họ đang chờ Symantec hoặc Siemens cho họ biết Stuxnet đang gây ra điều gì cho các bộ điều khiển công nghiệp của họ. Tuy vậy, đáng ngạc nhiên là Siemens lại hoàn toàn im lặng về vấn đề này. Ngoài việc, vào tháng 7, công ty này cho biết rằng họ đã thành lập một nhóm chuyên gia để phân tích virus này, họ gần như hoàn toàn im lặng.

“Dù sao thì đó cũng là các bộ điều khiển của họ, họ phải có trách nhiệm phân tích virus này,” Langner phát biểu. Vào thời điểm đó, Stuxnet đã có mặt trên các chợ đen virus trực tuyến, sẵn sàng cho bất kỳ ai có ý định xấu xa tải về và chỉnh sửa rồi sử dụng. Trong tay kẻ xấu, virus này có thể trở thành một kiểu tấn công rộng và nguy hiểm hơn nhằm vào các bộ điều khiển công nghiệp ở Mỹ hoặc các nơi khác.

Langner quyết định sẽ cùng nhóm của mình tự giải quyết Stuxnet.

Các kiến thức về máy tính của Langner chỉ là do tự học, nhưng chuyên môn về các sản phẩm Siemens của ông lại rất rộng. Thậm chí đôi khi ông cùng với các đồng nghiệp là Ralf Rosen và Andreas Timm còn huấn luyện các nhân viên của Siemens về các sản phẩm của chính hãng này. “Chỉ có một số nhỏ nhân viên Siemens biết những thứ này sâu hơn chúng tôi,” Langner nhận xét.

Ba người họ ngồi xúm quanh một bảng đầy màn hình trong văn phòng chật chội của họ để thảo luận các ý tưởng và kiểm tra các giả thuyết về hành động của virus này. Họ còn đồng thời tìm hiểu kỹ cấu hình mà Stuxnet hoạt động trong đó: Mã độc này liên lạc với thiết bị nào và liệu nó có nhiều liên lạc với nhiều thiết bị hay không? Liệu các thiết bị bị nhiễm này có kết nối với nhau theo một cách đặc biệt nào không?

Họ phải mất tới ba tuần làm việc để rút ra một kết luận hết sức kinh ngạc – Stuxnet không chỉ để nhằm tấn công một kiểu bộ điều khiển cụ thể của Siemens, mà nó là một vũ khí chính xác nhằm phá hoại một kiểu nhà máy cụ thể.

Trong mã của Stuxnet chứa một hồ sơ liệt kê chi tiết về cấu hình kỹ thuật của hệ thống mà nó nhắm tới. Bất kỳ hệ thống nào không hoàn toàn phù hợp với cấu hình này sẽ không bị ảnh hưởng gì: Stuxnet sẽ tự động tắt và chuyển qua hệ thống khác cho tới khi tìm được đúng nạn nhân. Langner nhận ra rằng rõ ràng Stuxnet là sản phẩm của một chính phủ có nguồn lực dồi dào với các thông tin nội bộ chính xác về mục tiêu mà virus này nhắm tới.

“Tôi cứ tưởng đây là một kiểu tấn công DoS ngờ ngệch nhằm vào bất cứ loại PLC nào của Siemens,” Langner hồi tưởng lại sau đó. “Vì vậy, phát hiện này thật là đáng sợ. Ai đó phát triển một virus phức tạp đến vậy – sử dụng bốn lỗ hổng zero-day, hai chứng thư số bị đánh cắp – chỉ để tấn công một nhà máy? Không thể tin nổi.”

Dù cho Stuxnet không chỉ rõ nhà máy mục tiêu, nhưng Langner vẫn đinh ninh. “Đây là để nhằm vào Bushehr,”  ông tuyên bố với Rosen và Tim, ý muốn nói tới một nhà máy điện hạt nhân ở Iran đã được lên kế hoạch đi vào hoạt động vào tháng 08/2010 nhưng rồi bị trì hoãn. Các đồng nghiệp của Langner trừng trừng nhìn ông chết lặng. Họ không hề có hứng tiếp tục làm việc theo hướng chiến tranh điện tử do chính phủ hậu thuẫn để rồi phát hiện những kẻ chủ mưu gây hấn, tác giả của Stuxnet, là chính phủ Israel, Mỹ, và có thể cả Đức. Langner gọi điện cho một khách hàng của ông làm việc cho một công ty hàng đầu về sản xuất thiết bị làm giàu Uranium.

“Tôi có câu hỏi này cho anh,” Langner nói với người khách hàng. “Liệu có thể phá hủy ống ly tâm bằng cách thay đổi mã của bộ điều khiển không?”

“Tôi không trả lời anh được, Ralph, đây là thông tin mật,” anh ta trả lời.

Langner biết chắc là ông đang đi đúng hướng. Ngày 16/09, ông đăng một bài blog nhận định rằng Stuxnet là vụ tấn công có mục tiêu nhằm vào Bushehr, đồng thời gửi thông cáo báo chí tới các tổ chức truyền thông của Đức và quốc tế.

“Có sự im lặng xung quanh chúng tôi,” Langer hồi tưởng lại sau đó. “Mọi người nghĩ là, lão này bị điên. Chúng ta biết Ralph là một gã ngốc, và giờ thì đã có bằng chứng rồi.”

Frank Rieger, giám đốc công nghệ của hãng bảo an GSMK của Đức, đồng ý với nhận định của Langner rằng Stuxnet là một vụ tấn công có mục tiêu, nhưng nghĩ rằng một nhà máy khác của Iran mới là mục tiêu. Rieger đề cập trong một bài đăng trên mạng rằng Natanz đã tiến hành làm giàu Uranium, và do đó là nguy cơ lớn hơn về việc sản xuất vũ khí hạt nhân.

Ông cũng chỉ ra rằng vào tháng 07/2009, một tháng sau thời điểm được cho là Stuxnet được triển khai, trang web chuyên hé lộ bí mật Wikileaks đăng một thông báo rất đáng chú ý. Wikileaks cho biết một nguồn tin nặc danh xác nhận rằng mới đây ở Natanz có xảy ra một sự cố hạt nhân “nghiêm trọng”. Trang này còn vạch ra rằng người đứng đầu Tổ chức Năng lượng Hạt nhân (Atomic Energy Organization) của Iran đã từ chức gần đây mà không có lý giải cụ thể nào.

Hình chụp tháng 09/2010, từ vệ tinh của Natanz, nhà máy làm giàu Uranium, ở Iran, ba tháng sau khi Stuxnet bị phát hiện lần đầu tiên trên một máy tính ở nước này. Nguồn: GeoEye – ISIS.

Langner liên lạc với Joe Weiss, một chuyên gia về hệ thống điều khiển trong công nghiệp ở Mỹ, để thảo luận những điều nhóm ông đã phát hiện ra. Langner và Weiss có phong cách thẳng thắn, bộc trực mà đồng nghiệp của họ không phải lúc nào cũng mến chuộng. Mọi người trong nghề này thường thở dài khi nhắc đến tên hai ông. Nhưng không một ai nghi ngờ khả năng chuyên môn của họ.

Trong nhiều năm, cả hai đều đã cảnh báo rằng các bộ điều khiển trong công nghiệp đã có thể bị tấn công, nhưng không mấy ai tin lời họ. Các nhà sản xuất và nhà quản lý mạng tin rằng tin tặc không có đủ vốn hiểu biết về hệ thống và trình độ để có thể xâm nhập vì nhiều lý do như những hệ thống này có rất ít người biết đến, được đăng ký độc quyền, và được thiết kế để hoạt động trên môi trường mạng tách biệt và độc lập. Nhưng vài năm gần đây, các hệ thống này càng ngày càng được kết nối nhiều tới Internet hoặc tới các hệ thống khác có kết nối trực tuyến, điều này khiến chúng trở thành các mục tiêu hấp dẫn.

Weiss tổ chức một hội nghị kín về an ninh máy tính vào hai tuần sau đó, với khoảng 100 chuyên gia về điều khiển công nghiệp, và Langner đã được sắp xếp để thuyết trình về một chủ đề khác. Ông hỏi ý kiến Weiss xem có thể cho ông trình bày về Stuxnet hay không. “Tôi bảo ông ấy tôi không biết nên trả lời có hay là dĩ nhiên nữa,” Weiss hồi tưởng.

Weiss cho Langner 45 phút. Nhưng hóa ra thuyết trình của Langer kéo dài 1 tiếng rưỡi. “Chúng tôi cứ ngồi há hốc mồm nghe ông ta diễn thuyết,” Weiss hồi tưởng. “Ông ta dùng hết hai khuôn thời gian nhưng tôi không hề có ý định dừng ông ta lại.”

“Kết luận của bài diễn thuyết của Ralph là nếu có một vụ tấn công phức tạp, thì những người làm trong ngành hệ thống điều khiển sẽ không hề biết vì chúng ta không thấy được,” Weiss phát biểu sau đó. “Chúng ta không có cách nào để biết liệu một bộ điều khiển đã bị lây nhiễm hay chưa.”

Langner công bố những điều ông phát hiện được trong một loạt bài blog. “Với kết quả điều tra hiện tại, rõ ràng có thể chứng minh được rằng Stuxnet là một vụ tấn công phá hoại trực diện, dựa vào rất nhiều thông tin tay trong,” ông viết. “Đây là những điều mọi người cần biết ngay lập tức.”

Tiếp theo đó là một sơ đồ kỹ thuật giải thích rõ từng bước hoạt động của Stuxnet khi ngăn chặn rồi chèn các lệnh điều khiển độc vào bộ PLC. Trang web của ông lập tức đón nhận luồng lưu lượng truy cập lớn từ khắp nơi trên thế giới, kể cả từ các tên miền (domain) của chính phủ Mỹ. Langner đang thực hiện một dịch vụ công (ích) có ý nghĩa rất lớn, giúp bảo vệ các cơ sở hạ tầng quan trọng. Nhưng có khả năng ông cũng đồng thời đang làm hỏng một điệp vụ quan trọng.

Phần 1  2  3  4  5  6  7  8

Advertisement

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s

%d người thích bài này: