Hành trình phá mã Stuxnet, virus máy tính hắc ám nhất trong lịch sử – 7

Phần 1  2  3  4  5  6  7  8

---

“Chúng tôi cứ nghĩ tới khả năng về gián điệp, khả năng về trộm cắp thẻ tín dụng … . Nhưng chúng tôi không hề nghĩ tới tình huống này.” – Eric Chien

---

Trở lại với Symantec, Chien và các đồng nghiệp đang học một khóa cấp tốc về các bộ điều khiển logic lập trình (Programmable Logic Controllers – PLC). Rõ ràng là Stuxnet đang làm điều gì đó rất ác hiểm với các PLC mà chúng nhắm tới, nhưng họ vẫn chưa hề biết rõ là gì. Vì vậy, các chuyên gia này mua trên mạng vài cuốn sách về STL – ngôn ngữ Stuxnet sử dụng để liên lạc với PLC – và bắt tay vào học.

Tới lúc này có ba chuyên gia của Symantec dành toàn bộ tâm lực (thời gian) vào Stuxnet – Chien và O Muchur ở California, Falliere ở Paris. Hàng đêm, Chien lên giường ngủ mà vẫn mang theo chiếc điện thoại BlackBerry và máy tính xách tay để phân tích mã, tìm kiếm trực truyến các đầu mối và gửi thư điện tử cho Falliere người đang bắt đầu ngày làm việc mới ở Paris. Chien thường tỉnh giấc lúc 5 giờ sáng, đôi khi với các ý tưởng vẩn vơ trong tâm trí, rồi lập tức vớ ngay lấy chiếc BlackBerry của mình để nhắn tin cập nhật và gợi ý các hướng điều tra tiếp theo cho Falliere.

Thông thường, Symantec chỉ dành tối đa vài ngày để phân tích mã của một virus; nhưng lần này họ đã đào xới Stuxnet hơn một tháng mà vẫn chỉ giải mã được một phần của nó. “Tôi cứ tưởng là việc này sẽ kéo dài vô thời hạn, rằng nhiều năm sau chúng tôi sẽ khám phá ra một mẩu mã [mà chúng tôi bỏ quên],” Chien hồi tưởng lại.

Chien nhìn trẻ hơn cả chục năm so với độ tuổi 37 của anh. Anh gầy gò, khung xương xẩu, và nụ cười rộng mở của một người không bao giờ muốn giả bộ trầm tĩnh bằng cách giấu giếm sự nhiệt tình của mình. Anh nói như liên thanh khi kể lại trải nghiệm mà quá trình giải mã Stuxnet mang lại. Nhiều chuyên gia an ninh máy tính hay tâng bốc kỹ năng và kinh nghiệm để đề cao bản thân so với các đối thủ cạnh tranh, nhưng Chien lại liên tục cười đùa về sự thiếu kinh nghiệm của nhóm khi giải quyết Stuxnet, cùng với sự tuyệt vọng và mù quáng của họ trong nhiều lần đánh vật với mã độc này.

Chien theo nghề chống virus chỉ vì tình cờ. Anh theo học kỹ thuật điện tử, di truyền học và sinh học phân tử tại Đại học California, Los Angeles (University of California, Los Angeles – UCLA) và đã lập kế hoạch theo đuổi sự nghiệp khoa học. Tuy vậy, sau khi tốt nghiệp năm 1996, anh theo vài người bạn tới làm việc Symantec khi công ty này mới bắt đầu tham gia thị trường an ninh số sau khi mua lại gã khổng lồ về chống virus Norton.

Vào thời đó, an ninh số còn là một lĩnh vực mới, do vậy kiếm được việc trong ngành này còn khá dễ dàng mà không cần phải qua trường lớp đào tạo bài bản. Chien tự học những điều cần thiết và tham gia một nhóm nhỏ tại Symantec thực hiện phân tích virus và viết các dấu hiệu nhận dạng chúng. Tuy nhiên họ cũng không có nhiều việc để làm. Mạng Internet và thư điện tử mới bắt đầu được chào đón và các virus trên MS-DOS, loại virus duy nhất tại thời điểm này, thì rất hiếm, và lây lan rất chậm qua các đĩa mềm.

Các khách hàng nghi máy họ bị nhiễm virus sẽ gửi qua đường bưu điện cho Symantec một đĩa mềm có chứa tập tin tình nghi. Tại đó, có khi đĩa mềm này phải nằm chờ trên khay chứa cả tuần cho tới khi Chien hoặc các đồng nghiệp tản bộ qua và lấy nó về phân tích. Phần lớn thì những tập tin này hóa ra chẳng có gì để bàn. Nhưng thi thoảng, họ cũng phát hiện ra là có virus, họ sẽ viết một số dấu hiệu nhận dạng để phát hiện chúng, ghi vào đĩa mềm rồi gửi lại cho khách hàng. Đây đúng là kiểu chống virus thô sơ thời tiền Internet.

Tất nhiên là phần mềm độc hại đã tiến hóa nhiều kể từ đó. Các phần mềm có mặt ở khắp nơi của Microsoft làm phát sinh ra các virus đa tính năng và đa hình, tiếp đến là Internet đem lại các virus lây lan qua đường thư điện tử và các sâu máy tính trực tuyến với khả năng phát tán cực nhanh, lan tới hàng triệu máy chỉ trong nháy mắt. Dù cho bản chất của những virus có khác nhau thì trong gần một thập kỷ những động cơ thúc đẩy các tác giả của chúng vẫn giữ nguyên – danh tiếng và vinh quang. Vào thời kỳ đầu của virus máy tính này, một phần mã phá hoại điển hình thường bao gồm một đoạn mã để thông báo cho bạn bè của tác giả.

Mọi sự thay đổi từ khi thương mại điện tử trở nên phổ biến, tin tặc bắt đầu tập trung vào việc thu lợi bất chính trong phần mã phá hoại – đánh cắp dữ liệu của thẻ tín dụng, thông tin về tài khoản ngân hàng trực tuyến và các bí mật của công ty. Gần đây, các vụ tấn công đã tiến hóa tới mức được gọi là các cuộc ‘tấn công có chủ đích’ (advanced persistent threats) trong đó những kẻ tấn công, trong một số trường hợp được hậu thuẫn bởi chính phủ của một hay nhiều quốc gia, kiên trì tìm cách thâm nhập sâu vào hệ thống mạng và âm thầm ở đó tới hàng tháng hoặc hàng năm để thu thập rồi tuồn ra ngoài các bí mật quốc gia, mã nguồn và các thông tin nhạy cảm.

Stuxnet không hề giống bất kỳ loại tấn công số nào kể trên. Đây không đơn thuần là một bước tiến hóa mà thực sự là một cuộc cách mạng. Ý tưởng về việc một ai đó xây dựng một virus phức tạp cỡ này chỉ để âm thầm lây lan nhằm tìm tới một mục tiêu duy nhất là hoàn toàn ngoài sức tưởng tượng của các chuyên gia của Symantec. “Tôi có thể làm nghề này 20 năm nữa mà không hề gặp một dự án nào giống như thế này, ” O Murchu phát biểu gần đây.

Đến cuối tháng 9, Symantec vẫn đang dần dần xây dựng hồ sơ về mục tiêu của Stuxnet.

Falliere phân tích ngược mã của virus này và xác định rằng Stuxnet chèn lệnh độc vào PLC và thiết lập lại giá trị của một thứ gì đó kết nối tới thiết bị này, nhưng anh vẫn chưa biết điều gì ở đầu nhận của những lệnh này hay việc thay đổi giá trị sẽ gây ra điều gì. Việc này giống như nhìn thấy đường đạn bay trong đêm tối nhưng cuối cùng lại không biết là viên đạn bắn trúng vào thứ gì.

Các chuyên gia này đã phát hiện ra rằng Stuxnet chỉ nhắm tới hệ thống có sử dụng chuẩn giao tiếp Profibus. Họ cũng nhận ra rằng virus này tìm kiếm một giá trị cụ thể – 2C CB 00 01 – trước khi quyết định tấn công thiết bị PLC. Họ có linh cảm đây là một dạng số định danh (Identification – ID) của hệ thống Step7 ấn định cho từng bộ phận phần cứng nào đó. Do vậy, họ thiết lập một môi trường giả lập Step7 PLC và bắt đầu cắm thử các bộ phận phần cứng của PLC vào. Cuối cùng thì giá trị tham khảo trên xuất hiện khi họ kết nối một card mạng Profibus.

Dẫu vậy, Stuxnet còn tìm kiếm hai con số bí ẩn khác là 9500h và 7050h. Họ không tìm được gì trong cả hai số kể trên khi cắm thử các bộ phận phần cứng vào môi trường giả lập. Tìm kiếm hai con số này trên Google cũng không mang lại kết quả gì.

Đột phá xảy ra vào tháng 11/2010. Nhóm chuyên gia đăng tải trên blog của họ lời kêu gọi những người có kinh nghiệm về Profibus và các cơ sở hạ tầng cốt yếu liên lạc với họ, và một lập trình viên người Hà Lan tên là Rob Hulsebos đáp lời. Phần lớn nội dung của thư điện tử của anh này bàn tới những chi tiết mà các chuyên gia đều đã biết, duy chỉ có một dòng là đáng chú ý. Hulsebos viết, mỗi bộ phận Profibus phải có một số định danh dài 32 bít. Chien đột nhiên nhận ra hai con số bí ẩn này là định danh của công ty sản xuất các bộ phận này.

Anh và O Murchu tìm kiếm tài liệu về Profibus trên mạng và tìm được một văn bản dạng PDF trong đó có chứa danh sách các đặc tả của các thiết bị sử dụng các card mạng Profibus. Cuối bản danh sách là hai mã số bí ẩn mà Stuxnet theo đuổi. Chúng là định danh sản phẩm của hai loại máy biến đổi tần số (máy biến tần) sản xuất ở Phần Lan và Iran. Số đầu tiên, 9500h, chỉ tới máy biến tần Vacon NX chế tạo bởi công ty Vacon ở Phần Lan. Con số thứ hai, 7050h, chỉ tới máy biến tần không rõ số hiệu do công ty Fararo Paya ở Iran chế tạo.

Các máy biến tần điều chỉnh tốc độ của các động cơ và các khối quay (rotor) trong nhiều loại thiết bị như các máy khoan tốc độ cao dùng để cắt kim loại trong các nhà máy hay các máy xay giấy để ép bột giấy qua các tấm sàng. Tăng tần số ở bộ biến tần này sẽ làm cho rotor quay nhanh hơn. Các chuyên gia còn tìm thấy trong tài liệu về Profibus mà họ tìm được trên mạng một bản danh sách các lệnh điều khiển tần số; chúng hoàn toàn tương xứng với các lệnh được viết trong Stuxnet.

“Mã STL [trong Stuxnet] truyền các lệnh đi ở dạng ‘mã 47F và 1’,” Chien hồi tưởng. “Bạn  nhìn vào [tài liệu hướng dẫn của] máy biến tần, thì thấy lệnh này có nghĩa là ‘Để khởi động máy biến đổi tần số, gửi đi mã 47F và đặt giá trị này là 1’. Chúng tôi lặng đi không nói nên lời.”

Dựa trên thông tin nằm trong mã phá hoại, Stuxnet nhắm tới cơ sở có lắp đặt ít nhất là 33 máy biến tần, tất cả chúng đều hoạt động trong khoảng tần số từ 807 Hz tới 1210 Hz.

Virus này sẽ nằm âm thầm do thám trong hệ thống trong khoảng hai tuần, sau đó nó thực hiện đợt tấn công đầu tiên kín đáo và nhanh chóng, tăng tần số của các bộ biến tần lên 1410Hz trong vòng 15 phút, trước khi khôi phục lại tần số thông thường, 1064Hz. Tần số sẽ giữ nguyên ở mức này trong 27 ngày tiếp theo, trước khi Stuxnet lại tiếp tục hành động, nhưng lần này nó hạ tần số xuống mức 2Hz trong vòng 50 phút.

Bộ biến tần sẽ hoạt động yên ổn trong 27 ngày tiếp sau đó, trước khi Stuxnet lại tiếp tục tấn công theo nhịp độ tương tự. Giải tần số rộng tối đa này gợi ý rằng Stuxnet muốn phá hoại thiết bị mà bộ biến tần điều khiển.

Chien thực hiện một tìm kiếm trực tuyến và phát hiện ra rằng các bộ biến tần hoạt động trên 600Hz nằm trong diện kiểm soát xuất khẩu của Tiểu ban Điều hành Hạt nhân (Nuclear Regulatory Commission) của Mỹ.

“Chúng tôi chợt nhận ra, những thứ này, với tần số này, có thể được dùng để làm giàu Uranium,” Chien hồi tưởng. Langner đã đơn độc đánh giá rằng Stuxnet nhằm vào các ống ly tâm, nhưng giờ thì Symantec có bằng chứng vững chắc ủng hộ giả thuyết này.

Tới lúc này, Chien nói, “Chúng tôi không thể loại bỏ ý niệm về việc có một diễn biến địa chính trị lớn đang xảy ra. Ai ai cũng đều băn khoăn … Liệu mình có muốn tên tuổi bản thân dính dáng tới việc này? ”

Ngay từ đầu, mỗi khi họ đạt các bước tiến quan trọng, họ đều bàn xem liệu họ nên phát hành thông tin dưới dạng nặc danh hay thậm chí giấu nhẹm tất cả. Nhưng cuối cùng thì họ luôn ngả về hướng công bố do nghĩ rằng công chúng càng có nhiều thông tin thì họ càng có cơ hội bảo vệ bản thân trước những cuộc tấn công ăn theo chắc chắn sẽ xảy ra.

Điều đáng nói là không một ai trong giới điều hành công ty ngăn trở họ tiếp tục làm việc trên Stuxnet hay kiểm duyệt các thông tin họ công bố. “Kể cả tới lúc này chúng tôi chưa bao giờ phải nhờ tới luật sư,” Chien nói. Công ty này nhìn vấn đề theo hướng “Vụ việc này là một mối nguy, làm ảnh hưởng tới công chúng, chúng ta phải xem xét kỹ. Tôi nghĩ là đây là điểm mấu chốt đối với chúng tôi, bất kể đối mặt với điều gì,” anh nói.

Tuy vậy, O Murchu cho rằng có một giới hạn mà tại đó công ty của họ có thể sẽ kiểm duyệt các thông tin họ khám phá được. “Nếu một lúc nào đó chúng tôi có cơ sở khẳng định 100% danh tính của những kẻ chủ mưu, tôi nghĩ là sẽ có những cuộc thảo luận nghiêm túc về việc [công bố các thông tin] đó,” anh nói.

Thực tế thì Symantec có lược bỏ vài chi tiết gây tranh cãi. Đầu tiên là một dấu hiệu lây nhiễm các chuyên gia tìm thấy trong Stuxnet. Khi Stuxnet mới xâm nhập vào một hệ thống, nó kiểm tra registry* của Windows xem có con số 19790509 không. Nếu có, Stuxnet sẽ bỏ qua hệ thống và không lây nhiễm nữa – tương tự như dấu máu dê trên khung cửa các căn nhà của người Do Thái trong thời Ai Cập cổ đại để xua đuổi dịch Cái chết của Trẻ sơ sinh (Death of the Firstborn).

Kỹ thuật này không hề mới. Symantec đã thấy các “giá trị miễn nhiễm” trong các mã độc khác. Tin tặc đặt những giá trị này trong các khóa registry trên máy của họ để tránh virus họ tạo ra không lây nhiễm vào chính máy của mình.

Thế nhưng, trong trường hợp này, các chuyên gia nhận thấy con số này có vẻ là một ngày – ngày 5 tháng 9 năm 1979 – gợi ý rằng nó chỉ tới ngày một doanh nhân Iran gốc Do Thái tên là Habib Elghanian bị xử bắn ở Tehran. Vụ hành hình này có ý nghĩa trong lịch sử Do Thái vì xét cho cùng thì nó là khởi đầu của một cuộc di dân quy mô lớn của người Do Thái ra khỏi quốc gia này.

Ngoài ra còn có một từ “myrtus” có mặt trong một đường dẫn của một tập tin mà những kẻ tấn công đặt trong một trình điều khiển của Stuxnet. Đường dẫn này – b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb – thể hiện vị trí mà các tác giả của Stuxnet lưu tập tin này trong khi đang phát triển virus này. Chuyện lập trình viên quên xóa bỏ những đầu mối thông tin như thế này khi phát động tấn công cũng không phải là hiếm.

Trong trường hợp này thì những cái tên “guava” (quả/cây ổi) và “myrtus” là các manh mối có thể dùng để xác định danh tính của các tác giả của Stuxnet. “Myrtus” là một họ thực vật có bao gồm cả cây ổi, vì vậy có thể là các tác giả của Stuxnet có tình yêu cây cỏ. Hoặc “myrtus” có nghĩa ẩn là MyRTUs – thiết bị RTU (remote terminal unit) có nguyên lý hoạt động tương tự như các PLC. Symantec có đề cập tới cả hai khả năng này, ngoài ra họ còn chỉ ra rằng “myrtus” có thể là một ám hiệu chỉ Hoàng hậu Eshter, một bà hoàng Do Thái trong thời đế quốc Ba Tư cổ đại, người mà theo như sử sách từ thế kỷ thứ 4 trước công nguyên, đã cứu người Do Thái Ba Tư thoát khỏi họa thảm sát. Tên tiếng Hêbrơ của bà hoàng này là Hadassah có nghĩa là cây sim, một cây thuộc họ myrtus. Dĩ nhiên là sự nghi ngờ ngày càng tăng cao rằng chính quyền Israel và Mỹ đứng đằng sau Stuxnet và dùng virus này để thay cho việc không kích nhà máy hạt nhân của Iran.

Chắc rằng các chuyên gia cũng không hề bất ngờ khi biết công việc của mình gây sự chú ý từ phía các tổ chức chính phủ, trong và ngoài nước Mỹ và bắt đầu yêu cầu giải trình những điều họ đã khám phá. Symantec tổng hợp thông tin vào một bản thuyết trình PowerPoint dành cho Bộ An ninh Nội địa (Department of Homeland Security), Bộ Quốc phòng(Defense Department), Bộ Năng lượng (Department of Energy), và Cục Điều tra Liên bang (Federal Bureau of Investigation) để đáp ứng yêu cầu này. “Tôi nói đùa là họ đã biết trước hết các câu trả lời rồi còn gì,” Chien nói. Được hỏi liệu có ai từ Cơ quan An ninh Quốc gia (National Security Agency – NSA) hay Cơ quan Tình báo Trung ương (Central Intelligence Agency – CIA) tham dự các buổi thuyết trình không, anh mỉm cười. “Nếu chúng tôi có giải trình cho NSA, chúng tôi cũng chẳng biết, đúng không?”

Hệ quả chính trị từ công việc của họ còn rõ rệt hơn nữa khi hai tuần sau khi họ công bố các chi tiết về bộ biến đổi tần số, hai nhà khoa học về năng lượng hạt nhân của Iran đồng thời bị những kẻ ám sát đi xe máy tấn công ngay tại Tehran. Vào một buổi sáng thứ hai trong lúc hai người này đang trên đường đi làm, ở hai phần khác nhau của thành phố thì những kẻ ám sát tạt xe máy lại gần ô tô của họ và gắn bom lên xe rồi cho phát nổ. Majid Shahriari, nhà khoa học hàng đầu và là nhà quản lý cấp cao của chương trình hạt nhân của Iran, tử vong. Fereydoun Abassi, chuyên gia trong lĩnh vực phân tách đồng vị, có vai trò rất quan trọng trong sản xuất năng lượng hạt nhân, thì bị thương. Iran cáo buộc Mossad, tổ chức tình báo của Israel, đứng sau những vụ tấn công này.

Dù cho các chuyên gia an ninh máy tính không thực sự tin rằng mạng sống của họ bị đe dọa khi vạch trần Stuxnet, nhưng họ vẫn nửa đùa nửa lo khi họ hồi tưởng lại những nỗi ám ảnh hay những lời đùa dại trong những lần họ trò chuyện vào thời kỳ này. O Murchu bắt đầu nhận thấy có tiếng lách cách rất lạ phát ra từ máy điện thoại của anh, và vào một ngày thứ sáu anh bảo Chien và Falliere, “Nếu thứ Hai có tin tôi tự tử chết, tôi chỉ muốn nhắc các bạn là, tôi không phải kiểu người muốn tự vẫn đâu nhé.”

Hôm họ biết tin về vụ ám sát ở Tehran, Chien nói đùa với đồng nghiệp là nếu có một chiếc xe máy tiến tới gần ô tô của anh, anh sẽ nhanh tay quẹo lái ô tô cắt đuôi ngay. Hôm đó, trên đường về nhà, khi dừng xe ở giao lộ đầu tiên, anh run bắn mất một lúc khi nhìn gương chiếu hậu thấy một chiếc xe máy đỗ phía sau xe mình.

*Registry là một cơ sở dữ liệu dùng để lưu trữ thông tin về những sự thay đổi, những lựa chọn, những cấu hình từ người sử dụng Windows. Registry bao gồm tất cả các thông tin về phần cứng, phần mềm, người sử dụng.

---

Phần 1  2  3  4  5  6  7  8

---

• Nguyên bản tiếng Anh: “How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History,” Kim Zetter, Wired.com, July 2011.

• Người dịch:  Phạm Duy Đông

• Biên tập: Ngô Trọng Cảnh, Phó Đức Giang, Hồ Quang Tây