Hành trình phá mã Stuxnet, virus máy tính hắc ám nhất trong lịch sử – 8

By / / Bảo mật / One comment

Phần 1  2  3  4  5  6  7  8

Tổng thống Iran, Mahmoud Ahmadinejad, trong một chuyến thăm các ống ly tâm ở nhà máy Natanz. Nguồn: Văn phòng Tổng thống – Cộng hòa Hồi giáo Iran.

Những bằng chứng về Stuxnet mà Langner và Symantec khám phá ra chứng tỏ một cách đầy thuyết phục rằng virus này nhắm tới chương trình hạt nhân của Iran. Tuy nhiên, ngoài việc các kỹ thuật viên thay thế một số lượng lớn ống ly tâm ở Natanz vào đầu năm 2010, thì có rất ít bằng cứ chứng tỏ Natanz đúng là mục tiêu duy nhất hay việc virus này là tác nhân của các ống ly tâm bị thay thế.

Thông cáo duy nhất từ phía Iran về virus này có đề cập sơ lược rằng Stuxnet đã lây nhiễm vào các máy tính cá nhân của các nhân viên làm việc tại nhà máy ở Bushehr, nhưng các máy tính dùng để vận hành nhà máy này cũng như các nhà máy khác đều không bị ảnh hưởng.

Sau đó, vào ngày 23/11, Ali Akbar Salehi, người đứng đầu Tổ chức Năng lượng Hạt nhân của Iran, đề cập, có lẽ là lần đầu tiên xác nhận rằng virus này đã xâm nhập vào các nhà máy hạt nhân của nước này. “Hơn một năm trước, Phương Tây đã truyền virus vào các nhà máy hạt nhân của chúng ta,” ông nói với một nhà báo Iran, nhưng không đề cập tên của virus. Tuy vậy, ông hạ thấp mức độ thành công của virus này, và đáng giá rằng các nhân viên mẫm cán của họ đã nhanh chóng phát hiện virus từ sớm và ngăn chặn nó phá hoại thiết bị.

Tuy nhiên, sáu ngày sau, như để chế nhạo tuyên bố của Salehi và khả năng phòng vệ chương trình hạt nhân của họ, những kẻ ám sát đi xe máy tấn công hai nhà khoa học về hạt nhân của Iran. Trong một buổi họp báo diễn ra vào hôm đó, Tổng thống Iran Mahmoud Ahmadinejad dường như có nhắc tới virus mà Salehi đã đề cập tới trước đó, đồng thời phủ nhận Salehi khi ông cho biết “những kẻ thù” của đất nước này đã dùng một virus máy tính để phá hoại các ống ly tâm của Iran. “Chúng thành công trong việc phá rối các ống ly tâm của chúng ta bằng một phần mềm chúng cài đặt trong các bộ phận điện tử,” ông nói mà không chỉ đích danh Stuxnet hay nhà máy bị tấn công.

Rồi tiếp sau đó, David Albright làm việc tại Viện Khoa học và An ninh Quốc tế (Institute for Science and International Security), một người theo dõi sát sao chương trình hạt nhân của Iran, cung cấp một mẩu thông tin tối quan trọng liên kết Natanz và Stuxnet.

Sau khi đọc các bài viết của Langner và nhóm chuyên gia của Symantec, tháng 12, Albright tiết lộ rằng tần số hoạt động chỉ định của các ống ly tâm tại Natanz là 1064Hz – chính là tần số Stuxnet phục hồi lại các bộ biến đổi tần số sau khi tấn công bằng cách buộc chúng hoạt động ở cận cao hoặc thấp của giải tần số. Albright còn phát hiện ra một sự trùng hợp khác nữa. Dữ liệu của Stuxnet cho biết nó nhắm tới các nhóm có 164 ống ly tâm; Albright chỉ ra rằng mỗi chuỗi nối tiếp để làm giàu Uranium ở Natanz có đúng 164 ống ly tâm.

Bí mật về mục tiêu của Stuxnet và các ống ly tâm bị hỏng, xem ra đã được hóa giải/làm sáng tỏ.

Đã một năm kể từ khi các nhân viên điều tra của IAEA lần đầu tiên thấy các ống ly tâm biến mất ở Natanz, cuối cùng thì họ cũng có câu trả lời cho hầu hết những gì đã diễn ra. Tuy nhiên, vẫn còn một câu hỏi hiển hiện. Liệu Stuxnet có đạt được mục đích của nó?

Nếu mục đích của virus này là phá hủy các ống ly tâm của Iran và làm tê liệt khả năng sản xuất vũ khí hạt nhân của nước này thì mọi người đều đồng ý là nó đã thất bại. Một vụ tấn công quân sự thực sẽ có hiệu quả cao hơn nhiều, nhưng dĩ nhiên là thiếu kín đáo và có nhiều bất lợi về chính trị. Nhưng nếu nó chỉ có chủ định đơn giản là làm trễ và gieo giắc sự bất an về chương trình hạt nhân của Iran, thì có vẻ như nó thành công, trong một giai đoạn ngắn.

Đầu năm nay [2011], người đứng đầu nhưng đang chuẩn bị thôi chức của Mossad, cơ quan mật vụ của Israel, cho biết các sự cố không xác định được đã đẩy lui khả năng sản xuất vũ khí hạt nhân của Iran tới năm 2015. Ngoại trưởng Mỹ, Hillary Clinton, cũng cho biết rằng chương trình hạt nhân của Iran đã “chậm lại,” nhưng nói thêm “Chúng ta còn thời gian. Nhưng không nhiều.” Albright đã chỉ ra rằng Iran chỉ có đủ nguyên vật liệu để chế tạo từ 12000 tới 15000 ống ly tâm, và nếu 1000 tới 2000 bị phá hủy thì sẽ đẩy nhanh tốc độ tiêu thụ của nguồn dự trữ này.

Tuy nhiên, tổ chức của ông này cũng như những tổ chức quan sát khác cũng đồng thời nêu rõ rằng sau khi thay thế hết số ống ly tâm này, Iran đã đẩy mạnh chương trình làm giàu Uranium và tổng sản lượng Uranium của nước này thực chất đã tăng trong năm 2010, bất chấp các hệ quả mà Stuxnet có thể đã gây ra.

Phát triển một virus phức tạp như Stuxnet cần một nguồn lực rất lớn, nhưng tỷ lệ chi phí-hiệu quả của nó vẫn còn là một câu hỏi chưa có lời giải. Trong khi nó khiến cho chương trình hạt nhân của Iran phần nào bị chậm lại, nó còn làm thay đổi bộ mặt của các hình thức tấn công mạng. Các tác giả của Stuxnet đã vạch ra một mặt trận mới để những kẻ tấn công khác theo đuổi; và mục tiêu phá hoại tiếp theo rất có thể là nhà máy hạt nhân của Mỹ.

Không ai dự đoán được Stuxnet sẽ làm được gì nếu VirusBlockAda không phát hiện ra nó hơn một năm về trước. Phần mã của virus này có chứa một chuỗi lệnh tấn công mà theo các chuyên gia chưa bao giờ được kích hoạt trong các phiên bản đã tìm thấy của virus này. Có vẻ như những kẻ tấn công vẫn đang tiếp tục phát triển mã của nó khi bị phát hiện.

Nhiều khả năng chúng không có cơ hội để thực hiện tấn công bằng vũ khí này một lần nữa. Langner gọi Stuxnet là vũ khí dùng một lần. Một khi đã bị phát hiện, những kẻ tấn công sẽ không thể sử dụng nó hay các vũ khí khác với thủ đoạn tương tự mà tránh khỏi sự nghi ngờ ngay lập tức của Iran về việc thiết bị của họ đang hoạt động bất thường.

“Những kẻ tấn công phải giả định rằng nạn nhân không hề có hiểu biết gì về an ninh máy tính, và không có bên thứ ba độc lập nào phân tích thành công virus này và công bố kết quả phân tích từ sớm, do đó giúp nạn nhân có cơ hội hóa giải vũ khí này kịp thời,” Langner nói.

Kết cục thì các tác giả của Stuxnet đầu tư hàng năm và có lẽ hàng trăm nghìn Đô la để phát triển nó, chỉ để bị phá hỏng bởi một chiếc máy tính bị tự động khởi động lại, ba chuyên gia máy tính không có chút hiểu biết gì về ống ly tâm, và một gã người Đức ăn nói xấc xược, người mà tư gia còn thậm chí không có kết nối Internet.

Với tất cả những nỗ lực giải mã Stuxnet, vẫn còn một số bí ẩn chưa được giải thích – hai tập tin nhỏ được mã hóa mà các chuyên gia chưa thể phá mã. Một tập tin có kích cỡ là 90 byte, được sao chép vào mọi hệ thống bị Stuxnet lây nhiễm. Tập tin còn lại có dung lượng là 24 byte, được sao chép vào các máy có Step7 khi tập tin DLL độc của Stuxnet được cài đặt. Hai tập tin này có thể có chứa những manh mối khác về mục đích hay xuất xứ của Stuxnet, nhưng chúng ta có thể không bao giờ khám phá ra được. Các chuyên gia của Symantec đã nhiều lần thử phá mã chúng, nhưng họ chưa một lần thành công.

Nhìn lại chặng đường hơn một năm phá mã Stuxnet, Langner coi nó có ý nghĩa tạo dựng cả sự nghiệp. ”Chúng tôi nhận ra rằng đây là câu chuyện về mã độc quan trọng nhất từ trước tới nay. Đây là công việc thú vị nhất mà tôi từng làm.”

Phần 1  2  3  4  5  6  7  8

Advertisement

One comment

  1. Quang Huy
    Trả lời

    một vụ li kỳ rất hay. cảm ơn ng dịch

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s

%d người thích bài này: