Giải mã "sâu" tấn công lò phản ứng hạt nhân Iran

Các nhà nghiên cứu bảo mật cho biết, sâu Stuxnet đã lén lút tấn công các mục tiêu của ngành công nghiệp nặng, điển hình như lò phản ứng hạt nhân của Iran nhưng chính tác giả tạo sâu Stuxnet đã bị thất bại vì sự bất lực của Stuxnet.

USB làm hỏng kế hoạch

Sâu được thiết kế thâm nhập vào các chương trình điều khiển ngành công nghiệp nặng. Đây là chương trình giám sát và quản lý các nhà máy, hệ thống dẫn dầu, nhà máy phát điện,…. Sâu này chỉ bị phát hiện trên các rada của các nhà nghiên cứu trong mùa hè vừa qua, gần một năm sau khi chúng xuất hiện lần đầu tiên.

Tuy nhiên, việc phát tán chúng có thể là các mục tiêu có chủ đích, theo Roel Schouwenberg, nhà nghiên cứu diệt virus cao cấp của Kaspersky Lab (một trong hai hãng bảo mật đã mất nhiều thời gian phân tích sâu Stuxnet).

Hầu hết các nhà nghiên cứu đều nhất trí rằng, Stuxnet đã phát triển tinh vi hơn trước và được gọi là "groundbreaking" tức là, chúng được xây dựng bởi một nhóm có tiềm lực về tài chính, quyền lực mà đứng đằng sau có thể là một chính phủ. Có lẽ mục tiêu của sâu này là nhắm vào Iran và các hệ thống trong chương trình năng lượng hạt nhân của nước này.

Đầu tuần này, các quan chức Iran đã cho biết, hàng chục nghìn máy tính Windows đã bị nhiễm sâu Stuxnet, bao gồm một số địa điểm ở một nhà máy năng lượng hạt nhân ở Tây Nam Iran. Tuy nhiên, họ phủ nhận việc cuộc tấn công đã gây thiệt hại cho bất cứ phương tiện nào. Tuy nhiên, sâu Stuxnet đã góp phần gây ra việc trì hoãn hoạt động của lò phản ứng này.

Nhưng nếu Stuxnet nhắm vào một danh sách mục tiêu cụ thể thì tại sao chúng lại lây nhiễm cho hàng nghìn máy tính PC bên ngoài Iran, ở một số quốc gia như Trung Quốc, Đức, Kazakhstan và Indonesia?

Liam O Murchu, nhà quản lý về bảo mật của Symantec cho biết, cho dù các nhà chế tạo Stuxnet có giới hạn khả năng phát tán thì vẫn có một số thứ hoạt động không đúng như tác giả mong đợi.

O Murchu cho biết, phương thức lây nhiễm thường thông qua các thiết bị USB gồm bộ đếm để giới hạn lây lan cho 3 máy tính. Điều này rõ ràng cho thấy những kẻ tấn công không muốn Stuxnet lây lan rộng ra. Chúng muốn Stuxnet duy trì gần với những điểm lây nhiễm ban đầu.

Nghiên cứu của O Murchu cũng cho thấy, cửa sổ giới hạn lây nhiễm 21 ngày hay nói cách khác là sâu sẽ xâm nhập các máy khác trong một mạng chỉ trong 3 tuần trước khi thoát ra. Mặc dù có việc chống nhân bản nhưng Stuxnet vẫn lan rộng ra. Vậy nguyên nhân là do đâu?

Schouwenberg của Kaspersky tin rằng, đó là do thiết bị USB đã bị nhiễm sâu Stuxnet và đã làm hỏng kế hoạch mà kẻ sản xuất Stuxnet muốn.

Lây lan dựa theo nhận biết phần cứng mạng

Theo quan điểm của Schouwenberg, biến thể đầu tiên của Stuxnet không đạt đến được mục đích của chúng. Ông cũng đề cập tới phiên bản 2009 của sâu này (chúng thiếu nhiều cơ chế lây lan linh hoạt nhắ́m tới nhiều lỗ hổng zero-day của Windows). Vì vậy, chúng đã tạo ra phiên bản tinh vi hơn để đạt được mục đích cuối cùng.

Phiên bản phức tạp hơn đã được phát triển hồi tháng 3 năm nay nhưng phiên bản trước đó đã hoạt động trong nhiều tháng và thậm chí lâu hơn nữa trước khi một hãng cung cấp phần mềm diệt virus ít tên tuổi từ Belarus đầu tiên phát hiện ra chúng hồi tháng 6. Phiên bản đầu tiên không đủ lây lan và tác giả của Stuxnet đã mạo hiểm bỏ qua ý tưởng tàng hình cho sâu này.

Theo giả định của Schouwenberg, các nhà phát triển Stuxnet đã thực sự gặp thất bại trong việc xâm nhập vào các mục tiêu có chủ đích. Schouwenberg quả quyết, chúng đã tốn nhiều thời gian và tiền bạc cho sâu Stuxnet. Chúng có thể thử lại và vẫn sẽ thất bại hoặc có thể bổ sung thêm nhiều chức năng để “tăng lực” cho Stuxnet.

O Murchu đã đồng ý rằng, tác giả sâu đã sai lầm khi dùng Stuxnet lây nhiễm hệ thống máy tính. Sâu Stuxnet đã tiến hóa theo thời gian, bổ sung các cách lây lan mới trên mạng với hy vọng tìm ra các PLC (chương trình lập trình điều khiển logic) cụ thể để chiếm quyền kiểm soát. Nhưng có lẽ các cuộc tấn công này đã không quản lý tất cả các mục tiêu của chúng. Sự phức tạp của Stuxnet tăng lên trong năm 2010 nhưng chúng đã không đạt được mục tiêu như đã đặt ra.

Với sự gia tăng của Stuxnet, Schouwenberg cho rằng, quốc gia tạo ra sâu này có thể chính họ cũng bị ảnh hưởng. Nguy cơ đó có thể là khá nhỏ vì những cơ sở hạ tầng quan trọng của họ đã không bị ảnh hưởng bởi sâu Stuxnet và vì hệ thống đó không sử dụng Siemens PLCs.

Stuxnet chỉ cố gắng xâm nhập các PLC được chế tạo bởi các gã khổng lồ điện tử Đức –Siemens. Hãng này cung cấp một số lớn phần cứng và phần mềm điều khiển cho ngành công nghiệp ở Iran.

Nghiên cứu của O Murchu có vẻ quay trở lại với quan điểm của Schouwenberg. Stuxnet đã tìm kiếm các loại phần cứng PLC cụ thể hiện nay. Chưa có chứng cớ rõ ràng việc phần cứng chính là mục tiêu nhận biết tấn công của Stuxnet. Nhưng đoạn mã của sâu Stuxnet chỉ lây nhiễm PLC sử dụng card mạng cụ thể.

Cả Schouwenberg và O Murchu cho biết, có thể không bao giờ biết được tác giả của Stuxnet nhưng điều đáng nói ở đây là, tin tặc muốn mọi người nghĩ rằng Israel đứng đằng sau vụ tấn công chống lại Iran.

Nguồn: PCW, Cnet

Thứ Hai, 04/10/2010 14:53
31 👨 880