Stuxnet: Vũ khí kỹ thuật số đáng sợ đầu tiên trên thế giới

Stuxnet là một loại sâu máy tính độc hại được phát hiện lần đầu tiên vào tháng 6/2010 sau khi nó khiến các cơ sở hạt nhân của Iran bị tê liệt. Và cho tới nay, Stuxnet vẫn còn là nỗi ám ảnh kinh hoàng với Internet toàn cầu.

Stuxnet thường được các hacker sử dụng để khai thác các lỗ hổng zero-day của hệ điều hành Windows. Nhưng Stuxnet không chỉ chiếm đoạt máy tính mục tiêu hoặc đánh cắp thông tin từ chúng mà sâu máy tính độc hại này còn thoát khỏi thế giới số để phá hủy vật lý các thiết bị mà máy tính kiểm soát.

Stuxnet tấn công cơ sở hạt nhân của Iran thế nào?

Stuxnet được phát hiện lần đầu tiên vào năm 2010, khi các thanh tra viên của Cơ quan Năng lượng Nguyên tử quốc tế (IAEA) phát hiện nhiều máy ly tâm của nhà máy Natanz (Iran) do hãng Siemens sản xuất để làm giàu uranium cung cấp năng lượng cho các lò phản ứng hạt nhân, bị trục trặc.

Điều đáng nói là các cơ sở hạt nhân của Iran được cách ly hoàn toàn, không được kết nối với mạng nội bộ hoặc Internet.

Một nhóm an ninh bảo mật từ Belarus đã phát hiện nguyên nhân khiến máy ly tâm hoạt động sai đến từ các máy tính vận hành hệ thống, và đứng sau là do một phần mềm mã độc cực kỳ phức tạp. Mã độc này lây lan thông qua cổng kết nối USB và đã nhanh chóng lây nhiễm các bộ điều khiển logic lập trình (PLC) điều khiển các máy ly tâm, rồi ngầm phá hoại chúng.

Máy ly tâm ở cơ sở hạt nhân của Iran đều được thiết lập để quay với tốc độ cực nhanh, từ đó tạo ra lực lớn hơn nhiều lần so với trọng lực để tách các nguyên tố khỏi uranium.

Sau khi Stuxnet xâm nhập vào hệ thống, nó đã đóng các van thoát trên một số máy ly tâm ngẫu nhiên, để khí lọt vào song không thể thoát ra khiến áp lực bên trong máy ly tâm tăng lên, gây thiệt hại về thời gian và lãng phí khí.

Điều nguy hiểm là Stuxnet đã xâm nhập vào hệ thống trong suốt nhiều tuần, sau khi tăng tốc các máy ly tâm trong thời gian ngắn nó sẽ làm chậm nhịp của chúng về mức tiêu chuẩn. Điều này khiến hoạt động của nó trở nên khó bị phát hiện.

Ngoài ra, nhằm che giấu sự hiện diện và hoạt động trên hệ thống, Stuxnet cũng gửi tín hiệu cảm biến để kiểm soát quy trình công nghiệp.

Khác với mã độc thông thường, Stuxnet vẫn tiếp tục lan rộng hơn nữa dù đã bị phát hiện. Vì vậy, các nhà nghiên cứu gọi nó là "vũ khí kỹ thuật số”.

Vì sao Stuxnet nguy hiểm?

Các công ty bảo mật, an ninh mạng gọi Stuxnet là một sâu máy tính, có thể tinh vi hơn rất nhiều so với virus máy tính thông thường.

Khác với virus, sâu máy tính không yêu cầu tương tác của con người để kích hoạt mà tự động lan truyền, đôi khi là rất nhanh sau khi xâm nhập vào hệ thống.

Không chỉ xóa dữ liệu, sâu máy tính có thể gây ra các tác hại khác như làm quá tải mạng, mở "cửa hậu" (backdoor), tiêu tốn băng thông, làm giảm dung lượng ổ cứng và thả các phần mềm độc hại nguy hiểm khác như rootkit, phần mềm gián điệp và phần mềm mã hóa tống tiền.

Stuxnet đã làm suy yếu gần 1.000 máy ly tâm của Iran trong sự việc năm 2010. Sâu máy tính này được các chuyên gia đánh giá là một đoạn mã cực kỳ phức tạp và sẽ vô cùng nguy hiểm nếu coi nhẹ tác động của nó.

Những kẻ tấn công đầu tiên tìm cách để các máy tính thuộc 5 công ty bên ngoài, được cho là có liên quan theo một cách nào đó đến chương trình hạt nhân nhiễm mã độc từ đó phát tán và vận chuyển vũ khí bên trong các USB vào cơ sở được bảo vệ và các máy tính Siemens.

Khi đó, không một hệ thống bảo mật nào "quét" được sự tồn tại của Stuxnet. Theo các chuyên gia, phương pháp lây lan chính của Stuxnet là USB.

Stuxnet sau khi tấn công vào cơ sở hạt nhân của Iran, đã vô tình phát tán ra thế giới bên ngoài. Stuxnet sau đó được phát hiện ở Đức, Pháp, Ấn Độ và Indonesia.

Phương thức hoạt động của Stuxnet cũng tạo tiền đề cho các cuộc tấn công nguy hiểm khác sau này. Vào năm 2015, các nhà nghiên cứu người Đức đã tạo ra một loại sâu máy tính khác, được gọi là PLC Blaster. Chúng sử dụng một phần phương thức hoạt động của Stuxnet, có khả năng nhắm mục tiêu vào thế hệ PLC Siemens S7 series.

Tổ chức an ninh mạng Stormshield cho biết, một kịch bản giống như Stuxnet vẫn có thể xảy ra vào năm 2024 vì nguyên tắc sẽ luôn có các lỗ hổng Zero-Day cho phép tội phạm mạng có lợi thế tấn công.