Hiển thị các bài đăng có nhãn bảo mật. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn bảo mật. Hiển thị tất cả bài đăng

Thứ Bảy, 27 tháng 4, 2013

Stuxnet được phát triển chống lại Iran từ năm 2007

Symantec đã tìm thấy và phân tích một phiên bản malware do thám mạng Stuxnet hai năm trước . Malware này đã dùng phương pháp khác để làm gián đoạn quá trình làm giàu hạt nhân tại nhà máy Natanz của Iran .


Stuxnet được phát hiện từ năm 2010 và khi ấy được cho là một malware phức tạp nhất . Nó đã dùng nhiều cách khác nhau để phát tán mà trước đó chưa bao giờ biết nhắm tới những hệ thống công nghiệp . Dựa trên thời gian trong mẫu Stuxnet , cho tới giờ , những nhà nghiên cứu tin rằng nó được tạo ra lần đầu tiên vào năm 2009 .

Phiên bản mà Symantec phát hiện ra có tên gọi Stuxnet 0.5 được cho là đã được sử dụng từ năm 2007 và có những bằng chứng cho thấy có thể là từ năm 2005 , khi những tên miền dùng cho máy chủ CnC ( Command and Control ) đầu tiên được đăng kí .

Theo Symantec , nhãn thời gian trong mã Stuxnet 0.5 được cho là năm 2001 , nhưng có vẻ điều đó không chính xác .

Symantec tin rằng Stuxnet 0.5 là sự liên kết giữa Stuxnet 1.0 và Flame . Flame cũng là malware do thám mạng phát hiện trong năm 2012 cũng được cho là có trước cả Stuxnet .

Dự trên những bằng chứng về kỹ thuật cho thấy Flame và Stuxnet 1.0 được xây dựng dựa trên hai nền tảng phát triển khác nhau . Nhưng những chuyên gia an ninh đã tìm thấy những điểm tương đồng của hai malware này và kết luận người tạo ra Stuxnet có quyền truy cập tới mã cơ sở của Flame .

Stuxnet 0.5 là bằng chứng không phải chỉ là sự cọng tác của những nhà phát triển Stuxnet với Flame mà cả hai đều chia xẻ một phần mã nguồn khi bắt đầu .

Symantec cho rằng , Stuxnet 0.5 có một phần dựa trên nền tảng Flame , khác với nền tảng của Stuxnet 1.0 , có tên gọi Tilded .

Không như Stuxnet 1.0 , bản 0.5 chỉ khai thác một lỗ hổng an ninh trong phần mềm kỹ thuật Siemens Step 7 để lây nhiễm vào những hệ thống và phát tán từ máy này qua máy khác bằng những dự án Step 7 đã bị nhiễm độc qua USB . Phần mềm Step 7 được dùng để lập trình cho những PLC (programmable logic controllers) - là máy tính số đặc biệt để điều khiển những máy móc công nghiệp .

Bên cạnh việc khai thác lỗ hổng của Step 7 , Stuxnet 1.0 cũng khai thác những lỗ hổng Zero-Day của Windows để phát tán qua mạng cục bộ .

Symantec nói rằng , Stuxnet 0.5 dùng chiến thuật do thám khác với bản Stuxnet 1.0 . Nó phun mã tấn công vào những PLC Siemens 417 để điều khiển những van dùng để phun khi ga trong những máy li tâm làm giàu Uranium .


Các nhà nghiên cứu khẳng định “ Cuộc tấn công này có thể đã gây ra những thiệt hại nghiêm trọng cho các máy li tâm và hệ thống làm giàu Uranium “.

Ngoài ra mã PLC giả mạo được thiết kế để đưa ra những kết quả giả mạo để che mắt để nhà máy tin rằng mọi việc vẫn theo đúng kế hoạch . Tiếp theo sau thời gian 30 ngày lây nhiễm malware lại tiếp tục thực hiện cuộc tấn công .

Mã PLC độc hại cũng ngăn chặn người điều khiển nhà máy can thiệp và làm thay đổi trạng thái của van trong khi cuộc tấn công đang tiến hành .

Stuxnet 1.0 được thiết kế để lây nhiễm model PLC 315 được dùng để điều khiển tốc độ quay của máy li tâm làm giàu Uranium . Không rõ nguyên nhân tại sao người tạo ra Stuxnet lại quyết định thay đổi chiến thuật thay thế từ van li tâm sang tốc độ vòng quay . Điều đó có thể cuộc tấn công nhắm vào PLC 417 không thu được kết quả mong muốn , nhưng cũng có thể nhà máy thay thế toàn bộ model 417 PLC nên những người tạo ra Stuxnet thay đổi tấn công của mình .

Symantec phát hiện ra Stuxnet 0.5 được lập trình để ngừng tiếp xúc tới những máy chủ CnC sau ngày 11/1/2009 , và ngừng phát tán từ 4/6/2009 . Phiên bản Stuxnet cũ nhất của 1.0 được biên dịch hôm 22/7/2009 , nhưng Symantec cho rằng đó là một phiên bản khác nằm giữa bản 0.5 và 1.0 mà chưa bị phát hiện ra .

Mặc dù được thiết kế để ngừng phát tán trong năm 2009 nhưng Symantec tin rằng Stuxnet 0.5 vẫn còn xuất hiện ở một số nhỏ trong những dự án Step 7 bị lây nhiễm hồi năm ngoái . Gần một nửa xuất hiện ở Iran và 21% ở Mỹ .
DBS M05479
Quang Cao