Giải mã "sâu" tấn công lò phản ứng hạt nhân Iran
Các nhà nghiên cứu bảo mật cho biết, sâu Stuxnet đã lén
lút tấn công các mục tiêu của ngành công nghiệp nặng,
điển hình như lò phản ứng hạt nhân của Iran nhưng chí
nh
tác giả tạo sâu Stuxnet đã bị thất bại vì sự bất lực của
Stuxnet.
USB làm hỏng kế hoạch
Sâu được thiết kế thâm nhập vào các chương trình điều khiển
ngành công nghiệp nặng. Đây là chương trình giám sát và
quản lý các nhà máy, hệ thống dẫn dầu, nhà máy phát điện,…
.
Sâu này chỉ bị phát hiện trên các rada của các nhà nghiên cứu
trong mùa hè vừa qua, gần một năm sau khi chúng xuất hiện
lần đầu tiên.
Tuy nhiên, việc phát tán chúng có thể là các mục tiêu có chủ
đích, theo Roel Schouwenberg, nhà nghiên cứu diệt virus cao
cấp của Kaspersky Lab (một trong hai hãng bảo mật đã mất
nhiều thời gian phân tích sâu Stuxnet).
Hầu hết các nhà nghiên cứu đều nhất trí rằng, Stuxnet đã phát
triển tinh vi hơn trước và được gọi là "groundbreaking" tức là
,
chúng được xây dựng bởi một nhóm có tiềm lực về tài chính,
quyền lực mà đứng đằng sau có thể là một chính phủ. Có lẽ
mục tiêu của sâu này là nhắm vào Iran và các hệ thống trong
chương trình năng lượng hạt nhân của nước này.
Đầu tuần này, các quan chức Iran đã cho biết, hàng chục
nghìn máy tính Windows đã bị nhiễm sâu Stuxnet, bao gồm
một số địa điểm ở một nhà máy năng lượng hạt nhân ở Tây
Nam Iran. Tuy nhiên, họ phủ nhận việc cuộc tấn công đã gây
thiệt hại cho bất cứ phương tiện nào. Tuy nhiên, sâu Stuxnet
đã góp phần gây ra việc trì hoãn hoạt động của lò phản ứng
này.
Nhưng nếu Stuxnet nhắm vào một danh sách mục tiêu cụ thể
thì tại sao chúng lại lây nhiễm cho hàng nghìn máy tính PC
bên ngoài Iran, ở một số quốc gia như Trung Quốc, Đức,
Kazakhstan và Indonesia?
Liam O Murchu, nhà quản lý về bảo mật của Symantec cho
biết, cho dù các nhà chế tạo Stuxnet có giới hạn khả năng phá
t
tán thì vẫn có một số thứ hoạt động không đúng như tác giả
mong đợi.
O Murchu cho biết, phương thức lây nhiễm thường thông qua
các thiết bị USB gồm bộ đếm để giới hạn lây lan cho 3 máy
tính. Điều này rõ ràng cho thấy những kẻ tấn công không
muốn Stuxnet lây lan rộng ra. Chúng muốn Stuxnet duy trì
gần với những điểm lây nhiễm ban đầu.
Nghiên cứu của O Murchu cũng cho thấy, cửa sổ giới hạn lây
nhiễm 21 ngày hay nói cách khác là sâu sẽ xâm nhập các máy
khác trong một mạng chỉ trong 3 tuần trước khi thoát ra. Mặc
dù có việc chống nhân bản nhưng Stuxnet vẫn lan rộng ra.
Vậy nguyên nhân là do đâu?
Schouwenberg của Kaspersky tin rằng, đó là do thiết bị USB
đã bị nhiễm sâu Stuxnet và đã làm hỏng kế hoạch mà kẻ sản
xuất Stuxnet muốn.
Lây lan dựa theo nhận biết phần cứng mạng
Theo quan điểm của Schouwenberg, biến thể đầu tiên của
Stuxnet không đạt đến được mục đích của chúng. Ông cũng
đề cập tới phiên bản 2009 của sâu này (chúng thiếu nhiều cơ
chế lây lan linh hoạt nhắ́m tới nhiều lỗ hổng zero-day của
Windows). Vì vậy, chúng đã tạo ra phiên bản tinh vi hơn để
đạt được mục đích cuối cùng.
Phiên bản phức tạp hơn đã được phát triển hồi tháng 3 năm
nay nhưng phiên bản trước đó đã hoạt động trong nhiều tháng
và thậm chí lâu hơn nữa trước khi một hãng cung cấp phần
mềm diệt virus ít tên tuổi từ Belarus đầu tiên phát hiện ra
chúng hồi tháng 6. Phiên bản đầu tiên không đủ lây lan và tác
giả của Stuxnet đã mạo hiểm bỏ qua ý tưởng tàng hình cho
sâu này.
Theo giả định của Schouwenberg, các nhà phát triển Stuxnet
đã thực sự gặp thất bại trong việc xâm nhập vào các mục tiêu
có chủ đích. Schouwenberg quả quyết, chúng đã tốn nhiều
thời gian và tiền bạc cho sâu Stuxnet. Chúng có thể thử lại và
vẫn sẽ thất bại hoặc có thể bổ sung thêm nhiều chức năng để
“tăng lực” cho Stuxnet.
O Murchu đã đồng ý rằng, tác giả sâu đã sai lầm khi dùng
Stuxnet lây nhiễm hệ thống máy tính. Sâu Stuxnet đã tiến hóa
theo thời gian, bổ sung các cách lây lan mới trên mạng với hy
vọng tìm ra các PLC (chương trình lập trình điều khiển logic)
cụ thể để chiếm quyền kiểm soát. Nhưng có lẽ các cuộc tấn
công này đã không quản lý tất cả các mục tiêu của chúng. Sự
phức tạp của Stuxnet tăng lên trong năm 2010 nhưng chúng
đã không đạt được mục tiêu như đã đặt ra.
Với sự gia tăng của Stuxnet, Schouwenberg cho rằng, quốc
gia tạo ra sâu này có thể chính họ cũng bị ảnh hưởng. Nguy
cơ đó có thể là khá nhỏ vì những cơ sở hạ tầng quan trọng củ
a
họ đã không bị ảnh hưởng bởi sâu Stuxnet và vì hệ thống đó
không sử dụng Siemens PLCs.
Stuxnet chỉ cố gắng xâm nhập các PLC được chế tạo bởi các
gã khổng lồ điện tử Đức –Siemens. Hãng này cung cấp một số
lớn phần cứng và phần mềm điều khiển cho ngành công
nghiệp ở Iran.
Nghiên cứu của O Murchu có vẻ quay trở lại với quan điểm
của Schouwenberg. Stuxnet đã tìm kiếm các loại phần cứng
PLC cụ thể hiện nay. Chưa có chứng cớ rõ ràng việc phần
cứng chính là mục tiêu nhận biết tấn công của Stuxnet.
Nhưng
đoạn mã của sâu Stuxnet chỉ lây nhiễm PLC sử dụng card
mạng cụ thể.
Cả Schouwenberg và O Murchu cho biết, có thể không bao
giờ biết được tác giả của Stuxnet nhưng điều đáng nói ở đây
là, tin tặc muốn mọi người nghĩ rằng Israel đứng đằng sau vụ
tấn công chống lại Iran.