'Sinister' Integral Energy virus outbreak a threat to power grid
ASHER MOSES
October 1, 2009
Bài được đưa lên Internet ngày: 01/10/2009
Lời người dịch: Lưới điện của Úc đã bị lây nhiễm virus Windows “W32.Virut.CF, mà công ty về an ninh máy tính Symantec mô tả trên website của mình như là 'một kẻ lây nhiễm tệp độc ác đặc biệt' mà nó lan truyền nhanh chóng và 'đang minh chứng cho sự khó khăn để loại bỏ từ các mạng bị lây nhiễm'”. “Chớ trêu thay, các mạng máy tính của Integral Energy được bảo vệ bởi một giải pháp an ninh của Symantec, một nguồn nói. Symantec đã có một chữ ký cho virus W32.Virut.CF từ tháng 02”. Vâng, hết conficker, MyDoom, Clapi, … nay lại W32.Virut.CF đều là những virus, sâu bọ của Windows và đều đặc biệt độc ác. Có lẽ chính bản thân Windows mới là virus độc ác cần phải VỨT BỎ chăng? Hy vọng lưới điện của Việt Nam sẽ không có hân hạnh được đón tiếp những virus này.
Một virus bùng nổ đang trút sự tàn phá lên mạng máy tính của Integral Energy, ép nó phải xây dựng lại tất cả 1,000 máy tính để bàn của nó trước khi lỗi “độc ác đặc biệt” này lan tỏa sang các máy tính kiểm soát lưới điện.
Một người phát ngôn cho Integral Energy, một nhà cung cấp điện chính, đã khẳng định rằng hãng này đã kêu gọi các chuyên gia an ninh thông tin bên ngoài để “xây dựng lại tất cả các máy tính để bàn chứa đựng và loại bỏ virus”.
Phần mềm độc hại đã không ảnh hưởng đến các mạng cung cấp điện đối với các dữ liệu của khách hàng hoặc các doanh nghiệp và đã “chỉ nằm bên trong mạng công nghệ thông tin của Integral Energy”, người phát ngôn này nói.
Nhưng Chris Gatford, một nhà tư vấn an ninh tại Hacklabs, người mà đã dẫn dắt thử nghiệm thâm nhập lên hạ tầng mang tính sống còn, đã nói là đã thường xuyên có “sự phân ly không hiệu quả” hoặc “thường không gì cả nữa” giữa mạng IT và mạng mà những người giám sát và kiểm soát hạ tầng.
Ông đã nói 2 mạng thường cần được kết nối theo một vài cách để chia sẻ các dữ liệu như việc sử dụng thông tin mà nó được sử dụng trong quá trình tính hóa đơn hoặc chất lượng đo đạc dịch vụ.
“Rủi ro có một virus ở dạng này của môi trường là việc nó có thể ảnh hưởng tới hoạt động của lưới điện nếu virus này đã thâm nhập vào mạng kiểm soát quá trình này”, Gatford nói.
“Tôi nghĩ họ sẽ được ngợi khen vì phản ứng cực đoan này khi làm việc với thứ gì đó mà có thể ảnh hưởng một cách tiềm tàng tới cung cấp điện”.
Integral Energy nói virus này là W32.Virut.CF, mà công ty về an ninh máy tính Symantec mô tả trên website của mình như là “một kẻ lây nhiễm tệp độc ác đặc biệt” mà nó lan truyền nhanh chóng và “đang minh chứng cho sự khó khăn để loại bỏ từ các mạng bị lây nhiễm”.
A virus outbreak is wreaking havoc with Integral Energy's computer network, forcing it to rebuild all 1000 of its desktop computers before the "particularly sinister" bug spreads to the machines controlling the power grid.
A spokesman for Integral Energy, a major energy supplier, confirmed that the company had called in external information security experts to "rebuild all desktop computers to contain and remove the virus".
The malware had not affected power supplies to customers or business data and was "contained within Integral Energy's information technology network", the spokesman said.
But Chris Gatford, a security consultant at Hacklabs who has conducted penetration testing on critical infrastructure, said there was often "ineffective segregation" or "more typically none at all" between the IT network and the network that monitors and controls the infrastructure.
He said the two networks often needed to be connected in some way in order to share data such as usage information that is used in the billing process or quality of service measuring.
"The risk of having a virus in this type of environment is it might affect the operation of the power grid if the virus was to infiltrate the process control network," said Gatford.
"I think they're to be commended for this extreme reaction when dealing with something that could potentially affect the supply of energy."
Integral Energy said the virus was the W32.Virut.CF strain, which computer security company Symantec describes on its website as "a particularly sinister file infector" that spreads quickly and "is proving difficult to remove from infected networks".
Chớ trêu thay, các mạng máy tính của Integral Energy được bảo vệ bởi một giải pháp an ninh của Symantec, một nguồn nói. Symantec đã có một chữ ký cho virus W32.Virut.CF từ tháng 02.
“Điều này có thể chỉ ra phần mềm chống virus này đã không được cập nhật theo thời gian trên một số máy tính hoặc là sản phẩm của Symantec đã không có khả năng dò ra nó vì các kỹ thuật đen tối được sử dụng bởi phần mềm độc hại”, Gatford nói.
Website của Symantec cũng đã nói rằng virus này cài đặt một cửa hậu, cho phép các tin tặc đưa ra các lệnh để lây nhiễm các máy thông qua một kênh chat có độ trễ (IRC) trên Internet.
Gatford nói điều này đã là một “mối quan ngại lớn” khi trên các mạng nhạy cảm mà hầu hết các mạng của các tập đoàn “có thể không cho phép sự đi lại này bị phần mềm độc hại vượt qua”.
Người phát ngôn của Integral Energy nói hãng đã đặt ra kế hoạch phục hồi để hạn chế virus này khỏi các hệ thống kinh doanh của họ và duy trì các mức dịch vụ cho các khách hàng.
“Như một phần của kế hoạch này, một sự điều tra đang được thực hiện để tìm nguyên nhân của sự lây nhiễm và một chiến lược để tối thiểu hóa rủi ro này trong tương lai”, ông nói.
Ironically, Integral Energy's computer networks are protected by a Symantec security solution, a source said. Symantec has had a virus signature for W32.Virut.CF since February.
"This might indicate the antivirus software was not updated in a timely matter on some machines or that the Symantec product was not able to detect it due to the obfuscation techniques used by the malware," Gatford said.
The Symantec website also said that the virus installs a back door, enabling hackers to issue commands to the infected machines via an internet relay chat (IRC) channel.
Gatford said this was a "big concern" when on sensitive networks but most corporate networks "would not allow for this traffic to be passed by the malware".
The Integral Energy spokesman said the company had put in place recovery plans to eliminate the virus from its business systems and maintain service levels to customers.
"As part of these plans, an investigation is under way into the cause of the infection and a strategy to minimise this risk in the future," he said.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.