Stuxnet has a double payload
16 November 2010, 19:49
Theo: http://www.h-online.com/security/news/item/Stuxnet-has-a-double-payload-1137521.html
Bài được đưa lên Internet ngày: 16/11/2010
Lời người dịch: Không giống như phát hiện của Symantec đối với Stuxnet là chỉ có 1 mục tiêu phá hoại các bộ chuyển tốc động cơ các nhà máy làm giàu uranium và hạt nhân của Iran, hãng Langner Communications còn phát hiện rằng Stuxnet còn có mục tiêu phá hoại thứ 2 nữa là phá hoại các hệ thống kiểm soát tuabin. Thời gian từ 3-8 năm theo dự đoán của Trung tâm về các Nghiên cứu Quốc tế và Chiến lược của Mỹ về sự chuyển hướng an ninh không gian mạng từ gián điệp thông tin sang phá hoại có lẽ đã không còn đúng nữa. Sự phá hoại đang diễn ra chứ không phải là sẽ diễn ra nữa.
Theo phân tích mới nhất, Stuxnet không chỉ nhằm vào việc phá vỡ một hệ thống duy nhất, mà là 2 hệ thống khác nhau. Theo hãng an ninh các hệ thống kiểm soát Langner Communications, sâu này không chỉ được thiết kế để can thiệp với các hệ thống kiểm soát động cơ, tần số biến đổi đặc biệt - mà nó còn dự định phá hoại các hệ thống kiểm soát tuabin. Theo Langner, điều này có thể có nghĩa là, đối với nhà máy làm giàu uranium của Iran tại Natanz, nhà máy nguyên tử Bushehr của quốc gia này có thể từng là mục tiêu tiếp theo của cuộc tấn công bằng Stuxnet.
Các chuyên gia đã từng phỏng đoán về mục tiêu của sâu này từ vài tuần nay, với những tin đồn sớm liên quan tới việc nó nhằm vào việc phá hoại Natanz hoặc Bushehr. Tuy nhiên, không ai ban đầu nghi ngờ rằng mục tiêu của nó là để phá hoại cả 2 nhà máy này, dù manh mối mà điều này có thể gây ra từng nổi lên đôi lúc. Stuxnet tấn công vào hệ thống kiểm soát của Siemens các dạng S7-300 (315) và S7-400 (417). Các module tấn công dường như đã được tạo ra có sử dụng các công cụ khác nhau - có lẽ thậm chí bởi các đội khác nhau.
Mã cho hệ thống S7-417 – được sử dungụng trong các hệ thống kiểm soát tuabin ở Bushehr – được cho là tinh vi phức tạp hơn nhiều sao với hệ thống S7-315. Mã nguồn này triển khai số lượng nào vào một cuộc tấn công có con người làm vật trung gian để vượt qua được các giá trị đầu vào và đầu ra giả mạo để đi tới được mã thật kiểm soát nhà máy. Mã của người sử dụng chạy trên một trình kiểm soát logic có khả năng lập trình được (PLC) không thường yêu cầu các cổng I/O một cách trực tiếp, mà thay vào là việc đọc từ một ảnh quá trình đầu vào và viết vào một ảnh quá trình đầu ra. Việc ánh xạ các cổng vật lý tới các cổng logic được mong đợi sẽ đảm bảo các giá trị I/O sẽ không thay đổi trong các chu kỳ xử lý.
According to the latest analysis, Stuxnet is aimed not at disrupting a single system, but at two different systems. According to control systems security firm Langner Communications, the worm is not just designed to interfere with specific, variable frequency, motor control systems – it also attempts to disrupt turbine control systems. According to Langner, this would mean that, in addition to Iran's uranium enrichment plant at Natanz, the country's Bushehr nuclear power plant may have been a further target of the Stuxnet attack.
Specialists have been puzzling over the worm's target for several weeks, with early rumours circulating that it was aimed at sabotaging Natanz or Bushehr. However, no-one initially suspected that its aim was to sabotage both plants, although clues that this might be the case have been emerging for some time. Stuxnet attacks Siemens control system types S7-300 (315) and S7-400 (417). The attack modules appear to have been created using different tools – probably even by different teams.
The code for the S7-417 system – used in the turbine control systems at Bushehr – is reported to be much more sophisticated than that for the S7-315 system. The code carries out what amounts to a man-in-the-middle attack in order to pass fake input and output values to the genuine plant control code. User code running on a programmable logic controller (PLC) does not usually query I / O ports directly, but instead reads from an input process image and writes to an output process image. Mapping of physical ports to logical ports is intended to ensure that I / O values do not change during processing cycles.
Theo phân tích của Langner, các biến thể mã của Stuxnet thường cập nhật các ảnh qui trình. Các giá trị được ghi vào các ảnh quá trình bằng các mã bị thâm nhập trong PLC. Các giá trị sẽ có phụ thuộc vào đầu vào một cách vật lý cho ảnh của quá trình hay không, khi mà nó là có thể. Điều này cho phép phá các hệ thống kiểm soát tuabin, mà trong những trường hợp tột cùng có thể dẫn tới sự phá huỷ tuabin.
Thực trạng này là quả anh đào trên đỉnh của chiếc bánh kem. Phân tích ban đầu của Stuxnet đã chỉ ra rằng sâu này đã chứa một bộ công cụ rootkit cho PLC mà nó đã đánh lừa các lập trình viên nghĩ đã không có gì sai với mã ngnồn đối với hệ thống kiểm soát của họ.
Chỉ qua cuối tuần vừa rồi, Symantec cũng đã tuyên bố rằng hãng đã phát hiện ra rằng sâu Stuxnet đã nhằm vào các động cơ đặc biệt mà chúng có thể được sử dụng cho việc làm giàu uranium. Hãng này đã nói rằng Stuxnet được thiết kế để can thiệp vào với các hệ thống kiểm soát đối với các bộ chuyển tốc mà chúng xác định các tốc độ của động cơ, nhưng bây giờ điều này dường như mới chỉ là một trong 2 mục đích mà thôi.
According to analysis by Langner, the Stuxnet code deactivates regular updating of the process images. Values are instead written to the process images by code injected into the PLC. What these values are depends on whether or not an attack is under way. The Stuxnet code is able to pass the original values from the physical input to the process image – or not, as the case may be. This allows it to disrupt turbine control systems, which in extreme cases can lead to destruction of the turbine.
This realisation is the cherry on top of the icing on the cake. Initial analysis of Stuxnet showed that the worm contained a rootkit for PLCs which fooled programmers into thinking there was nothing wrong with the code for their control system.
Just this past weekend, Symantec announced that it had discovered that the Stuxnet worm was aimed at specific motors which can be used, among other things, for uranium enrichment. The company reported that Stuxnet is designed to interfere with control systems for the frequency converters which determine motor speeds, but this now appears to be only one of the two payloads.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.