Stuxnet Industrial Worm Was Written Over a Year Ago
By Robert McMillan, IDG News, Aug 5, 2010 8:20 am
Bài được đưa lên Internet ngày: 05/08/2010
Lời người dịch: Sâu Windows Stuxnet không phải bây giờ mới được xây dựng, mà nó được cho là đã có phiên bản đầu từ tháng 06/2009. Nó là hơn hẳn với Aurora từng đánh vào Google hồi cuối năm 2009. Cả Aurora và Stuxnet lợi dụng những lỗi “ngày số 0” còn chưa được vá trong các sản phẩm của Microsoft. Nhưng Stuxnet đáng chú ý hơn về mặt kỹ thuật so với cuộc tấn công vào Google, Schouwenberg nói. “Aurora đã có một lỗi ngày số 0, nhưng nó là lỗi ngày số 0 chống lại IE6”, ông nói. “Ở đây chúng tôi có một chỗ bị tổn thương mà là có ảnh hưởng chống lại mọi phiên bản của Windows kể từ Windows 2000”. “Sau khi Stuxnet đã được tạo ra, các tác giả của nó đã bổ sung thêm các phần mềm mới mà cho phép nó lan truyền trong các ổ USB mà thực sự không cần tới sự can thiệp của nạn nhân. Và chúng cũng bằng cách nào đó đã sờ được tới các khóa mã hóa thuộc về các công ty sản xuất chip là Realtek và JMicron và ký điện tử cho phần mềm độc hại, thế nên các trình quét virus có thể khó mà tìm ra nó”.
Một sâu tinh vi phức tạp được thiết kế để ăn cắp các bí mật công nghiệp đã từng có từ lâu hơn nhiều so với được nghĩ trước đây, theo các chuyên gia an ninh nghiên cứu phần mềm độc hại.
Được gọi là Stuxnet, sâu này đã không nổi tiếng cho tới giữa tháng 7, khi nó đã được xác định bởi những thanh tra của VirusBlockAda, một nhà cung cấp về an ninh tại Minsk, Belarus. Sâu này đáng lưu ý không chỉ vì sự tinh vi phức tạp về kỹ thuật của nó, mà còn vì thực tế là nó nhằm vào các máy tính của các hệ thống kiểm soát công nghiệp được thiết kế để chạy các nhà máy sản xuất và các nhà máy điện.
Bây giờ các chuyên gia tại Symantec nói rằng họ đã xác định được một phiên bản sớm của sâu này mà đã được tạo ra vào tháng 06/2009, và rằng phần mềm độc hại này sau đó đã được làm tinh vi phức tạp hơn nhiều vào đầu năm 2010.
Phiên bản sớm của Stuxnet hoạt động theo cùng cách như sự hiện thân hiện hành của nó - nó cố gắng kết nối với các hệ thống quản lý SCADA của Siemens (hệ thống điều khiển giám sát và thu thập dữ liệu nhằm hỗ trợ con người trong quá trình giám sát và điều khiển từ xa) và ăn cắp các dữ liệu - nhưng nó không sử dụng một số kỹ thuật đáng chủ ý của các sâu mới hơn để tránh sự dò tìm của các phần mềm chống virus và tự cài đặt bản thân lên các hệ thống Windows. Những tính năng này có lẽ đã được bổ sung vào từ vài tháng trước khi sâu mới nhất lần đầu tiên đã bị phát hiện, Roel Schouwenberg, một nhà nghiên cứu với nhà cung cấp chống virus Kaspersky Lab, nói. “Không còn nghi ngờ gì đây là cuộc tấn công có chủ đích tinh vi phức tạp nhất mà chúng tôi từng thấy cho tới nay”, ông nói.
Sau khi Stuxnet đã được tạo ra, các tác giả của nó đã bổ sung thêm các phần mềm mới mà cho phép nó lan truyền trong các ổ USB mà thực sự không cần tới sự can thiệp của nạn nhân. Và chúng cũng bằng cách nào đó đã sờ được tới các khóa mã hóa thuộc về các công ty sản xuất chip là Realtek và JMicron và ký điện tử cho phần mềm độc hại, thế nên các trình quét virus có thể khó mà tìm ra nó.
A sophisticated worm designed to steal industrial secrets has been around for much longer than previously thought, according to security experts investigating the malicious software.
Called Stuxnet, the worm was unknown until mid-July, when it was identified by investigators with VirusBlockAda, a security vendor based in Minsk, Belarus. The worm is notable not only for its technical sophistication, but also for the fact that it targets the industrial control system computers designed to run factories and power plants.
Now researchers at Symantec say that they've identified an early version of the worm that was created in June 2009, and that the malicious software was then made much more sophisticated in the early part of 2010.
This earlier version of Stuxnet acts in the same way as its current incarnation -- it tries to connect with Siemens SCADA (supervisory control and data acquisition) management systems and steal data -- but it does not use some of the newer worm's more remarkable techniques to evade antivirus detection and install itself on Windows systems. Those features were probably added a few months before the latest worm was first detected, said Roel Schouwenberg, a researcher with antivirus vendor Kaspersky Lab. "This is without any doubt the most sophisticated targeted attack we have seen so far," he said.
After Stuxnet was created, its authors added new software that allowed it to spread among USB devices with virtually no intervention by the victim. And they also somehow managed to get their hands on encryption keys belonging to chip companies Realtek and JMicron and digitally sign the malware, so that antivirus scanners would have a harder time detecting it.
Realtek và JMicron cùng có văn phòng tại Hsinchu Science Park tại Hsinchu, Đài Loan, và Schouwenberg tin tưởng rằng ai đó có thể đã ăn cắp các khóa bằng việc truy cập vật lý các máy tính ở 2 công ty này.
Các chuyên gia an ninh nói những cuộc tấn công có chủ đích này từng xảy ra vài năm nay, nhưng chỉ gần đây chúng mới bắt đầu giành được sự chú ý của dòng chính thống, sau khi Google đã phát hiện rằng hãng đã bị nhằm tới bằng một cuộc tấn công được biết tới như là Aurora.
Cả Aurora và Stuxnet lợi dụng những lỗi “ngày số 0” còn chưa được vá trong các sản phẩm của Microsoft. Nhưng Stuxnet đáng chú ý hơn về mặt kỹ thuật so với cuộc tấn công vào Google, Schouwenberg nói. “Aurora đã có một lỗi ngày số 0, nhưng nó là lỗi ngày số 0 chống lại IE6”, ông nói. “Ở đây chúng tôi có một chỗ bị tổn thương mà là có ảnh hưởng chống lại mọi phiên bản của Windows kể từ Windows 2000”.
Hôm thứ hai, Microsoft đã vội vã làm một bản vá sớm cho chỗ bị tổn thương của Windows mà Stuxnet sử dụng để lan truyền từ hệ thống này sang hệ thống khác. Microsoft đã tung ra bản cập nhật ngay khi mã nguồn của cuộc tấn công bằng Stuxnet đã bắt đầu được sử dụng trong những cuộc tấn công hiểm độc hơn.
Mặc dù Stuxnet có thể đã từng được sử dụng bởi một kẻ giả mạo để ăn cắp các bí mật công nghiệp - các dữ liệu nhà máy về cách thành lập các câu lạc bộ đánh golf, ví dụ thế - thì Schouwenberg đồ là một quốc gia đã đứng đằng sau những cuộc tấn công này.
Tới nay, Siemens nói 4 trong số các khách hàng của hãng đã từng bị lây nhiễm với sâu này. Nhưng tất cả những cuộc tấn công này đã ảnh hưởng tới những hệ thống kỹ thuật, hơn là bất kỳ thứ gì trên sàn của nhà máy.
Mặc dù phiên bản đầu tiên của sâu này đã được viết vào tháng 06/2009, thì rõ ràng là phiên bản đó đã được sử dụng trong một cuộc tấn công thế giới thực. Schouwenberg tin tưởng cuộc tấn công đầu tiên có thể còn sớm hơn tháng 07/2009. Cuộc tấn công được khẳng định đầu tiên mà Symantec biết về ngày tháng là từ tháng 01/2010, Vincent Weafer, phó chủ tịch của Symantec về công nghệ và phản ứng về an ninh đã nói.
Hầu hết các hệ thống bị lây nhiễm là tại Iran, ông bổ sung, dù tại Ấn Độ, Indonesia và Pakistan cũng bị. Điều này bản thân nó là rất không bình thường, Weaver nói. “Đây là lần đầu tiên trong 20 năm tôi có thể nhớ Iran nổi lên quá nặng nề”.
Realtek and JMicron both have offices in the Hsinchu Science Park in Hsinchu, Taiwan, and Schouwenberg believes that someone may have stolen the keys by physically accessing computers at the two companies.
Security experts say these targeted attacks have been ongoing for years now, but they only recently started gaining mainstream attention, after Google disclosed that it had been targeted by an attack known as Aurora.
Both Aurora and Stuxnet leverage unpatched "zero-day" flaws in Microsoft products. But Stuxnet is more technically remarkable than the Google attack, Schouwenberg said. "Aurora had a zero-day, but it was a zero-day against IE6," he said. "Here you have a vulnerability which is effective against every version of Windows since Windows 2000."
On Monday, Microsoft rushed out an early patch for the Windows vulnerability that Stuxnet uses to spread from system to system. Microsoft released the update just as the Stuxnet attack code started to be used in more virulent attacks.
Although Stuxnet could have been used by a counterfeiter to steal industrial secrets -- factory data on how to make golf clubs, for example -- Schouwenberg suspects a nation state was behind the attacks.
To date, Siemens says four of its customers have been infected with the worm. But all those attacks have affected engineering systems, rather than anything on the factory floor.
Although the first version of the worm was written in June 2009, it's unclear if that version was used in a real-world attack. Schouwenberg believes the first attack could have been as early as July 2009. The first confirmed attack that Symantec knows about dates from January 2010, said Vincent Weafer, Symantec's vice president of security technology and response.
Most infected systems are in Iran, he added, although India, Indonesia and Pakistan are also being hit. This in itself is highly unusual, Weaver said. "It is the first time in 20 years I can remember Iran showing up so heavily."
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.