Thứ Tư, 6 tháng 7, 2011

Symantec hé lộ mã nguồn của Stuxnet

Symantec Uncovered Stuxnet’s Code

SPAMfighter News – 06-07-2011

Theo: http://www.spamfighter.com/News-16403-Symantec-Uncovered-Stuxnets-Code.htm

Bài được đưa lên Internet ngày: 06/07/2011

Lời người dịch: “Theo một tài liệu mà Symantec đã xuất bản gần đây, công ty an ninh này đã hé lộ mã nguồn của Stuxnet từng tấn công vào một nhà máy xử lý hạt nhân tại Iran. ReadWrite Hack đã đưa tin này hôm 28/06/2011.... Hình như Symantec cảnh báo, những người sáng tạo ra Stuxnet có thể sẽ mang lại thứ gì đó còn nguy hiểm hơn vào lần sau”.

Theo một tài liệu mà Symantec đã xuất bản gần đây, công ty an ninh này đã hé lộ mã nguồn của Stuxnet từng tấn công vào một nhà máy xử lý hạt nhân tại Iran. ReadWrite Hack đã đưa tin này hôm 28/06/2011.

Năm 2010, Symantec, vào ngày 20/07, đã dàn xếp việc theo dõi giao thông web có liên quan tới các máy chủ chỉ huy kiểm soát của Stuxnet. Hệ quả là, hãng đã thấy khoảng 40,000 địa chỉ IP riêng bắt nguồn từ khoảng 155 quốc gia. Symantec nói rằng mạng các máy tính cá nhân PC nhà máy của Iran đã có một cái gọi là “khe hở khí” trong số các máy tính đã giúp trong việc giao tiếp với các trình kiểm soát của Siemens, cũng như toàn bộ mạng nghiệp vụ của nhà máy, mà mạng này được kết nối trực tuyến.

Và khi mà những lây nhiễm làm ồn ào tại Iran, thì nó có lẽ đã chỉ ra rằng mục tiêu đầu tiên của sâu là vào quốc gia này. Dù Stuxnet đại diện cho một phần mềm độc hại có mục đích về bản chất tự nhiên, thì việc sử dụng các phương pháp lây nhiễm dạng rộng lớn của nó là gợi mở về sự reo rắc của nó vượt quá và vượt xa điểm tấn công ban đầu.

Được cho là, những người tạo ra Stuxnet đã tấn công 5 nhà thầu phụ có khả năng của nhà máy, thừa nhận rằng cuối cùng một trong số các nhân viên của họ sẽ mang chiếc máy tính cá nhân xách tay vào bên trong nhà máy nơi mà anh ta sẽ tải một ít chương trình vào các máy tính của trình kiểm soát có sử dụng một ổ đĩa ngoài. Sau đó, sử dụng một cuộc tấn công lỗi ngày số 0 mới, virus này có thể chỉnh sửa biểu tượng của một tài liệu Windows bên trong Explorer mà bằng mắt thường có thể đã nhìn thấy được sự tổn thương của hệ thống bị lây nhiễm.

Xa hơn, khi vào tháng 02/2011, Symantec đã thu thập được 3,280 ví dụ riêng biệt của 3 biến thể khác nhau. Một cách ngẫu nhiên, bất kể khi nào một sự lây nhiễm Stuxnet mới xảy ra, thì sâu này đều duy trì thông tin của hệ thống. Nên việc nghiên cứu các dữ liệu này, Symantec đã đi tới kết luận rằng Stuxnet đã thực hiện một cuộc tấn công được cá nhân hóa chống lại 5 tổ chức độc lập nhau trên cơ sở của các tên miền được đăng ký của các máy tính cá nhân.

Khi mô tả hành động của Stuxnet, Symantec nói rằng hãng đã xoay ngang bên trong các máy li tâm ở một tần số vượt mức gây ra sự phá hủy phạm vi rộng. Trong khi chờ đợi, virus đã thay thế giao thông của trình điều khiển trong 2 tuần trước đối với những ai vận hành nhà máy nên không ngạc nhiên làm nảy sinh cho tới khi các hệ thống đã bắt đầu hoạt động sai. Điều này cũng đã vô hiệu hóa các chuyển mạch chết người được xây dựng sẵn trong các trình kiểm soát mà chúng đã ngăn cản một cách có hiệu quả các hệ thống khỏi bị sập.

Hình như Symantec cảnh báo, những người sáng tạo ra Stuxnet có thể sẽ mang lại thứ gì đó còn nguy hiểm hơn vào lần sau.

According to a document that Symantec published recently, the security company has uncovered the code of Stuxnet, which attacked a nuclear processing plant in Iran. ReadWrite Hack reported this on June 28, 2011.

Last year i.e. 2010, Symantec, on July 20, arranged for tracking web-traffic that linked to the C&C servers of Stuxnet. Consequently, it found around 40,000 distinct Internet Protocol addresses that emanated from around 155 countries. Says Symantec that the PC-network of the Iranian plant had a so-called "air gap" among the computers, which helped in communicating with the controllers of Siemens, as well as the plant's plain business network, which was connected online.

And as infections cluttered in Iran, it possibly showed that the worm' first target was this country. Although Stuxnet represents a malware that's targeted in nature, its utilization of propagation methods of a large type is suggestive of its dissemination over and above the initial attack point.

Reportedly, Stuxnet's creators attacked the plant's 5 probable subcontractors, perceiving that ultimately one of their employees will take his notebook PC inside the plant where he'll load a few programs onto the controller computers utilizing an external drive. Thereafter, using one particular new 0-day assault, the virus would alter the icon of a Windows document within Explorer that by simple viewing would compromise the infected system.

Further, when it was February 2011, Symantec had already collected 3,280 distinct samples of 3 separate variants. Incidentally, whenever a fresh Stuxnet contamination happens, the worm maintains system information. So studying this data, Symantec came to the conclusion that Stuxnet executed a personalized assault against 5 separate organizations on the basis of the registered domain names of the PCs.

Describing Stuxnet's action, Symantec said that it rotated horizontally within the centrifuges at an excessive frequency causing large-scale destruction. During this while, the virus replayed the controller traffic of the earlier 2-weeks to those operating the plant so no suspicion arose till the time the systems began malfunctioning. It also deactivated the controllers' inbuilt kill switches that effectively prevented the systems from shutting down.

Apparently Symantec cautions, the creators of Stuxnet may bring something more dangerous next time.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com


Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.