Duqu, Stuxnet là những sâu khác nhau: Kaspersky

Duqu, Stuxnet are different worms: Kaspersky

CBR Staff Writer Published 24 October 2011

Theo: http://security.cbronline.com/news/duqu-stuxnet-are-different-worms-kaspersky-241011

Bài được đưa lên Internet ngày: 24/10/2011

Lời người dịch: Thông tin thêm từ Phòng thí nghiệm Kaspersky về sâu Duqu, một loại sâu giống như Stuxnet: “Các phần của Duqu là gần y hệt với Stuxnet, nhưng với một mục tiêu hoàn toàn khác... Phòng thí nghiệm Kaspersky nói sâu Duqu từng được phát hiện lần đàu vào đầu tháng 09/2011, sau khi một người sử dụng tại Hungary đã tải lên một trong những thành phần của phần mềm độc hại này lên website Virustotal... Phòng thí nghiệm có trụ sở ở Moscow tin tưởng rằng dù có một số tổng thể giống nhau giữa 2 sâu, thì Duqu và Stuxnet vẫn có một số khác biệt đáng kể. Mục tiêu cuối cùng của Duqu còn chưa rõ”. Xem thêm [01].

Phần mềm độc hại nhằm vào các mục tiêu đặc biệt, với các module khác nhau cho từng mục tiêu, công ty phát hiện.

Công ty an ninh máy tính Kaspersky Lab đã phát hiện rằng có những khác biệt đáng kể giữa sâu Stuxnet và anh em sinh đôi mới phát hiện của nó là Duqu.

Sự lan truyền khắp Internet vài phiên bản chương trình độc hại Duqu đã gây ra cảnh báo trong nền công nghiệp và các chính phủ về an ninh CNTT. Những lo lắng một phần vì do một số sự giống nhau giữa sâu mới, nó tạo ra các tệp với tiếp đầu ngữ “DQ”, và sâu Stuxnet nổi tiếng vào năm ngoái từng nhằm vào các hệ thống kiểm soát được hãng Siemens của Đức xây dựng.

Được tin tưởng virus Stuxnet ban đầu đã được phát triển để phá hoại chương trình hạt nhân của Iran. Các chuyên gia an ninh máy tính phân tích đã chỉ ra sâu đó đã khai thác không ít hơn 4 chỗ bị tổn thương trước đó còn chưa được biết tới trong Microsoft Windows để chiếm lấy các hệ thống kiểm soát công nghiệp, làm cho nó phức tạp hơn bất kỳ virus nào được biết trước đó. Một khi nằm trong một máy Windows, mã nguồn tự động nhân bản tìm kiếm các kết nối tới các hệ thống kiểm soát công nghiệp của Siemens, khai thác nhiều hơn các chỗ bị tổn thương trong hệ điều hành của riêng Siemens để tạo ra những tinh chỉnh giấu giếm bí mật đối với các qui trình công nghiệp.

Stuxnet đã nhằm vào các hệ thống kiểm soát công nghiệp được Siemens bán và được sử dụng rộng rãi khắp thế giới để quản lý mọi thứ từ các lò phản ứng điện hạt nhân và các nhà máy hóa chất cho tới các hệ thống cấp thoát nước và các nhà máy dược phẩm.

Malware aimed at specific targets, with different modules for each target, reveals company

Computer security company Kaspersky Lab has revealed that there are significant differences between the Stuxnet worm and its newly discovered twin Duqu.

The spread across the Internet of several versions of the malicious program Duqu has caused alarm in the IT Security industry and governments alike. The concerns are partly due to some similarities between the new worm, which creates files with "DQ" in the prefix, and last year's infamous Stuxnet worm that targets control systems built by German firm Siemens.

It is believed the Stuxnet virus was originally developed to disrupt Iran's nuclear programme. Analysis by computer security experts has showed the worm exploited no fewer than four previously unknown vulnerabilities in Microsoft Windows to take over industrial control systems, making it more sophisticated than any virus seen before. Once inside a Windows systems, the self-replicating code looks for connections to Siemens industrial control systems exploiting more vulnerabilities in the Siemens' own operating system to make clandestine adjustments to industrial processes.
Stuxnet targeted industrial control systems sold by Siemens that are widely used around the globe to manage everything from nuclear power generators and chemical factories to water distribution systems and pharmaceuticals plants.

Sâu đó lần đầu được phát hiện là vào cuối năm ngoái sau khi các nghiên cứu đã chỉ ra có thể một “nhà nước quốc gia” đứng đằng sau sâu đó nghĩa là nhằm vào chương trình hạt nhân của Iran. Vào tháng 4, Iran đã kêu rằng Siemens đã giúp Mỹ và Israel tung ra sâu máy tính Stuxnet chống lại các cơ sở hạt nhân của mình.

Các nhà phân tích của Bộ An ninh Nội địa và Phòng thí nghiệm Quốc gia Idaho đang cố gắng tìm ra các cách thức để đấu tranh với sâu này. Nhưng gốc gác của sâu vẫn còn chưa rõ.

Trước đó, Ralph Langner, một trong những nhà nghiên cứu đầu tiêu chỉ ra công việc của phần mềm độc hại phức tạp đó, đã phát hiện rằng ông tin tưởng Mossad có liên quan, nhưng Mỹ là nguồn hàng đầu của sâu đó.

Tuần trước, công ty an ninh máy tính Symantec đã phát hiện rằng một phòng thí nghiệm nghiên cứu đã phát hiện ra một mã nguồn độc hại mới mà “dường như rất giống với Stuxnet”.

Symantec đã nói, “Những kẻ tấn công đang tìm kiếm thông tin như các tài liệu thiết kế mà có thể giúp cho họ thực hiện một cuộc tấn công trong tương lai vào một cơ sở kiểm soát công nghiệp”.

“Các phần của Duqu là gần y hệt với Stuxnet, nhưng với một mục tiêu hoàn toàn khác”.

“Duqu về cơ bản là điềm báo trước cho một cuộc tấn công giống Stuxnet”, Symantec đã nói.

Phòng thí nghiệm Kaspersky nói sâu Duqu từng được phát hiện lần đàu vào đầu tháng 09/2011, sau khi một người sử dụng tại Hungary đã tải lên một trong những thành phần của phần mềm độc hại này lên website Virustotal, nó phân tích các tệp bị lây nhiễm bằng các chương trình chống virus của các nhà sản xuất khác nhau.

Công ty này đã bổ sung, “Tuy nhiên, mẫu lần đầu được tìm ra này hóa ra là chỉ là một trong vài thành phần tạo nên toàn bộ sâu đó. Sau đó một chút, theo một cách y hệt, các chuyên gia chống phần mềm độc hại của Phòng thí nghiệm Kaspersky đã nhận được một mẫu của một module khác của sâu thông qua Virustotal, và phân tích đặc biệt của nó đã cho phép tìm ra sự giống nhau với Stuxnet”.

The worm first came into light late last year after studies showed a likelihood of a "nation state" to be behind the worm meant to target Iran's nuclear programme. In April, Iran claimed that Siemens helped the US and Israel to launch the computer worm Stuxnet against its nuclear facilities.

Homeland Security and Idaho National Laboratory analysts are trying to find out ways to fight the worm. But the origin of the worm is still unknown.

Earlier, Ralph Langner, one of the first researchers to show the working of the sophisticated malware, had revealed that he believes Mossad is involved, but the US is the leading source of the worm.

Last week, computer security company Symantec revealed that a research lab had discovered a new malicious code that "appeared to be very similar to Stuxnet."

Symantec had said, "The attackers are looking for information such as design documents that could help them mount a future attack on an industrial control facility."

"Parts of Duqu are nearly identical to Stuxnet, but with a completely different purpose.

"Duqu is essentially the precursor to a future Stuxnet-like attack," Symantec had said.

Kaspersky Lab said the Duqu worm was first detected in early September 2011, after a user in Hungary uploaded one of the components of the malware to the Virustotal website, which analyses infected files with anti-virus programs of different manufacturers.

The company added, "However, this first-detected sample of turned out to be just one of several components that make up the whole of the worm. A little later, in a similar way, the Kaspersky Lab anti-malware experts received a sample of another module of the worm via Virustotal, and it was specifically its analysis that permitted finding a resemblance with Stuxnet."

Phòng thí nghiệm có trụ sở ở Moscow tin tưởng rằng dù có một số tổng thể giống nhau giữa 2 sâu, thì Duqu và Stuxnet vẫn có một số khác biệt đáng kể.

Các chuyên gia của Phòng thí nghiệm Kaspersky đã bắt đầu theo dõi một vài biến thể của Duqu trong những nỗ lực gây lây nhiễm theo thời gian thực của sâu trong những người sử dụng Mạng An ninh Kaspersky dựa vào đám mây. Công ty này nói thật ngạc nhiên thấy rằng trong vòng 24 giờ đồng hồ chỉ 1 hệ thống đã bị lây nhiễm với sâu này. Stuxnet, mặt khác, đã lây nhiễm hàng chục ngàn hệ thống khắp toàn cầu; được cho là nó đã có, tuy nhiên, một mục tiêu cuối cùng duy nhất - các hệ thống kiểm soát công nghiệp được sử dụng trong các chương trình hạt nhân của Iran.

Mục tiêu cuối cùng của Duqu còn chưa rõ. Điều đang báo động trong trường hợp này tuy nhiên là việc mục tiêu cuối cùng của Duqu còn chưa được biết, Phòng thí nghiệm Kaspersky nói.

Các chuyên gia tại Phòng thí nghiệm Kaspersky đã thấy rằng sự lây nhiễm duy nhất với sâu này trong những người sử dụng Mạng An ninh Kaspersky từng là một lây nhiễm với một trong vài module được cho là tạo nên sâu Duqu.

The Moscow-based Kaspersky Lab believes that though there are some overall similarities between the two worms, Duqu and Stuxnet have some significant differences.

Kaspersky Lab experts started to track several variants of Duqu in real time infection attempts by the worm among users of the cloud-based Kaspersky Security Network. The company said it was surprise to find that during the first 24 hours only one system had been infected by the worm. Stuxnet, on the other hand, infected tens of thousands of systems all around the world; it is assumed that it had, however, a single ultimate target - industrial control systems used in Iran's nuclear programs.

The ultimate target of Duqu is as yet unclear. What is alarming in this case however is that the ultimate objective of Duqu remains unknown, said Kaspersky Lab.

The security experts at Kaspersky Lab found that only infection with the worm among users of the Kaspersky Security Network was an infection with one of the several modules that presumably make up the Duqu worm.

Hãng này nói các vụ lây nhiễm với module thứ 2, mà là, về cơ bản, một chương trình độc hại riêng rẽ - một Trojan - Gián điệp - còn chưa được tìm ra. Đặc biệt là module này của Duqu mà sở hữu chức năng độc hại - nó thu thập các thông tin về máy bị lây nhiễm và cũng theo dõi các phím bấm trên bàn phím, Phòng thí nghiệm Kaspersky cảnh báo.

Chuyên gia an ninh hàng đầu của Phòng thí nghiệm Kaspersky Alexander Gostev nói, “Chúng tôi còn chưa thấy bất kỳ vụ lây nhiễm nào các máy tính của các khách hàng của chúng tôi với module Trojan-Gián điệp của Duqu. Điều này có nghĩa là Duqu có thể nhằm vào một số lượng nhỏ các mục tiêu đặc biệt, và các module khác có thể được sử dụng để nhằm đích một trong số chúng”.

Phòng thí nghiệm Kaspersky nói một trong những điều huyền bí còn chưa được giải quyết của Duqu là phương pháp thâm nhập ban đầu của nó vào một hệ thống: trình cài đặt hoặc “trình thả” cần cho điều này còn chưa được tìm ra.

The company said instances of infection by the second module, which is, in essence, a separate malicious program - a Trojan-Spy - have not yet been found. It is specifically this module of Duqu that possesses the malicious functionality - it gathers information about the infected machine and also tracks key strokes made on its keyboard, warned Kaspersky Lab .

Kaspersky Lab chief security expert Alexander Gostev said, "We've not found any instances of infections of computers of our clients with the Trojan-Spy module of Duqu. This means that Duqu may be aimed at a small quantity of specific targets, and different modules may be used to target each of them."

Kaspersky Lab said one of the yet-to-be-solved mysteries of Duqu is its initial method of penetration into a system: the installer or "dropper" needed for this has not yet been found.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com