Duqu,
Stuxnet are different worms: Kaspersky
CBR Staff Writer
Published 24 October 2011
Bài được đưa lên
Internet ngày: 24/10/2011
Lời
người dịch: Thông tin thêm từ Phòng thí nghiệm Kaspersky
về sâu Duqu, một loại sâu giống như Stuxnet: “Các phần
của Duqu là gần y hệt với Stuxnet, nhưng với một mục
tiêu hoàn toàn khác... Phòng thí nghiệm Kaspersky nói sâu
Duqu từng được phát hiện lần đàu vào đầu tháng
09/2011, sau khi một người sử dụng tại Hungary đã tải
lên một trong những thành phần của phần mềm độc hại
này lên website Virustotal... Phòng thí nghiệm có trụ sở ở
Moscow tin tưởng rằng dù có một số tổng thể giống
nhau giữa 2 sâu, thì Duqu và Stuxnet vẫn có một số khác
biệt đáng kể. Mục tiêu cuối cùng của Duqu còn chưa
rõ”. Xem thêm [01].
Phần mềm độc hại
nhằm vào các mục tiêu đặc biệt, với các module khác
nhau cho từng mục tiêu, công ty phát hiện.
Công ty an ninh máy
tính Kaspersky Lab đã phát hiện rằng có những khác biệt
đáng kể giữa sâu Stuxnet và anh em sinh đôi mới phát
hiện của nó là Duqu.
Sự lan truyền khắp
Internet vài phiên bản chương trình độc hại Duqu đã gây
ra cảnh báo trong nền công nghiệp và các chính phủ về
an ninh CNTT. Những lo lắng một phần vì do một số sự
giống nhau giữa sâu mới, nó tạo ra các tệp với tiếp
đầu ngữ “DQ”, và sâu Stuxnet nổi tiếng vào năm ngoái
từng nhằm vào các hệ thống kiểm soát được hãng
Siemens của Đức xây dựng.
Được tin tưởng
virus Stuxnet ban đầu đã được phát triển để phá hoại
chương trình hạt nhân của Iran. Các chuyên gia an ninh máy
tính phân tích đã chỉ ra sâu đó đã khai thác không ít
hơn 4 chỗ bị tổn thương trước đó còn chưa được
biết tới trong Microsoft Windows để chiếm lấy các hệ
thống kiểm soát công nghiệp, làm cho nó phức tạp hơn
bất kỳ virus nào được biết trước đó. Một khi nằm
trong một máy Windows, mã nguồn tự động nhân bản tìm
kiếm các kết nối tới các hệ thống kiểm soát công
nghiệp của Siemens, khai thác nhiều hơn các chỗ bị tổn
thương trong hệ điều hành của riêng Siemens để tạo ra
những tinh chỉnh giấu giếm bí mật đối với các qui
trình công nghiệp.
Stuxnet đã nhằm vào
các hệ thống kiểm soát công nghiệp được Siemens bán
và được sử dụng rộng rãi khắp thế giới để quản
lý mọi thứ từ các lò phản ứng điện hạt nhân và
các nhà máy hóa chất cho tới các hệ thống cấp thoát
nước và các nhà máy dược phẩm.
Malware
aimed at specific targets, with different modules for each target,
reveals company
Computer
security company Kaspersky Lab has revealed that there are
significant differences between the Stuxnet worm and its newly
discovered twin Duqu.
The
spread across the Internet of several versions of the malicious
program Duqu has caused alarm in the IT Security industry and
governments alike. The concerns are partly due to some similarities
between the new worm, which creates files with "DQ" in the
prefix, and last year's infamous Stuxnet worm that targets control
systems built by German firm Siemens.
It
is believed the Stuxnet virus was originally developed to disrupt
Iran's nuclear programme. Analysis by computer security experts has
showed the worm exploited no fewer than four previously unknown
vulnerabilities in Microsoft Windows to take over industrial control
systems, making it more sophisticated than any virus seen before.
Once inside a Windows systems, the self-replicating code looks for
connections to Siemens industrial control systems exploiting more
vulnerabilities in the Siemens' own operating system to make
clandestine adjustments to industrial processes.
Stuxnet targeted industrial control systems sold by Siemens that are widely used around the globe to manage everything from nuclear power generators and chemical factories to water distribution systems and pharmaceuticals plants.
Stuxnet targeted industrial control systems sold by Siemens that are widely used around the globe to manage everything from nuclear power generators and chemical factories to water distribution systems and pharmaceuticals plants.
Sâu đó lần đầu
được phát hiện là vào cuối năm ngoái sau khi các nghiên
cứu đã chỉ ra có thể một “nhà nước quốc gia”
đứng đằng sau sâu đó nghĩa là nhằm vào chương trình
hạt nhân của Iran. Vào tháng 4, Iran đã kêu rằng Siemens
đã giúp Mỹ và Israel tung ra sâu máy tính Stuxnet chống
lại các cơ sở hạt nhân của mình.
Các nhà phân tích của
Bộ An ninh Nội địa và Phòng thí nghiệm Quốc gia Idaho
đang cố gắng tìm ra các cách thức để đấu tranh với
sâu này. Nhưng gốc gác của sâu vẫn còn chưa rõ.
Trước đó, Ralph
Langner, một trong những nhà nghiên cứu đầu tiêu chỉ ra
công việc của phần mềm độc hại phức tạp đó, đã
phát hiện rằng ông tin tưởng Mossad có liên quan, nhưng
Mỹ là nguồn hàng đầu của sâu đó.
Tuần trước, công ty
an ninh máy tính Symantec đã phát hiện rằng một phòng thí
nghiệm nghiên cứu đã phát hiện ra một mã nguồn độc
hại mới mà “dường như rất giống với Stuxnet”.
Symantec đã nói,
“Những kẻ tấn công đang tìm kiếm thông tin như các
tài liệu thiết kế mà có thể giúp cho họ thực hiện
một cuộc tấn công trong tương lai vào một cơ sở kiểm
soát công nghiệp”.
“Các
phần của Duqu là gần y hệt với Stuxnet, nhưng với một
mục tiêu hoàn toàn khác”.
“Duqu về cơ bản là
điềm báo trước cho một cuộc tấn công giống Stuxnet”,
Symantec đã nói.
Phòng
thí nghiệm Kaspersky nói sâu Duqu từng được phát hiện
lần đàu vào đầu tháng 09/2011, sau khi một người sử
dụng tại Hungary đã tải lên một trong những thành phần
của phần mềm độc hại này lên website Virustotal, nó
phân tích các tệp bị lây nhiễm bằng các chương trình
chống virus của các nhà sản xuất khác nhau.
Công ty này đã bổ
sung, “Tuy nhiên, mẫu lần đầu được tìm ra này hóa ra
là chỉ là một trong vài thành phần tạo nên toàn bộ
sâu đó. Sau đó một chút, theo một cách y hệt, các
chuyên gia chống phần mềm độc hại của Phòng thí
nghiệm Kaspersky đã nhận được một mẫu của một
module khác của sâu thông qua Virustotal, và phân tích đặc
biệt của nó đã cho phép tìm ra sự giống nhau với
Stuxnet”.
The
worm first came into light late last year after studies showed a
likelihood of a "nation state" to be behind the worm meant
to target Iran's nuclear programme. In April, Iran claimed that
Siemens helped the US and Israel to launch the computer worm Stuxnet
against its nuclear facilities.
Homeland
Security and Idaho National Laboratory analysts are trying to find
out ways to fight the worm. But the origin of the worm is still
unknown.
Earlier,
Ralph Langner, one of the first researchers to show the working of
the sophisticated malware, had revealed that he believes Mossad is
involved, but the US is the leading source of the worm.
Last
week, computer security company Symantec revealed that a research lab
had discovered a new malicious code that "appeared to be very
similar to Stuxnet."
Symantec
had said, "The attackers are looking for information such as
design documents that could help them mount a future attack on an
industrial control facility."
"Parts
of Duqu are nearly identical to Stuxnet, but with a completely
different purpose.
"Duqu
is essentially the precursor to a future Stuxnet-like attack,"
Symantec had said.
Kaspersky
Lab said the Duqu worm was first detected in early September 2011,
after a user in Hungary uploaded one of the components of the malware
to the Virustotal website, which analyses infected files with
anti-virus programs of different manufacturers.
The
company added, "However, this first-detected sample of turned
out to be just one of several components that make up the whole of
the worm. A little later, in a similar way, the Kaspersky Lab
anti-malware experts received a sample of another module of the worm
via Virustotal, and it was specifically its analysis that permitted
finding a resemblance with Stuxnet."
Phòng
thí nghiệm có trụ sở ở Moscow tin tưởng rằng dù có
một số tổng thể giống nhau giữa 2 sâu, thì Duqu và
Stuxnet vẫn có một số khác biệt đáng kể.
Các chuyên gia của
Phòng thí nghiệm Kaspersky đã bắt đầu theo dõi một vài
biến thể của Duqu trong những nỗ lực gây lây nhiễm
theo thời gian thực của sâu trong những người sử dụng
Mạng An ninh Kaspersky dựa vào đám mây. Công ty này nói
thật ngạc nhiên thấy rằng trong vòng 24 giờ đồng hồ
chỉ 1 hệ thống đã bị lây nhiễm với sâu này. Stuxnet,
mặt khác, đã lây nhiễm hàng chục ngàn hệ thống khắp
toàn cầu; được cho là nó đã có, tuy nhiên, một mục
tiêu cuối cùng duy nhất - các hệ thống kiểm soát công
nghiệp được sử dụng trong các chương trình hạt nhân
của Iran.
Mục
tiêu cuối cùng của Duqu còn chưa rõ. Điều đang báo động
trong trường hợp này tuy nhiên là việc mục tiêu cuối
cùng của Duqu còn chưa được biết, Phòng thí nghiệm
Kaspersky nói.
Các chuyên gia tại
Phòng thí nghiệm Kaspersky đã thấy rằng sự lây nhiễm
duy nhất với sâu này trong những người sử dụng Mạng
An ninh Kaspersky từng là một lây nhiễm với một trong vài
module được cho là tạo nên sâu Duqu.
The
Moscow-based Kaspersky Lab believes that though there are some
overall similarities between the two worms, Duqu and Stuxnet have
some significant differences.
Kaspersky
Lab experts started to track several variants of Duqu in real time
infection attempts by the worm among users of the cloud-based
Kaspersky Security Network. The company said it was surprise to find
that during the first 24 hours only one system had been infected by
the worm. Stuxnet, on the other hand, infected tens of thousands of
systems all around the world; it is assumed that it had, however, a
single ultimate target - industrial control systems used in Iran's
nuclear programs.
The
ultimate target of Duqu is as yet unclear. What is alarming in this
case however is that the ultimate objective of Duqu remains unknown,
said Kaspersky Lab.
The
security experts at Kaspersky Lab found that only infection with the
worm among users of the Kaspersky Security Network was an infection
with one of the several modules that presumably make up the Duqu
worm.
Hãng này nói các vụ
lây nhiễm với module thứ 2, mà là, về cơ bản, một
chương trình độc hại riêng rẽ - một Trojan - Gián điệp
- còn chưa được tìm ra. Đặc biệt là module này của
Duqu mà sở hữu chức năng độc hại - nó thu thập các
thông tin về máy bị lây nhiễm và cũng theo dõi các phím
bấm trên bàn phím, Phòng thí nghiệm Kaspersky cảnh báo.
Chuyên gia an ninh hàng
đầu của Phòng thí nghiệm Kaspersky Alexander Gostev nói,
“Chúng tôi còn chưa thấy bất kỳ vụ lây nhiễm nào
các máy tính của các khách hàng của chúng tôi với
module Trojan-Gián điệp của Duqu. Điều này có nghĩa là
Duqu có thể nhằm vào một số lượng nhỏ các mục tiêu
đặc biệt, và các module khác có thể được sử dụng
để nhằm đích một trong số chúng”.
Phòng thí nghiệm
Kaspersky nói một trong những điều huyền bí còn chưa
được giải quyết của Duqu là phương pháp thâm nhập
ban đầu của nó vào một hệ thống: trình cài đặt hoặc
“trình thả” cần cho điều này còn chưa được tìm
ra.
The
company said instances of infection by the second module, which is,
in essence, a separate malicious program - a Trojan-Spy - have not
yet been found. It is specifically this module of Duqu that possesses
the malicious functionality - it gathers information about the
infected machine and also tracks key strokes made on its keyboard,
warned Kaspersky Lab .
Kaspersky
Lab chief security expert Alexander Gostev said, "We've not
found any instances of infections of computers of our clients with
the Trojan-Spy module of Duqu. This means that Duqu may be aimed at a
small quantity of specific targets, and different modules may be used
to target each of them."
Kaspersky
Lab said one of the yet-to-be-solved mysteries of Duqu is its initial
method of penetration into a system: the installer or "dropper"
needed for this has not yet been found.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.