Stuxnet con được thấy trong các hệ thống tại châu Âu

Son of Stuxnet Found in the Wild on Systems in Europe

• By Kim Zetter October 18, 2011, 3:54 pm  | 
• Categories: Stuxnet

Theo: http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/

Bài được đưa lên Internet ngày: 18/10/2011

Diagram of the Duqu malware, courtesy of Symantec.

Lời người dịch: Theo hãng Symantec, thì họ đã tìm ra Stuxnet con, dù rất giống nhưng cũng có những điểm khác biệt so với Stuxnet từng bị phát hiện ra hơn 1 năm trước trong các cuộc tấn công nhằm triệt hạ chương trình hạt nhân của Iran, phần mềm độc hại này có tên là Duqu. Duqu lấy chứng thực số của một công ty Đài Loan là C- Media Electronics Incorporation để giả như là phần mềm hợp pháp để gây lây nhiễm trong các lĩnh vực hạ tầng sống còn và sản xuất. Còn nhiều điều Symantec còn đang nghiên cứu về nó, nhưng hãng đã đưa ra những tài liệu đầu tiên về Duqu ở đây. Như một sự đương nhiên, Duqu chỉ dành riêng cho các máy tính chạy Windows!!!

Nhiều hơn 1 năm một chút sau khi sâu Stuxnet phá hủy hạ tầng đã được phát hiện trong các hệ thống máy tính tại Iran, một mẩu mới phần mềm độc hại có sử dụng cùng y hệt các kỹ thuật đã được tìm thấy lây nhiễm các hệ thống tại châu Âu, theo các nhà nghiên cứu tại hãng an ninh Symantec.

Phần mềm độc hại mới này, gọi là “Duqu” [dü-kyü], chứa các phần gần như y hệt Stuxnet và dường như được viết với cùng các tác giả đứng đằng sau Stuxnet, hoặc ít nhất ai đó đã có được sự truy cập trực tiếp tới mã nguồn của Stuxnet, Liam O Murchu nói. Ông là một trong những chuyên gia hàng đầu về Stuxnet, người đã giới thiệu phân tích bao quát về sâu đó với 2 đồng nghiệp của Symantec vào năm ngoái và đã đưa ra một tài liệu chi tiết phân tích Duqu tới nay.

Duqu, giống như Stuxnet, tự ngụy trang bản thân như mã nguồn hợp pháp có sử dụng một tệp trình điều khiển được ký bằng một chứng thực số hợp lệ. Chứng thực này thuộc về một công ty có trụ sở ở Đài Loan, mà Symantec đã từ chối xác định. F-Secure, một hãng an ninh nằm ở Phần Lan, đã xác định công ty Đài Loan này là C- Media Electronics Incorporation. Chứng thực này đã được thiết lập hết hạn vào ngày 02/08/2012, nhưng các nhà chức trách đã loại bỏ nó hôm 14/10, ngay sau khi Symantec đã điều tra được phần mềm độc hại này.

A little more than one year after the infrastructure-destroying Stuxnet worm was discovered on computer systems in Iran, a new piece of malware using some of the same techniques has been found infecting systems in Europe, according to researchers at security firm Symantec.

The new malware, dubbed “Duqu” [dü-kyü], contains parts that are nearly identical to Stuxnet and appears to have been written by the same authors behind Stuxnet, or at least by someone who had direct access to the Stuxnet source code, says Liam O Murchu. He’s one of the leading experts on Stuxnet who produced extensive analysis of that worm with two of his Symantec colleagues last year and has posted a paper detailing the Duqu analysis to date.

Duqu, like Stuxnet, masks itself as legitimate code using a driver file signed with a valid digital certificate. The certificate belongs to a company headquartered in Taipei, Taiwan, which Symantec has declined to identify. F-Secure, a security firm based in Finland, has identified the Taipei company as C-Media Electronics Incorporation. The certificate was set to expire on August 2, 2012, but authorities revoked it on Oct. 14, shortly after Symantec began examining the malware.

Mã nguồn mở không tự nhân bản được để tự lan truyền - và vì thế không phải là một sâu. Nó cũng không chứa một tải phá hủy để gây hại cho phần cứng như cách mà Stuxnet đã làm. Thay vào đó, nó dường như là một điềm báo trước sẽ có một cuộc tấn công giống Stuxnet, được thiết kế để tiến hành trinh sát trong một hệ thống kiểm soát công nghiệp còn chưa được rõ và thu thập tình báo mà có thể sau này được sử dụng để tiến hành một cuộc tấn công có chủ đích.

“Khi chúng tôi đã nói về Stuxnet trước đó, chúng tôi đã mong đợi đã có thành phần khác của Stuxnet mà chúng tôi đã chưa thấy nó thu thập các thông tin về cách mà nhà máy đã được bày ra”, O Murchu nói. “Nhưng chúng tôi đã chưa từng thấy bao giờ một thành phần như thế này [trong Stuxnet]. Đây có thể là thành phần đó”.

Mặc dù Duqu đã được tạo ra sau Stuxnet đôi chút, thì thành phần tương tự như nó có thể đã được những kẻ tấn công Stuxnet sử dụng để thu thập tình báo cho tải trọng [phá hủy] của nó.

Duqu dường như đã làm việc được ít nhất 1 năm. Dựa vào ngày tháng trong các tệp nhị phân đã được biên dịch, Symantec nói các cuộc tấn công có sử dụng phần mềm độc hại có thể đã được tiến hành vào đầu tháng 12/2010, khoảng 5 tháng sau khi Stuxnet đã bị phát hiện, và khoảng 18 tháng sau khi Stuxnet đã được tin tưởng có được tung vào lần đầu trên các máy tính tại Iran.

“Điều ngạc nhiên thực sự cho chúng tôi là những người này vẫn đang hoạt động”, O Murchu nói. “Chúng tôi nghĩ những người này có thể đã ra đi sau khi tất cả công khai xung quanh Stuxnet. Điều đó rõ ràng không phải thế. Họ rõ ràng đã và đang hoạt động suốt năm ngoái. Hoàn toàn giống như là thông tin họ đang thu thập được là sẽ được sử dụng cho một cuộc tấn công mới. Chúng tôi hoàn toàn sốc khi chúng tôi thấy điều này”.

The new code does not self-replicate in order to spread itself — and is therefore not a worm. Nor does it contain a destructive payload to damage hardware in the way that Stuxnet did. Instead, it appears to be a precursor to a Stuxnet-like attack, designed to conduct reconnaissance on an unknown industrial control system and gather intelligence that can later be used to conduct a targeted attack.

“When we talked about Stuxnet before, we expected there was another component of Stuxnet we didn’t see that was gathering information about how a plant was laid out,” O Murchu says. “But we had never seen a component like that [in Stuxnet]. This may be that component.”

Although Duqu was created some time after Stuxnet, a component similar to it could have been used by Stuxnet’s attackers to gather intelligence for their payload.

Duqu appears to have been operative for at least a year. Based on the dates the binary files were compiled, Symantec says attacks using the malware may have been conducted as early as December 2010, about five months after Stuxnet was discovered, and about 18 months after Stuxnet was believed to have first been launched on computers in Iran.

“The real surprising thing for us is that these guys are still operating,” O Murchu says. “We thought these guys would be gone after all the publicity around Stuxnet. That’s clearly not the case. They’ve clearly been operating over the last year. It’s quite likely that the information they are gathering is going to be used for a new attack. We were just utterly shocked when we found this.”

Symantec đã nhận được 2 biến thể của phần mềm độc hại này vào ngày 14/10 từ một phòng thí nghiệm nghiên cứu không được nêu tên “với những quan hệ quốc tế mạnh”.

“Chắc chắn đây là một chủ đề nhạy cảm, và vì bất kỳ lý do gì, họ đã quyết định tại thời điểm này họ không muốn được nêu tên”, O Murchu nói, tham chiếu tới sự tin tưởng trước đó về Stuxnet đã được một nhà nước quốc gia tạo ra với mục tiêu phá hoại chương trình hạt nhân của Iran.

Symantec đã nhận được 2 biến thể của phần mềm độc hại, cả 2 đã gây lây nhiễm cho cùng một máy. Kể từ đó, O Murchu và các đồng nghiệp của anh ta đã thấy những ví dụ khác trong khoảng 10 máy. Các nhà nghiên cứu thấy, sau khi tìm kiếm kho phần mềm độc hại của riêng họ đối với các tệp y hệt, thì đó là một trong những biến thể lần đầu tiên bắt được bởi hệ thống dò tìm mối đe dọa của Symantec vào ngày 01/09/2011. Symantec đã từ chối nêu tên các quốc gia nơi mà phần mềm độc hại này được tìm thấy, hoặc xác định chính xác nền công nghiệp nào bị lây nhiễm, ngoài việc nói chúng là trong các lĩnh vực hạ tầng sống còn và sản xuất.

Dù đa số những lây nhiễm của Stuxnet đã nằm ở Iran, thì O Murchu nói những lây nhiễm của Duqu được tìm ra cho tới nay lại không được nhóm trong bất kỳ vùng địa lý nào. Ông nói, tuy nhiên, điều này có thể thay đổi nếu những lây nhiễm mới sẽ được phát hiện.

Cái tên được đưa ra cho phần mềm độc hại này dựa vào tiếp đầu ngữ “~DQ” mà phần mềm độc hại sử dụng trong tên của các tệp mà nó tạo ra trong một hệ thống bị lây nhiễm. O Murchu nói phần mềm độc hại sử dụng 5 tệp. Chúng bao gồm một tệp nhỏ giọt mà nhỏ tất cả các thành phần vào một hệ thống bị lây nhiễm mà phần mềm độc hại này sẽ cần làm công việc của nó; một trình tải đặt các tệp đó vào bộ nhớ khi máy tính khởi động; một Trojan truy cập từ xa phục vụ như một cửa hậu trong các hệ thống bị lây nhiễm để truyền các dữ liệu từ đó; một trình tải khác làm chạy Trojan, và một trình ghi lại những cái gõ bàn phím.

Symantec received two variants of the malware on Oct. 14 from an unidentified research lab “with strong international connections.”

“Obviously this is a sensitive topic, and for whatever reason, they’ve decided at this point they don’t want to be identified,” O Murchu says, referring to earlier beliefs about Stuxnet had been created by a nation state with the aim of sabotaging Iran’s nuclear program.

Symantec received two variants of the malware, both of which had infected the same machine. Since then, O Murchu and his colleagues have found other samples on about 10 machines. The researchers found, after searching their own malware archive for similar files, that one of the variants was first captured by Symantec’s threat detection system on Sept. 1, 2011. Symantec has declined to name the countries where the malware was found, or to identify the specific industries infected, other than to say they are in the manufacturing and critical infrastructure sectors.

Although the vast majority of Stuxnet infections were based in Iran, O Murchu says the Duqu infections that have been discovered so far are not grouped in any geographical region. He said, however, that this could change if new infections are discovered.

The name given to the malware is based on a prefix “~DQ” that the malware uses in the names of files that it creates on an infected system. O Murchu says the malware uses five files. These include a dropper file that drops all of the components onto an infected system that the malware will need to do its work; a loader that places the files into memory when the computer starts; a remote access Trojan that serves as a backdoor on infected systems to siphon data from it; another loader that executes the Trojan; and a keystroke logger.

Giống như Stuxnet, Duqu sử dụng một kỹ thuật phức tạp và độc nhất vô nhị để ẩn dấu các thành phần của nó trong bộ nhớ máy tính, hơn là trong ổ đĩa cứng, để tránh bị các máy diệt virus dò tìm ra, và cũng lừa hệ thống trong việc tải các tệp từ bộ nhớ thay vì từ đĩa cứng. Kỹ thuật này từng là một trong những cờ đỏ đầu tiên mà Symantec đã tìm ra trong Stuxnet, đã chỉ ra nó từng làm gì đó vượt ra khỏi các dạng phần mềm độc hại khác mà họ đã từng thấy trước đó.

Phần mềm độc hại này được thiết lập cấu hình để chạy cho 36 ngày, sau đó nó tự động loại trừ chính mình khỏi một hệ thống bị lây nhiễm.

O Murchu nói họ còn không biết làm thế nào mà Duqu đã được phân phối tới các hệ thống bị lây nhiễm. Stuxnet ban đầu đã sử dụng một chỗ bị tổn thương ngày số 0, cho phép nó lan truyền tới các hệ thống thông qua một USB bị lây nhiễm.

“Có một thành phần của trình cài đặt [đối với Duqu] mà chúng tôi đã chưa thấy”, O Murchu nói. “CHúng tôi chưa biết liệu trình cài đặt đó có tự nhân bản được không. Đó là một mẩu của trò chơi lắp hình mà chúng tôi còn chưa tìm ra ngay lúc này”.

Các biến thể là khoảng 300 kbyte về kích thước - so với 500 kb của Stuxnet - và sử dụng một giao thức phổ biến để giao tiếp giữa hệ thống bị lây nhiễm và một máy chủ chỉ huy - kiểm soát để truyền dữ liệu từ một máy bị lây nhiễm và tải các thành phần mới vào đó. Theo O Murchu, phần mềm độc hại này cố ngụy trang giao tiếp độc hại của nó bằng việc nối thêm nó vào một tệp jpeg 100x100 pixel. Các dữ liệu được nối thêm này được mã hóa, và các nhà nghiên cứu vẫn đang phân tích mã nguồn để xác định xem giao tiếp chứa đựng cái gì.

Like Stuxnet, Duqu uses a sophisticated and unique technique to hide its components in the memory of a machine, rather than on the hard drive, to avoid detection by anti-virus engines, and also tricks the system into loading files from memory instead of from hard disk. This technique was one of the first red flags Symantec had found in Stuxnet that indicated it was doing something beyond other types of malware they had seen before.

The malware is configured to run for 36 days, after which it automatically removes itself from an infected system.

O Murchu says they still have no idea how Duqu was delivered to infected systems. Stuxnet primarily used a zero-day vulnerability that allowed it to spread to systems via an infected USB stick.

“There’s an installer component [to Duqu] we haven’t seen,” O Murchu saus. “We don’t know if the installer is self-replicating. That’s a piece of the jigsaw that we’re missing right now.”

The variants are about 300 kilobytes in size — compared to Stuxnet’s 500 kb — and use a custom protocol to communicate between an infected system and a command-and-control server to siphon data from an infected machine and load new components onto it. According to O Murchu, the malware tries to disguise its malicious communication by appending it to a 100 x 100 pixel jpeg file. The appended data is encrypted, and the researchers are still analyzing the code to determine what the communication contains.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com