Vũ khí Stuxnet có ít nhất 4 anh em, theo các nhà nghiên cứu

Stuxnet weapon has at least 4 cousins: researchers

Wed Dec 28, 2011 6:46pm EST

By Jim Finkle

Theo: http://ca.reuters.com/article/technologyNews/idCATRE7BR1EV20111228

Bài được đưa lên Internet ngày: 28/12/2011

Lời người dịch: Một vài trích đoạn từ bài viết: “Stuxnet đã được liên kết tới virus khác, trojan ăn cắp dữ liệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chương trình các vũ khí không gian mạng này đã nhằm vào Iran có thể còn phức tạp hơn nhiều so với được biết trước đó... Raiu nói nền tảng đó được cấu tạo từ một nhóm các module phần mềm tương thích nhau được thiết kế để khớp được với nhau, mỗi mẩu với các chức năng khác nhau. Các lập trình viên có thể xây dựng các vũ khí không gian mạng mới bằng việc đơn giản bổ sung và loại bỏ các module.

“Hình như đây là một bộ Lego. Bạn có thể lắp ráp các thành phần thành bất kỳ thứ gì: một con người máy hoặc một con ngựa hoặc một cái xe tăng”, ... Kaspersky gần đây đã phát hiện ra các thành phần được chia sẻ mới, chúng tìm kiếm ít nhất 3 khóa đăng ký độc nhất vô nhị, mà gợi ý rằng các lập trình viên của Stuxnet và Duqu cũng đã xây dựng ít nhất 3 mẩu phần mềm độc hại khác có sử dụng cùng nền tảng này, ông bổ sung. Các module đó nắm các nhiệm vụ bao gồm việc phân phối phần mềm độc hại tới một PC, cài đặt nó, giao tiếp với những người vận hành, ăn cắp dữ liệu và tự nhân bản nó... Kaspersky tin tưởng rằng Tilded đã có ít nhất từ 2007 vì mã nguồn đặc thù được Duqu cài đặt đã được biên dịch từ một thiết bị chạy hệ điều hành Windows vào ngày 31/08/2007.”

Reuters - Virus Stuxnet mà năm ngoái đã làm hại cho chương trình hạt nhân của Iran có lẽ là một trong 5 vũ khí không gian mạng mới nhất được phát triển trên một nền tảng duy nhất mà gốc rễ của chúng có từ năm 2007, theo nghiên cứu mới từ Phòng thí nghiệm Kaspersky, hãng an ninh máy tính của Nga.

Các chuyên gia tin tưởng rộng rãi rằng Mỹ và Israel đã đứng đằng sau Stuxnet, dù 2 quốc gia này đã chính thức bác bỏ bình luận về vụ việc.

Một người phát ngôn của Lầu 5 góc hôm thứ tư đã từ chối bình luận về nghiên cứu của Kaspersky, mà đã không đề cập tới ai đã đứng đằng sau Stuxnet.

Stuxnet đã được liên kết tới virus khác, trojan ăn cắp dữ liệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chương trình các vũ khí không gian mạng này đã nhằm vào Iran có thể còn phức tạp hơn nhiều so với được biết trước đó.

Giám đốc của Kaspersky về phân tích và nghiên cứu toàn cầu, Costin Raiu, đã nói với Reuters hôm thứ tư rằng đội của ông đã thu thập các bằng chứng chỉ ra nền tảng y hệt đã được sử dụng để xây dựng Stuxnet và Duqu cũng từng được sử dụng để tạo ra ít nhất 3 mẩu phần mềm độc hại khác.

Raiu nói nền tảng đó được cấu tạo từ một nhóm các module phần mềm tương thích nhau được thiết kế để khớp được với nhau, mỗi mẩu với các chức năng khác nhau. Các lập trình viên có thể xây dựng các vũ khí không gian mạng mới bằng việc đơn giản bổ sung và loại bỏ các module.

“Hình như đây là một bộ Lego. Bạn có thể lắp ráp các thành phần thành bất kỳ thứ gì: một con người máy hoặc một con ngựa hoặc một cái xe tăng”, ông nói.

(Reuters) - The Stuxnet virus that last year damaged Iran's nuclear program was likely one of at least five cyber weapons developed on a single platform whose roots trace back to 2007, according to new research from Russian computer security firm Kaspersky Lab.

Security experts widely believe that the United States and Israel were behind Stuxnet, though the two nations have officially declined to comment on the matter.

A Pentagon spokesman on Wednesday declined comment on Kaspersky's research, which did not address who was behind Stuxnet.

Stuxnet has already been linked to another virus, the Duqu data-stealing trojan, but Kaspersky's research suggests the cyber weapons program that targeted Iran may be far more sophisticated than previously known.

Kaspersky's director of global research & analysis, Costin Raiu, told Reuters on Wednesday that his team has gathered evidence that shows the same platform that was used to build Stuxnet and Duqu was also used to create at least three other pieces of malware.

Raiu said the platform is comprised of a group of compatible software modules designed to fit together, each with different functions. Its developers can build new cyber weapons by simply adding and removing modules.

"It's like a Lego set. You can assemble the components into anything: a robot or a house or a tank," he said.

Kaspersky đã nói nền tảng đó là “Tilded” vài nhiều tệp trong Duqu và Stuxnet có các tên bắt đầu với dấu ngã “~” và chữ cái “d”.

Các nhà nghiên cứu với Kaspersky đã không thấy bất kỳ dạng mới nào của phần mềm độc hại được xây dựng trên nền tảng Tilded, Raiu nói, nhưng họ khá chắc chắn rằng chúng tồn tại vì các thành phần được chia sẻ của Stuxnet và Duqu dường như đang tìm kiếm họ hàng của chúng.

Khi một máy tính bị lây nhiễm với Duqu hoặc Stuxnet, thì các thành phần được chia sẻ trên nền tảng đó sẽ tìm 2 khóa đăng ký duy nhất trên PC đó được kết nối tới Duqu và Stuxnet rồi sau đó được sử dụng để tải mẩu phần mềm độc hại chính vào máy tính đó, ông nói.

Kaspersky gần đây đã phát hiện ra các thành phần được chia sẻ mới, chúng tìm kiếm ít nhất 3 khóa đăng ký độc nhất vô nhị, mà gợi ý rằng các lập trình viên của Stuxnet và Duqu cũng đã xây dựng ít nhất 3 mẩu phần mềm độc hại khác có sử dụng cùng nền tảng này, ông bổ sung.

Các module đó nắm các nhiệm vụ bao gồm việc phân phối phần mềm độc hại tới một PC, cài đặt nó, giao tiếp với những người vận hành, ăn cắp dữ liệu và tự nhân bản nó.

Các nhà sản xuất các phần mềm chống virus, bao gồm cả Kaspersky, hãng Symantec Corp của Mỹ và Trend Micro Inc của Nhật đã kết hợp công nghệ vào các sản phẩm của họ để bảo vệ các máy tính khỏi bị lây nhiễm với Stuxnet và Duqu.

Vâng có thể khá dễ dàng đối với các lập trình viên của các virus tinh vi phức tạp cao đó tạo ra những vũ khí khác mà có thể lẩn tránh được sự dò tìm ra của những chương trình chống virus đó với những module trong nền tảng Tilded, ông nói.

Kaspersky tin tưởng rằng Tilded đã có ít nhất từ 2007 vì mã nguồn đặc thù được Duqu cài đặt đã được biên dịch từ một thiết bị chạy hệ điều hành Windows vào ngày 31/08/2007.

Kaspersky named the platform "Tilded" because many of the files in Duqu and Stuxnet have names beginning with the tilde symbol "~" and the letter "d."  

Researchers with Kaspersky have not found any new types of malware built on the Tilded platform, Raiu said, but they are fairly certain that they exist because shared components of Stuxnet and Duqu appear to be searching for their kin.

When a machine becomes infected with Duqu or Stuxnet, the shared components on the platform search for two unique registry keys on the PC linked to Duqu and Stuxnet that are then used to load the main piece of malware onto the computer, he said.

Kaspersky recently discovered new shared components that search for at least three other unique registry keys, which suggests that the developers of Stuxnet and Duqu also built at least three other pieces of malware using the same platform, he added.

Those modules handle tasks including delivering the malware to a PC, installing it, communicating with its operators, stealing data and replicating itself.

Makers of anti-virus software including Kaspersky, U.S. firm Symantec Corp and Japan's Trend Micro Inc have already incorporated technology into their products to protect computers from getting infected with Stuxnet and Duqu.

Yet it would be relatively easy for the developers of those highly sophisticated viruses to create other weapons that can evade detection by those anti-virus programs by the modules in the Tilded platform, he said.

Kaspersky believes that Tilded traces back to at least 2007 because specific code installed by Duqu was compiled from a device running a Windows operating system on August 31, 2007.

(Reporting By Jim Finkle; Editing by Phil Berlowitz)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com