Stuxnet
weapon has at least 4 cousins: researchers
Wed Dec 28, 2011 6:46pm
EST
By Jim Finkle
Bài được đưa lên
Internet ngày: 28/12/2011
Lời
người dịch: Một vài trích đoạn từ bài viết: “Stuxnet
đã được liên kết tới virus khác, trojan ăn cắp dữ
liệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chương
trình các vũ khí không gian mạng
này đã nhằm vào Iran có thể còn phức tạp hơn nhiều
so với được biết trước đó...
Raiu nói nền tảng đó được cấu tạo từ một nhóm các
module phần mềm tương thích nhau được thiết kế để
khớp được với nhau, mỗi mẩu với các chức năng khác
nhau. Các lập trình viên có thể
xây dựng các vũ khí không gian mạng mới bằng việc đơn
giản bổ sung và loại bỏ các module.
“Hình
như đây là một bộ Lego. Bạn có thể lắp ráp các thành
phần thành bất kỳ thứ gì: một con người máy hoặc
một con ngựa hoặc một cái xe tăng”,
... Kaspersky gần đây đã phát hiện ra các thành phần
được chia sẻ mới, chúng tìm kiếm ít nhất 3 khóa đăng
ký độc nhất vô nhị, mà gợi ý rằng các lập trình
viên của Stuxnet và Duqu cũng đã xây dựng ít nhất 3 mẩu
phần mềm độc hại khác có sử dụng cùng nền tảng
này, ông bổ sung. Các module đó nắm các nhiệm vụ bao
gồm việc phân phối phần mềm độc hại tới một PC,
cài đặt nó, giao tiếp với những người vận hành, ăn
cắp dữ liệu và tự nhân bản nó... Kaspersky tin tưởng
rằng Tilded đã có ít nhất từ 2007 vì mã
nguồn đặc thù được Duqu cài đặt đã được biên
dịch từ một thiết bị chạy hệ điều hành Windows vào
ngày 31/08/2007.”
Reuters - Virus Stuxnet
mà năm ngoái đã làm hại cho chương trình hạt nhân của
Iran có lẽ là một trong 5 vũ khí không gian mạng mới
nhất được phát triển trên một nền tảng duy nhất mà
gốc rễ của chúng có từ năm 2007, theo nghiên cứu mới
từ Phòng thí nghiệm Kaspersky, hãng an ninh máy tính của
Nga.
Các chuyên gia tin
tưởng rộng rãi rằng Mỹ và Israel đã đứng đằng sau
Stuxnet, dù 2 quốc gia này đã chính thức bác bỏ bình
luận về vụ việc.
Một người phát ngôn
của Lầu 5 góc hôm thứ tư đã từ chối bình luận về
nghiên cứu của Kaspersky, mà đã không đề cập tới ai
đã đứng đằng sau Stuxnet.
Stuxnet
đã được liên kết tới virus khác, trojan ăn cắp dữ
liệu Duqu, nhưng nghiên cứu của Kaspersky gợi ý chương
trình các vũ khí không gian mạng này đã nhằm vào Iran có
thể còn phức tạp hơn nhiều so với được biết trước
đó.
Giám đốc của
Kaspersky về phân tích và nghiên cứu toàn cầu, Costin
Raiu, đã nói với Reuters hôm thứ tư rằng đội của ông
đã thu thập các bằng chứng chỉ ra nền tảng y hệt đã
được sử dụng để xây dựng Stuxnet và Duqu cũng từng
được sử dụng để tạo ra ít nhất 3 mẩu phần mềm
độc hại khác.
Raiu
nói nền tảng đó được cấu tạo từ một nhóm các
module phần mềm tương thích nhau được thiết kế để
khớp được với nhau, mỗi mẩu với các chức năng khác
nhau. Các lập trình viên có thể xây dựng các vũ khí
không gian mạng mới bằng việc đơn giản bổ sung và
loại bỏ các module.
“Hình
như đây là một bộ Lego. Bạn có thể lắp ráp các thành
phần thành bất kỳ thứ gì: một con người máy hoặc
một con ngựa hoặc một cái xe tăng”, ông nói.
(Reuters) - The Stuxnet virus that
last year damaged Iran's nuclear program was likely one of at least
five cyber weapons developed on a single platform whose roots trace
back to 2007, according to new research from Russian computer
security firm Kaspersky Lab.
Security experts widely believe
that the United States and Israel were behind Stuxnet, though the two
nations have officially declined to comment on the matter.
A Pentagon spokesman on Wednesday
declined comment on Kaspersky's research, which did not address who
was behind Stuxnet.
Stuxnet has already been linked to
another virus, the Duqu data-stealing trojan, but Kaspersky's
research suggests the cyber weapons program that targeted Iran may be
far more sophisticated than previously known.
Kaspersky's director of global
research & analysis, Costin Raiu, told Reuters on Wednesday that
his team has gathered evidence that shows the same platform that was
used to build Stuxnet and Duqu was also used to create at least three
other pieces of malware.
Raiu said the platform is comprised
of a group of compatible software modules designed to fit together,
each with different functions. Its developers can build new cyber
weapons by simply adding and removing modules.
"It's like a Lego set. You can
assemble the components into anything: a robot or a house or a tank,"
he said.
Kaspersky đã nói nền
tảng đó là “Tilded” vài nhiều tệp trong Duqu và
Stuxnet có các tên bắt đầu với dấu ngã “~” và chữ
cái “d”.
Các nhà nghiên cứu
với Kaspersky đã không thấy bất kỳ dạng mới nào của
phần mềm độc hại được xây dựng trên nền tảng
Tilded, Raiu nói, nhưng họ khá chắc chắn rằng chúng tồn
tại vì các thành phần được chia sẻ của Stuxnet và
Duqu dường như đang tìm kiếm họ hàng của chúng.
Khi
một máy tính bị lây nhiễm với Duqu hoặc Stuxnet, thì
các thành phần được chia sẻ trên nền tảng đó sẽ
tìm 2 khóa đăng ký duy nhất trên PC đó được kết nối
tới Duqu và Stuxnet rồi sau đó được sử dụng để tải
mẩu phần mềm độc hại chính vào máy tính đó, ông
nói.
Kaspersky
gần đây đã phát hiện ra các thành phần được chia sẻ
mới, chúng tìm kiếm ít nhất 3 khóa đăng ký độc nhất
vô nhị, mà gợi ý rằng các lập trình viên của Stuxnet
và Duqu cũng đã xây dựng ít nhất 3 mẩu phần mềm độc
hại khác có sử dụng cùng nền tảng này, ông bổ sung.
Các
module đó nắm các nhiệm vụ bao gồm việc phân phối
phần mềm độc hại tới một PC, cài đặt nó, giao tiếp
với những người vận hành, ăn cắp dữ liệu và tự
nhân bản nó.
Các nhà sản xuất
các phần mềm chống virus, bao gồm cả Kaspersky, hãng
Symantec Corp của Mỹ và Trend Micro Inc của Nhật đã kết
hợp công nghệ vào các sản phẩm của họ để bảo vệ
các máy tính khỏi bị lây nhiễm với Stuxnet và Duqu.
Vâng
có thể khá dễ dàng đối với các lập trình viên của
các virus tinh vi phức tạp cao đó tạo ra những vũ khí
khác mà có thể lẩn tránh được sự dò tìm ra của
những chương trình chống virus đó với những module trong
nền tảng Tilded, ông nói.
Kaspersky
tin tưởng rằng Tilded đã có ít nhất từ 2007 vì mã
nguồn đặc thù được Duqu cài đặt đã được biên
dịch từ một thiết bị chạy hệ điều hành Windows vào
ngày 31/08/2007.
Kaspersky named the platform
"Tilded" because many of the files in Duqu and Stuxnet have
names beginning with the tilde symbol "~" and the letter
"d."
Researchers
with Kaspersky have not found any new types of malware built on the
Tilded platform, Raiu said, but they are fairly certain that they
exist because shared components of Stuxnet and Duqu appear to be
searching for their kin.
When a machine becomes infected
with Duqu or Stuxnet, the shared components on the platform search
for two unique registry keys on the PC linked to Duqu and Stuxnet
that are then used to load the main piece of malware onto the
computer, he said.
Kaspersky recently discovered new
shared components that search for at least three other unique
registry keys, which suggests that the developers of Stuxnet and Duqu
also built at least three other pieces of malware using the same
platform, he added.
Those modules handle tasks
including delivering the malware to a PC, installing it,
communicating with its operators, stealing data and replicating
itself.
Makers of anti-virus software
including Kaspersky, U.S. firm Symantec Corp and Japan's Trend Micro
Inc have already incorporated technology into their products to
protect computers from getting infected with Stuxnet and Duqu.
Yet it would be relatively easy for
the developers of those highly sophisticated viruses to create other
weapons that can evade detection by those anti-virus programs by the
modules in the Tilded platform, he said.
Kaspersky believes that Tilded
traces back to at least 2007 because specific code installed by Duqu
was compiled from a device running a Windows operating system on
August 31, 2007.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.