Một số mã nguồn của Flame được thấy trong virus Stuxnet

-->

Some Flame code found in Stuxnet virus: experts

By Jim Finkle and Joseph Menn, Tue Jun 12, 2012 5:04am EDT

Theo: http://www.reuters.com/article/2012/06/12/us-media-tech-summit-flame-idUSBRE85A0TN20120612

Bài được đưa lên Internet ngày: 12/06/2012

Lời người dịch: Cả Kaspersky Lab và Symantec đều khẳng định có những mã nguồn trong Flame và trong phiên bản Stuxnet năm 2009 là y hệt nhau, chứng tỏ 2 virus này có cùng nơi sản xuất. “Flame là một virus máy tính phức tạp cao mà ngụy trang bản thân nó như phần mềm nghiệp vụ chung. Nó đã được triển khai ít nhất 5 năm trước và có thể nghe trộm trong các cuộc đàm thoại trên các máy tính mà nó gây lây nhiễm và ăn cắp dữ liệu”. Xem thêm: [01], [02], [03].

(Reuters) – 2 hãng an ninh máy tính hàng đầu đã liên kết một số mã nguồn phần mềm trong virus mạnh Flame với vũ khí không gian mạng Stuxnet, từng được tin tưởng rộng rãi đã từng được Mỹ và Israel sử dụng để tấn công chương trình hạt nhân của Iran.

Eugene Kaspersky, giám đốc điều hành của Kaspersky Lab có trụ sở ở Moscow, mà đã phát hiện Flame tháng trước, nói tại Hội nghị Thượng đỉnh Công nghệ và Truyền thông Toàn cầu của Reuters hôm thứ 2 rằng các nhà nghiên cứu của ông đã thấy rằng một phần của mã nguồn chương trình Flame gần như y hệt với mã nguồn tìm thấy trong một phiên bản năm 2009 của Stuxnet.

Cuối ngày, hãng an ninh lớn nhất, Symantec Corp, nói hãng đã khẳng định rằng một số mã nguồn đã được chia sẻ.

Nghiên cứu mới này có thể nhấn mạnh sự tin tưởng của nhiều chuyên gia an ninh rằng Stuxnet từng là một phần của chương trình KGM do Mỹ cầm đầu vẫn còn tích cực tại Trung Đông và có lẽ các phần khác nữa trên thế giới.

Flame là chương trình gián điệp máy tính phức tạp nhất từ trước tới nay được phát hiện và xuất hiện nhằm vào các văn phòng của chính phủ và công nghiệp năng lượng tại Iran, Israel, các lãnh thổ của Palestin và Sudan. Nó có khả năng ăn cắp hoặc sửa các tài liệu điện tử. Flame có mã nguồn gấp 20 lần so với Stuxnet và đã thâm nhập vào qui trình của Microsoft cho những cập nhật tự động để tự cài đặt mình.

Dù cả Kaspersky và Symantec đều không nói họ nghĩ ai đã xây dựng Flame, thì các tổ chức thạo tin, bao gồm cả Reuters và Thời báo New York, đã nói Mỹ và Israel từng đứng đằng sau Stuxnet - mà đã được bóc trần trong năm 2010 sau khi nó gây thiệt hại cho các máy li tâm được sử dụng để làm giàu uranium tại một cơ sở ở Natanz, Iran.

Thay vì đưa ra những lời từ chối, các nhà chức trách tại Washington gần đây đã tung ra những vụ điều tra trong việc rò rỉ về dự án bí mật cao này. Nhà Trắng đã từ chối bình luận.

Về Stuxnet và Flame, “đã có 2 đội khác nhau làm việc cộng tác”, Kaspersky đã nói tại Hội nghị Thượng đỉnh của Reuters tại Luân Đôn.

(Reuters) - Two leading computer security firms have linked some of the software code in the powerful Flame virus to the Stuxnet cyber weapon, which was widely believed to have been used by the United States and Israel to attack Iran's nuclear program.

Eugene Kaspersky, chief executive of Moscow-based Kaspersky Lab, which uncovered Flame last month, said at the Reuters Global Media and Technology Summit on Monday his researchers have since found that part of the Flame program code is nearly identical to code found in a 2009 version of Stuxnet.

Later in the day, the largest security firm, Symantec Corp, said it had confirmed that some source code had been shared.

The new research could bolster the belief of many security experts that Stuxnet was part of a U.S.-led cyber program still active in the Middle East and perhaps other parts of the world.

Flame is the most complex computer spying program ever discovered and appeared to be aimed at government and energy-industry offices in Iran, Israel, the Palestinian territories and Sudan. It has the capacity to steal or alter electronic documents. Flame has 20 times as much code as Stuxnet and hijacked Microsoft's process for automatic updates in order to install itself.

Although neither Kaspersky nor Symantec said who they thought built Flame, news organizations, including Reuters and The New York Times, have reported the U.S. and Israel were behind Stuxnet -- which was uncovered in 2010 after it damaged centrifuges used to enrich uranium at a facility in Natanz, Iran.

Instead of issuing denials, authorities in Washington recently launched investigations into leaks about the highly classified project. The White House declined to comment.

On Stuxnet and Flame, "there were two different teams working in collaboration," Kaspersky told the Reuters Summit in London.

Flame là một virus máy tính phức tạp cao mà ngụy trang bản thân nó như phần mềm nghiệp vụ chung. Nó đã được triển khai ít nhất 5 năm trước và có thể nghe trộm trong các cuộc đàm thoại trên các máy tính mà nó gây lây nhiễm và ăn cắp dữ liệu.

Các chuyên gia an ninh đã nghi ngờ các mối liên kết giữa Flame, Stuxnet và Duqu - những mảnh khác của phần mềm độc hại từng bị phát hiện năm ngoái - nhưng Kaspersky Lab từng là người đầu tiên nói hãng thấy bằng chứng.

Cuối ngày thứ 2, người quản lý nghiên cứu của Symantec là Liam O Murchu đã đồng ý, sử dụng tên của công ty ông cho virus mới nhất, Flamer. “Phản ứng An ninh của Symantec khẳng định Flamer và Stuxnet chia sẻ một số mã nguồn của mình”, O Murchu đã viết, bổ sung thêm rằng phân tích có thể sẽ tiếp tục.

Nếu Mỹ được chứng minh là lực lượng đằng sau Flame, thì hãng có thể khẳng định quốc gia đã sáng chế ra Internet có liên can trong gián điệp KGM - thứ gì đó nó đã chỉ trích Trung Quốc, Nga và các quốc gia khác.

Một báo cáo của Lầu 5 góc vào năm ngoái đã phác thảo chiến lược KGM còn đang tiến bộ của Mỹ đã nói gián điệp kinh tế có thể chứng minh mối đe dọa lớn nhất về lâu dài đối với các quyền lợi Mỹ, chỉ tới những kẻ cắp các bí mật công nghiệp và quân sự thông qua phần mềm gián điệp Internet.

“Có một sự phân chia thành các vùng thù địch của KGM (balkanization) đang xảy ra, và các công ty cần chọn phe nào họ theo”, Dmitri Alperovich, đồng sáng lập hãng an ninh Mỹ CrowdStrike, nói.

Flame is a highly sophisticated computer virus that disguises itself as common business software. It was deployed at least five years ago and can eavesdrop on conversations on the computers it infects and steal data.

Security experts have suspected links among Flame, Stuxnet and Duqu -- another piece of malicious software that was discovered last year -- but Kaspersky Lab was the first to say it found hard evidence.

Late on Monday, Symantec research manager Liam O Murchu agreed, using his company's name for the newest virus, Flamer. "Symantec Security Response confirms Flamer and Stuxnet share some of its source code," O Murchu wrote, adding that the analysis would continue.

If the United States is proven to be a force behind Flame, it would confirm the country that invented the Internet is involved in cyber espionage -- something for which it has criticized China, Russia and other nations.

A Pentagon report last year that outlined the still-evolving U.S. cyber strategy said economic espionage could prove the greatest threat to long-term U.S. interests, pointing to thefts of industrial and defense secrets via Internet spyware.

"There's a Balkanization of cyberspace that's occurring, and companies need to choose which side they're on," said Dmitri Alperovich, co-founder of U.S. security firm CrowdStrike.

SIMILAR TRAITS

Những nét giống nhau

Kaspersky Lab đã nói Flame đã được phát triển với một tập hợp các công cụ khác so với Stuxnet, dù hãng nói phân tích của hãng từng chỉ bắt đầu và có thể mất vài tháng.

Sau khi đục sâu hơn, Kaspersky Lab nói hôm thứ 2 các nhà nghiên cứu của hãng đã nhận diện các phân đoạn của Flame và một phiên bản của Stuxnet được tung ra vào năm 2009 đã gần như y hệt nhau - gợi ý các kỹ sư mà đã xây dựng 2 virus này đã truy cập tới cùng tập hợp mã nguồn.

Điều đó đã gợi ý sự cộng tác chặt chẽ giữa các đội đằng sau 2 virus đó. Eugene Kaspersky nói rõ ràng đã có 2 hoặc nhiều đội hơn với các kiểu cách khác nhau, và rằng Flame như là tổng thể có thể đã sử dụng 100 người.

Các nhà nghiên cứu đã và đang tìm kiếm một sự kết nối giữa Stuxnet và Flame vì cả 2 virus đã gây lây nhiễm cho các máy bằng việc lợi dụng một lỗi của Windows để khởi xướng tính năng “autorun”, và gây lây nhiễm cho các máy tính cá nhân từ một ổ nhỏ được cắm vào lỗ USB.

Phần mã nguồn bây giờ đã trích dẫn như việc kết nối 2 mẩu phần mềm độc hại không chỉ liên quan tới lỗi đó mà còn làm thế theo cùng kiểu cách.

Lỗi của Windows từng được biết trước khi phát hiện Stuxnet trong năm 2010, theo Roel Schouwenberg, một trong những nhà nghiên cứu của Kaspersky Lab, người đã giúp phát hiện ra virus Flame.

Các nhà nghiên cứu của Kaspersky Lab đã không thấy các thành phần của Flame trong các phiên bản tiên tiến hơn của Stuxnet, Schouwenberg nói.

“Flame đã được sử dụng như một số dạng khởi xướng để làm cho dự án Stuxnet tiếp tục”, Schouwenberg nói lý thuyết. “Ngay khi đội Stuxnet đx có mã nguồn của họ sẵn sàng, thì họ đi theo đường của họ”.

Kaspersky Lab had said Flame was developed with a different set of tools than Stuxnet, though it said its analysis was just beginning and would take many months.

After digging deeper, Kaspersky Lab said Monday its researchers identified segments of Flame and a version of Stuxnet released in 2009 that were nearly identical -- suggesting the engineers who built the two viruses had access to the same set of source code.

That suggested tight collaboration between the teams behind the two viruses. Eugene Kaspersky said it was clear there were two or more teams with differing styles, and that Flame as a whole might have employed 100 people.

Researchers have been looking for a connection between Stuxnet and Flame because both viruses infected machines by taking advantage of a Windows flaw to launch the "autorun" feature, and infected personal computers from a small drive inserted via USB slot.

The section of code now cited as connecting the two pieces of malicious software not only concerns that flaw but does so in the same style.

The Windows flaw was unknown before Stuxnet's discovery in 2010, according to Roel Schouwenberg, one of the Kaspersky Lab researchers who helped discover the Flame virus.

Kaspersky Lab researchers did not find the Flame components in more advanced versions of Stuxnet, added Schouwenberg.

"Flame was used as some sort of a kick-starter to get the Stuxnet project going," Schouwenberg theorized. "As soon as the Stuxnet team had their code ready, they went their way."

Ông đã nghi ngờ các nhà sáng tạo ra Stuxnet đã loại bỏ các thành phần được mượn từ các phiên bản sau này sao cho chương trình Flame giữ được ẩn mình cho tới tháng trước, khi một cơ quan của Liên hiệp quốc đã yêu cầu Kaspersky Lab tìm kiếm một virus mà Iran nói đã phá hoại các máy tính của mình, xóa các dữ liệu có giá trị. Khi đội của Kaspersky đã bắt đầu tìm kiếm các tệp nghi vấn tại Trung Đông, họ đã thấy Flame.

Eugene Kaspersky nói tại Hội nghị Thượng đỉnh Reuters hãng của ông gần đây đã đồng ý cố vấn về các vấn đề an ninh Internet địa chính trị rộng lớn hơn cho ITU của Liên hiệp quốc. Nga và những nước khác muốn nhóm đó nắm một vai trò tích cực hơn trong điều hành Internet.

Schouwenberg nói ông đã nghi ngờ Flame có thể có khả năng xóa các dữ liệu và tấn công các hệ thống kiểm soát công nghiệp mà điều hành các nhà máy như cơ sở làm giàu uranium tại Natanz, nhưng ông còn chưa tìm ra bằng chứng.

Các nhà nghiên cứu của Kaspersky Lab vẫn đang cố gắng hiểu chức năng của hơn 100 tệp bí ẩn được xây dựng trong những ví dụ của Flame mà họ đã phát hiện ra, ông nói.

He suspected the creators of Stuxnet removed the borrowed components from later versions so the Flame program would not be compromised if the attack on the Iranian nuclear program was discovered.

Stuxnet was discovered in 2010 and has been closely scrutinized by the world's smartest cyber sleuths. Yet Flame remained hidden until last month, when a United Nations agency asked Kaspersky Lab to look for a virus that Iran said had sabotaged its computers, deleting valuable data.

When Kaspersky's team started looking for suspicious files in the Middle East, they found Flame.

Eugene Kaspersky said at the Reuters Summit his firm recently agreed to advise on geopolitical Internet security issues more broadly for the U.N.'s International Telecommunication Union. Russia and others want the group to take a more active role in Internet governance.

Schouwenberg said he suspected Flame may be capable of deleting data and attacking industrial control systems that run plants like the uranium enrichment facility at Natanz, but he has yet to find the evidence.

Kaspersky Lab researchers are still trying to understand the function of more than 100 mysterious files built into the Flame samples that they have discovered, he said.

Follow Reuters Summits on Twitter @Reuters_Summits.

(Editing by Alden Bentley, Jeffrey Benkoe Steve Orlofsky)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com