-->
Some
Flame code found in Stuxnet virus: experts
By Jim Finkle and Joseph
Menn, Tue Jun 12, 2012 5:04am EDT
Bài được đưa lên
Internet ngày: 12/06/2012
Lời
người dịch: Cả Kaspersky Lab và Symantec đều khẳng định
có những mã nguồn trong Flame
và trong phiên bản Stuxnet năm 2009 là y hệt nhau,
chứng tỏ 2 virus này có cùng nơi sản xuất. “Flame là
một virus máy tính phức tạp cao mà ngụy trang bản thân
nó như phần mềm nghiệp vụ chung. Nó đã được
triển khai ít nhất 5 năm trước và có thể nghe trộm
trong các cuộc đàm thoại trên các máy tính mà nó gây
lây nhiễm và ăn cắp dữ liệu”.
Xem thêm: [01],
[02],
[03].
(Reuters) – 2 hãng an
ninh máy tính hàng đầu đã liên kết một số mã nguồn
phần mềm trong virus mạnh Flame với vũ khí không gian mạng
Stuxnet, từng được tin tưởng rộng rãi đã từng được
Mỹ và Israel sử dụng để tấn công chương trình hạt
nhân của Iran.
Eugene Kaspersky, giám
đốc điều hành của Kaspersky Lab có trụ sở ở Moscow,
mà đã phát hiện Flame tháng trước, nói tại Hội nghị
Thượng đỉnh Công nghệ và Truyền thông Toàn cầu của
Reuters hôm thứ 2 rằng các nhà nghiên cứu của ông đã
thấy rằng một phần của mã nguồn chương trình Flame
gần như y hệt với mã nguồn tìm thấy trong một phiên
bản năm 2009 của Stuxnet.
Cuối ngày, hãng an
ninh lớn nhất, Symantec Corp, nói hãng đã khẳng định
rằng một số mã nguồn đã được chia sẻ.
Nghiên cứu mới này
có thể nhấn mạnh sự tin tưởng của nhiều chuyên gia
an ninh rằng Stuxnet từng là một phần của chương trình
KGM do Mỹ cầm đầu vẫn còn tích cực tại Trung Đông và
có lẽ các phần khác nữa trên thế giới.
Flame là chương trình
gián điệp máy tính phức tạp nhất từ trước tới nay
được phát hiện và xuất hiện nhằm vào các văn phòng
của chính phủ và công nghiệp năng lượng tại Iran,
Israel, các lãnh thổ của Palestin và Sudan. Nó có khả năng
ăn cắp hoặc sửa các tài liệu điện tử. Flame có mã
nguồn gấp 20 lần so với Stuxnet và đã thâm nhập vào
qui trình của Microsoft cho những cập nhật tự động để
tự cài đặt mình.
Dù cả Kaspersky và
Symantec đều không nói họ nghĩ ai đã xây dựng Flame, thì
các tổ chức thạo tin, bao gồm cả Reuters và Thời báo
New York, đã nói Mỹ và Israel từng đứng đằng sau
Stuxnet - mà đã được bóc trần trong năm 2010 sau khi nó
gây thiệt hại cho các máy li tâm được sử dụng để
làm giàu uranium tại một cơ sở ở Natanz, Iran.
Thay vì đưa ra những
lời từ chối, các nhà chức trách tại Washington gần đây
đã tung ra những vụ điều tra trong việc rò rỉ về dự
án bí mật cao này. Nhà Trắng đã từ chối bình luận.
Về Stuxnet và Flame,
“đã có 2 đội khác nhau làm việc cộng tác”, Kaspersky
đã nói tại Hội nghị Thượng đỉnh của Reuters tại
Luân Đôn.
(Reuters) - Two leading computer
security firms have linked some of the software code in the powerful
Flame virus to the Stuxnet cyber weapon, which was widely believed to
have been used by the United States and Israel to attack Iran's
nuclear program.
Eugene Kaspersky, chief executive
of Moscow-based Kaspersky Lab, which uncovered Flame last month, said
at the Reuters Global
Media and Technology Summit on Monday his researchers have since
found that part of the Flame program code is nearly identical to code
found in a 2009 version of Stuxnet.
Later in the day, the largest
security firm, Symantec Corp, said it had confirmed that some source
code had been shared.
The new research could bolster the
belief of many security experts that Stuxnet was part of a U.S.-led
cyber program still active in the Middle East and perhaps other parts
of the world.
Flame is the most complex computer
spying program ever discovered and appeared to be aimed at government
and energy-industry offices in Iran,
Israel, the Palestinian territories and Sudan. It has the capacity to
steal or alter electronic documents. Flame has 20 times as much code
as Stuxnet and hijacked Microsoft's process for automatic updates in
order to install itself.
Although neither Kaspersky nor
Symantec said who they thought built Flame, news organizations,
including Reuters and The New York Times, have reported the U.S. and
Israel were behind Stuxnet -- which was uncovered in 2010 after it
damaged centrifuges used to enrich uranium at a facility in Natanz,
Iran.
Instead of issuing denials,
authorities in Washington recently launched investigations into leaks
about the highly classified project. The White House declined to
comment.
On Stuxnet and Flame, "there
were two different teams working in collaboration," Kaspersky
told the Reuters Summit in London.
Flame
là một virus máy tính phức tạp cao mà ngụy trang bản
thân nó như phần mềm nghiệp vụ chung. Nó đã được
triển khai ít nhất 5 năm trước và có thể nghe trộm
trong các cuộc đàm thoại trên các máy tính mà nó gây
lây nhiễm và ăn cắp dữ liệu.
Các chuyên gia an ninh
đã nghi ngờ các mối liên kết giữa Flame, Stuxnet và Duqu
- những mảnh khác của phần mềm độc hại từng bị
phát hiện năm ngoái - nhưng Kaspersky Lab từng là người
đầu tiên nói hãng thấy bằng chứng.
Cuối ngày thứ 2,
người quản lý nghiên cứu của Symantec là Liam O Murchu đã
đồng ý, sử dụng tên của công ty ông cho virus mới
nhất, Flamer. “Phản ứng An ninh của Symantec khẳng định
Flamer và Stuxnet chia sẻ một số mã nguồn của mình”, O
Murchu đã viết, bổ sung thêm rằng phân tích có thể sẽ
tiếp tục.
Nếu Mỹ được chứng
minh là lực lượng đằng sau Flame, thì hãng có thể khẳng
định quốc gia đã sáng chế ra Internet có liên can trong
gián điệp KGM - thứ gì đó nó đã chỉ trích Trung Quốc,
Nga và các quốc gia khác.
Một báo cáo của Lầu
5 góc vào năm ngoái đã phác thảo chiến lược KGM còn
đang tiến bộ của Mỹ đã nói gián điệp kinh tế có
thể chứng minh mối đe dọa lớn nhất về lâu dài đối
với các quyền lợi Mỹ, chỉ tới những kẻ cắp các bí
mật công nghiệp và quân sự thông qua phần mềm gián
điệp Internet.
“Có một sự phân
chia thành các vùng thù địch của KGM (balkanization) đang xảy ra, và các
công ty cần chọn phe nào họ theo”, Dmitri Alperovich, đồng
sáng lập hãng an ninh Mỹ CrowdStrike, nói.
Flame is a highly sophisticated
computer virus that disguises itself as common business software. It
was deployed at least five years ago and can eavesdrop on
conversations on the computers it infects and steal data.
Security experts have suspected
links among Flame, Stuxnet and Duqu -- another piece of malicious
software that was discovered last year -- but Kaspersky Lab was the
first to say it found hard evidence.
Late on Monday, Symantec research
manager Liam O Murchu agreed, using his company's name for the newest
virus, Flamer. "Symantec Security Response confirms Flamer and
Stuxnet share some of its source code," O Murchu wrote, adding
that the analysis would continue.
If the United States is proven to
be a force behind Flame, it would confirm the country that invented
the Internet is involved in cyber espionage -- something for which it
has criticized China,
Russia and other nations.
A Pentagon report last year that
outlined the still-evolving U.S. cyber strategy said economic
espionage could prove the greatest threat to long-term U.S.
interests, pointing to thefts of industrial and defense secrets via
Internet spyware.
"There's a Balkanization of
cyberspace that's occurring, and companies need to choose which side
they're on," said Dmitri Alperovich, co-founder of U.S. security
firm CrowdStrike.
Những
nét giống nhau
Kaspersky Lab đã nói
Flame đã được phát triển với một tập hợp các công
cụ khác so với Stuxnet, dù hãng nói phân tích của hãng
từng chỉ bắt đầu và có thể mất vài tháng.
Sau khi đục sâu hơn,
Kaspersky Lab nói hôm thứ 2 các nhà nghiên cứu của hãng
đã nhận diện các phân đoạn của Flame và một phiên
bản của Stuxnet được tung ra vào năm 2009 đã gần như y
hệt nhau - gợi ý các kỹ sư mà đã xây dựng 2 virus này
đã truy cập tới cùng tập hợp mã nguồn.
Điều đó đã gợi ý
sự cộng tác chặt chẽ giữa các đội đằng sau 2 virus
đó. Eugene Kaspersky nói rõ ràng đã có 2 hoặc nhiều đội
hơn với các kiểu cách khác nhau, và rằng Flame như là
tổng thể có thể đã sử dụng 100 người.
Các nhà nghiên cứu
đã và đang tìm kiếm một sự kết nối giữa Stuxnet và
Flame vì cả 2 virus đã gây lây nhiễm cho các máy bằng
việc lợi dụng một lỗi của Windows để khởi xướng
tính năng “autorun”, và gây lây nhiễm cho các máy tính
cá nhân từ một ổ nhỏ được cắm vào lỗ USB.
Phần mã nguồn bây
giờ đã trích dẫn như việc kết nối 2 mẩu phần mềm
độc hại không chỉ liên quan tới lỗi đó mà còn làm
thế theo cùng kiểu cách.
Lỗi của Windows từng
được biết trước khi phát hiện Stuxnet trong năm 2010,
theo Roel Schouwenberg, một trong những nhà nghiên cứu của
Kaspersky Lab, người đã giúp phát hiện ra virus Flame.
Các nhà nghiên cứu
của Kaspersky Lab đã không thấy các thành phần của Flame
trong các phiên bản tiên tiến hơn của Stuxnet, Schouwenberg
nói.
“Flame đã được sử
dụng như một số dạng khởi xướng để làm cho dự án
Stuxnet tiếp tục”, Schouwenberg nói lý thuyết. “Ngay khi
đội Stuxnet đx có mã nguồn của họ sẵn sàng, thì họ
đi theo đường của họ”.
Kaspersky Lab had said Flame was
developed with a different set of tools than Stuxnet, though it said
its analysis was just beginning and would take many months.
After digging deeper, Kaspersky Lab
said Monday its researchers identified segments of Flame and a
version of Stuxnet released in 2009 that were nearly identical --
suggesting the engineers who built the two viruses had access to the
same set of source code.
That suggested tight collaboration
between the teams behind the two viruses. Eugene Kaspersky said it
was clear there were two or more teams with differing styles, and
that Flame as a whole might have employed 100 people.
Researchers have been looking for a
connection between Stuxnet and Flame because both viruses infected
machines by taking advantage of a Windows flaw to launch the
"autorun" feature, and infected personal computers from a
small drive inserted via USB slot.
The section of code now cited as
connecting the two pieces of malicious software not only concerns
that flaw but does so in the same style.
The Windows flaw was unknown before
Stuxnet's discovery in 2010, according to Roel Schouwenberg, one of
the Kaspersky Lab researchers who helped discover the Flame virus.
Kaspersky Lab researchers did not
find the Flame components in more advanced versions of Stuxnet, added
Schouwenberg.
"Flame was used as some sort
of a kick-starter to get the Stuxnet project going,"
Schouwenberg theorized. "As soon as the Stuxnet team had their
code ready, they went their way."
Ông đã nghi ngờ các
nhà sáng tạo ra Stuxnet đã loại bỏ các thành phần được
mượn từ các phiên bản sau này sao cho chương trình Flame
giữ được ẩn mình cho tới tháng trước, khi một cơ
quan của Liên hiệp quốc đã yêu cầu Kaspersky Lab tìm
kiếm một virus mà Iran nói đã phá hoại các máy tính của
mình, xóa các dữ liệu có giá trị. Khi đội của
Kaspersky đã bắt đầu tìm kiếm các tệp nghi vấn tại
Trung Đông, họ đã thấy Flame.
Eugene Kaspersky nói tại
Hội nghị Thượng đỉnh Reuters hãng của ông gần đây
đã đồng ý cố vấn về các vấn đề an ninh Internet địa
chính trị rộng lớn hơn cho ITU của Liên hiệp quốc. Nga
và những nước khác muốn nhóm đó nắm một vai trò tích
cực hơn trong điều hành Internet.
Schouwenberg nói ông đã
nghi ngờ Flame có thể có khả năng xóa các dữ liệu và
tấn công các hệ thống kiểm soát công nghiệp mà điều
hành các nhà máy như cơ sở làm giàu uranium tại Natanz,
nhưng ông còn chưa tìm ra bằng chứng.
Các nhà nghiên cứu
của Kaspersky Lab vẫn đang cố gắng hiểu chức năng của
hơn 100 tệp bí ẩn được xây dựng trong những ví dụ
của Flame mà họ đã phát hiện ra, ông nói.
He suspected the creators of
Stuxnet removed the borrowed components from later versions so the
Flame program would not be compromised if the attack on the Iranian
nuclear program was discovered.
Stuxnet was discovered in 2010 and
has been closely scrutinized by the world's smartest cyber sleuths.
Yet Flame remained hidden until last month, when a United Nations
agency asked Kaspersky Lab to look for a virus that Iran said had
sabotaged its computers, deleting valuable data.
Eugene Kaspersky said at the
Reuters Summit his firm recently agreed to advise on geopolitical
Internet security issues more broadly for the U.N.'s International
Telecommunication Union. Russia
and others want the group to take a more active role in Internet
governance.
Schouwenberg said he suspected
Flame may be capable of deleting data and attacking industrial
control systems that run plants like the uranium enrichment facility
at Natanz, but he has yet to find the evidence.
Kaspersky Lab researchers are still
trying to understand the function of more than 100 mysterious files
built into the Flame samples that they have discovered, he said.
(Editing by Alden
Bentley, Jeffrey Benkoe Steve Orlofsky)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.