Phần mềm độc hại được vũ khí hóa: 4 công cụ tấn công không gian mạng hàng đầu

Weaponized Malware: Top Four Cyberattack Tools

By Ken Presti, PUBLISHED NOV. 9, 2012

Theo: http://www.crn.com/news/security/240077512/weaponized-malware-top-four-cyberattack-tools.htm

Bài được đưa lên Internet ngày: 09/11/2012

Lời người dịch: Trong vòng 2 năm qua, 4 mẩu phần mềm độc hại đã nổi lên như là những vũ khí thực sự và đã được sử dụng cho những mục đích phá hoại hoặc hỗ trợ các cuộc tấn công như vậy gồm: (1) Stuxnet; (2) Duqu; (3) Flame và (4) Shamoon. Trong số này, Flame được coi là còn phức tạp hơn cả Stuxnet.

Trong vòng 2 năm qua, 4 mẩu phần mềm độc hại đã nổi lên như là những vũ khí thực sự và đã được sử dụng cho những mục đích phá hoại hoặc hỗ trợ các cuộc tấn công như vậy.

1. Stuxnet là nổi tiếng nhất trong số 4 phần mềm độc hại đó. Stuxnet từng được thiết kế với một tảy trọng phần mềm độc hại chuyên dụng cao được nhằm vào các hệ thống SCADA kiểm soát các tiến trình công nghiệp. Ban đầu được sử dụng để tấn công các máy li tâm từng là một phần của chương trình được cho là vũ khí hạt nhân của Iran, có khả năng đã được phát triển với sự hỗ trợ của một nhà nước quốc gia.

Lần đầu được phát hiện vào tháng 06/2010, phần mềm độc hại này được tin tưởng đã được tung vào sự hoang dã một cách ngẫu nhiên khi máy tính của một kỹ sư đã từng được kết nối tới các máy li tâm về sau được nối tới Internet. Trong khi không ai chịu nhận trách nhiệm về Stuxnet, thì Mỹ và Israel bị nghi ngờ nhiều nhất, theo nhiều chuyên gia an ninh.

2. Được phát hiện vào tháng 9 năm ngoái, Duqu được cho là có liên quan tới Stuxnet. Sâu này được lập trình để tìm kiếm các dữ liệu có thể tạo thuận lợi cho các cuộc tấn công vào các hệ thống kiểm soát công nghiệp. Tuy nhiên, các khả năng của nó không hề bị giới hạn tói hạ tầng SCADA. Khi được cô lập trên các máy tính cá nhân PC, sâu đó thường tự xóa mình cũng như tải trọng của nó và thậm chí cả các nội dung của ổ đĩa cứng, vì thế làm cho nó khó điều tra hơn nhiều.

3. Flame, còn được biết như là Flamer và Skywiper, được module hóa cao độ về bản chất tự nhiên, nghĩa là nhiều khả năng của nó có thể được nhấc khỏi mã nguồn Flame và bỏ vào phần mềm độc hại mới theo sự lựa chọn của kẻ tấn công. Được phát hiện vào năm nay, nó từng được sử dụng hầu hết cho các hoạt động gián điệp tại Trung Đông và có khả năng đã được các nhân viên tại Mỹ và/hoặc Israel phát triển, các chuyên gia an ninh đã nói. Được một số người xem là thậm chí còn phức tạp hơn cả Stuxnet, Flame tải lên những hình chụp tới các máy chủ chỉ huy và kiểm soát, và ghi lại âm thanh, gõ bàn phím và hoạt động của mạng.

4. Shamoon là mới gần đây nhất. Sâu đó từng được phát hiện hồi tháng 8 như điểm trọng tâm của một cuộc tấn công chống lại Aramco, một công ty dầu khi lớn của Ả rập Xê út. Shamoon tải lên các tệp tới các máy chủ kiểm soát của nó và thường xóa chúng trên máy chủ chứa sau khi làm thế. Virus này cũng phá hỏng bản ghi khởi động chủ MBR, vì thế làm cho máy tính hoàn toàn chết.

Over the past two years, four pieces of malware have emerged as veritable weapons and have been used for destructive purposes or to assist in such attacks.

1. Stuxnet is the most widely known of the four. Stuxnet was designed with a highly specialized malware payload that targeted SCADA systems that control specific industrial processes. Originally used to attack centrifuges that were part of Iran's alleged nuclear weapons program, it's likely to have been developed with the support of a nation state.

First discovered in June 2010, the malware is believed to been released into the wild by accident when an engineer's computer that had been connected to the centrifuges was subsequently connected to the Internet. While no one has claimed responsibility for Stuxnet, the U.S. and Israel are widely suspected, according to many security experts.

2. Discovered in September of last year, Duqu is thought to be related to Stuxnet. This worm is programmed to look for data that can facilitate attacks on industrial control systems. However, its capabilities are by no means limited to SCADA infrastructure. When isolated onto PCs, the bug frequently deletes itself as well as its payload and even the contents of the hard drive, thereby making it far more difficult to investigate.

3. Flame, which is also known as Flamer and Skywiper, is highly modular in nature, meaning that many of its capabilities can be lifted out of the Flame code and dropped into new malware of the attacker's choosing. Discovered this year, it has been used mostly for cyberespionage activities in the Middle East and is likely to have been developed by operatives in the U.S. and/or Israel, security experts have said. Considered by some to be even more sophisticated than Stuxnet, Flame uploads screenshots to its command and control servers, and records audio, keystrokes and network activity.

4. Shamoon is the most recent arrival. The bug was discovered in August as the focal point of an attack against Aramco, a large Saudi Arabian oil company. Shamoon uploads files to its control servers and typically erases them on the host machine after doing so. The virus also corrupts the master boot record, thereby taking the machine completely out of service.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com