Stuxnet đã lây nhiễm mạng CNTT của Chevron

Stuxnet Infected Chevron’s IT Network

November 8, 2012, 3:10 PM ET

Theo: http://blogs.wsj.com/cio/2012/11/08/stuxnet-infected-chevrons-it-network/

Bài được đưa lên Internet ngày: 08/11/2012

Stuxnet, một virus máy tính phức tạp được Mỹ và Israel tạo ra, để gián điệp trong và tấn công các cơ sở làm giàu hạt nhân của Iran tại Natanz cũng đã gây lây nhiễm cho mạng của Chevron vào năm 2010, ngay khi nó đã thoát ra khỏi đích ngắm được dự kiến của nó.

Chevron đã thấy Stuxnet trong các hệ thống của mình sau khi phần mềm độc hại lần đầu tiên đã được báo cáo vào tháng 07/2010, Mark Koelmel, tổng giám đốc của phòng khoa học trái đất của Chevron, nói. “Tôi không nghĩ chính phủ Mỹ thậm chí đã nhận thức được nó đã lan truyền rộng tới mức nào”, ông đã nói cho tạp chí CIO. “Tôi nghĩ mặt trái của những gì họ đã làm sẽ tồi tệ hơn nhiều so với những gì chúng thực sự hoàn thành”, ông nói.

Chevron từng không phải bị lây nhiễm bất lợi với Stuxnet, người phát ngôn của Chevron là Morgan Crinklaw, nói. “Chúng tôi thực hiện từng nỗ lực để bảo vệ các hệ thống dữ liệu của chóng tôi khỏi các dạng đe dọa đó”, ông nói.

Kinh nghiệm của Chevron với Stuxnet dường như là kết quả của sự thoát ra một cách không chủ ý (và có lẽ, không thể tránh khỏi) của phần mềm độc hại trong một mạng lớn hơn, rất giống một việc thoát ra virus thí nghiệm từ một phóng thí nghiệm y học. Nhưng nhiều công ty cũng đang bị nhắm đích đặc biệt, đôi khi vì các tác nhân phức tạp ít hơn cố gắng trả đũa chống lại sự xâm lược không gian mạng được thừa nhận. Dù họ có ít các tài nguyên hơn đằng sau họ, thì những chiến dịch con đười ươi đó dù sao cũng là khả năng làm thiệt hại thực, vật lý cho các nhà máy bị nhắm đích.

Chevron là công ty Mỹ đầu tiên nhận thức được rằng các hệ thống của hãng đã bị Stuxnet gây lây nhiễm, dù hầu hết các chuyên gia an ninh tin tưởng đã số lớn các vụ việc chọc ngoáy từng không được thuật lại vì những lý do an ninh hoặc tránh lúng túng. Các thiết bị được sử dụng trong thiết bị công nghiệp và được Stuxnet nhắm đích và được làm bởi các công ty lớn khồng lồ, bao gồm cả Siemens (thiết bị của hãng này từng được bán trên thế giới sử dụng trong cơ sở hạ tầng của Iran). Hàng triệu thiết bị đó đã được bán trên thế giới, nên tiềm tàng mỗi công ty công nghiệp sử dụng các thiệt bị đó, được gọi là các trình điều khiển thiết bị, hoặc PLC, bị rủi ro bị gây lây nhiễm.

Các quan chức Mỹ nói các tin tặc của Irna với chính phủ gắn cho vỉrú Shamoon mà đã phá hủy 30.000 máy tính của Saudi Arabian Oil Co. trong tháng 08. Một công ty gas tự nhiên Qatari được gọi là Rasgas cũng đã bị tấn công trong tháng 08. Virus Shamoon có khả năng là công việc của một cá nhân duy nhất đã thiếu sự phức tạp của các tin tặc do nhà nước tài trợ, theo một báo cáo trên Bloomberg.

Stuxnet, a sophisticated computer virus created by the United States and Israel, to spy on and attack Iran’s nuclear enrichment facilities in Natanz also infected Chevron ’s network in 2010, shortly after it escaped from its intended target.

Chevron found Stuxnet in its systems after the malware was first reported in July 2010, said Mark Koelmel, general manager of the earth sciences department at Chevron. “I don’t think the U.S. government even realized how far it had spread,” he told CIO Journal. “I think the downside of what they did is going to be far worse than what they actually accomplished,” he said.

Chevron was not adversely affected by Stuxnet, says Chevron spokesman Morgan Crinklaw. “We make every effort to protect our data systems from those types of threats,” he said.

Chevron’s experience with Stuxnet appears to be the result of the unintentional (and perhaps, inevitable) release of malware upon a larger network, much like an experimental virus escaping from a medical lab. But many companies are also being specifically targeted, sometimes by less sophisticated actors attempting to retaliate against perceived U.S. cyber-aggression. Although they have fewer resources behind them, those guerrilla campaigns are nonetheless capable of doing real, physical damage to targeted plants.

Chevron is the first U.S. company to acknowledge that its systems were infected by Stuxnet, although most security experts believe the vast majority of hacking incidents go unreported for reasons of security or to avoid embarrassment.  The devices used in industrial equipment and targeted by Stuxnet are made by huge companies, including Siemens (whose devices were in use at Iran’s facility). Millions of these devices have been sold around the world, so potentially every industrial company that uses these devices, called programmable logic controllers, or PLCs, are at risk of being infected.

U.S. officials blame Iranian hackers with government ties for the so-called Shamoon virus that destroyed data on 30,000 computers belonging to Saudi Arabian Oil Co. in August. A Qatari natural gas company called Rasgas was also attacked in August. The Shamoon virus is likely the work of a single individual who lacked the sophistication of state-sponsored hackers, according to a Bloomberg report.

Aramco nói hãng nhanh chóng phát hiện từ cuộc tấn công trong tháng 8, nhưng mong đợi nhiều cuộc tấn công hơn trong tương lai. Rasgas nói cuộc tấn công hồi tháng 8 đã không ảnh hưởng tới các hoạt động của nó.

“Mối lo thức sự là nhiều chúng tôi từng nói chuyện về một năm trước là thay vì ăn cắp thông tin, các tin tặc bây giờ có được sự kiểm soát của các hệ thống đích sao cho chúng có thể gây ra tác động động lực”, Ed Skoudis, một chuyên gia dạy các lớp an ninh không gian mạng tại SANS, một tổ chức huấn luyện các chuyên gia an ninh KGM và tiến hành nghiên cứu an ninh thông tin.

“Tất cả đã nói, virus Shamoon có lẽ từng là cuộc tấn công phá hoại nhất mà khu vực tư nhân đã thấy cho tới nay”, Bộ trưởng Quốc phòng Mỹ Leon Panetta trong bài diễn văn hôm 11/10 tại bữa tiệc của các Lãnh đạo Doanh nghiệp về An ninh Quốc gia, nói. Virus này là một ví dụ về sự leo thang mà đã xảy ra trong một phạm vi và tốc độ của các cuộc tấn công KGM trong vài tháng qua.

Các nhân viên có một sự hiểu biết sâu sắc về ANKGM và các hệ thống của công ty sựỉ bảo vệ duy nhất chống lại một virus như Stuxnet mà thường nhằm vào những chỗ bị tổn thương mà đã còn chưa được xác định bởi các nhà nghiên cứu an ninh hoặc được vá bởi nhà cung cấp phần mềm, Alan Paller, nhà sáng lập của SANS, nói. Những nhân viên đó cần hiểu phần mềm độc hại và các kỹ thuật như điều tra gói sâu sắc, và có một tri thức sâu của những gì giao thông mạng trông giống. “Có lẽ chỉ 18-20 người tại nước này có những kỹ năng cơ bản đó”, ông nói.

Việc nới lỏng các vũ khí KGM tiềm tàng chỉ ra vấn đề lớn hơn về đánh ngược lại, nơi mà “ai đó có thể giành lại được các tài sản độc hại, vặn vẹo nó và sử dụng nó”, Skoudis của SANS, nói. Ông nói các phần của mã nguồn Stuxnet đã được sử dụng lại rồi trong tội phạm KGM tài chính để ăn cắp các thẻ tín dụng và thông tin tài khoản ngân hàng rồi.

Nhận thức ngầm của các quan chức chính phủ Mỹ rằng họ đã tạo ra Stuxnet làm cho các công ty Mỹ trở thành một mục tiêu còn lớn hơn, Paller tại SANS. Ông nói các tin tặc mùa hè trước đã đi từ

việc ăn cắp thông tin tới sử dụng các cuộc tấn công KGM để gây ra sự phá huỷ. Stuxnet “đã mở ra hộp Pandora”, ông nói. “Bất kỳ sự kiềm chế nào có thể đang nắm giữ việc gây thiệt hại cho các cuộc tấn công tiến hoặc lùi”.

Cuối cùng, các công ty bị để lại để làm sạch thứ lộn xộn có liên quan tới các virus như Stuxnet. “Chúng tôi đang thấy nó trong các hệ thống của chúng tôi và vì thế cả các công ty khác nữa”, Koelmel của Chevron nói. “Vì thế chúng tôi phải làm việc với điều này”.

Aramco said it quickly recovered from the August attack, but expects more attacks in the future. Rasgas says the August attack had no impact on its operations.

“The real worry that a lot of us have been talking about for a year or so is that instead of just stealing information, [hackers are] gaining control of target systems so that they can cause kinetic impact,” said Ed Skoudis, an expert who teaches cybersecurity classes at SANS, an organization that trains cybersecurity experts and conducts information security research.

“All told, the Shamoon virus was probably the most destructive attack that the private sector has seen to date,” said U.S. Secretary of Defense Leon Panetta in an October 11 speech at a Business Executives for National Security dinner. The virus is an example of an escalation that has happened in the scale and speed of cyber attacks during the last few months.

Employees who have a deep understanding of cybersecurity and the company’s systems are the only defense against a virus like Stuxnet that often target vulnerabilities that haven’t yet been identified by security researchers or patched by the software vendor, says Alan Paller, founder of SANS. Those employees need to understand malware and techniques like deep packet inspection, and have a deep knowledge of what the network traffic should look like. “There are probably only 18-20 people in the country who have those fundamental skills,” he said.

Unleashing potent cyber weapons points to the larger problem of blowback, where “somebody could recover malware assets, tweak them and use them,” said SANS’ Skoudis. He said portions of the Stuxnet code have already been reused in financial cybercrime to steal credit cards and bank account information.

của Mỹ, nói rằng họ đã tạo ra Stuxnet làm cho các công ty Nga

The tacit acknowledgement by U.S. government officials that they created Stuxnet makes U.S. companies an even bigger target, said Paller at SANS. He says hackers last summer went from stealing information to using cyber attacks to cause destruction. Stuxnet “opened Pandora’s box,” he said. “Whatever restraint might have been holding damaging attacks back are gone.”

In the end, companies are left to clean up the mess associated with viruses such as Stuxnet. “We’re finding it in our systems and so are other companies,” said Chevron’s Koelmel. “So now we have to deal with this.”

Write to rachael.king@wsj.com

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com