Symantec: We finally understand Stuxnet
15 November 2010, 12:36
Theo: http://www.h-online.com/security/news/item/Symantec-We-finally-understand-Stuxnet-1136249.html
Bài được đưa lên Internet ngày: 15/11/2010
Lời người dịch: Từ năm 2009, James A. Lewis, người từng viết những cuốn sách về chiến tranh không gian mạng, người là lãnh đạo của Trung tâm về các Nghiên cứu Quốc tế và Chiến lược của Mỹ dự đoán rằng cuộc chiến tranh không gian mạng có thể chuyển từ gián điệp thông tin sang phá hoại trong vòng từ 3-8 năm. Tuy nhiên, sự kiện mà hãng an ninh Symantec vừa phát hiện ra rằng sâu “Stuxnet được cho là phá hoại qui trình kiểm soát công nghiệp mà các động cơ được sử dụng” trong các bộ chuyển tốc tại các nhà máy hạt nhân tại Iran có lẽ đã truyền đi một thông điệp rằng sự phá hoại đó đã tới ngay lúc này, bây giờ, chứ không còn nằm ở thì tương lai nữa.
Hãng an ninh Symantec nói hãng đã phát hiện ra rằng sâu Stuxnet đã nhằm vào các động cơ đặc biệt được sử dụng, ví dụ, trong các qui trình làm giàu uranium. Với sự hỗ trợ của một chuyên gia người Hà Lan tại Profibus, Symantec nói, trên một bài viết blog, rằng hãng bây giờ đã có thể hiểu được hoàn toàn mục đích của mã nguồn Stuxnet. Có lẽ là, Stuxnet được thiết kế để điều khiển các bộ chuyển tốc mà xác định tốc độ của động cơ.
Những phát hiện của Symantec chỉ ra rằng Stuxnet đã nhằm vào các nhà máy công nghiệp với một sự kết hợp đặc biệt của các thành phần các đặc điểm: máy tính đích phải có dạng S7-300 CPU và được thiết kế để kiểm soát tới 6 dạng module giao tiếp CP-342-5 Profibus mà chúng có thể mỗi cái kết nối tới 31 bộ chuyển tốc. Symantec nói Stuxnet chỉ tấn công các bộ chuyển tốc nào mà được làm từ 2 nhà cung cấp cụ thể, một tại Phần Lan và một tại thủ đô Tehran của Iran. Phần mềm độc hại được cho là yêu cầu các bộ chuyển tốc phải hoạt động giữa các tần số 807 Hz và 1210 Hz. Bằng việc thay đổi tần số đầu ra, và với tốc độ làm việc của nó, của các động cơ trong một khoảng thời gian ngắn trong các giai đoạn dài hàng tháng, Stuxnet được cho là phá hoại qui trình kiểm soát công nghiệp mà các động cơ được sử dụng.
Symantec nói rằng các kết quả của phân tích làm giảm óố lượng các mục tiêu tiềm tàng của Stuxnet tới chỉ một số ít. Theo hãng an ninh này, sự tập trung của phần mềm độc hại vào các mẫu điều tốc của chỉ 2 nhà cung cấp và các tần số đầu ra rất lớn đang xác định các đặc tính. Symantec chỉ ra rằng, tại Mỹ, xuất khẩu các sản phẩm mà có thể có đầu ra hơn 600 Hz được điều tiết theo Ủy ban Điều phối Hạt nhân của Mỹ, vì những sản phẩm này có thể được cho là được sử dụng để làm giàu uranium. “Chúng tôi không phải là các chuyên gia trong các hệ thống kiểm soát công nghiệp”, Symantec nói, “nhưng ví dụ, một dây chuyền trong một trang thiết bị đóng gói lẻ hình như là mục tiêu”. Symantec đã bổ sung thêm rằng hãng có lẽ có quan tâm trong cuộc điều trần xem những ứng dụng nào khác sử dụng bộ chuyển tốc ở các tần số như vậy.
Security firm Symantec says it has discovered that the Stuxnet worm targeted specific motors used, for instance, in uranium enrichment processes. With the support of a Dutch Profibus expert, Symantec says, in a blog posting, that it has now managed to fully interpret the purpose of the Stuxnet code. Apparently, Stuxnet is designed to manipulate frequency converters which determine motor speed.
Symantec's findings indicate that Stuxnet targeted industrial plants with a specific combination of components and characteristics: The target computer must have a type S7-300 CPU and is designed to control up to six type CP-342-5 Profibus communications modules that can each connect to up to 31 frequency converters. Symantec said Stuxnet only attacks converter drives made by two specific vendors, one in Finland and the other in the Iranian capital of Tehran. The malware reportedly requires the frequency converter drives to be operating between 807 Hz and 1210 Hz. By changing the output frequency, and with it the working speed, of the motors for short intervals over periods of months, Stuxnet reportedly sabotages the industrial control process the motors are used for.
Symantec says that the results of the analysis reduce the number of potential Stuxnet targets to only a few. According to the security firm, the malware's focus on converter models by two specific vendors and the very high output frequencies are defining characteristics. Symantec points out that, in the United States, the export of products that can output over 600 Hz is regulated by the US Nuclear Regulatory Commission, as these products can reportedly be used for uranium enrichment. "We are not experts in industrial control systems," Symantec said, "but for example, a conveyor belt in a retail packaging facility is unlikely to be the target." Symantec added that it would be interested in hearing what other applications use frequency converter drives at these frequencies.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.