• Thứ Tư, 03/07/2013 08:15 (GMT+7)

    Giải mã Stuxnet, siêu vũ khí trên không gian mạng

    ThaiPH
    (PCWorldVN) Nhiều mối nghi ngờ tập trung vào Mỹ và Israel đã đứng đằng sau Stuxnet và sử dụng malware này để ngăn chặn chương trình hạt nhân của Iran. Có những bí mật không bao giờ được giải mã, nhưng hành tung bí ẩn của Stuxnet đã bị các chuyên gia bảo mật lật tẩy.

    Tháng 6/2010, những ghi nhận cho thấy bùng nổ các mối đe dọa địa chính trị. Stuxnet, một loại sâu máy tính mới đã lây nhiễm vào ít nhất 14 địa điểm công nghiệp ở Iran, bao gồm một nhà máy làm giàu uranium nằm trong chương trình hạt nhân của quốc gia Hồi giáo này. Virus máy tính thường do nạn nhân vô tình cài đặt vào máy của họ, nhưng sâu (worm) nguy hiểm ở chỗ tự lây lan trên mạng máy tính.

    Sâu này là một phần mềm độc hại hiểm chưa từng thấy, có cách thức tấn công chia thành ba giai đoạn. Đầu tiên, nó nhắm mục tiêu vào những máy chạy Microsoft Windows và liên tục nhân bản qua mạng. Sau đó, nó tìm kiếm phần mềm Siemens Simatic WinCC Step7, thường gọi ngắn gọn là Step7, chạy trên nền Windows, được sử dụng trong các hệ thống điều khiển công nghiệp để vận hành thiết bị, chẳng hạn như máy ly tâm. Cuối cùng, nó làm hỏng bộ điều khiển logic lập trình (PLC). Sâu không chỉ giúp chủ nhân do thám các  hệ thống công nghiệp mà thậm chí làm các máy ly tâm quay nhanh dẫn đến bị phá hỏng, trong khi những người vận hành không thể nhận biết. (Iran chưa hề công bố số liệu về những máy ly tâm làm giàu uranium vận hành trong chương trình hạt nhân của nước này bị Stuxnet phá hỏng).

    Stuxnet có thể lây lan ngấm ngầm giữa các máy tính chạy Windows ngay cả với những máy không có kết nối Internet. Một thanh USB được cắm vào máy tính bị nhiễm Stuxnet sẽ dính ngay mã độc này, sau đó lây nhiễm vào máy khác khi thanh USB được cắm vào. Do ít ai để ý máy tính bị nhiễm theo cách thức này nên sâu có cơ hội lây nhanh trên mạng nội bộ LAN, các chuyên gia còn lo ngại rằng phần mềm độc hại này có thể đã lan rộng ra trên toàn thế giới.

    Mặc dù các tác giả của Stuxnet chưa bị vạch mặt, nhưng kích thước lớn (500 KB) và sự tinh vi của sâu đã khiến các chuyên gia tin rằng nó chỉ có thể được tạo ra với sự tài trợ của một chính phủ nào đó, và mọi nghi ngờ đều hướng tới Mỹ và Israel. Kể từ khi phát hiện ra Stuxnet, các kỹ sư bảo mật máy tính còn phải đương đầu với những phần mềm hiểm độc khác như Duqu, Flame, và Gauss, cho thấy cuộc tấn công dữ dội bằng vũ khí kỹ thuật số tinh vi đã được khởi xướng và không có dấu hiệu suy giảm. Kịch bản giả tưởng ngày tận thế, trước âm mưu đánh sập các mạng máy tính của một nhóm tin tặc trong phim bom tấn “Live Free or Die Hard”, nay đang có nguy cơ thành hiện thức.

    Stuxnet lộ diện

    Mọi sự bắt đầu vào ngày 17/6/2010, Sergey Ulasen, trưởng một nhóm chống virus tại công ty bảo mật VirusBlokAda có trụ sở tại Minsk (cộng hòa Belarus) nhận được email phàn nàn từ một khách hàng ở Iran về việc có một máy tính bị khởi động lại liên tục, bất chấp mọi nỗ lực can thiệp. Dường như máy đã dính virus.

    So với những tên tuổi lớn như Symantec, McAfee và Kaspersky, VirusBlokAda chỉ là một cái tên mờ nhạt, ít được biết đến trong lĩnh vực bảo mật - một ngành công nghiệp có giá trị hàng tỷ USD trong thập kỷ qua, đang phát triển nhanh chóng vào thời bùng nổ những vụ đột nhập đình đám, phá hoại tinh vi của các loại virus, Trojan và phần mềm gián điệp. Nhưng điều đó đã thay đổi nhanh chóng.

    Các chuyên gia bảo mật của VirusBlokAda đã phát hiện ra virus lợi dụng lỗ hổng zero-day để thâm nhập vào máy khách hàng. Zero-day là thuật ngữ dùng để chỉ những lỗi bảo mật của hệ thống chưa được công bố hoặc có bản vá, bị tin tặc lợi dụng khai thác tấn công. Trong trường hợp này, lỗi nguy hiểm nằm ở các tập tin LNK (tập tin shortcut) của Windows, cho phép virus lây lan qua các máy với cầu nối là thanh nhớ USB. Nhược điểm nằm ở cơ chế quản lý tập tin của Windows Explorer đã bị khai thác. Khi một thanh USB nhiễm mã độc được cắm vào máy, Windows Explorer tự động quét nội dung trên đó, và mã độc nhờ vậy được kích hoạt, âm thầm cài vào máy một tập tin lớn đã được mã hóa và chia nhỏ ra. Cách thức y như máy bay quân sự thả lính dù đã được ngụy trang cẩn thận xuống khu vực mục tiêu.

    VirusBlockAda đã thông báo cho Microsoft về lỗi bảo mật này vào ngày 12/7, và Microsoft đặt tên Stuxnet cho mã độc, kết hợp từ những tên tập tin .stub và MrxNet.sys được tìm thấy trong mã nguồn. Ba ngày sau, Stuxnet được biết đến rộng rãi khi blogger bảo mật Brian Krebs đăng tải câu chuyện. Các công ty bảo mật trên toàn thế giới vội vã tranh giành những mẫu có được và lao vào giải mã Stuxnet. Dường như mã độc đã được tung ra khoảng một năm trước, vào tháng 6/2009, và tác giả thiên tài đã cập nhật và sửa đổi nó vài lần, phát hành ra 3 phiên bản khác nhau. Giới bảo mật ban đầu không nhận thấy “tham vọng” của Stuxnet. Các chuyên gia phát hiện Stuxnet được thiết kế nhằm vào phần mềm Step7 của Siemens. Tập đoàn nổi tiếng của Đức dùng Step7 để điều khiển các động cơ, van, các bộ chuyển mạch trong rất nhiều hệ thống điều khiển công nghiệp, từ các nhà máy sản xuất thức ăn, dây chuyền lắp ráp ô tô cho tới những đường ống dẫn khí và trong những nhà máy xử lý nước. Stuxnet trông có vẻ chỉ là một trường hợp của gián điệp công nghiệp, chuyên đánh cắp dữ liệu thiết kế hệ thống của một nhà máy phục vụ cho đối thủ cạnh tranh làm giả sản phẩm.

    Mã độc phức tạp chưa từng thấy

    Tổng thống Iran Mahmoud Ahmadinejad quan sát màn hình máy tính tại nhà máy làm giàu uranium Natanz ở miền trung Iran, nơi được cho là Stuxnet đã lây nhiễm vào các máy tính điều khiển, làm hỏng các máy ly tâm.
    Nhưng rồi các chuyên gia bảo mật phát hiện ra điều đáng sợ là mã độc đã dùng chứng chỉ số (digital certificate) đánh cắp từ hai nhà sản xuất phần cứng Realtek Semiconductor và JMicron Technology, đều của Đài Loan, để đánh lừa hệ thống tin rằng đây là chương trình đáng tin cậy. Thủ đoạn qua mặt các công cụ phát hiện tự động bằng chứng chỉ số giả mạo cực kỳ nguy hiểm, lần đầu tiên đã được ghi nhận với Stuxnet. “Chúng ta hiếm thấy những hành động mang tính chuyên nghiệp như vậy”, ESET, công ty bảo mật phát hiện một trong hai chứng chỉ bị giả mạo, viết trên blog của họ. “Nó cho thấy những kẻ tấn công có nguồn tài nguyên phong phú”. Các chuyên gia bảo mật bắt đầu chia sẻ những phát hiện của họ qua email và trên các diễn đàn chuyên về bảo mật, như vẫn thường thấy khi có điều gì đó bất thường xảy ra trong lĩnh vực bảo mật. “Đó là điều hiếm có giữa các đối thủ cạnh tranh trong những lĩnh vực IT khác”, Mikko H. Hypponen, Giám đốc nghiên cứu của hãng bảo mật F-Secure (Phần Lan) cho biết.

    Để nghiên cứu mục tiêu nhắm tới của Stuxnet, các chuyên gia bảo mật bắt đầu dịch ngược chương trình thực thi, đào bới từng đoạn mã và lần tìm các manh mối.

    Roel Schouwenberg, chuyên gia bảo mật cao cấp của Kaspersky Lab cho biết, đã sửng sốt khi nhận ra Stuxnet không chỉ khai thác một mà tới bốn lỗ hổng zero-day chưa ai từng biết. Ngoài lỗ hổng với những tập tin LNK, cơ chế chia sẻ máy in trong Windows cũng bị Stuxnet lợi dụng để lây lan sang các máy tính khác dùng chung máy in. Hai lỗ hổng khác thực hiện nâp cấp quyền, bị khai thác để gán những quyền ở cấp hệ thống ngay cả khi các máy đã được thiết lập phân cấp quyền nghiêm ngặt.

    Trong khi đó, tại Symantec, nhà quản lý bảo mật dày kinh nghiệm Liam O Murchu, ngay khi bắt đầu nghiên cứu, nhận thấy Stuxnet phức tạp hơn ông tưởng. Mã độc có dung lượng khá lớn, khoảng 500 KB, trong khi bình thường chỉ từ 10 đến 15 KB, đòi hỏi hết sức kiên trì, kiểm tra tỉ mỉ mới phát hiện ra thủ đoạn tấn công lỗi zero-day đã được đánh lạc hướng qua nhiều công đoạn. Stuxnet gồm nhiều thành phần, được lưu ở nhiều nơi để dễ thay đổi chức năng và sửa đổi khi cần. Điều thú vị nhất O Murchu nhìn thấy là cách mà mã độc này che giấu hành tung. Mỗi khi nhiễm vào máy tính có cài đặt Step7, Stuxnet giải mã và nạp tập tin thư viện động (DLL) độc hại vào bộ nhớ, giả dạng là tập tin DLL hợp pháp phục vụ cho Step7. Sau đó nó sửa lại giao diện lập trình Windows API để mỗi khi một chương trình nạp chức năng từ thư viện có tên như trên thì nó sẽ kích hoạt Stuxnet từ bộ nhớ thay vì từ ổ cứng. Bằng cách đó, Stuxnet không hiện diện một cách chính thức trong ổ cứng, và gần như không thể bị phát hiện.

    Xem tiếp : 12>
    ID: A1305_5