• Thứ Hai, 19/07/2010 10:27 (GMT+7)

    Virus mới nhắm tới bí mật công nghiệp

    PHT
    Tấn công trục lợi của tin tặc đang có một hình thái mới. Đó là cách khai thác bí mật công nghiệp của loại virus mới mà Siemens vừa đưa ra lời cảnh báo.

    Siemens đang cảnh báo khách hàng về một loại virus mới, hoạt động rất tinh vi mà mục tiêu của chúng là các máy tính được sử dụng để quản lý các hệ thống điều khiển công nghiệp có quy mô lớn ở trong các nhà máy sản xuất công nghiệp hay các công ty dịch vụ công cộng (cung cấp điện năng, nước…).

    Siemens đã nghiên cứu vấn đề từ ngày 14/7/2010, phát ngôn viên mảng Siemens công nghiệp, ông Michael Krampe, cho biết trong một e-mail gửi hôm thứ Sáu tuần trước. "Công ty đã nhanh chóng tập hợp một đội chuyên gia để đánh giá tình hình. Siemens đang thực hiện tất cả các biện pháp phòng ngừa cảnh báo tới các khách hàng của mình về những rủi ro tiềm năng của loại virus này", ông nói.

    Các chuyên gia bảo mật tin rằng loại virus mới xuất hiện này thực sự nguy hiểm, điều mà họ đã lo lắng trong nhiều năm qua. Đó là phần mềm độc hại được thiết kế để xâm nhập vào các hệ thống vận hành thiết bị trong các nhà máy và các bộ phận của cơ sở hạ tầng quan trọng.

    Một số người lo ngại rằng loại virus này có thể được sử dụng để điều khiển các hệ thống nhằm gây trở ngại các hoạt động và không loại trừ việc gây ra một tai nạn lớn. Nhưng các chuyên gia cho biết những phân tích đoạn mã độc ban đầu của cho thấy nó có lẽ được thiết kế để ăn cắp bí mật từ các nhà máy sản xuất và các thiết bị công nghiệp khác.

    "Có tất cả các dấu hiệu nhận biết của phần mềm do thám, thu thập thông tin", ông Jake Brodsky, chuyên viên CNTT làm việc trong một công ty dịch vụ công cộng lớn (xin được dấu tên) đã nhận xét.

    Nhiều chuyên gia bảo mật hệ thống công nghiệp cũng có đồng quan điểm khi nói rằng các phần mềm độc hại đã được viết bởi một kẻ tấn công tinh vi và kiên định. Phần mềm không khai thác lỗi trong hệ thống Siemens mà sử dụng một lỗi chưa được biết tới trong Windows để đột nhập vào hệ thống.

    Virus nhắm tới phần mềm quản lý Siemens có tên gọi Simatic WinCC. Phần mềm này chạy trên hệ điều hành Windows.

    "Siemens đang liên hệ với bộ phận bán hàng và cũng sẽ trao đổi trực tiếp với khách hàng của mình để giải thích chi tiết sự việc", Krampe nói. "Chúng tôi đang thúc giục khách hàng chủ động kiểm tra các hệ thống máy tính của họ đang chạy WinCC và sử dụng các phiên bản cập nhật của phần mềm chống virus, cảnh giác hơn về an toàn CNTT trong các môi trường sản xuất của họ".

    Hôm thứ Sáu vừa rồi, Microsoft đã đưa ra một bản tin an ninh cảnh báo về vấn đề này, nói rằng nó ảnh hưởng đến tất cả các phiên bản của Windows, bao gồm cả HĐH Windows 7 mới nhất. Công ty đã nhìn thấy lỗi bị các cuộc tấn công khai thác nhắm tới mục tiêu giới hạn, Microsoft cho biết.

    Các hệ thống chạy phần mềm Siemens, được gọi là hệ thống SCADA (giám sát điều khiển và thu thập xử lý dữ liệu theo thời gian thực – dùng trong các hệ thống tự động hóa), thường không kết nối với Internet vì các lý do an ninh, nhưng virus này lây lan khi một thanh USB đang bị nhiễm (virus) được cắm vào một máy tính.

    Frank Boldewin, một chuyên gia người Đức đã nghiên cứu đoạn mã độc này, trả lời một cuộc phỏng vấn qua e-mail cho biết, một khi thiết bị USB bị nhiễm được cắm vào máy tính, virus quét hệ thống và tự sao chép chính nó vào bất kỳ thiết bị USB nào mà nó tìm thấy. Nếu phát hiện phần mềm WinCC của Siemens, nó ngay lập tức cố gắng đăng nhập bằng một mật khẩu mặc định.

    Kỹ thuật này rất dễ thành công do hệ thống SCADA thường bị cấu hình với mật khẩu mặc định không thay đổi, Boldewin nói.

    Virus được phát hiện vào tháng trước bởi các nhà nghiên cứu ở VirusBlokAda, một công ty chống virus ít được biết đến có trụ sở tại Belarus, và được báo cáo hôm 15/7/2010 bởi blogger bảo mật Brian Krebs.

    Kỹ thuật an nình được áp dụng trong các các môi trường SCADA chạy trên các hệ thống Windows thường là yêu cầu xác thực chữ ký số. Virus đã sử dụng một chữ ký số được gán cho nhà sản xuất bán dẫn Realtek (Realtek Semiconductor). Virus này được kích hoạt bất cứ lúc nào nạn nhân mở xem nội dung của thanh USB.

    Đến giờ vẫn chưa rõ làm thế nào mà các tác giả của loại virus này đã có thể đăng nhập mã của mình với chữ ký số của Realtek, nhưng nó có thể cho thấy khóa mã của Realtek đã bị giảm giá trị. Nhà sản xuất bán dẫn Đài Loan vẫn chưa đưa ra bình luận về vấn đề này.

    Trong nhiều trường hợp, virus bắt chước hình thức tấn công mà các nhà nghiên cứu bảo mật, như Wesley McGrew (người sáng lập McGrew Security và là một nhà nghiên cứu tại Đại học bang Mississippi), đã phát triển trong các phòng thí nghiệm trong nhiều năm. Các hệ thống đó là mục tiêu hấp dẫn đối với kẻ tấn công vì chúng có thể cung cấp một kho tàng thông tin về các nhà máy hoặc dịch vụ công cộng nơi mà chúng được sử dụng.

    Theo McGrew, dường như tác giả phần mềm virus này muốn đột nhập vào máy tính càng nhiều càng tốt, hơn là một mục tiêu cụ thể, và đang cố gắng khai thác thật nhiều các hệ thống quản lý SCADA phổ biến như Wonderware hoặc RSLogix.

    Theo các chuyên gia, mục đích kiếm tiền có thể là lý do khiến ai đó muốn phá vỡ một hệ thống SCADA. Có thể tống tiền từ việc khống chế một hệ thống SCADA, hoặc sử dụng thông tin đánh cắp được từ một hệ thống WinCC của nhà sản xuất để làm giả sản phẩm.

    Nguồn: IDG News Service, 17/7/2010