• Thứ Hai, 26/07/2010 10:15 (GMT+7)

    Sâu Stuxnet: gián điệp công nghiệp chưa được “hóa giải”

    PHT
    Các máy tính ở Iran chiếm tới 60% hệ thống bị nhiễm sâu Stuxnet, một loại virus mới rất nguy hiểm đang cố gắng ăn cắp thông tin từ các hệ thống điều khiển công nghiệp.

    Theo số liệu thu thập bởi Symantec, gần 60% hệ thống bị nhiễm loại virus mới, có tên sâu Stuxnet, được đặt tại Iran. Indonesia và Ấn Độ cũng là những nước bị tấn công mạnh mẽ bởi phần mềm độc hại này. Nhìn vào ngày trên chữ ký số được tạo ra bởi sâu này, phần mềm độc hại có thể đã được phát tán từ lâu, vào khoảng tháng Giêng, Elias Levy, giám đốc kỹ thuật cấp cao của Symantec Security Response cho biết.

    Stuxnet được phát hiện vào tháng trước bởi VirusBlokAda, một công ty phòng chống virus, chưa nổi tiếng, có trụ sở tại nước Cộng hòa Belarus. Công ty này cho biết, họ họ tìm thấy phần mềm trên hệ thống của một khách hàng ở Iran. Sâu này dò tìm các hệ thống quản lý Siemens SCADA (giám sát điều khiển và thu thập xử lý dữ liệu), được sử dụng trong các nhà máy sản xuất lớn và công ty dịch vụ công cộng, và cố gắng để tải lên Internet những bí mật công nghiệp.

    Symantec không chắc chắn lý do tại sao Iran và vài nước khác được báo cáo bị lây nhiễm quá nhiều. "Hầu như chúng tôi có thể khẳng định ai đó phát triển các mối đe dọa đặc biệt này đã và đang nhắm mục tiêu vào các công ty ở những vùng địa lý đó", Levy nói.

    Mỹ đang siết chặt lệnh cấm vận thương mại dài hạn đối với Iran để áp đặt biện pháp khống chế chương trình phát triển hạt nhân của nước này. "Mặc dù Iran có lẽ là một trong những nước nhiễm loại sâu này nhiều nhất, đây cũng là nơi không có nhiều chương trình phòng chống virus", Levy nói.

    Siemens không cho biết có bao nhiêu khách hàng ở Iran, nhưng nói rằng hiện đã có 2 công ty của Đức bị nhiễm virus. Một chương trình quét virus miễn phí mới được Siemens đưa lên Internet vào hôm thứ Hai đã được tải về 1.500 lần, một phát ngôn viên của công ty cho biết. Trong một thông báo bằng e-mail hôm thứ Hai tuần trước, Siemens khuyên khách hàng “đừng đổi mật khẩu”, vì những thiết lập lại có thể gây ảnh hưởng tới hoạt động của nhà máy đang được điều khiển bởi hệ thống SCADA của công ty.

    Đầu năm nay, Siemens cho biết kế hoạch giảm dần hoạt động tại Iran, với 290 nhân viên đem về thu nhập ròng 562,9 triệu USD trong năm 2008, theo Thời báo Phố Wall (Wall Street Journal). Những lời lẽ chỉ trích nói hoạt động của công ty ở đó đã giúp cho nỗ lực phát triển hạt nhân của Iran.

    Symantec xác định sâu Stuxnet liên hệ với các máy chủ điều khiển từ xa, và cuối tuần qua đã phát hiện các tên miền được trỏ tới một máy chủ cho thuê đặt ở Malaysia. Ngay sau đó công ty đã chuyển hướng lưu lượng dữ liệu phát ra từ các máy chủ từ xa này, để điều khiển các máy bị nhiễm, tới các máy tính của chính họ. Dữ liệu thu thập trong vòng ba ngày của tuần này cho thấy các máy tính đặt tại 14.000 địa chỉ IP đã cố gắng để kết nối với máy chủ điều khiển từ xa. Điều này chỉ ra rằng một số lượng rất nhỏ các máy tính trên toàn thế giới đã bị ảnh hưởng bởi sâu Stuxnet. Số lượng thực tế các máy bị nhiễm có lẽ trong khoảng từ 15.000 đến 20.000, bởi vì nhiều công ty sử dụng mạng các máy tính dùng chung địa chỉ IP kết nối ra ngoài, theo Levy của Symantec.

    Bởi vì Symantec có thể thấy địa chỉ IP được sử dụng bởi các máy cố gắng kết nối với máy chủ điều khiển từ xa nên có thể cho biết các công ty đã bị nhiễm virus. "Không lấy làm ngạc nhiên, các máy bị nhiễm từ một loạt các tổ chức có thể sử dụng phần mềm và hệ thống SCADA rõ ràng đang là mục tiêu của những kẻ tấn công", công ty cho biết trong bài viết trên blog của mình hôm thứ Năm.

    Tỷ lệ (%) nhiễm W32.Stuxnet theo quốc gia. Nguồn: Symantec.

    Stuxnet lây lan qua các thiết bị USB. Khi một thanh USB bị nhiễm được mở để xem trên một máy Windows, mã độc được kích hoạt và bắt đầu tìm kiếm hệ thống Siemens và sao chép chính nó vào bất kỳ thiết bị USB nào khác mà nó thấy. Một cách xử lý tạm thời lỗ hổng trong Windows cho phép Stuxnet lan rộng có thể được tìm thấy ở đây.

    Từ khóa: Siemens, Stuxnet
    Nguồn: IDG News, 23/7/2010