Lộ diện nạn nhân đầu tiên của sâu máy tính Stuxnet khét tiếng

Được nhận diện là một nguy cơ bảo mật bùng nổ vào tháng 6/2010, sâu máy tính Stuxnet có cơ chế hoạt động cực kì phức tạp, rất nguy hiểm. Stuxnet đã gây nên một mối lo ngại rất lớn đó là giờ đây chúng có thể được sử dụng để phá hoại sản xuất chứ không chỉ dùng cho mục đích thăm dò hay đánh cắp thông tin nữa. 

Đã xác định chính xác loại thiết bị được cho là mục tiêu của Stuxnet.Đã xác định chính xác loại thiết bị được cho là mục tiêu của Stuxnet.

Hơn 4 năm trôi qua kể từ ngày phát hiện ra sâu máy tính Stuxnet khét tiếng và nguy hiểm (sâu máy tính được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính), vẫn còn nhiều bí ẩn xoay quanh câu chuyện này. Một câu hỏi lớn được đặt ra là: Mục tiêu hoạt động chính xác của Stuxnet là gì? Sau khi phân tích hơn 2.000 tập tin Stuxnet thu thập được trong khoảng thời gian hai năm, các nhà nghiên cứu của Kaspersky Lab có thể xác định nạn nhân đầu tiên của sâu độc hại này.

Ban đầu các nhà nghiên cứu bảo mật không hề nghi ngờ rằng toàn bộ cuộc tấn công đã có sẵn kịch bản để nhằm vào một mục tiêu cụ thể. Chuỗi mã của sâu Stuxnet có vẻ rất chuyên nghiệp và độc quyền, và cũng có bằng chứng cho thấy các lỗ hổng zero-day cực kỳ đắt tiền đã được sử dụng. Tuy nhiên, họ vẫn chưa biết được những loại hình tổ chức nào bị tấn công đầu tiên và làm thế nào các phần mềm độc hại có thể tấn công vào các máy ly tâm làm giàu uranium tại các cơ sở bí mật đặc biệt.

Phân tích mới lần này đã làm sáng tỏ các câu hỏi trên. Tất cả 5 tổ chức bị tấn công đang làm việc trong lĩnh vực ICS ở Iran, phát triển ICS hoặc cung cấp vật liệu và các bộ phận. Tổ chức thứ 5 bị tấn công là hấp dẫn nhất bởi vì bên cạnh việc sản xuất các sản phẩm tự động hóa công nghiệp, tổ chức này còn tạo ra máy ly tâm làm giàu uranium. Điều này đã xác định chính xác loại thiết bị được cho là mục tiêu của Stuxnet.

Rõ ràng, những kẻ tấn công hy vọng rằng các tổ chức này sẽ trao đổi dữ liệu với các khách hàng của họ, chẳng hạn như cơ sở làm giàu uranium - điều này sẽ giúp chúng cài được phần mềm độc hại vào bên trong các cơ sở mục tiêu. Kết quả cho thấy kế hoạch này của chúng đã thực sự thành công.

Việc phân tích các hoạt động chuyên nghiệp của các tổ chức là nạn nhân đầu tiên của Stuxnet cho chúng ta một sự hiểu biết tốt hơn về cách mà toàn bộ các hoạt động đã được lên kế hoạch. Giống như một vector tấn công các dây chuyền cung ứng, nơi mà phần mềm độc hại phát tán đến tổ chức mục tiêu một cách gián tiếp thông qua mạng lưới các đối tác có thể làm việc với tổ chức đó”, Alexander Gostev, trưởng nhóm chuyên gia bảo mật tại Kaspersky Lab chia sẻ.

Các chuyên gia Kaspersky Lab đã thực hiện một khám phá thú vị: Sâu Stuxnet không chỉ lây nhiễm qua thẻ nhớ USB được cắm vào máy tính. Đó chỉ là giả thuyết ban đầu, và nó giải thích làm thế nào các phần mềm độc hại có thể “lẻn” vào một nơi không có kết nối Internet trực tiếp. Tuy nhiên, dữ liệu thu thập được khi phân tích các cuộc tấn công cho thấy mẫu sâu đầu tiên (Stuxnet.a) đã được biên soạn chỉ vài giờ trước khi nó xuất hiện trên một máy tính trong cuộc tấn công đầu tiên. Thời gian biểu chặt chẽ này làm cho chúng ta khó có thể tưởng tượng rằng một kẻ tấn công tạo ra mẫu và đặt nó trên một thẻ nhớ USB, cũng như phát tán nó đến tổ chức mục tiêu chỉ trong vài giờ. Đó là lý do để giả định rằng trong trường hợp này những người đứng sau Stuxnet sử dụng các kỹ thuật khác thay vì lây nhiễm qua USB...

(GN)