Được nhận diện là một nguy cơ bảo mật bùng nổ vào tháng 6 năm 2010, sâu máy tính Stuxnet có cơ chế hoạt động cực kì phức tạp, rất nguy hiểm.
Hơn 4 năm trôi qua kể từ ngày phát hiện ra sâu máy tính Stuxnet khét tiếng và nguy hiểm (sâu máy tính được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính), vẫn còn nhiều bí ẩn xoay quanh câu chuyện này. Một câu hỏi lớn được đặt ra là: Mục tiêu hoạt động chính xác của Stuxnet là gì? Bây giờ, sau khi phân tích hơn 2.000 tập tin Stuxnet thu thập được trong khoảng thời gian hai năm, các nhà nghiên cứu của Kaspersky Lab có thể xác định nạn nhân đầu tiên của sâu độc hại này.
Ban đầu các nhà nghiên cứu bảo mật không hề nghi ngờ rằng toàn bộ cuộc tấn công đã có sẵn kịch bản để nhằm vào một mục tiêu cụ thể. Chuỗi mã của sâu Stuxnet có vẻ rất chuyên nghiệp và độc quyền, và cũng có bằng chứng cho thấy các lỗ hổng zero-day cực kỳ đắt tiền đã được sử dụng. Tuy nhiên, họ vẫn chưa biết được những loại hình tổ chức nào bị tấn công đầu tiên và làm thế nào các phần mềm độc hại có thể tấn công vào các máy ly tâm làm giàu uranium tại các cơ sở bí mật đặc biệt.
Phân tích mới lần này đã làm sáng tỏ các câu hỏi. Tất cả 5 tổ chức bị tấn công đang làm việc trong lĩnh vực ICS ở Iran, phát triển ICS hoặc cung cấp vật liệu và các bộ phận. Tổ chức thứ 5 bị tấn công là hấp dẫn nhất bởi vì bên cạnh việc sản xuất các sản phẩm tự động hóa công nghiệp, tổ chức này còn tạo ra máy ly tâm làm giàu uranium. Điều này đã xác định chính xác loại thiết bị được cho là mục tiêu của Stuxnet.
Rõ ràng, những kẻ tấn công hy vọng rằng các tổ chức này sẽ trao đổi dữ liệu với các khách hàng của họ - chẳng hạn như cơ sở làm giàu uranium - điều này sẽ giúp chúng cài được phần mềm độc hại vào bên trong các cơ sở mục tiêu. Kết quả cho thấy kế hoạch này của chúng đã thực sự thành công.
Các chuyên gia Kaspersky Lab đã thực hiện một khám phá thú vị: Sâu Stuxnet không chỉ lây nhiễm qua thẻ nhớ USB được cắm vào máy tính. Đó chỉ là giả thuyết ban đầu, và nó giải thích làm thế nào các phần mềm độc hại có thể lẻn vào một nơi không có kết nối Internet trực tiếp. Tuy nhiên, dữ liệu thu thập được khi phân tích các cuộc tấn công cho thấy mẫu sâu đầu tiên (Stuxnet.a) đã được biên soạn chỉ vài giờ trước khi nó xuất hiện trên một máy tính trong cuộc tấn công đầu tiên. Thời gian biểu chặt chẽ này làm cho chúng ta khó có thể tưởng tượng rằng một kẻ tấn công tạo ra mẫu và đặt nó trên một thẻ nhớ USB, cũng như phát tán nó đến tổ chức mục tiêu chỉ trong vài giờ. Đó là lý do để giả định rằng trong trường hợp này những người đứng sau Stuxnet sử dụng các kỹ thuật khác thay vì lây nhiễm qua USB.
Để tìm hiểu thêm, bạn có thể xem các bài viết trên securelist.com.
HỒNG HẠNH
Đăng nhận xét