Lần đầu tiên kể từ khi sâu (worm) Stuxnet bị phát hiện vào năm 2010, các nhà nghiên cứu đã công khai danh tính các nạn nhân ban đầu của nó. Đó là 5 công ty hoạt động trong lĩnh vực tự động hóa công nghiệp của Iran.
Stuxnet, siêu vũ khí mạng đầu tiên, được cho là do Mỹ và Israel đặt hàng, tạo ra để tấn công gây trở ngại cho chương trình hạt nhân của Iran.
Sâu Stuxnet có cả chức năng hoạt động gián điệp và phá hoại.
4 năm trước, theo ước tính, sâu này đã làm hỏng tới 1.000 máy li tâm làm giàu uranium tại một cơ sở hạt nhân gần thành phố Natanz của Iran. Sâu lan rộng dần, vượt ngoài tầm kiểm soát và lây nhiễm hàng trăm ngàn máy tính trên toàn thế giới, dẫn đến bị phát hiện vào tháng 6/2010.
Hôm thứ Ba (11/11), các nhà nghiên cứu bảo mật từ Kaspersky Lab và Symantec đã công bố các cơ sở hạt nhân ở Natanz có thể là mục tiêu của kẻ tạo ra Stuxnet, và các nạn nhân ban đầu là 5 công ty của Iran dường như có mối quan hệ với chương trình phát triển hạt nhân của nước này.
Công bố của các chuyên gia bảo mật trùng với ngày phát hành cuốn sách “Countdown to Zero Day” của nữ nhà báo Kim Zetter viết về Stuxnet, sau một loạt các cuộc phỏng vấn với các nhà nghiên cứu đã theo dõi vụ này.
Không giống như vi rút thường do nạn nhân vô tình cài vào máy của họ, sâu máy tính nguy hiểm ở chỗ tự lây lan. Theo các chuyên gia bảo mật thì hành tung của sâu Stuxnet bí hiểm chưa từng thấy.
Mỗi lần Stuxnet phát tác trên một máy tính, nó lưu thông tin máy vào ngay chính tập tin thực thi độc hại. Đây là những thông tin về cấu hình mạng, bao gồm: tên máy tính (computer name), địa chỉ IP của máy, và tên nhóm (workgroup) hoặc tên miền (domain) mà máy tham gia vào. Khi sâu lây nhiễm sang một máy tính mới nó lại thêm thông tin thu thập như vậy vào tập tin chính của nó, kéo thành vệt dài lưu dấu những máy đã lây nhiễm.
Trong một bài viết đăng trên blog hôm 11/11, chuyên gia bảo mật Liam O Murchu của Symantec cho biết qua phân tích các tập tin log ghi lại dấu vết, nhận thấy mọi mẫu Stuxnet mà họ có được đều khởi nguồn từ bên ngoài Natanz.
Cùng nhận định như vậy, Kim Zetter tuyên bố từ mọi mẫu Stuxnet có thể truy ngược lại các công ty cụ thể liên quan đến các công việc dạng các hệ thống điều khiển công nghiệp. Bằng chứng kĩ thuật này cho thấy rằng Stuxnet không xuất phát từ Natanz để lây nhiễm các công ty bên ngoài mà thay vào đó lây lan từ ngoài vào Natanz.
Các chuyên gia bảo mật của Kaspersky Lab cũng có kết luận tương tự, thậm chí họ còn đặt tên cho những công ty mà họ tin là cầu nối lây nhiễm là “bệnh nhân số không” (tức bệnh nhân đầu tiên theo cách gọi của giới chuyên môn).
Phiên bản 2009 của Stuxnet, gọi là Stuxnet.a, được biên dịch vào ngày 22/6/2009, dựa vào ngày tìm thấy trong các mẫu thu thập được. Chỉ một ngày sau đó nó nhiễm vào một máy tính của công ty Foolad Technic Engineering có trụ sở tại Isfahan (Iran), theo các chuyên gia bảo mật Kaspersky.
Công ty này tạo ra các hệ thống tự động cho các cơ sở công nghiệp của Iran và liên quan trực tiếp đến các hệ thống điều khiển công nghiệp, các chuyên gia bảo mật Kaspersky cho biết. “Rõ ràng, công ty có dữ liệu, các bản vẽ và kế hoạch cho nhiều công ty công nghiệp lớn nhất của Iran trên mạng của mình. Nên nhớ rằng, ngoài ảnh hưởng đến các động cơ, Stuxnet bao gồm chức năng gián điệp và thu thập thông tin trong các dự án STEP 7 được tìm thấy trên các máy bị nhiễm”.
Tới ngày 7/7/2009, Stuxnet lây nhiễm các máy tính của công ty Neda Industrial Group. Theo website Iran Watch, công ty Iran này thuộc danh sách trừng phạt của Bộ Tư pháp Mỹ vì sản xuất và xuất khẩu bất hợp pháp hàng hóa có tiềm năng sử dụng cho quân sự.
Cùng ngày, Stuxnet lây nhiễm các máy tính trên một tên miền được gọi là CGJ. Các chuyên gia bảo mật Kaspersky tin rằng những hệ thống này thuộc về Control-Gostar Jahed, một công ty khác của Iran hoạt động trong lĩnh vực tự động hóa công nghiệp.
Một nhà cung cấp tự động hóa công nghiệp Iran bị lây nhiễm Stuxnet.a trong năm 2009 là Behpajooh Co. Elec & Comp. Engineering. Công ty này tiếp tục bị nhiễm Stuxnet.b vào năm 2010 và được coi là “bệnh nhân số không” của đại dịch Stuxnet toàn cầu trong năm 2010, các chuyên gia bảo mật Kaspersky cho biết.
“Ngày 24/4/2010, Stuxnet lây lan từ mạng của công ty Behpajooh sang các mạng khác, trong đó có tên miền MSCCO”, các chuyên gia bảo mật cho biết. Qua phân tích, họ cho rằng, nhiều khả năng nạn nhân là Mobarakeh Steel Company (MSC) – nhà sản xuất thép lớn nhất của Iran và là một trong những khu phức hợp công nghiệp lớn nhất đang hoạt động tại Iran, nằm không xa Isfahan, nơi có sự hiện diện của hai nạn nhân đã đề cập ở trên – Behpajooh và Foolad Technic.
“Stuxnet lây nhiễm khu phức hợp công nghiệp, bao gồm hàng chục doanh nghiệp khác ở Iran và sử dụng một số lượng lớn các máy tính tại các cơ sở sản xuất của nó, gây ra một phản ứng dây chuyền, dẫn đến sâu lây nhiễm hàng ngàn máy tính trong vòng 2-3 tháng”, các chuyên gia Kaspersky khẳng định.
Một công ty khác bị nhiễm Stuxnet.b trong năm 2010 là Kalaye Electric Co, dựa trên tên miền KALA được phát hiện trong các mẫu malware. Đây là mục tiêu lí tưởng cho Stuxnet, vì công ty này là nhà sản xuất chính các máy li tâm IR-1 làm giàu uranium của Iran.
Đó là lí do khiến các chuyên gia bảo mật Kaspersky ngờ rằng tổ chức này đã bị nhắm tới như là điểm khởi đầu trong chuỗi lây nhiễm để Stuxnet tiến tới mục tiêu cuối cùng của nó. “Điều ngạc nhiên là tổ chức này không nằm trong số các mục tiêu của các cuộc tấn công trước đó, diễn ra trong năm 2009”.
Các chuyên gia bảo mật Kaspersky cho rằng những kẻ tấn công đứng đằng sau Stuxnet đã thành công với chiến thuật của mình. Máy tính trong cơ sở hạt nhân tại Natanz không kết nối trực tiếp với Internet, nhưng những kẻ tấn công đã nhắm vào các công ty lớn có liên quan để bắc cầu dẫn tới mục tiêu.
Theo PC World VN.
Bình luận