Stuxnet xâm nhập bộ điểu khiển logic lập trình
Nhà máy ly tâm Uranium ngầm ở Natanz, Iran có khoảng 6000 máy ly tâm và chúng được bắt đầu đưa vào sử dụng từ trước tháng 4/2008.
Hiện nay, các máy ly tâm này được kiểm soát bởi bộ điều khiển logic lập trình (PLC). PLC là một loại máy tính rất nhỏ chỉ có thể thực hiện một vài thao tác lệnh đơn giản như mở hoặc đóng van, tăng tốc độ hoặc giảm tốc độ một động cơ đang quay ly tâm.
PLC có mặt ở khắp nơi trên thế giới. Thiết bị này điều khiển đèn giao thông, thang máy, thang cuốn, và các nhà máy xử lý nước. Kích thước của PLC rất nhỏ và mỏng, chỉ bằng lớp kem trong bánh quy. Loại thiết bị đơn giản này chưa bao giờ bị coi là mắc lỗi bảo mật.
Do vậy, những kẻ tung ra vi-rút Stuxnet đã nhắm mục tiêu tấn công vào các PLC điều khiển máy ly tâm Uranium tại Iran.
Tuy nhiên, nhà máy ly tâm Iran không được kết nối với mạng quốc tế. Vì vậy, những kẻ tạo ra Stuxnet gửi vi-rút này đến 5 tên miền (domain) cụ thể tại Iran qua Internet.
Năm tên miền này có mối liên hệ với các nhà máy ly tâm Natanz bằng cách nào đó. Giới chức vẫn chưa xác định được chúng cung ứng phần cứng hay phần mềm hay là các nhà thầu cung cấp thợ điện, thợ ống nước, các chuyên gia mạng…
Vi-rút Stuxnet dễ dàng xâm nhập vào các máy tính ở các tên miền này mà không gặp bất cứ khó khăn nào bởi nó có bốn lỗ hổng bảo mật.
Hơn nữa, có lẽ một số người làm việc tại các nhà máy ly tâm Uranium đã phá vỡ quy tắc ‘lỗ khí’ khi truy cập các tên miền, ví dụ họ sử dụng thẻ nhớ USB từng được sử dụng tại tên miền bị nhiễm Stuxnet và cắm nó vào một máy tính tại nhà máy ly tâm Uranium.
Vì vậy, Stuxnet đã xâm nhập vào máy tính kiểm soát các máy ly tâm siêu tốc độ, sau đó tách ra các Uranium-235, đồng vị phóng xạ duy nhất được sử dụng trong sản xuất vũ khí hạt nhân hoặc trong các nhà máy điện tại Iran.
 

Tháng 1 năm 2010, những nhà điều tra cùng với Cơ quan năng lượng nguyên tử quốc tế (IAEA) đã hoàn thành một bản báo cáo về nhà máy làm giàu Uranium vùng ngoại ô Natanz, trung tâm Iran, khi họ phát hiện ra có điều gì đó ẩn chứa đằng sau những căn phòng làm lạnh, nơi mà hàng nghìn máy ly tâm(MLT) đang làm giàu Uranium (Ur).

Công nhân tại Natanz trong trang phục trắng, mang giầy xanh hối hả ra vào những căn phòng làm lạnh, nặng nề kéo ra những chiếc MLT, chúng được bọc trong những vỏ bọc bằng bạc sáng.

Mỗi khi những người làm việc tại đây cho ngưng hoạt động MLT bị hỏng hóc, không thể sử dụng được nữa, họ đều phải báo cáo cho những chuyên gia IAEA để đảm bảo không có vật liệu phóng xạ nào được giấu trong những thiết bị đó trước khi chúng bị loại bỏ. Họ đã làm những việc tương tự như thế trong vòng hơn một tháng.


Iran thay thế khoảng 10% MLT một năm, do vật liệu bị ăn mòn và những lý do khác. Ở Natanz, có khoảng 8700 máy được đưa vào sử dụng thì cũng là bình thường nếu 800 máy được thay thế hàng năm.

Nhưng khi IAEA xem xét lại quá trình dỡ bỏ dựa trên những camera giám sát bên ngoài phòng làm lạnh thì tất cả sững sờ. Những người công nhân đã thay thế một lượng lớn thiết bị không thể tin được: khoảng 1000 đến 2000 MLT đã bị thay thế trong vòng vài tháng. Câu hỏi là: Tại sao?

Iran không nhất thiết phải giải thích nguyên nhân cho việc thay thế MLT, và những nhà quan sát thì cũng không có quyền xét hỏi một cách chính thống. Nhiệm vụ của họ chỉ là giám sát nguyên liệu hạt nhân tại nhà máy, không phải là theo dõi sự hư hỏng của thiết bị. Nhưng rõ ràng là có điều gì đó đã phá hỏng những chiếc MLT đó.

Nhưng điều mà các nhà quan sát không biết đó là câu trả lời họ muốn tìm lại ở xung quanh họ, trong những ổ cứng, bộ nhớ của hệ thống máy tính tại Natanz. Vài tháng trước, tháng 6 năm 2009, ai đó đã lặng lẽ tung ra một con sâu số chứa mã phá hủy rất tinh vi, nó đã len lỏi qua những máy tính ở Iran với một nhiệm vụ duy nhất: bí mật phá hủy chương trình làm giàu Uranium và ngăn không cho Iran chế tạo vũ khí nguyên tử.



Nhưng trước đó hàng năm trời khi những nhà quan sát có thể biết đến chúng. Câu trả lời lại đến sau khi một vài nhà nghiên cứu bảo mật máy tính trên toàn thế giới, những người đã dành hàng năm trời để giải mã thứ có thể gọi là phần mềm mã độc nguy hiểm, phức tạp nhất từng được viết, một phần mềm cuối cùng đã làm nên lịch sử trong vai trò vũ khí kỹ thuật số đầu tiên của thế giới.

Ngày 17 tháng 6 năm 2010, Sergey Ulasen đang lọc những Email trong văn phòng của ông ở Belarus thì một thông báo đã gây cho ông sự chú ý. Máy tính thuộc về một khách hàng tại Iran bị khởi động lại liên tục, bất chấp mọi can thiệp để kiểm soát. Dường như chiếc máy tính đó đã bị dính virus.

Ulasen đứng đầu một nhóm chống virus tại VirusBlokAda, một công ty bảo mật nhỏ ở Minsk. Khi mà những chồi cây của ngành khoa học máy tính bắt đầu nảy nở, thì bảo mật máy tính đã phát triển thành một ngành công nghiệp hàng tỉ dollar trong vòng thập kỷ qua, luôn song hành với đó là sự bùng nổ những vụ đột nhập, phá hoại tinh vi cùng với virus, Trojan và phần mềm gián điệp.

Những nhà bảo mật giỏi nhất, như Bruce Schneier, Dan Kaminsky và Charlie Miller được ví như những ngôi sao nhạc rock trong giới của họ, những công ty như Symantec, McAfee và Kaspersky đã trở thành những cái tên quen thuộc đối với mọi nhà, bảo vệ mọi thứ, từ laptop của bà già cho đến mạng máy tính quân đội. Mọi thứ.

Tuy nhiên VirusBlokAda không nằm trong số những ngôi sao, lại càng không phải là cái tên thân thuộc ấy. Nó chỉ là một công ty mờ nhạt mà một số ít trong cái ngành công nghiệp ấy biết đến. Nhưng đã có một sự thay đổi nhanh chóng.

Đội nghiên cứu của Ulasen đã phát hiện ra virus xâm nhập vào máy của khách hàng sử dụng lỗi “zero-day” để phát tán. Zero-day là gọi chung những lỗi bảo mật của hệ thống, do những kẻ phá hoại phát hiện ra và tấn công vào trước khi những người phát triển phần mềm, cũng như các công cụ antivirus phát hiện ra. Nó là vũ khí tiềm năng nhất trong thế giới hacking. Nhưng cũng chính vì những đặc điểm đó mà chúng xuất hiện rất ít, cần phải có những kỹ năng cao đáng kể và sự cần mẫn, tỉ mỉ để phát hiện những lỗi đó và tấn công vào. Hàng năm có khoảng 12 triệu đoạn mã độc được phát hiện, nhưng số lượng dựa trên “zero-day” thì chỉ đếm trên đầu ngón tay.

Trong trường hợp này, lỗi bảo mật cho phép virus phát tán một cách thông minh từ máy này sang máy khác bằng những thanh USB. Nhược điểm nằm ở những file LNK của Windows Explorer, một thành phần cơ bản của Microsoft Windows. Khi một thanh USB nhiễm mã độc được đưa vào máy tính, thì Explorer tự động quét nội dung bộ nhớ, và mã độc dựa vào đó được đánh thức, bí mật đặt một lượng lớn các files được phân chia làm nhiều phần và mã hóa lên máy tính, giống như máy bay quân sự thả lính dù đã được ngụy trang lên khu vực mục tiêu vậy.

Nó là một khai thác bảo mật khéo léo đến mức, khi nhìn lại thì nó rõ ràng cũng giống như những cuộc tấn công bình thường khác. Đó cũng là một dịp mà những nhà nghiên cứu sẽ còn ngạc nhiên, rằng trước đây nó đã từng được sử dụng.

VirusBlockAda đã liên hệ với Microsoft để thông báo về lỗi bảo mật này, và ngày 12 tháng 7, khi người khổng lồ trong lĩnh vực phần mềm đã chuẩn bị một bản vá thì VirusBlokAda bước ra công chúng với sự khám phá ra virus được tóm lại trong một bài viết trên một diễn đàn bảo mật. 3 ngày sau, một blogger trong giới là Brian Krebs đã đưa câu chuyện lên, và hàng ngàn công ty bảo mật trên thế giới đã tranh giành những mẫu của nó, được Microsoft đặt tên Stuxnet, dựa vào sự kết hợp của những tên files được tìm thấy trong đoạn mã (.stub và MrxNet.sys)

Khi ngành công nghiệp bảo mật máy tính lao vào giải mã và xây dựng lại Stuxnet, nhiều đánh giá đã được đưa ra.

Dường như đoạn code đã được tung ra khoảng một năm trước, vào tháng 6 năm 2009, và người tác giả thần kỳ viết ra nó đã cập nhật và sửa đổi nó vài lần, với 3 phiên bản khác nhau. Đáng chú ý là một trong những files với trình điều khiển của virus đã sử dụng một chứng nhận ăn cắp từ RealTek Semiconductor, một nhà sản xuất phần cứng ở Đài Loan, để đánh lừa hệ thống nghĩ rằng mình là một chương trình đáng tin cậy từ RealTek.

Những nhà quản lý Internet đã nhanh chóng loại bỏ chứng nhận đó, nhưng một trình điều khiển khác của Stuxnet lại được phát hiện sử dụng một chứng nhận thứ hai từ JMicron Technology, nhà chế tạo mạch điện cũng ở Đài Loan, một cách ngẫu nhiên hay cố ý, khi mà cả hai đều có cùng trụ sở tại một trung tâm thương mại. Liệu những kẻ tấn công đã đột nhập vào công ty để ăn cắp chứng nhận? Hoặc họ dùng chương trình điều khiển từ xa để đoạt lấy chứng nhận đó? Không một ai có thể trả lời.

ESET, công ty phát hiện một trong hai chứng nhận đó nói trên blog của họ: “Chúng ta hiếm khi được thấy những hành động mang tính chuyên nghiệp như vậy,” “Nó cho thấy những kẻ tấn công có nguồn tài nguyên thông tin đáng kể”

Ở một khía cạnh khác, Stuxnet có vẻ như là bình thường và không nhiều tham vọng trong thiết kế. Những chuyên gia phát hiện ra virus này được thiết kế nhằm vào phần mềm Simatic WinCC Step7, một phần mềm điều khiển công nghiệp viết bởi Siemens, tập đoàn nổi tiếng của Đức. Phần mềm này được dùng để điều khiển động cơ, van và thiết bị chuyển mạch trong rất nhiều thiết bị, từ nhà máy sản xuất thức ăn, thiết bị lắp ráp ô tô cho tới những đường ống dẫn khí và trong những nhà máy xử lý nước.

Mặc dù điều này là mới mẻ, hệ thống điều khiển không phải là những mục tiêu truyền thống của giới hacker, bởi vì rõ ràng là khó có thể thu được lợi nhuận từ việc này, nhưng những gì Stuxnet đã làm với hệ thống Simatic thì chẳng có gì mới chút nào. Dường như nó chỉ đơn giản đánh cắp thiết kế từ hệ thống, có lẽ là cho phép đối thủ cạnh tranh sao chép quá trình sản xuất. Stuxnet trông có vẻ chỉ là một trường hợp của gián điệp công nghiệp.

Các công ty bảo mật đã đưa thêm các phiên bản khác nhau của trình mã độc này vào các hệ thống phát hiện virus của họ, và hầu hết thì quay sang việc khác.

Câu chuyện về Stuxnet có thể kết thúc tại đây. Nhưng một vài nhà nghiên cứu thì chưa dừng lại...

...còn tiếp.
 

Một vài nhà nghiên cứu tại văn phòng Symantec châu Âu và Mỹ đã thu thập những đoạn code này và cung cấp mẫu cho khách hàng. Sau khi công việc hoàn thành, mẫu Stuxnet được gửi đến cho văn phòng Liam O Murchu tại California.

O Murchu, gốc Ai len và rất ham trượt tuyết, có một giọng nói quyến rũ và mái tóc nâu được xẻ dọc phía trước, trông như mép của một bệ trượt patanh thường thấy trong những trò X Games. Làm quản lý của cơ quan phản ứng tập đoàn Symantec, nghề của ông là xem xét những mẫu phần mềm độc hại và quyết định xem liệu chúng có nên được phân tích một cách kỹ càng hơn.

Trong hơn 1 triệu mẫu mà Symantec và các công ty bảo mật khác thu thập được hàng tháng thì chủ yếu là những mẫu virus và sâu đã được nhận biết. Ở đây có những quy trình tự động, không cần con người can thiệp. Có những thuật toán để phát hiện ra những chuỗi, hoặc một số hành vi đặc biệt để nhận dạng mã độc hại, sau đó sản xuất ra những chữ ký của mã độc đó (một hình thức để nhận dạng) để đưa vào những chương trình diệt virus trên máy tính khách hàng.


Những mã độc dựa trên lỗi zero-day thì được chú ý đặc biệt, và được xử lý thủ công. O Murchu đã đưa mẫu Stuxnet cho một kỹ sư chưa có kinh nghiệm với dạng virus này, hi vọng vào một cơ hội có thể huấn luyện cho anh ta. Nhưng khi chính Murchu bắt đầu làm việc với đoạn code thì anh nhận ra rằng Stuxnet phức tạp hơn là anh ta tưởng.

[...]
Khi bạn đã từng thấy nhiều virus như O Murchu đã từng, bạn sẽ có một cảm giác mà chỉ cần liếc qua những dòng code bạn sẽ hiểu ngay nó thực hiện những gì, một thứ chuyên ghi lại những gì được gõ trên bàn phím hay một loại gián điệp ngân hàng, cho dù nó có bị chồng chéo, hoặc được che giấu hết sức tinh vi và có tổ chức. Stuxnet hoàn toàn khác. Nó mạnh hơn hẳn. Nó bao gồm nhiều thành phần, được chia nhỏ tại nhiều nơi để thay đổi chức năng khi cần.

Điều thú vị nhất, đó là cách mà những mã độc này che giấu chức năng của mình. Thông thường, chức năng của Windows là nạp những thành phần cần thiết từ những file thư viện động (DLL) trên ổ cứng. Những mã độc hại khác cũng làm vậy, tuy nhiên điều này khiến chúng có thể bị phát hiện bởi những chương trình chống virus. Thay vào đó, Stuxnet cất giữ những files thư viện đã được mã hóa của mình vào trong những files vớ vẩn vô hại ấy.

Sau đó nó lập trình lại Windows API, một giao diện trung gian giữa hệ điều hành và những chương trình chạy trên nó, như vậy mỗi khi một chương trình cố gắng nạp chức năng từ một thư viện có tên trên thì nó sẽ kích hoạt Stuxnet từ bộ nhớ của những file thư viện đó. Stuxnet đã sử dụng một phương pháp hiệu quả đến mức, nó không hiện diện một cách chính thức trong ổ cứng, và gần như không thể tìm thấy.

O Murchu chưa từng nhìn thấy một loại công nghệ nào như thế trong suốt những năm anh ta phân tích mã độc. “Ngay kể cả những sự đe dọa phức tạp, chuyên nghiệp nhất mà chúng ta thấy, cũng không làm như vậy”, anh ta chia sẻ trong buổi phỏng vấn tại văn phòng Symantec.

Manh mối cho thấy Stuxnet mang tính chuyên nghiệp cao xuất hiện khi O Murchu mới chỉ kiểm tra xong 5kbytes đầu tiên trong hơn 500kbytes dòng code ấy! Rõ ràng là phải cần một đội để tìm ra. Câu hỏi là: họ có nên giải mã nó?
 

Hình như sâu stuxnet này liên quan đến chính phủ mỹ thì phải . Mỹ luôn lên án việc làm giàu urani mà