video
Thư viện
Tài trợ
Ai đã phát hiện ra virus Stuxnet?
25 Feb, 2024
shared from Giang Le.
-----
Cùng ngày công bố phát hiện spyware được (NSA) cài vào firmware của ổ cứng, Kaspersky công bố một phát hiện khác cũng gây chấn động không kém. Theo Kaspersky một nhóm international hackers đã hijack được mạng máy tính của rất nhiều ngân hàng, chủ yếu ở Nga nhưng cũng có một số ở nước khác. Nhóm hackers này đã thành công lấy trộm ít nhất $300 triệu và có thể lên đến $1 tỷ.
Cách thức attack không có gì đặc biệt: gửi phishing emails, cài spyware, chiếm quyền kiểm soát, âm thầm chuyển tiền đến các tài khoản ở nước khác. Trong một số trường hợp spyware điều khiển ATM tự động nhả tiền mặt ra và người của nhóm hackers này đến lấy. Cũng giống như vụ HD firmware, cho đến giờ này chưa thấy có thêm thông tin gì từ phía các ngân hàng lẫn các cơ quan công quyền.
Ngoài malware Carbanak, đã được các phầm mềm chống virus/malware cập nhật (có thể check qua Virustotal), Kaspersky không cho biết thêm thông tin gì cụ thể, viện dẫn yêu cầu bảo mật cho khách hàng. Cho nên thực hư vụ này thế nào chỉ có thể được kiểm chứng khi các nước ra tuyên bố chính thức. Mà Nga có phần lớn nạn nhân (52 trong số 70 ngân hàng bị nhiễm Carbanak) nên cũng ít hi vọng sẽ có thông tin gì từ nước này.
Đọc thông cáo báo chí của Kaspersky và những gì báo chí tường thuật, tôi có cảm giác đây là một vụ PR của công ty có trụ sở ở Moscow này đang phải cố lấy lại thị phần khi phương Tây đang nghi ngại Nga. Vụ HD firmware có lẽ cũng vậy.
-----
Ngoài 2 vụ phát hiện vừa rồi (HD firmware và bank attack), Kaspersky còn được cho rằng đã có công phát hiện ra Stuxnet, một virus/worm cực kỳ phức tạp, mà nhiều người cho rằng Mỹ và Israel đã phát triển với mục đích phá hoại các máy gia tốc làm giầu Uranium của Iran.
Tuy nhiên công phát hiện ra virus này thực ra của Sergey Ulasen, một chuyên gia IT làm việc cho VirusBlokAda ở Belarus (Ulasen mãi đến năm 2011 mới về Kaspersky). Bài báo (rất dài) của Wired cho biết thực ra công lớn nhất trong vụ Stuxnet thuộc về Symantec và một kỹ sư Đức (Ralph Langner). Ulasen phát hiện ra mailware và một zero-day exploit, sau đó 3 kỹ sư của Symantec phát hiện thêm 3 zero-day exploit nữa và reverse engineer được malware này. Ralph Langner chỉ ra cách thức Stuxnet tấn công PLC của Siemens tại các lò làm giầu Uranium của Iran. Kaspersky ở thời điểm năm 2010 hầu như không có vai trò gì đáng kể trong vụ Stuxnet.
Thực ra Kaspersky sau này thành công trong việc reverse engineer Flame, một virus khác mà Kaspersky cho rằng là tiền thân của Stuxnet và cũng ngầm "kết tội" NSA là thủ phạm. Flame cực kỳ phức tạp, vd có khả năng search pdf trong ổ cứng để tìm các tài liệu quan trọng, nhưng nó có kích thước rất lớn, hơn 20 Mb (so với Stuxnet 500Kb). Thành công với Flame không có nhiều giá trị thương mại vì virus này đã quá cổ, có lẽ chỉ giúp cho những người bài Mỹ có thêm lý do (bên cạnh Stuxnet) để chỉ trích NSA.
Bản thân Kaspersky (Lab) có lợi gì không thì không biết. Có điều Eugene Kaspersky - người sáng lập ra công ty này - đã từng học trong một trường chuyên về mật mã do KGB tài trợ và sau này có thời gian làm việc cho quân đội Xô Viết. Hẳn nhiên làm những điều có lợi cho Putin thì ông ta sẽ tránh không bị chung số phận như Pavel Durov, người sáng lập Vkontakte - website được mệnh danh là Facebook của Nga.
Bài trước: Vì sao khoai tây được mọi người yêu thích?
Không cần phải cài trước khi HDD xuất xưởng. Các công ty sản xuất HDD thường có phần mềm hỗ trợ update firmware. Và NSA hay CIA hoàn toàn có thể lấy được sourecode firmware từ các nhà sản xuất, cách này hay cách khác. Một anh hacker dùng reverse engineering đã flash được firmware của HDD Western Digital và sửa được mật khẩu root của Linux cài trên đĩa.
Stuxnet cũng có hệ thống điều khiển vô cùng phức tạp. Vì rất có thể cũng như con virus firmware này, Stuxnet không hề muốn nhắm đến các mục tiêu đại trà mà muốn nhắm đến những mục tiêu rất cụ thể.
Chính Kaspersky thừa nhận trong tài liệu này là khả năng firmware bị thay đổi cực kỳ thấp, họ chỉ phát hiện được vài trường hợp trong số hàng ngàn máy tính bị nhóm hacker Equation Group tấn công. Mà firmware sau khi bị thay đổi chủ yếu chỉ có mục đích giấu một hidden partition không để hệ điều hành và các chương trình chống virus/malware phát hiện ra. Họ hoàn toàn không đề cập/giải thích khả năng reflashed firmware có thể tự lây nhiễm trở lại mà chỉ nói rằng điều này giúp malware có persistance hơn.
Version mới nhất của malware này (Grayfish) không xuất phát từ firmware của ổ cứng, nghĩa là không một nhà sản xuất nào thông đồng với NSA cài sẵn malware trong quá trình sản xuất. Việc reflash firmware (cực kỳ hãn hữu) chỉ được thực hiện sau khi máy tính đã bị hijack bằng các phương pháp attack truyền thống (phishing, web exploit...). Như vậy chí ít Kaspersky không nghi ngờ việc các nhà sản xuất ổ cứng bị NSA ép buộc phải cài speware vào firmware của họ.