Theo các chuyên gia về an ninh mạng, Stuxnet là một loại mã độc đầu tiên có khả năng đe dọa thế giới vật chất, đánh dấu sự thay đổi chiến lược quân sự toàn cầu trong thế kỷ XXI. Và để tiếp nối chuỗi bài viết về các loại mã độc nguy hiểm, chúng tôi sẽ cùng các bạn tìm hiểu về mã độc Stuxnet.

Mã độc Stuxnet là gì?

Stuxnet là một loại sâu máy tính độc hại , được xác định lần đầu tiên trong năm 2010. Tuy nhiên nó lại được cho là phát triển từ năm 2005 hoặc có thể sớm hơn. Loại sâu máy tính này nhắm đến các hệ thống máy tính công nghiệp và gây ra thiệt hại đáng kể cho chương trình hạt nhân của Iran. Hai nước được cho là có liên quan đến việc tạo và phát tán loại mã độc này là Mỹ và Israel.

Cách hoạt động của Stuxnet

Sâu máy tính (worm) và virus đều được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính. Tuy nhiên, worm nguy hiểm hơn bởi nó có khả năng tự sao chép và tự lan truyền giữa các máy tính với, thường là sẽ thông qua một mạng máy tính. Loại sâu máy tính này lây nhiễm trên các máy tính chạy hệ điều hành Windows. Nó chủ yếu lây lan qua USB, điều này cho phép loại mã độc này có thể lây nhiễm váo máy tính và mạng ngay cả khi chúng không được kết nối internet. Khi đã xâm nhập vào sâu trong mạng, nó sử dụng nhiều cơ chế để truyền cho các máy tính khác. Chúng khai thác cả hai loại lỗ hổng : lỗ hổng đã được tìm ra – có giải pháp vá và 4 lỗ hổng “zero-day”- chưa hề biết đến trước đó.

Một sự thật rằng, Stuxnet không thực sự làm bất cứ điều gì trên những máy tính Windows bị nhiễm mã độc, bởi vì gây hại các máy tính không phải là mục đích chính của loại sâu máy tính này. Điều mà Stuxnet tìm kiếm là một mô hình PLC (điều khiển lập trình) được tạo ra bởi Siemens . Đây là những hệ thống điều khiển công nghiệp chạy tất cả các quy trình tự động: trên các tầng nhà máy, trong các nhà máy hóa học, trong các nhà máy lọc dầu, tại các đường ống, trong các nhà máy điện hạt nhân. Những PLC này thường được điều khiển bởi máy tính, và Stuxnet tìm kiếm phần mềm điều khiển SIMATIC WinCC / Step7 của Siemens trên những máy tính bị nhiễm.

Mục đích phát triển mã độc Stuxnet

Các chuyên gia nhận định Stuxnet thực chất đã được phát tán từ hồi tháng 6/2009 trước thời điểm mà nó được phát hiện và đã từng 3 lần thực hiện cập nhật.

Bài viết tương tự: Siêu mã độc Regin

Lúc đầu, người ta cho rằng, sâu máy tính Stuxnet chỉ đơn giản là một công cụ để hỗ trợ cạnh tranh không lành mạnh trong kinh doanh.  Nhưng dường như Stuxnet quá phức tạp, và chuyên nghiệp . Nó không hề đơn giản như người ta vẫn nghĩ. Mã độc này sử dụng digital certificate (chứng thực số) từ hai hãng sản xuất nổi tiếng là Realtek và Jmicro (Đài Loan) để ngụy tạo rằng nó chỉ là phần mềm vô hại, làm cho hệ thống bảo mật không phát hiện ra. Các chuyên gia gọi Stuxnet là tên lửa mạng cấp quân sự , bởi nó thực sự được sử dụng để tiến hành “cuộc tấn công mạng chống lại chương trình hạt nhân của Iran”. Và Mỹ và Isarael được cho là hai quốc gia đứng đằng sau loại mã độc cực kỳ nguy hiểm này.

Cụ thể, khoảng 60.000 máy tính trên thế giới bị nhiễm Stuxnet, trong đó có đến 60% là ở Iran. Như đã nói phía trên, sâu worm Stuxnet chỉ tìm và tấn công mô hình PLC, trong khi đó tại Iran, hệ thống này được dùng để kiểm soát các máy thống Scada dùng để kiểm soát các máy ly tâm phục vụ cho việc làm giàu uranium của Iran.

Khi xâm nhập vào thành công vào máy tính của nạn nhân, Stuxnet thực hiện báo cáo các thông tin thu thập được về hai trang web là: http://www.mypremierfutbol.com và http://www.todaysfutbol.com. Máy chủ ra lệnh và điều khiển (Command and Control Server – C&C) của hai tên miền này được đặt tại Malaysia và Đan Mạch.

Thứ vũ khí này có thể âm thầm làm hỏng uranium đang được tinh chế hoặc phá hỏng các thiết bị vì một khi bị nhiễm mã độc, máy tính điều khiển máy ly tâm chạy nhanh hơn và chậm hơn bình thường, tuy nhiên kết quả vẫn hiển thị không có gì bất thường. Ước tính 5.000 máy ly tâm của Iran tại nhà máy hạt nhân ở Natanz đã “hóa điên” trong cuộc tấn công mạng cực kỳ bất ngờ này và kéo lùi các dự án hạt nhân tham vọng của Iran xuống khoảng 2 năm.

Các quốc khác bị ảnh hưởng

Theo số liệu thống kê, danh sách các quốc gia bị lây nhiễm loai mã độc này bao gồm:  Iran (58,85%), Indonesia (18,22%), Ấn Độ (8,31%), Azerbaijan(2,57%), Mỹ(1,56%), Pakistan(1,28%), và một số quốc gia khác.

Biến thể của Stuxnet

Duqu

Vào tháng 9/2011, một sâu máy tính mang tên Duqu được phát hiện . Duqu được cho là có cách hoạt động y như Stuxnet.  Con sâu máy tính này cũng có chữ kí số hợp pháp giả mạo từ hãng C-Media (Đài Loan). Tuy nhiên mục đích tạo ra và sử dụng mã độc này thì không giống với Stuxnet, nó chỉ thu thập thông tin của các nạn nhân bị nhiễm, và có lẽ để chuẩn bị cho các đợt tấn công trong tương lai. Các chuyên gia bảo mật tin rằng Duqu được tạo ra bởi chính tác giả của Stuxnet hoặc do một ai đó có quyền truy cập vào mã nguồn của malware này.

Xem thêm : Mã độc nguy hiểm Trojan

Flame

Đến tháng 5/2012, tiếp tục một biến thể của Stuxnet được phát hiện. Trước đây người ta nghĩ Stuxnet và Flame hoàn toàn không có can hệ gì nhưng sau khi nghiên cứu kĩ thì các nhà khoa học đã nhận ra rằng Flame thực chất chính là người tiền nhiệm của malware Stuxnet. Nhưng không hiểu vì sao Stuxnet lại bị phát hiện và khám phá trước mã độc này. Mẫu malware vốn bị nghi ngờ là đã phá hoại tập tin của một công ty dầu mỏ Iran.

Guass

Trong lúc dịch ngược Flame, các chuyên gia an ninh mạng lại phát hiện thêm một biến thể nữa, đó chính là Guass.  Nó chỉ giám sát âm thầm các máy tính bị lây nhiễm vì thế mục đích của nó gần giống Flame. Worm máy tính này, sẽ ẩn mình trên các USB và có nhiệm vụ lấy trộm các tập tin và mật khẩu của các ngân hàng Li Băng, còn động cơ vì sao thì vẫn chưa rõ với các chuyên ra.

Kết luận

Mã độc Stuxnet được coi là siêu vũ khí tấn công mạng vì những đặc tính, cũng như cách thức khai thác lỗ hổng bảo mật của nó. Cuộc tấn công với siêu mã độc này đã kết thúc từ lâu. Tuy nhiên, nó là sự châm ngòi cho một nguy cơ bảo mật không gian mạng liên quan đến chính trị giữa các quốc gia.Và phần chìm của “tảng băng” Stuxnet mới chính là điểm thu hút sự chú ý của giới an ninh mạng.