Tổng thống Iran Mahmoud Ahmadinejad tham quan nhà máy làm giàu uranium Natanz hồi tháng 4.2008. Nơi này bị virus Stuxnet tấn công vào tháng 6.2010. Ảnh: Spiegel |
Siêu virus thay bom đạn
Một cuộc chiến nhằm vào Iran sẽ dẫn đến hậu quả khôn lường, chưa kể điều đó không chắc chắn sẽ khiến Iran dừng vĩnh viễn chương trình hạt nhân của họ. Đó là kết luận của cựu giám đốc cơ quan tình báo Israel (Mossad). Yêu cầu lúc này là làm sao phá hoại chương trình hạt nhân của Iran mà không phải phát động một cuộc chiến thông thường, đó là nguyên nhân ra đời của virus Stuxnet.
Stuxnet có thể xâm nhập vào máy tính được bảo mật rất cao, ngay cả khi không kết nối Internet. Tiếng tăm của loại virus này đã vượt ra khỏi biên giới của làng công nghệ và tiến đến đấu trường chính trị toàn cầu vào tháng 6.2010 với thành tích làm tê liệt hệ thống máy tính tại cơ sở hạt nhân Natanz của Iran. Chuyên gia Frank Rieger của nhóm hacker lừng danh tại Đức, Chaos, gọi virus này là "một quả bom kỹ thuật số". Stuxnet đại diện cho một sức mạnh mới bổ sung vào kho vũ khí cho cuộc chiến tranh hiện đại. Virus này cho phép một cuộc tấn công quân sự khi sử dụng chương trình máy tính để tấn công một mục tiêu cụ thể. Chỉ một năm sau khi xuất hiện, không có công ty an ninh mạng hay một chính phủ lớn nào lại chưa từng đề cập đến Stuxnet và hậu quả của nó, cũng như ban hành các biện pháp đối phó.
Truyền thông phương Tây tin rằng virus Stuxnet do Mỹ phối hợp cùng Israel chế tạo ra. Hai chính phủ này chưa bao giờ thừa nhận điều đó. Phân tích một của cơ quan tình báo châu Âu khẳng định “chỉ một quốc gia mới có thể chế tạo ra Stuxnet”. Theo phân tích, để phát triển Stuxnet cần ít nhất ba năm với chi phí lên đến hàng triệu USD. Còn Symantec ước tính chỉ riêng các cuộc thử nghiệm hoạt động đã cần ít nhất năm đến mười chuyên gia trong vòng nửa năm. Từ phân tích tình báo đó, “những yếu tố phi quốc gia” có thể bị loại trừ khỏi thành phần đối tượng sáng chế ra Stuxnet. Các thành viên của hội đồng bảo an liên bang Đức đã thống nhất với nhận định này trong cuộc họp tại Berlin vào ngày 25.11.2010. Bộ trưởng Nội vụ Đức khi đó là ông Thomas de Maizière, nay là Bộ trưởng Quốc phòng, khẳng định những người đã đầu tư tiền của và nguồn lực để phát triển virus này biết rõ họ muốn làm gì. Các thành viên hội đồng thống nhất rằng một chính phủ đã đứng đằng sau việc tạo ra siêu virus này.
Lần theo dấu vết
Ông Sam Angel, giám đốc chi nhánh của tập đoàn Symantec tại Israel cho biết đã khoanh vùng những nơi bị virus này tấn công gồm Iran, Indonesia, Malaysia và Belarus. Tại thủ đô Minsk (Belarus), chuyên viên nghiên cứu và phát triển Ulasen của công ty an ninh mạng VirusBlokAda đã nhận được một email bình thường như mọi ngày: một công ty ở Iran phàn nàn các máy tính của họ hoạt động rất kì lạ, chúng tự động tắt và tự động khởi động lại. Ulasen và đồng nghiệp sau khi kiểm tra những máy tính này thì phát hiện virus Stuxnet. Ngay lập tức, công ty VirusBlokAda cảnh báo những công ty khác trong ngành bảo mật, gồm cả Symantec.
Khi đến lượt các kỹ sư Symantec vào cuộc, họ phát hiện thêm hai máy tính khác từng bị virus này tấn công trực tiếp, đó là một máy chủ ở Malaysia và máy còn lại ở Đan Mạch. Tái tạo đường đến và đi của thông tin từ hai máy chủ này, Symantec khoanh vùng được một máy trung tâm ở Dublin (Ireland), nơi quan sát hoạt động của virus. Mặc dù không thể tìm ra ai đã tung ra virus này, nhưng ít nhất Symantec đã lần ra đường đi của virus, từ đây có được cái nhìn tổng quan về những quốc gia mà virus này đã hoạt động. Theo phân tích, Stuxnet đã lây lan cho khoảng 100.000 máy tính trên toàn thế giới, trong đó có hơn 60.000 máy ở Iran, hơn 10.000 máy ở Indonesia và hơn 5.000 máy ở Ấn Độ. Các nhà sáng chế đã lập trình Stuxnet sẽ gửi thông báo về hai máy chủ chỉ huy và kiểm soát rằng những máy bị lây nhiễm có đang chạy chương trình Step 7 hay không. Step 7 là chương trình phần mềm do công ty cơ khí Siemens (Đức) phát triển, dùng để điều hành các lò phản ứng tại nhà máy Natanz của Iran.
Tấn công tinh vi
Thủ thuật được sử dụng trong vụ tấn công của Stuxnet vô cùng đơn giản. Virus này lợi dụng một lỗ hổng bảo mật trong hệ điều hành Windows và từ đó thao túng cả hệ thống. Có những lỗ hổng mà xử lý mãi vẫn không có bản vá, Stuxnet đã tận dụng không dưới bốn lỗ hổng này để lây nhiễm. Ngay sau khi xâm nhập vào máy tính, chẳng hạn từ ổ cứng USB, quá trình cài đặt virus sẽ diễn ra mà không có sự chú ý nào.
Được thiết kế để phá hủy hoạt động hoặc tự gỡ bỏ, thoạt đầu, Stuxnet sẽ tự động tìm kiếm những phần mềm chống virus. Kế đến, Stuxnet bắt đầu tìm kiếm phần mềm điều khiển hệ thống công nghiệp ở các nhà máy của Siemens. Virus tấn công bằng cách tái lập trình phần mềm này để thay đổi hoạt động của các nhà máy . Sau đó Stuxnet tự sao chép chính nó vào bất kỳ thiết bị USB nào khác được tìm thấy. Virus Stuxnet được lập trình để tự xóa chính mình khỏi ổ đĩa USB sau ba lần lây nhiễm. Hành động này được cho là một cách nhằm ngăn chặn nó lây lan quá nhanh và có thể bị chú ý. Mục tiêu của vũ khí mạng này là phá hoại một cách bền vững chứ không cần sự trình diễn ngoạn mục.
Một trong những yếu tố khác “ngụy trang” cho virus Stuxnet khi hoạt động, đó là các chứng chỉ số được những công ty như Realtek và JMicron Technology của Đài Loan cấp. Nếu một chương trình có được những chứng chỉ này, có nghĩa là nó không độc hại và có thể tiếp cận hệ thống. Chứng chỉ của cả hai công ty này mà Stuxnet có được đều đã bị ăn cắp. Theo các chuyên gia, để thực hiện được điều đó cần sự can thiệp của con người bằng việc đột nhập trực tiếp vào trụ sở chính của cả hai công ty để ăn cắp, hoặc một hình thức tấn công qua mạng nào đó mà rất ít tin tặc có thể thực hiện được.
Hiện các chuyên gia vẫn không thể xác định được làm thế nào virus Stuxnet có thể xâm nhập vào hệ thống máy tính ở Natanz. Chiến dịch bắt đầu từ mùa hè năm 2009. Kẻ tấn công đã tung ra Stuxnet vào 16g31 ngày 22.6.2009. Mục tiêu tấn công là năm tổ chức ở Iran và được chia làm ba lần. Theo Symantec, những mục tiêu bị tấn công không liên quan trực tiếp đến chương trình hạt nhân của Iran, nhưng một số tổ chức nạn nhân nằm trong danh sách trừng phạt của Liên hiệp quốc. Chỉ riêng trong năm tổ chức bị tấn công của Iran đã có khoảng 12.000 máy tính bị lây nhiễm.
Cảnh Toàn
Theo SGTT/DER SPIEGEL
Không có nhận xét nào:
Đăng nhận xét