Ngoài 2 vụ phát hiện vừa rồi (HD firmware và bank attack), Kaspersky còn được cho rằng đã có công phát hiện ra Stuxnet, một virus/worm cực kỳ phức tạp, mà nhiều người cho rằng Mỹ và Israel đã phát triển với mục đích phá hoại các máy gia tốc làm giầu Uranium của Iran.
Tuy nhiên công phát hiện ra virus này thực ra của Sergey Ulasen, một chuyên gia IT làm việc cho VirusBlokAda ở Belarus (Ulasen mãi đến năm 2011 mới về Kaspersky). Bài báo (rất dài) dưới đây của Wired cho biết thực ra công lớn nhất trong vụ Stuxnet thuộc về Symantec và một kỹ sư Đức (Ralph Langner). Ulasen phát hiện ra mailware và một zero-day exploit, sau đó 3 kỹ sư của Symantec phát hiện thêm 3 zero-day exploit nữa và reverse engineer được malware này. Ralph Langner chỉ ra cách thức Stuxnet tấn công PLC của Siemens tại các lò làm giầu Uranium của Iran. Kaspersky ở thời điểm năm 2010 hầu như không có vai trò gì đáng kể trong vụ Stuxnet.
Thực ra Kaspersky sau này thành công trong việc reverse engineer Flame, một virus khác mà Kaspersky cho rằng là tiền thân của Stuxnet và cũng ngầm "kết tội" NSA là thủ phạm. Flame cực kỳ phức tạp, vd có khả năng search pdf trong ổ cứng để tìm các tài liệu quan trọng, nhưng nó có kích thước rất lớn, hơn 20 Mb (so với Stuxnet 500Kb). Thành công với Flame không có nhiều giá trị thương mại vì virus này đã quá cổ, có lẽ chỉ giúp cho những người bài Mỹ có thêm lý do (bên cạnh Stuxnet) để chỉ trích NSA.
Bản thân Kaspersky (Lab) có lợi gì không thì không biết. Có điều Eugene Kaspersky - người sáng lập ra công ty này - đã từng học trong một trường chuyên về mật mã do KGB tài trợ và sau này có thời gian làm việc cho quân đội Xô Viết. Hẳn nhiên làm những điều có lợi cho Putin thì ông ta sẽ tránh không bị chung số phận như Pavel Durov, người sáng lập Vkontakte - website được mệnh danh là Facebook của Nga.
http://www.wired.com/2011/07/how-digital-detectives-deciphered-stuxnet/all
How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History | WIRED
ReplyDeleteTheo cháu biết thì Stuxnet là câu chuyện giả tưởng dựa trên câu chuyện về việc Iran tạm dừng làm giàu Urnium. Có thể lý do vì có quá ít thông tin Stuxnet.
ReplyDeleteNgọc Hải Nguyễn Bạn đọc bài của Wired tôi link bên trên chưa? Stuxnet đã được Symantec giải mã gần như hoàn toàn.
ReplyDeletehttp://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
ReplyDeleteCháu đọc rồi, và ý cháu là câu chuyện về nó được thêu dệt từ việc tạm dừng làm giàu Uranium + nó được lây nhiễm chủ yếu ở Iran. Tên gốc của nó là W32.Temphid, sau được đổi tên là W32.Stuxnet. Nó được đánh giá là rủi ro thấp.
Không phải chỉ là việc Iran tạm dừng làm giầu uranium, UN inspector đã notice số lượng centrifuge bị hỏng tăng lên đột biến trong giai đoan 2009-2010. Cả Symantec và Ralph Langner đã chứng minh được Stuxnet tấn công trực tiếp vào PLC của Siemens điều kiển frequency converter của các centrifuge của Iran tăng tốc độ quay lên gấp 1.4 lần. Langner còn phát hiện ra rằng Stuxnet có chứa blueprint của hệ thống làm giầu uranium của Iran để attack đúng mục tiêu thay vì tấn công nhầm các nước khác. Tôi nghĩ với những thông tin chi tiết như vậy thì khó có thể nói đây chỉ là một câu chuyện giả tưởng.
ReplyDeleteNgọc Hải Nguyễn Giả tưởng như chuyện NSA spy cả thế giới vậy :)
ReplyDelete