Stuxnet là một chương trình máy tính độc hại và phức tạp được xây dựng để phân tách và tạo ra các hệ thống điều khiển từ xa độc lập. Đây là một trong những ví dụ nổi tiếng về APTs và đại diện cho một loại phần mềm độc hại mới nhằm vào các hệ thống cụ thể trên không gian mạng. Stuxnet không yêu cầu mục tiêu của nó phải kết nối với Internet, tuy nhiên, nó có thể truy cập và thiết lập quyền kiểm soát chúng bằng cách sử dụng một số thiết bị phụ như USB. Stuxnet đã khai thác các lỗ hổng Zero-day. Nó đã truy cập vào hệ điều hành Windows bằng cách chạy các mật khẩu mặc định của Siemens vào giờ nghĩ trưa của WinCC và PCS 7 là các chương trình điều khiển logic có thể lập trình (Programmable Logic Controller - PLC) được sử dụng để chỉ đạo các nhà máy công nghiệp, nhằm làm cho chúng không hoạt động bình thường. PLC thực hiện nhiều nhiệm vụ như đóng mở vòi ống nước và điều khiển thời gian của đèn giao thông. Tính năng tuyệt vời của Stuxnet là khả năng đánh trúng và lập trình lại mục tiêu của nó. Hơn nữa, Stuxnet có thể tự cập nhật bằng hai phương pháp, thứ nhất, bằng cách học cập nhật mới bằng cách sử dụng giao tiếp ngang hàng với PC bị vi phạm, phương pháp thứ hai là cố gắng kết nối PC bị vi phạm với các máy chủ điều khiển (Command-And-Control - C&C) để cung cấp cho chúng dữ liệu ăn cắp và tải xuống các tập tin thực thi tùy ý.
Stuxnet đã nhắm vào các hệ thống điều khiển giám sát và thu thập dữ liệu (Supervisory Control and Data Acquisition - SCADA) và làm tổn hại đến chương trình hạt nhân của Iran. Stuxnet bao gồm ba thành phần: thứ nhất, Worm thực hiện tất cả các thủ tục liên quan đến Payload của cuộc tấn công; thứ hai, một tập tin liên kết tự động tạo ra các bản sao của Worm; thứ ba, một thành phần Rootkit ngăn chặn việc phát hiện ra Stuxnet. Sự xuất hiện của Stuxnet tuyên bố rằng các cuộc tấn công mạng có thể mở rộng đến cuộc sống thực, chúng có thể khai thác các thành phần cơ bản và cơ sở hạ tầng vật lý quan trọng trong công nghiệp hiện đại được điều khiển bởi phần mềm để đạt được các mục tiêu độc hại của chúng.
Stuxnet khác với các phần mềm độc hại phổ biến khác ở nhiều khía cạnh như sau:
- Mục tiêu: Stuxnet chọn mục tiêu của nó, những phần mềm độc hại phổ biến thì không.
- Loại mục tiêu: Stuxnet nhắm mục tiêu các hệ thống điều khiển công nghiệp trong các điều kiện cụ thể trong khi các phần mềm độc hại phổ biến nhắm mục tiêu khác.
- Kích thước: Kích thước Stuxnet là 500 Kbyte trong khi các loại khác nhỏ hơn 1 Mbyte.
- Vectơ lây nhiễm ban đầu có thể cung cấp: Stuxnet dựa trên ổ đĩa USB trong khi các phần mềm độc hại phổ biến sử dụng Internet và các mạng khác.
Stuxnet bao gồm ba hoạt động:
1. Stuxnet đã thâm nhập Hệ điều hành Windows bằng cách sử dụng bốn cuộc tấn công zero-day.
a) Stuxnet được lan truyền từ các USB có các Shortcut tập tin để bắt đầu mã thực thi.
b) Stuxnet khai thác các máy tính khác được kết nối (ngang hàng hoặc trong mạng riêng) với máy bị nhiễm để gây hại cho chúng.
c) Stuxnet khai thác các lỗ hổng zero-day.
d) Stuxnet có khả năng Rootkit ở chế độ người dùng và chế độ hạt nhân, trong đó nó đã được ký điện tử bằng khóa riêng của hai chứng chỉ bị đánh cắp từ hai công ty nổi tiếng.
2. Lây nhiễm phần mềm
Thư viện giao tiếp quan trọng của WinCC có tên S7otbxdx.dll bị phá hủy khi các tập tin Stuxnet liên quan được cài đặt trên một hệ thống Windows có các phần mềm điều khiển WinCC / PCS 7 SCADA của Siemens. Ngoài ra, nó chặn liên lạc giữa WinCC và các thiết bị Siemens PLC mục tiêu khi mạng ngang hàng được kết nối nơi Stuxnet có thể cấu hình và lập trình các thiết bị PLC Siemens được kết nối với hệ thống bị nhiễm. Sau đó, Stuxnet sẽ tạo bản sao của chính nó trên các thiết bị Siemens PLC được kết nối và ẩn chính nó để WinCC phát hiện. Ngoài ra, Stuxnet sử dụng khai thác Zero-day trong phần mềm cơ sở dữ liệu WinCC / SCADA làm mật khẩu cơ sở dữ liệu được mã hóa cứng.
3. Lây nhiễm PLC
Để gắn Stuxnet vào hệ thống Siemens S7-300 và các mô-đun liên kết của Siemens S7-300, cần có các bộ biến tần đặc biệt (trình điều khiển tần số thay đổi). Stuxnet nhắm mục tiêu đến hai loại PLC có trình điều khiển tần số thay đổi, một trong số đó là Vacon do Phần Lan sản xuất và loại còn lại là Fararo Paya do Iran sản xuất. Tuy nhiên, Stuxnet chỉ xem xét các hệ thống có tần số của chúng từ 807 Hz đến 1.210 Hz bằng cách theo dõi tần số của động cơ được gắn kèm. Ngoài ra, nó nhắm mục tiêu vào PLC giám sát bus thông điệp hệ thống (Profibus) bằng cách cài đặt vào bộ nhớ của nó phần mềm độc hại tại khối DB890. Trong các điều kiện cụ thể, Stuxnet điều chỉnh tần số để tác động đến hiệu suất trên các động cơ được kết nối bằng cách thay đổi tốc độ quay của chúng. Ngoài ra, Stuxnet đã che giấu các sửa đổi về tốc độ quay và phần mềm độc hại bằng cách cài đặt Rootkit.
Tài liệu tham khảo
1. S. Al-Rabiaah, "The “Stuxnet” Virus of 2010 As an Example of A “APT” and Its “Recent” Variances," 2018 21st Saudi Computer Society National Computer Conference (NCC), 2018, pp. 1-5, doi: 10.1109/NCG.2018.8593143.
Web lưu trữ kiến thức cá nhân đã tham khảo và thấy hữu ích cho người đọc. Các bạn có thể đóng góp bài viết qua địa chỉ: dzokha1010@gmail.com