Stuxnet - Hành trình giải mã con virus nguy hiểm nhất thế giới (phần 2)
Xem lại Phần 1: Hành trình giải mã Stuxnet tại đây nhé!
CHƯƠNG NĂM
Trụ sở của Symantec tại Culver City là một toà nhà lớn và thoáng đãng với một giếng trời có mái cao trông giống như ở trong phim “The Island”. Tiếng gót giày của người qua lại vang rộn ràng trên các tấm sàn nhà lớn là một phần của thiết kế nền cao giúp giấu hệ thống cấp điện nguồn và hệ thống thông khí ở phía dưới. Toà nhà rộng 43 nghìn m2 này đạt tiêu chuẩn LEAD, có hầu hết các bức tường bao bên ngoài làm bằng kính, giúp cho hầu hết tất cả mọi người làm việc ở đây có một góc nhìn ra bên ngoài. Nói đúng hơn là, gần như một góc nhìn trong khu dân cư buồn gần sân bay Quốc tế của Los Angeles này.
Sơ đồ của một ống ly tâm P-1, đây là thiết kế cơ bản của các ống ly tâm dùng ở Natanz. Các mũi tên màu đỏ chỉ các rotor quay mà Stuxnet nhằm phá hoại. Nguồn: Institute for Science and International Security (Viện Khoa học và An ninh Quốc tế).
Nhóm Phân tích Nguy cơ (Threat Intelligence) làm việc sau ba lớp cửa bảo an trong một căn phòng lạnh lẽo với các ô làm việc trống trơn và các khung cửa sổ lớn nhìn ra một ngọn đồi phủ kín cỏ mà các khu văn phòng hay dựng lên để mô phỏng thiên nhiên. Trong phòng không có chậu cây, không tranh treo tường, cũng chẳng có dấu vết nào về những trò ngốc nghếch mà dân văn phòng hay chơi để xả hơi. Ngoài ra, kết nối Internet cũng không có, mà chỉ có môi trường mạng bị cách ly của Symantec, nơi mà các chuyên gia thả cho các mã độc hoạt động tự do để tìm hiểu sức tàn phá của chúng. Các thiết bị nhớ di động cũng bị cấm tiệt trong phòng này để ngăn chặn lây lan mã độc sang hệ thống mạng làm việc của Symantec cũng như Internet.
Làm việc trong môi trường phiên bản số của một phòng thí nghiệm về vũ khí sinh học mang lại đủ các loại rắc rối. Khi điều tra các khía cạnh của Stuxnet trên mạng, Chien và O Murchu phải tới một buồng máy chủ nằm bên ngoài văn phòng, nơi có các máy tính xách tay kết nối với Internet.
Vài tuần đầu sau khi phát hiện Stuxnet, Chien và O Murchu đã làm rõ cơ chế lây nhiễm của virus này, nhưng họ vẫn chưa hiểu nguyên do tồn tại, và các hoạt động sau lây nhiễm của nó. Các bí mật này nằm trong phần tải dữ liệu rất phức tạp của nó. Nhiệm vụ phân tích ngược phần mã này do Nicolas Falliere, một anh chàng 28 tuổi người Pháp, gánh vác.
Falliere là một người khá khiêm nhường, ăn nói nhỏ nhẹ và trông anh ta như đang mải mê chỉnh nhạc (DJ) trong một sàn nhảy ngầm ở Paris hơn là đang chăm chú nghiền ngẫm cả tập mã lệnh đã được in ra trong lúc đi tàu điện ngầm (Metro). Chien tuyển anh năm 2006, ngay khi anh tốt nghiệp đại học. Chuyên môn của anh là phân tích sâu các nguy cơ mã độc nhờ vào kỹ năng được tôi luyện từ khi còn choai choai qua việc phá mã các tập tin Crackme – các trò chơi mật mã mà các lập trình viên viết ra để thách đố và đánh giá trình độ phân tích ngược của nhau.
Falliere nhận định rằng Stuxnet có ba phần chính và 15 thành phần, tất cả được gói trong các lớp mã hóa giống như những con búp bê lồng nhau của Nga. Tùy vào các điều kiện cụ thể của máy bị nhiễm, Stuxnet sẽ giải mã và lấy ra từng thành phần này khi cần.
Ngoài ra, Stuxnet còn có một tập tin cấu hình lớn – mdmcpq3.pnf – với một bản danh sách có hơn 400 mục mà những kẻ tấn công có thể điều chỉnh mọi khía cạnh của mã độc này, ví dụ như nó sẽ lây lan trong khoảng thời gian nào và mỗi khai thác mã sẽ hoạt động bao lâu. Chính tại đây các chuyên gia tìm được một thông tin về ngày kết thúc – 24/06/2012. Mỗi khi Stuxnet bắt đầu hoạt động trên một máy tính, nó sẽ kiểm tra thông tin ngày của đồng hồ của máy, nếu ngày hệ thống là sau ngày kết thúc được ghi trong tập tin cấu hình thì Stuxnet sẽ tự động ngừng chạy. Có lẽ đây là thời điểm mà Stuxnet được kỳ vọng là đã hoàn thành mọi mục tiêu đặt ra.
Tuy vậy phần quan trọng nhất của Stuxnet là phần mã phá hoại (payload) của nó. Nếu Stuxnet xác định được hệ thống bị nhiễm có cài đặt phần mềm Siemens Step7 thì nó sẽ giải mã và nạp vào máy này một tập tin DLL – một thư viện chứa các hàm điều khiển. Tập tin này giả danh một tập tin DLL hợp lệ là s7otbxdx.dll, chứa các hàm được sử dụng bởi các thành phần khác nhau của phần mềm Step7.
Step7 có một giao diện người dùng tiện dụng trên Window để phục vụ việc lập trình và giám sát một thiết bị có tên là “Programmable Logic Controller” hay PLC. Về bản chất, các PLC là các máy tính nhỏ, thường có kích cỡ như một cái máy nướng bánh mỳ. Các máy tính này điều khiển mọi thứ từ các động cơ trong các dây chuyền đóng gói tới các van quan trọng trong các đường ống dẫn khí đốt. Nhân viên làm việc trong các hệ thống công nghiệp giao tiếp với và lập trình PLC bằng cách kết nối máy tính Window có Step7 của họ với PLC, rồi truyền các lệnh điều khiển tới nó hay nhận các dữ liệu báo cáo thiết bị này gửi về.
Đây cũng chính là điểm mà tập tin DLL độc hại của Stuxnet bắt đầu có tác dụng. Falliere phát hiện ra rằng virus này sẽ chặn các lệnh xuất phát từ phần mềm Step7 tới PLC rồi thay bằng các lệnh độc hại của chính nó.
Cùng lúc đó, một phần khác của Stuxnet vô hiệu hóa mọi cảnh báo tự động có thể xảy ra trong hệ thống do hệ quả của các lệnh độc này. Virus này còn che dấu những chuyện đang xảy ra trên PLC bằng cách chặn các thông tin báo cáo từ PLC tới máy tính có Step7, rồi loại bỏ bất kỳ dấu hiệu của các lệnh độc hại. Những người giám sát PLC bằng Step7 sẽ chỉ thấy được các lệnh hợp lệ trên thiết bị. Kịch bản này tương tự như những gì xảy ra trong các bộ phim về các vụ trộm tinh vi. Trong đó, kẻ trộm báu vật chèn một đoạn video giả lặp đi lặp lại vào hệ thống máy quay giám sát an ninh khiến cho bảo vệ khi xem màn hình giám sát chỉ nhìn thấy những hình ảnh như trong lúc bình thường mà không thấy được những hành động của kẻ trộm vào lúc đó.
Việc Stuxnet gửi các câu lệnh tới PLC rồi che giấu hành động này chính là dấu hiệu cho thấy nó được thiết kế để phá hoại thiết bị chứ không phải để phục vụ mục đích gián điệp như mọi người vẫn tưởng. Các chuyên gia thực sự choáng váng với phát hiện mới này. Đây là lần đầu tiên có người chứng kiến, trong thực tế, một mã độc hại được dùng để phá hủy một sự vật cụ thể trong thế giới thực. Hollywood đã tưởng tượng ra một kịch bản tương tự vài năm trước trong phim “Die Hard”. Giờ thì thực tại đã đuổi kịp trí tưởng tượng.
“Chúng tôi cứ nghĩ tới khả năng về gián điệp, khả năng về trộm cắp thẻ tín dụng; những thứ chúng tôi phải giải quyết hàng ngày,” Chien hồi tưởng. “Nhưng chúng tôi không hề nghĩ tới tình huống này.”
Ngày 06 tháng 8, Symantec đăng tải một bài blog công bố rằng Stuxnet là một công cụ mã độc có chủ đích tấn công vào hệ thống điều khiển PLC của Siemens.
Để minh hoạ khả năng phá hoại của Stuxnet, các chuyên gia nhắc tới một vụ tấn công số, hay được trích dẫn, của CIA năm 1982 vào đường dẫn khí đốt ở Siberi, gây ra một vụ nổ khoảng bằng ⅕ vụ nổ bom hạt nhân tại Hiroshima. Theo câu chuyện chưa bao giờ được chứng thực này thì chính phủ Mỹ phát hiện phía Nga lấy cắp dữ liệu về công nghệ của họ. Do vậy, CIA lập kế hoạch để đưa một quả bom logic vào một phần mềm mà cơ quan này biết phía Nga mua từ một công ty Canada để vận hành các máy bơm và van trên ống dẫn khí tự nhiên của họ. Ban đầu thiết bị này hoạt động hoàn toàn bình thường, nhưng khi tới một thời điểm được lập trình sẵn, nó điều khiển các van trong đường ống hoạt động sai, dẫn tới tạo áp suất lớn và gây nổ, tạo ra một quả cầu lửa lớn đến mức vệ tinh trên quỹ đạo ghi lại được.
Bằng chứng về việc Stuxnet phá hoại các bộ PLC là một đột phá rất quan trọng. Nhưng vấn đề là không ai trong số chuyên gia của Symantec có kiến thức đủ sâu về PLC để hiểu được chính xác là Stuxnet đang làm gì với chúng. Các bộ PLC sử dụng một ngôn ngữ lập trình chuyên biệt tên là STL, hoàn toàn lạ lẫm đối với các chuyên gia về virus máy tính vốn chỉ quen thuộc với các chương trình cho Windows và hợp ngữ (assembly language) của máy tính cá nhân. Họ có thỉnh cầu những người hiểu biết về PLC và STL liên lạc với họ, trên blog. Nhưng không ai đáp lời.
Hai tuần sau bài đăng của Symantec, lưu lượng từ các máy bị nhiễm ở Iran đột ngột ngừng gửi tới sinkhole của Symantec. Iran đã bắt đầu chặn đường kết nối ra từ các máy này. Ai đó ở Iran không muốn người ngoài biết tới các máy bị nhiễm ở đây. Hoặc là họ không muốn người ngoài có một kênh kết nối ngược tới các máy này thông qua Stuxnet.
Chien cứ nghĩ rằng một khi họ đăng bài thì các chuyên gia ở các hãng khác cũng sẽ đăng thêm thông tin. Thông thường khi phân tích mã độc mới, các hãng đối thủ cũng phân tích cùng lúc, tất cả họ đều chạy đua để công bố các khám phá đầu tiên. Quá trình làm việc song song này đồng thời đóng vai trò như việc bình duyệt không chính thức giúp kiểm chứng các phát hiện của từng hãng. Tuy vậy, lần này không hề thấy dấu hiệu các chuyên gia khác đang tích cực phân tích.
“Chúng tôi bàn tới việc mọi sự sẽ bùng nổ!” Chien hồi tưởng lại, gần đây, khi vẫn còn ngạc nhiên vì sự lạnh nhạt của giới chuyên môn. Thay vào đó, theo lời của Chien, chỉ có sự “câm lặng như dế.”
*mã phá hoại hay payload là phần mã “hành động” của các virus hay sâu máy tính, không tính tới phần chúng dùng để thực hiện lây nhiễm.
CHƯƠNG SÁU
Ralp Langner |
Ở nửa kia của trái đất, một người Đức, 52 tuổi, tên là Ralp Langner đang hào hứng đọc bài blog của Symantec. Langner không quan tâm lắm tới các hệ thống chạy Windows hay virus trên Internet – thậm chí nhà ông không có cả kết nối Internet. Tuy vậy ông lại là chuyên gia về một nhánh khoa học không mấy nổi tiếng gọi là an ninh hệ thống điều khiển trong công nghiệp. Đây là hướng duy nhất mà công ty nhỏ gồm ba người của ông làm. Chính vì vậy mà ông cảm thấy tò mò khi đọc thấy nhóm Symantec viết rằng Stuxnet phá hoại các bộ PLC.
“Tới lúc này thì chúng tôi bắt đầu chú ý tới Stuxnet,” Langner nói. “Chúng tôi nghĩ, được rồi, bắt đầu thú vị rồi đây.”
Langner biết rằng có hàng nghìn khách hàng của Siemens có khả năng đang có virus nguy hiểm này trong hệ thống, và họ đang chờ Symantec hoặc Siemens cho họ biết Stuxnet đang gây ra điều gì cho các bộ điều khiển công nghiệp của họ. Tuy vậy, đáng ngạc nhiên là Siemens lại hoàn toàn im lặng về vấn đề này. Ngoài việc, vào tháng 7, công ty này cho biết rằng họ đã thành lập một nhóm chuyên gia để phân tích virus này, họ gần như hoàn toàn im lặng.
“Dù sao thì đó cũng là các bộ điều khiển của họ, họ phải có trách nhiệm phân tích virus này,” Langner phát biểu. Vào thời điểm đó, Stuxnet đã có mặt trên các chợ đen virus trực tuyến, sẵn sàng cho bất kỳ ai có ý định xấu xa tải về và chỉnh sửa rồi sử dụng. Trong tay kẻ xấu, virus này có thể trở thành một kiểu tấn công rộng và nguy hiểm hơn nhằm vào các bộ điều khiển công nghiệp ở Mỹ hoặc các nơi khác.
Langner quyết định sẽ cùng nhóm của mình tự giải quyết Stuxnet.
Các kiến thức về máy tính của Langner chỉ là do tự học, nhưng chuyên môn về các sản phẩm Siemens của ông lại rất rộng. Thậm chí đôi khi ông cùng với các đồng nghiệp là Ralf Rosen và Andreas Timm còn huấn luyện các nhân viên của Siemens về các sản phẩm của chính hãng này. “Chỉ có một số nhỏ nhân viên Siemens biết những thứ này sâu hơn chúng tôi,” Langner nhận xét.
Ba người họ ngồi xúm quanh một bảng đầy màn hình trong văn phòng chật chội của họ để thảo luận các ý tưởng và kiểm tra các giả thuyết về hành động của virus này. Họ còn đồng thời tìm hiểu kỹ cấu hình mà Stuxnet hoạt động trong đó: Mã độc này liên lạc với thiết bị nào và liệu nó có nhiều liên lạc với nhiều thiết bị hay không? Liệu các thiết bị bị nhiễm này có kết nối với nhau theo một cách đặc biệt nào không?
Họ phải mất tới ba tuần làm việc để rút ra một kết luận hết sức kinh ngạc – Stuxnet không chỉ để nhằm tấn công một kiểu bộ điều khiển cụ thể của Siemens, mà nó là một vũ khí chính xác nhằm phá hoại một kiểu nhà máy cụ thể.
Trong mã của Stuxnet chứa một hồ sơ liệt kê chi tiết về cấu hình kỹ thuật của hệ thống mà nó nhắm tới. Bất kỳ hệ thống nào không hoàn toàn phù hợp với cấu hình này sẽ không bị ảnh hưởng gì: Stuxnet sẽ tự động tắt và chuyển qua hệ thống khác cho tới khi tìm được đúng nạn nhân. Langner nhận ra rằng rõ ràng Stuxnet là sản phẩm của một chính phủ có nguồn lực dồi dào với các thông tin nội bộ chính xác về mục tiêu mà virus này nhắm tới.
“Tôi cứ tưởng đây là một kiểu tấn công DoS ngờ ngệch nhằm vào bất cứ loại PLC nào của Siemens,” Langner hồi tưởng lại sau đó. “Vì vậy, phát hiện này thật là đáng sợ. Ai đó phát triển một virus phức tạp đến vậy – sử dụng bốn lỗ hổng zero-day, hai chứng thư số bị đánh cắp – chỉ để tấn công một nhà máy? Không thể tin nổi.”
Dù cho Stuxnet không chỉ rõ nhà máy mục tiêu, nhưng Langner vẫn đinh ninh. “Đây là để nhằm vào Bushehr,” ông tuyên bố với Rosen và Tim, ý muốn nói tới một nhà máy điện hạt nhân ở Iran đã được lên kế hoạch đi vào hoạt động vào tháng 08/2010 nhưng rồi bị trì hoãn. Các đồng nghiệp của Langner trừng trừng nhìn ông chết lặng. Họ không hề có hứng tiếp tục làm việc theo hướng chiến tranh điện tử do chính phủ hậu thuẫn để rồi phát hiện những kẻ chủ mưu gây hấn, tác giả của Stuxnet, là chính phủ Israel, Mỹ, và có thể cả Đức. Langner gọi điện cho một khách hàng của ông làm việc cho một công ty hàng đầu về sản xuất thiết bị làm giàu Uranium.
“Tôi có câu hỏi này cho anh,” Langner nói với người khách hàng. “Liệu có thể phá hủy ống ly tâm bằng cách thay đổi mã của bộ điều khiển không?”
“Tôi không trả lời anh được, Ralph, đây là thông tin mật,” anh ta trả lời.
Langner biết chắc là ông đang đi đúng hướng. Ngày 16/09, ông đăng một bài blog nhận định rằng Stuxnet là vụ tấn công có mục tiêu nhằm vào Bushehr, đồng thời gửi thông cáo báo chí tới các tổ chức truyền thông của Đức và quốc tế.
“Có sự im lặng xung quanh chúng tôi,” Langer hồi tưởng lại sau đó. “Mọi người nghĩ là, lão này bị điên. Chúng ta biết Ralph là một gã ngốc, và giờ thì đã có bằng chứng rồi.”
Frank Rieger, giám đốc công nghệ của hãng bảo an GSMK của Đức, đồng ý với nhận định của Langner rằng Stuxnet là một vụ tấn công có mục tiêu, nhưng nghĩ rằng một nhà máy khác của Iran mới là mục tiêu. Rieger đề cập trong một bài đăng trên mạng rằng Natanz đã tiến hành làm giàu Uranium, và do đó là nguy cơ lớn hơn về việc sản xuất vũ khí hạt nhân.
Ông cũng chỉ ra rằng vào tháng 07/2009, một tháng sau thời điểm được cho là Stuxnet được triển khai, trang web chuyên hé lộ bí mật Wikileaks đăng một thông báo rất đáng chú ý. Wikileaks cho biết một nguồn tin nặc danh xác nhận rằng mới đây ở Natanz có xảy ra một sự cố hạt nhân “nghiêm trọng”. Trang này còn vạch ra rằng người đứng đầu Tổ chức Năng lượng Hạt nhân (Atomic Energy Organization) của Iran đã từ chức gần đây mà không có lý giải cụ thể nào.
Hình chụp tháng 09/2010, từ vệ tinh của Natanz, nhà máy làm giàu Uranium, ở Iran, ba tháng sau khi Stuxnet bị phát hiện lần đầu tiên trên một máy tính ở nước này. Nguồn: GeoEye – ISIS.
Langner liên lạc với Joe Weiss, một chuyên gia về hệ thống điều khiển trong công nghiệp ở Mỹ, để thảo luận những điều nhóm ông đã phát hiện ra. Langner và Weiss có phong cách thẳng thắn, bộc trực mà đồng nghiệp của họ không phải lúc nào cũng mến chuộng. Mọi người trong nghề này thường thở dài khi nhắc đến tên hai ông. Nhưng không một ai nghi ngờ khả năng chuyên môn của họ.
Trong nhiều năm, cả hai đều đã cảnh báo rằng các bộ điều khiển trong công nghiệp đã có thể bị tấn công, nhưng không mấy ai tin lời họ. Các nhà sản xuất và nhà quản lý mạng tin rằng tin tặc không có đủ vốn hiểu biết về hệ thống và trình độ để có thể xâm nhập vì nhiều lý do như những hệ thống này có rất ít người biết đến, được đăng ký độc quyền, và được thiết kế để hoạt động trên môi trường mạng tách biệt và độc lập. Nhưng vài năm gần đây, các hệ thống này càng ngày càng được kết nối nhiều tới Internet hoặc tới các hệ thống khác có kết nối trực tuyến, điều này khiến chúng trở thành các mục tiêu hấp dẫn.
Weiss tổ chức một hội nghị kín về an ninh máy tính vào hai tuần sau đó, với khoảng 100 chuyên gia về điều khiển công nghiệp, và Langner đã được sắp xếp để thuyết trình về một chủ đề khác. Ông hỏi ý kiến Weiss xem có thể cho ông trình bày về Stuxnet hay không. “Tôi bảo ông ấy tôi không biết nên trả lời có hay là dĩ nhiên nữa,” Weiss hồi tưởng.
Weiss cho Langner 45 phút. Nhưng hóa ra thuyết trình của Langer kéo dài 1 tiếng rưỡi. “Chúng tôi cứ ngồi há hốc mồm nghe ông ta diễn thuyết,” Weiss hồi tưởng. “Ông ta dùng hết hai khuôn thời gian nhưng tôi không hề có ý định dừng ông ta lại.”
“Kết luận của bài diễn thuyết của Ralph là nếu có một vụ tấn công phức tạp, thì những người làm trong ngành hệ thống điều khiển sẽ không hề biết vì chúng ta không thấy được,” Weiss phát biểu sau đó. “Chúng ta không có cách nào để biết liệu một bộ điều khiển đã bị lây nhiễm hay chưa.”
Langner công bố những điều ông phát hiện được trong một loạt bài blog. “Với kết quả điều tra hiện tại, rõ ràng có thể chứng minh được rằng Stuxnet là một vụ tấn công phá hoại trực diện, dựa vào rất nhiều thông tin tay trong,” ông viết. “Đây là những điều mọi người cần biết ngay lập tức.”
Tiếp theo đó là một sơ đồ kỹ thuật giải thích rõ từng bước hoạt động của Stuxnet khi ngăn chặn rồi chèn các lệnh điều khiển độc vào bộ PLC. Trang web của ông lập tức đón nhận luồng lưu lượng truy cập lớn từ khắp nơi trên thế giới, kể cả từ các tên miền (domain) của chính phủ Mỹ. Langner đang thực hiện một dịch vụ công (ích) có ý nghĩa rất lớn, giúp bảo vệ các cơ sở hạ tầng quan trọng. Nhưng có khả năng ông cũng đồng thời đang làm hỏng một điệp vụ quan trọng.
CHƯƠNG BẢY
Nicolas Falliere |
Trở lại với Symantec, Chien và các đồng nghiệp đang học một khóa cấp tốc về các bộ điều khiển logic lập trình (Programmable Logic Controllers – PLC). Rõ ràng là Stuxnet đang làm điều gì đó rất ác hiểm với các PLC mà chúng nhắm tới, nhưng họ vẫn chưa hề biết rõ là gì. Vì vậy, các chuyên gia này mua trên mạng vài cuốn sách về STL – ngôn ngữ Stuxnet sử dụng để liên lạc với PLC – và bắt tay vào học.
Tới lúc này có ba chuyên gia của Symantec dành toàn bộ tâm lực (thời gian) vào Stuxnet – Chien và O Muchur ở California, Falliere ở Paris. Hàng đêm, Chien lên giường ngủ mà vẫn mang theo chiếc điện thoại BlackBerry và máy tính xách tay để phân tích mã, tìm kiếm trực truyến các đầu mối và gửi thư điện tử cho Falliere người đang bắt đầu ngày làm việc mới ở Paris. Chien thường tỉnh giấc lúc 5 giờ sáng, đôi khi với các ý tưởng vẩn vơ trong tâm trí, rồi lập tức vớ ngay lấy chiếc BlackBerry của mình để nhắn tin cập nhật và gợi ý các hướng điều tra tiếp theo cho Falliere.
Thông thường, Symantec chỉ dành tối đa vài ngày để phân tích mã của một virus; nhưng lần này họ đã đào xới Stuxnet hơn một tháng mà vẫn chỉ giải mã được một phần của nó. “Tôi cứ tưởng là việc này sẽ kéo dài vô thời hạn, rằng nhiều năm sau chúng tôi sẽ khám phá ra một mẩu mã [mà chúng tôi bỏ quên],” Chien hồi tưởng lại.
Chien nhìn trẻ hơn cả chục năm so với độ tuổi 37 của anh. Anh gầy gò, khung xương xẩu, và nụ cười rộng mở của một người không bao giờ muốn giả bộ trầm tĩnh bằng cách giấu giếm sự nhiệt tình của mình. Anh nói như liên thanh khi kể lại trải nghiệm mà quá trình giải mã Stuxnet mang lại. Nhiều chuyên gia an ninh máy tính hay tâng bốc kỹ năng và kinh nghiệm để đề cao bản thân so với các đối thủ cạnh tranh, nhưng Chien lại liên tục cười đùa về sự thiếu kinh nghiệm của nhóm khi giải quyết Stuxnet, cùng với sự tuyệt vọng và mù quáng của họ trong nhiều lần đánh vật với mã độc này.
Chien theo nghề chống virus chỉ vì tình cờ. Anh theo học kỹ thuật điện tử, di truyền học và sinh học phân tử tại Đại học California, Los Angeles (University of California, Los Angeles – UCLA) và đã lập kế hoạch theo đuổi sự nghiệp khoa học. Tuy vậy, sau khi tốt nghiệp năm 1996, anh theo vài người bạn tới làm việc Symantec khi công ty này mới bắt đầu tham gia thị trường an ninh số sau khi mua lại gã khổng lồ về chống virus Norton.
Vào thời đó, an ninh số còn là một lĩnh vực mới, do vậy kiếm được việc trong ngành này còn khá dễ dàng mà không cần phải qua trường lớp đào tạo bài bản. Chien tự học những điều cần thiết và tham gia một nhóm nhỏ tại Symantec thực hiện phân tích virus và viết các dấu hiệu nhận dạng chúng. Tuy nhiên họ cũng không có nhiều việc để làm. Mạng Internet và thư điện tử mới bắt đầu được chào đón và các virus trên MS-DOS, loại virus duy nhất tại thời điểm này, thì rất hiếm, và lây lan rất chậm qua các đĩa mềm.
Các khách hàng nghi máy họ bị nhiễm virus sẽ gửi qua đường bưu điện cho Symantec một đĩa mềm có chứa tập tin tình nghi. Tại đó, có khi đĩa mềm này phải nằm chờ trên khay chứa cả tuần cho tới khi Chien hoặc các đồng nghiệp tản bộ qua và lấy nó về phân tích. Phần lớn thì những tập tin này hóa ra chẳng có gì để bàn. Nhưng thi thoảng, họ cũng phát hiện ra là có virus, họ sẽ viết một số dấu hiệu nhận dạng để phát hiện chúng, ghi vào đĩa mềm rồi gửi lại cho khách hàng. Đây đúng là kiểu chống virus thô sơ thời tiền Internet.
Tất nhiên là phần mềm độc hại đã tiến hóa nhiều kể từ đó. Các phần mềm có mặt ở khắp nơi của Microsoft làm phát sinh ra các virus đa tính năng và đa hình, tiếp đến là Internet đem lại các virus lây lan qua đường thư điện tử và các sâu máy tính trực tuyến với khả năng phát tán cực nhanh, lan tới hàng triệu máy chỉ trong nháy mắt. Dù cho bản chất của những virus có khác nhau thì trong gần một thập kỷ những động cơ thúc đẩy các tác giả của chúng vẫn giữ nguyên – danh tiếng và vinh quang. Vào thời kỳ đầu của virus máy tính này, một phần mã phá hoại điển hình thường bao gồm một đoạn mã để thông báo cho bạn bè của tác giả.
Mọi sự thay đổi từ khi thương mại điện tử trở nên phổ biến, tin tặc bắt đầu tập trung vào việc thu lợi bất chính trong phần mã phá hoại – đánh cắp dữ liệu của thẻ tín dụng, thông tin về tài khoản ngân hàng trực tuyến và các bí mật của công ty. Gần đây, các vụ tấn công đã tiến hóa tới mức được gọi là các cuộc ‘tấn công có chủ đích’ (advanced persistent threats) trong đó những kẻ tấn công, trong một số trường hợp được hậu thuẫn bởi chính phủ của một hay nhiều quốc gia, kiên trì tìm cách thâm nhập sâu vào hệ thống mạng và âm thầm ở đó tới hàng tháng hoặc hàng năm để thu thập rồi tuồn ra ngoài các bí mật quốc gia, mã nguồn và các thông tin nhạy cảm.
Stuxnet không hề giống bất kỳ loại tấn công số nào kể trên. Đây không đơn thuần là một bước tiến hóa mà thực sự là một cuộc cách mạng. Ý tưởng về việc một ai đó xây dựng một virus phức tạp cỡ này chỉ để âm thầm lây lan nhằm tìm tới một mục tiêu duy nhất là hoàn toàn ngoài sức tưởng tượng của các chuyên gia của Symantec. “Tôi có thể làm nghề này 20 năm nữa mà không hề gặp một dự án nào giống như thế này, ” O Murchu phát biểu gần đây.
Đến cuối tháng 9, Symantec vẫn đang dần dần xây dựng hồ sơ về mục tiêu của Stuxnet.
Falliere phân tích ngược mã của virus này và xác định rằng Stuxnet chèn lệnh độc vào PLC và thiết lập lại giá trị của một thứ gì đó kết nối tới thiết bị này, nhưng anh vẫn chưa biết điều gì ở đầu nhận của những lệnh này hay việc thay đổi giá trị sẽ gây ra điều gì. Việc này giống như nhìn thấy đường đạn bay trong đêm tối nhưng cuối cùng lại không biết là viên đạn bắn trúng vào thứ gì.
Các chuyên gia này đã phát hiện ra rằng Stuxnet chỉ nhắm tới hệ thống có sử dụng chuẩn giao tiếp Profibus. Họ cũng nhận ra rằng virus này tìm kiếm một giá trị cụ thể – 2C CB 00 01 – trước khi quyết định tấn công thiết bị PLC. Họ có linh cảm đây là một dạng số định danh (Identification – ID) của hệ thống Step7 ấn định cho từng bộ phận phần cứng nào đó. Do vậy, họ thiết lập một môi trường giả lập Step7 PLC và bắt đầu cắm thử các bộ phận phần cứng của PLC vào. Cuối cùng thì giá trị tham khảo trên xuất hiện khi họ kết nối một card mạng Profibus.
Dẫu vậy, Stuxnet còn tìm kiếm hai con số bí ẩn khác là 9500h và 7050h. Họ không tìm được gì trong cả hai số kể trên khi cắm thử các bộ phận phần cứng vào môi trường giả lập. Tìm kiếm hai con số này trên Google cũng không mang lại kết quả gì.
Đột phá xảy ra vào tháng 11/2010. Nhóm chuyên gia đăng tải trên blog của họ lời kêu gọi những người có kinh nghiệm về Profibus và các cơ sở hạ tầng cốt yếu liên lạc với họ, và một lập trình viên người Hà Lan tên là Rob Hulsebos đáp lời. Phần lớn nội dung của thư điện tử của anh này bàn tới những chi tiết mà các chuyên gia đều đã biết, duy chỉ có một dòng là đáng chú ý. Hulsebos viết, mỗi bộ phận Profibus phải có một số định danh dài 32 bít. Chien đột nhiên nhận ra hai con số bí ẩn này là định danh của công ty sản xuất các bộ phận này.
Anh và O Murchu tìm kiếm tài liệu về Profibus trên mạng và tìm được một văn bản dạng PDF trong đó có chứa danh sách các đặc tả của các thiết bị sử dụng các card mạng Profibus. Cuối bản danh sách là hai mã số bí ẩn mà Stuxnet theo đuổi. Chúng là định danh sản phẩm của hai loại máy biến đổi tần số (máy biến tần) sản xuất ở Phần Lan và Iran. Số đầu tiên, 9500h, chỉ tới máy biến tần Vacon NX chế tạo bởi công ty Vacon ở Phần Lan. Con số thứ hai, 7050h, chỉ tới máy biến tần không rõ số hiệu do công ty Fararo Paya ở Iran chế tạo.
Các máy biến tần điều chỉnh tốc độ của các động cơ và các khối quay (rotor) trong nhiều loại thiết bị như các máy khoan tốc độ cao dùng để cắt kim loại trong các nhà máy hay các máy xay giấy để ép bột giấy qua các tấm sàng. Tăng tần số ở bộ biến tần này sẽ làm cho rotor quay nhanh hơn. Các chuyên gia còn tìm thấy trong tài liệu về Profibus mà họ tìm được trên mạng một bản danh sách các lệnh điều khiển tần số; chúng hoàn toàn tương xứng với các lệnh được viết trong Stuxnet.
“Mã STL [trong Stuxnet] truyền các lệnh đi ở dạng ‘mã 47F và 1’,” Chien hồi tưởng. “Bạn nhìn vào [tài liệu hướng dẫn của] máy biến tần, thì thấy lệnh này có nghĩa là ‘Để khởi động máy biến đổi tần số, gửi đi mã 47F và đặt giá trị này là 1’. Chúng tôi lặng đi không nói nên lời.”
Dựa trên thông tin nằm trong mã phá hoại, Stuxnet nhắm tới cơ sở có lắp đặt ít nhất là 33 máy biến tần, tất cả chúng đều hoạt động trong khoảng tần số từ 807 Hz tới 1210 Hz.
Stuxnet nhắm tới cơ sở có lắp đặt ít nhất là 33 máy biến tần. |
Virus này sẽ nằm âm thầm do thám trong hệ thống trong khoảng hai tuần, sau đó nó thực hiện đợt tấn công đầu tiên kín đáo và nhanh chóng, tăng tần số của các bộ biến tần lên 1410Hz trong vòng 15 phút, trước khi khôi phục lại tần số thông thường, 1064Hz. Tần số sẽ giữ nguyên ở mức này trong 27 ngày tiếp theo, trước khi Stuxnet lại tiếp tục hành động, nhưng lần này nó hạ tần số xuống mức 2Hz trong vòng 50 phút.
Bộ biến tần sẽ hoạt động yên ổn trong 27 ngày tiếp sau đó, trước khi Stuxnet lại tiếp tục tấn công theo nhịp độ tương tự. Giải tần số rộng tối đa này gợi ý rằng Stuxnet muốn phá hoại thiết bị mà bộ biến tần điều khiển.
Chien thực hiện một tìm kiếm trực tuyến và phát hiện ra rằng các bộ biến tần hoạt động trên 600Hz nằm trong diện kiểm soát xuất khẩu của Tiểu ban Điều hành Hạt nhân (Nuclear Regulatory Commission) của Mỹ.
“Chúng tôi chợt nhận ra, những thứ này, với tần số này, có thể được dùng để làm giàu Uranium,” Chien hồi tưởng. Langner đã đơn độc đánh giá rằng Stuxnet nhằm vào các ống ly tâm, nhưng giờ thì Symantec có bằng chứng vững chắc ủng hộ giả thuyết này.
Tới lúc này, Chien nói, “Chúng tôi không thể loại bỏ ý niệm về việc có một diễn biến địa chính trị lớn đang xảy ra. Ai ai cũng đều băn khoăn … Liệu mình có muốn tên tuổi bản thân dính dáng tới việc này? ”
Ngay từ đầu, mỗi khi họ đạt các bước tiến quan trọng, họ đều bàn xem liệu họ nên phát hành thông tin dưới dạng nặc danh hay thậm chí giấu nhẹm tất cả. Nhưng cuối cùng thì họ luôn ngả về hướng công bố do nghĩ rằng công chúng càng có nhiều thông tin thì họ càng có cơ hội bảo vệ bản thân trước những cuộc tấn công ăn theo chắc chắn sẽ xảy ra.
Điều đáng nói là không một ai trong giới điều hành công ty ngăn trở họ tiếp tục làm việc trên Stuxnet hay kiểm duyệt các thông tin họ công bố. “Kể cả tới lúc này chúng tôi chưa bao giờ phải nhờ tới luật sư,” Chien nói. Công ty này nhìn vấn đề theo hướng “Vụ việc này là một mối nguy, làm ảnh hưởng tới công chúng, chúng ta phải xem xét kỹ. Tôi nghĩ là đây là điểm mấu chốt đối với chúng tôi, bất kể đối mặt với điều gì,” anh nói.
Tuy vậy, O Murchu cho rằng có một giới hạn mà tại đó công ty của họ có thể sẽ kiểm duyệt các thông tin họ khám phá được. “Nếu một lúc nào đó chúng tôi có cơ sở khẳng định 100% danh tính của những kẻ chủ mưu, tôi nghĩ là sẽ có những cuộc thảo luận nghiêm túc về việc [công bố các thông tin] đó,” anh nói.
Thực tế thì Symantec có lược bỏ vài chi tiết gây tranh cãi. Đầu tiên là một dấu hiệu lây nhiễm các chuyên gia tìm thấy trong Stuxnet. Khi Stuxnet mới xâm nhập vào một hệ thống, nó kiểm tra registry* của Windows xem có con số 19790509 không. Nếu có, Stuxnet sẽ bỏ qua hệ thống và không lây nhiễm nữa – tương tự như dấu máu dê trên khung cửa các căn nhà của người Do Thái trong thời Ai Cập cổ đại để xua đuổi dịch Cái chết của Trẻ sơ sinh (Death of the Firstborn).
Kỹ thuật này không hề mới. Symantec đã thấy các “giá trị miễn nhiễm” trong các mã độc khác. Tin tặc đặt những giá trị này trong các khóa registry trên máy của họ để tránh virus họ tạo ra không lây nhiễm vào chính máy của mình.
Thế nhưng, trong trường hợp này, các chuyên gia nhận thấy con số này có vẻ là một ngày – ngày 5 tháng 9 năm 1979 – gợi ý rằng nó chỉ tới ngày một doanh nhân Iran gốc Do Thái tên là Habib Elghanian bị xử bắn ở Tehran. Vụ hành hình này có ý nghĩa trong lịch sử Do Thái vì xét cho cùng thì nó là khởi đầu của một cuộc di dân quy mô lớn của người Do Thái ra khỏi quốc gia này.
Ngoài ra còn có một từ “myrtus” có mặt trong một đường dẫn của một tập tin mà những kẻ tấn công đặt trong một trình điều khiển của Stuxnet. Đường dẫn này – b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb – thể hiện vị trí mà các tác giả của Stuxnet lưu tập tin này trong khi đang phát triển virus này. Chuyện lập trình viên quên xóa bỏ những đầu mối thông tin như thế này khi phát động tấn công cũng không phải là hiếm.
Trong trường hợp này thì những cái tên “guava” (quả/cây ổi) và “myrtus” là các manh mối có thể dùng để xác định danh tính của các tác giả của Stuxnet. “Myrtus” là một họ thực vật có bao gồm cả cây ổi, vì vậy có thể là các tác giả của Stuxnet có tình yêu cây cỏ. Hoặc “myrtus” có nghĩa ẩn là MyRTUs – thiết bị RTU (remote terminal unit) có nguyên lý hoạt động tương tự như các PLC. Symantec có đề cập tới cả hai khả năng này, ngoài ra họ còn chỉ ra rằng “myrtus” có thể là một ám hiệu chỉ Hoàng hậu Eshter, một bà hoàng Do Thái trong thời đế quốc Ba Tư cổ đại, người mà theo như sử sách từ thế kỷ thứ 4 trước công nguyên, đã cứu người Do Thái Ba Tư thoát khỏi họa thảm sát. Tên tiếng Hêbrơ của bà hoàng này là Hadassah có nghĩa là cây sim, một cây thuộc họ myrtus. Dĩ nhiên là sự nghi ngờ ngày càng tăng cao rằng chính quyền Israel và Mỹ đứng đằng sau Stuxnet và dùng virus này để thay cho việc không kích nhà máy hạt nhân của Iran.
Chắc rằng các chuyên gia cũng không hề bất ngờ khi biết công việc của mình gây sự chú ý từ phía các tổ chức chính phủ, trong và ngoài nước Mỹ và bắt đầu yêu cầu giải trình những điều họ đã khám phá. Symantec tổng hợp thông tin vào một bản thuyết trình PowerPoint dành cho Bộ An ninh Nội địa (Department of Homeland Security), Bộ Quốc phòng(Defense Department), Bộ Năng lượng (Department of Energy), và Cục Điều tra Liên bang (Federal Bureau of Investigation) để đáp ứng yêu cầu này. “Tôi nói đùa là họ đã biết trước hết các câu trả lời rồi còn gì,” Chien nói. Được hỏi liệu có ai từ Cơ quan An ninh Quốc gia (National Security Agency – NSA) hay Cơ quan Tình báo Trung ương (Central Intelligence Agency – CIA) tham dự các buổi thuyết trình không, anh mỉm cười. “Nếu chúng tôi có giải trình cho NSA, chúng tôi cũng chẳng biết, đúng không?”
Hệ quả chính trị từ công việc của họ còn rõ rệt hơn nữa khi hai tuần sau khi họ công bố các chi tiết về bộ biến đổi tần số, hai nhà khoa học về năng lượng hạt nhân của Iran đồng thời bị những kẻ ám sát đi xe máy tấn công ngay tại Tehran. Vào một buổi sáng thứ hai trong lúc hai người này đang trên đường đi làm, ở hai phần khác nhau của thành phố thì những kẻ ám sát tạt xe máy lại gần ô tô của họ và gắn bom lên xe rồi cho phát nổ. Majid Shahriari, nhà khoa học hàng đầu và là nhà quản lý cấp cao của chương trình hạt nhân của Iran, tử vong. Fereydoun Abassi, chuyên gia trong lĩnh vực phân tách đồng vị, có vai trò rất quan trọng trong sản xuất năng lượng hạt nhân, thì bị thương. Iran cáo buộc Mossad, tổ chức tình báo của Israel, đứng sau những vụ tấn công này.
Dù cho các chuyên gia an ninh máy tính không thực sự tin rằng mạng sống của họ bị đe dọa khi vạch trần Stuxnet, nhưng họ vẫn nửa đùa nửa lo khi họ hồi tưởng lại những nỗi ám ảnh hay những lời đùa dại trong những lần họ trò chuyện vào thời kỳ này. O Murchu bắt đầu nhận thấy có tiếng lách cách rất lạ phát ra từ máy điện thoại của anh, và vào một ngày thứ sáu anh bảo Chien và Falliere, “Nếu thứ Hai có tin tôi tự tử chết, tôi chỉ muốn nhắc các bạn là, tôi không phải kiểu người muốn tự vẫn đâu nhé.”
Hôm họ biết tin về vụ ám sát ở Tehran, Chien nói đùa với đồng nghiệp là nếu có một chiếc xe máy tiến tới gần ô tô của anh, anh sẽ nhanh tay quẹo lái ô tô cắt đuôi ngay. Hôm đó, trên đường về nhà, khi dừng xe ở giao lộ đầu tiên, anh run bắn mất một lúc khi nhìn gương chiếu hậu thấy một chiếc xe máy đỗ phía sau xe mình.
*Registry là một cơ sở dữ liệu dùng để lưu trữ thông tin về những sự thay đổi, những lựa chọn, những cấu hình từ người sử dụng Windows. Registry bao gồm tất cả các thông tin về phần cứng, phần mềm, người sử dụng.
CHƯƠNG TÁM
Tổng thống Iran, Mahmoud Ahmadinejad, trong một chuyến thăm các ống ly tâm ở nhà máy Natanz. |
Những bằng chứng về Stuxnet mà Langner và Symantec khám phá ra chứng tỏ một cách đầy thuyết phục rằng virus này nhắm tới chương trình hạt nhân của Iran. Tuy nhiên, ngoài việc các kỹ thuật viên thay thế một số lượng lớn ống ly tâm ở Natanz vào đầu năm 2010, thì có rất ít bằng cứ chứng tỏ Natanz đúng là mục tiêu duy nhất hay việc virus này là tác nhân của các ống ly tâm bị thay thế.
Thông cáo duy nhất từ phía Iran về virus này có đề cập sơ lược rằng Stuxnet đã lây nhiễm vào các máy tính cá nhân của các nhân viên làm việc tại nhà máy ở Bushehr, nhưng các máy tính dùng để vận hành nhà máy này cũng như các nhà máy khác đều không bị ảnh hưởng.
Sau đó, vào ngày 23/11, Ali Akbar Salehi, người đứng đầu Tổ chức Năng lượng Hạt nhân của Iran, đề cập, có lẽ là lần đầu tiên xác nhận rằng virus này đã xâm nhập vào các nhà máy hạt nhân của nước này. “Hơn một năm trước, Phương Tây đã truyền virus vào các nhà máy hạt nhân của chúng ta,” ông nói với một nhà báo Iran, nhưng không đề cập tên của virus. Tuy vậy, ông hạ thấp mức độ thành công của virus này, và đáng giá rằng các nhân viên mẫm cán của họ đã nhanh chóng phát hiện virus từ sớm và ngăn chặn nó phá hoại thiết bị.
Tuy nhiên, sáu ngày sau, như để chế nhạo tuyên bố của Salehi và khả năng phòng vệ chương trình hạt nhân của họ, những kẻ ám sát đi xe máy tấn công hai nhà khoa học về hạt nhân của Iran. Trong một buổi họp báo diễn ra vào hôm đó, Tổng thống Iran Mahmoud Ahmadinejad dường như có nhắc tới virus mà Salehi đã đề cập tới trước đó, đồng thời phủ nhận Salehi khi ông cho biết “những kẻ thù” của đất nước này đã dùng một virus máy tính để phá hoại các ống ly tâm của Iran. “Chúng thành công trong việc phá rối các ống ly tâm của chúng ta bằng một phần mềm chúng cài đặt trong các bộ phận điện tử,” ông nói mà không chỉ đích danh Stuxnet hay nhà máy bị tấn công.
Rồi tiếp sau đó, David Albright làm việc tại Viện Khoa học và An ninh Quốc tế (Institute for Science and International Security), một người theo dõi sát sao chương trình hạt nhân của Iran, cung cấp một mẩu thông tin tối quan trọng liên kết Natanz và Stuxnet.
Sau khi đọc các bài viết của Langner và nhóm chuyên gia của Symantec, tháng 12, Albright tiết lộ rằng tần số hoạt động chỉ định của các ống ly tâm tại Natanz là 1064Hz – chính là tần số Stuxnet phục hồi lại các bộ biến đổi tần số sau khi tấn công bằng cách buộc chúng hoạt động ở cận cao hoặc thấp của giải tần số. Albright còn phát hiện ra một sự trùng hợp khác nữa. Dữ liệu của Stuxnet cho biết nó nhắm tới các nhóm có 164 ống ly tâm; Albright chỉ ra rằng mỗi chuỗi nối tiếp để làm giàu Uranium ở Natanz có đúng 164 ống ly tâm.
Bí mật về mục tiêu của Stuxnet và các ống ly tâm bị hỏng, xem ra đã được hóa giải/làm sáng tỏ.
Đã một năm kể từ khi các nhân viên điều tra của IAEA lần đầu tiên thấy các ống ly tâm biến mất ở Natanz, cuối cùng thì họ cũng có câu trả lời cho hầu hết những gì đã diễn ra. Tuy nhiên, vẫn còn một câu hỏi hiển hiện. Liệu Stuxnet có đạt được mục đích của nó?
Nếu mục đích của virus này là phá hủy các ống ly tâm của Iran và làm tê liệt khả năng sản xuất vũ khí hạt nhân của nước này thì mọi người đều đồng ý là nó đã thất bại. Một vụ tấn công quân sự thực sẽ có hiệu quả cao hơn nhiều, nhưng dĩ nhiên là thiếu kín đáo và có nhiều bất lợi về chính trị. Nhưng nếu nó chỉ có chủ định đơn giản là làm trễ và gieo giắc sự bất an về chương trình hạt nhân của Iran, thì có vẻ như nó thành công, trong một giai đoạn ngắn.
Đầu năm nay [2011], người đứng đầu nhưng đang chuẩn bị thôi chức của Mossad, cơ quan mật vụ của Israel, cho biết các sự cố không xác định được đã đẩy lui khả năng sản xuất vũ khí hạt nhân của Iran tới năm 2015. Ngoại trưởng Mỹ, Hillary Clinton, cũng cho biết rằng chương trình hạt nhân của Iran đã “chậm lại,” nhưng nói thêm “Chúng ta còn thời gian. Nhưng không nhiều.” Albright đã chỉ ra rằng Iran chỉ có đủ nguyên vật liệu để chế tạo từ 12000 tới 15000 ống ly tâm, và nếu 1000 tới 2000 bị phá hủy thì sẽ đẩy nhanh tốc độ tiêu thụ của nguồn dự trữ này.
Tuy nhiên, tổ chức của ông này cũng như những tổ chức quan sát khác cũng đồng thời nêu rõ rằng sau khi thay thế hết số ống ly tâm này, Iran đã đẩy mạnh chương trình làm giàu Uranium và tổng sản lượng Uranium của nước này thực chất đã tăng trong năm 2010, bất chấp các hệ quả mà Stuxnet có thể đã gây ra.
Phát triển một virus phức tạp như Stuxnet cần một nguồn lực rất lớn, nhưng tỷ lệ chi phí-hiệu quả của nó vẫn còn là một câu hỏi chưa có lời giải. Trong khi nó khiến cho chương trình hạt nhân của Iran phần nào bị chậm lại, nó còn làm thay đổi bộ mặt của các hình thức tấn công mạng. Các tác giả của Stuxnet đã vạch ra một mặt trận mới để những kẻ tấn công khác theo đuổi; và mục tiêu phá hoại tiếp theo rất có thể là nhà máy hạt nhân của Mỹ.
Không ai dự đoán được Stuxnet sẽ làm được gì nếu VirusBlockAda không phát hiện ra nó hơn một năm về trước. Phần mã của virus này có chứa một chuỗi lệnh tấn công mà theo các chuyên gia chưa bao giờ được kích hoạt trong các phiên bản đã tìm thấy của virus này. Có vẻ như những kẻ tấn công vẫn đang tiếp tục phát triển mã của nó khi bị phát hiện.
Nhiều khả năng chúng không có cơ hội để thực hiện tấn công bằng vũ khí này một lần nữa. Langner gọi Stuxnet là vũ khí dùng một lần. Một khi đã bị phát hiện, những kẻ tấn công sẽ không thể sử dụng nó hay các vũ khí khác với thủ đoạn tương tự mà tránh khỏi sự nghi ngờ ngay lập tức của Iran về việc thiết bị của họ đang hoạt động bất thường.
“Những kẻ tấn công phải giả định rằng nạn nhân không hề có hiểu biết gì về an ninh máy tính, và không có bên thứ ba độc lập nào phân tích thành công virus này và công bố kết quả phân tích từ sớm, do đó giúp nạn nhân có cơ hội hóa giải vũ khí này kịp thời,” Langner nói.
Kết cục thì các tác giả của Stuxnet đầu tư hàng năm và có lẽ hàng trăm nghìn Đô la để phát triển nó, chỉ để bị phá hỏng bởi một chiếc máy tính bị tự động khởi động lại, ba chuyên gia máy tính không có chút hiểu biết gì về ống ly tâm, và một gã người Đức ăn nói xấc xược, người mà tư gia còn thậm chí không có kết nối Internet.
Với tất cả những nỗ lực giải mã Stuxnet, vẫn còn một số bí ẩn chưa được giải thích – hai tập tin nhỏ được mã hóa mà các chuyên gia chưa thể phá mã. Một tập tin có kích cỡ là 90 byte, được sao chép vào mọi hệ thống bị Stuxnet lây nhiễm. Tập tin còn lại có dung lượng là 24 byte, được sao chép vào các máy có Step7 khi tập tin DLL độc của Stuxnet được cài đặt. Hai tập tin này có thể có chứa những manh mối khác về mục đích hay xuất xứ của Stuxnet, nhưng chúng ta có thể không bao giờ khám phá ra được. Các chuyên gia của Symantec đã nhiều lần thử phá mã chúng, nhưng họ chưa một lần thành công.
Nhìn lại chặng đường hơn một năm phá mã Stuxnet, Langner coi nó có ý nghĩa tạo dựng cả sự nghiệp. ”Chúng tôi nhận ra rằng đây là câu chuyện về mã độc quan trọng nhất từ trước tới nay. Đây là công việc thú vị nhất mà tôi từng làm.”
Tham khảo chuyenmuccongnghe