Vũ khí độc của Mossad: Virus Stuxnet

Trụ sở cơ quan tình báo nước ngoài của Israel, Mossad, là một khu liên hợp nằm trên một quả đồi, giao lộ trên đường cao tốc từ Tel Aviv đến Haifa. Nơi này được cách ly với thế giới bên ngoài bằng các bức tường cao và dây thép gai. Chính sách "không tiếp khách" của tổ chức này được nới lỏng vào một ngày thứ năm đầu tháng Giêng, khi một chiếc xe bus loại nhỏ cửa kính tối đen, đỗ ngay trong bãi gửi xe gần một rạp chiếu phim. Các phóng viên bên trong xe được yêu cầu giao nộp điện thoại di động và các thiết bị ghi âm.

Meir Dagan, người đứng đầu cơ quan quyền lực Mossad, đã mời họ đến thăm trụ sở này. Đó là ngày cuối cùng tại vị của ông sau 7 năm nắm quyền. Vào ngày hôm đó, các phóng viên được có mặt để ghi lại chi tiết "di sản" của ông: cuộc chiến của Mossad chống lại chương trình hạt nhân của Iran.

Dagan say mê nói về những nguy cơ mà một cuộc chiến quân sự có thể nổ ra chống lại Iran và tin rằng một cuộc tấn công như vậy có thể dẫn đến xung đột lớn trong khu vực, có thể dẫn đến cả cuộc chiến với Hezbollah và Hamas, và có thể cả Syria. Thật sai lầm khi tin rằng một cuộc chiến quân sự như vậy có thể ngăn chặn chương trình hạt nhân của Iran. Nó có thể làm chậm tiến trình, song chỉ tạm thời. Vì vậy, Thủ lĩnh cơ quan tình báo không đồng ý với chiến lược quân sự, mà ủng hộ bất cứ chính sách nào có thể ngăn chặn chương trình hạt nhân của Iran mà không phải châm ngòi một cuộc chiến thông thường.

Thủ lĩnh Mossad đã tạo ra một thứ vũ khí thần kỳ. Dù Dagan không nói chính xác tên của nó là Stuxnet nhưng tất cả mọi người trong phòng lúc đó đều biết. Stuxnet, một loại virus máy tính, có thể xâm nhập vào các máy tính an ninh cao, không kết nối với Internet - một điều tưởng như là không thể.

Virus này xuất hiện trong lĩnh vực chính trị toàn cầu hơn một năm trước, từ tháng 6/2010. Stuxnet đã tấn công phát lệnh tự hủy đối với các máy tính của cơ sở hạt nhân Natanz của Iran, nơi các nhà khoa học đang làm giàu uranium, và điều khiển các máy ly tâm. Một năm sau đó, hầu như không một cơ quan an ninh mạng hoặc chính phủ của một nước lớn nào lại không nhắc đến Stuxnet và hậu quả của nó. Để biết thêm về Stuxnet và hiểu rõ hơn đằng sau virus máy tính đó là gì, chúng ta hãy đến Israel - đất nước đã tạo ra thứ vũ khí ảo phi thường này.

Lần theo dấu vết

Chi nhánh của công ty an ninh mạng Symantec tại Israel được đặt tại Tel Aviv, 15 phút lái xe từ sân bay quốc tế Ben Gurion. Người đứng đầu chi nhánh này là Sam Angel đã tiếp đón các vị khách từ gara tầng hầm và đưa họ lên phòng họp trên tầng 4. Trong bài thuyết trình của mình, Angel cho biết: "Stuxnet là cuộc tấn công tinh vi nhất mà chúng tôi từng thấy. Tấn công vào một hệ thống công nghiệp lâu đời, và không kết nối với Internet, đúng là một điều thực sự hiếm thấy”. Ông chỉ trên bản đồ các nước hứng chịu cuộc tấn công này: Iran, Indonesia, Malaysia và Belarus.

Tổng thống Iran Mahmoud Ahmadinejad thăm cơ sở làm giàu Uranium ở Natanz, mục tiêu tấn công của Stuxnet.

Ulasen, người làm việc ở Viện Nghiên cứu và phát triển tại Công ty An ninh mạng VirusBlokAda tại Minsk, nhận được một "email" vào ngày 17/6/2010 của một công ty Iran phàn nàn rằng, những máy tính của họ liên tục tắt máy và khởi động lại. Ulasen và một đồng nghiệp đã mất một tuần để kiểm tra những máy tính đó. Sau đó họ phát hiện ra Stuxnet. VirusBlokAda đã thông báo với các công ty khác trong ngành, trong đó có Symantec.

Một kỹ sư tại Symantec đã phát hiện ra hai máy tính chỉ huy cuộc tấn công này. Một trong những server là ở Malaysia và một server khác ở Đan Mạch, cả hai server này đều truy cập vào được thông qua địa chỉ www.todaysfutbol.com và www.mypremierfutbol.com. Các địa chỉ này được đăng ký dưới cái tên giả, bằng thẻ tín dụng giả qua một trong những công ty đăng ký Internet lớn nhất thế giới có trụ sở tại Arizona, Mỹ. Symantec đã định tuyến lại liên lạc ra vào tại 2 server này để theo dõi hoạt động của virus.

Theo phân tích, Stuxnet đã lây nhiễm vào khoảng 100.000 máy tính trên thế giới, trong đó hơn 60.000 ở Iran, hơn 10.000 ở Indonesia và hơn 5.000 ở Ấn Độ. Stuxnet được lập trình, bước đầu báo cáo server chỉ huy và điều khiển liệu một máy tính bị nhiễm virus có đang chạy Step 7 - một chương trình phần mềm công nghiệp phát triển bởi công ty Siemens hay không? Được biết Step 7 được sử dụng để chạy các máy ly tâm tại cơ sở Natanz, Iran và mọi thứ ở đây được bảo vệ ở mức an ninh quân sự. Các máy ly tâm cao 1,8 m và bán kính 10 cm được bọc trong những boongke. Mục đích là dần dần tăng tỷ lệ uranium-235, một chất đồng vị của uranium. Quá trình được điều khiển bởi một hệ thống Siemens chạy hệ điều hành Microsoft Windows.

Các lỗ hổng an ninh và kế điệu hổ …

Stuxnet lợi dụng lỗ hổng trong Windows để thao tác với hệ thống. Với lỗi lập trình này, virus có thể vào được hệ thống qua đường các ổ USB. Ngay sau khi ổ này được kết nối với một máy tính trong hệ thống, việc cài đặt của virus diễn ra một cách âm thầm. Stuxnet lúc đầu tìm kiếm các chương trình diệt virus. Nó được thiết kế để phá hỏng các chương trình này, hoặc gỡ bỏ chúng. Bước thứ hai, Stuxnet trú ẩn trong một phần của hệ điều hành quản lý USB đó, và sẽ thiết lập các đặc số kiểm tra mà mục đích để làm gì hiện còn chưa rõ.

Việc lây nhiễm sẽ dừng lại khi tổng số kiểm tra đạt giá trị 19790509. Symantec suy đoán rằng, đó là một loại mã nào đó. Khi đọc ngược lại, con số này có thể biểu thị ngày 9/5/1979, ngày Habib Elghanian, một thương nhân Do Thái bị xử tử tại Tehran. Đây có phải là một sự trùng hợp không? Hay là một kế điệu hổ, nhằm đánh lạc hướng?

Theo thuật ngữ của giới chuyên môn, trong hệ điều hành Windows có những lỗ hổng an ninh được gọi là lỗ hổng zero-day, là những "lỗ hổng chưa có bản vá". Việc tìm ra những lỗ hổng đó vừa là một thách thức với hacker và cũng là một mô hình kinh doanh. Thậm chí còn tồn tại chợ đen, trong đó một lỗ hổng chưa được biết đến trước đó có thể có giá 100.000 USD hoặc hơn nữa. Stuxnet khai thác ít nhất là 4 lỗ hổng an ninh như vậy.

Chiến dịch của người Israel

Chắc chắn người viết ra  virus Stuxnet phải hiểu biết về hệ thống Siemens. Không có chợ đen nào bán những khai thác liên quan đến phần mềm Siemens, và phần mềm này cũng không được sử dụng rộng rãi lắm. Vậy làm thế nào mà Mossad lại có được thông tin về công nghệ sử dụng tại Natanz?

Cũng có những suy đoán rằng Mỹ có thể đã giúp Mossad trong vụ này. Có một viện nghiên cứu của Chính phủ Mỹ ở Idaho, nơi các nhà khoa học nghiên cứu công nghệ điều khiển Siemens được sử dụng ở Iran, nghiên cứu cơ bản về Stuxnet rất có thể đã diễn ra ở đó. Sau đó, virus này có thể đã được kiểm nghiệm ở Trung tâm nghiên cứu hạt nhân của Israel gần Dimona trên sa mạc Negev. Các nguồn tin Isarel cho rằng, một đơn vị cao cấp bí mật của cơ quan tình báo quân đội đã lập trình một đoạn mã, và các công việc còn lại là thuộc về Mossad. Nguồn này cũng cho biết, Mossad rõ ràng chịu trách nhiệm cho việc phát tán virus tới Natanz.

Chiến dịch chuẩn bị sẵn sàng từ mùa hè năm 2009. Những kẻ tấn công "thả" Stuxnet vào hồi 16h31' ngày 22/6/2009. Cuộc tấn công nhắm vào 5 tổ chức của Iran và được phát động làm 3 đợt. Cuộc đột kích thứ 2 diễn ra vào tháng 3/2010, giáng một đòn nặng nề vào Iran. Đợt tấn công thứ 3 diễn ra vào tháng 4.

Theo Symantec, các mục tiêu không có liên quan trực tiếp đến chương trình hạt nhân của Iran, song một số tổ chức mục tiêu nằm trong danh sách trừng phạt của Liên Hiệp Quốc. Khoảng 12.000 máy tính đã nhiễm virus, chỉ tính riêng trong 5 tổ chức này. Stuxnet được lập trình để tự phá hủy khỏi ổ USB sau lần lây nhiễm thứ 3 nhằm ngăn cản việc phát tán quá mạnh mẽ, có thể gây chú ý. Mục đích của loại vũ khí mạng này là nhằm phá hoại các mục tiêu một cách "bền vững" không phải là một cách ầm ĩ.

Một chiêu lừa đảo khác nhằm ngụy trang virus, đó là nó "trình ra" một chứng thư số (chứng thư số thường được phát hành trên Internet bởi các công ty nhằm chứng minh nguồn gốc và tính hợp pháp của mình). Các công ty Đài Loan, Realtek Semiconductor và JMicron Technology là một trong số những công ty phát hành những chứng thư số như vậy.

Vào tháng 1/2010, một phiên bản của Stuxnet xuất hiện và được ký với chứng thư số của Realtek, và sau đó là của Jmicron vào hồi tháng 7. Cả hai chứng thư số đều đã bị đánh cắp. Vụ đánh cắp này yêu cầu hoặc là một vụ đột nhập vật lý vào trụ sở của cả hai công ty, hoặc là cuộc tấn công mạng mà rất hiếm lập trình viên trên thế giới có thể thực hiện được, bởi những chứng thư số này được mã hóa và bảo đảm an ninh nghiêm ngặt.

Virus về cơ bản, đã thay đổi cách nhìn nhận về các cuộc tấn công mạng. Chính phủ Mỹ gần đây đã ban hành một học thuyết chiến tranh mạng mới, trong đó quy định, tấn công mạng được coi là một hành động chiến tranh thông thường. Năm ngoái, Chính phủ Anh áp dụng một chiến lược an ninh mới, thông qua một quỹ với giá trị 650 triệu bảng (1.070 triệu USD) cho chiến lược này. Thế giới ảo sẽ trở nên quan trọng hơn trong các xung đột giữa các quốc gia, Phó thủ tướng Israel, Dan Meridor, trong diễn thuyết tại Jerusalem vào tháng 2 cho biết.

Chưa từng thấy bất cứ thứ gì như Stuxnet

Hai thanh niên trẻ người Israel làm việc gián tiếp cho chính phủ đang ngồi trong một quán cà phê hiện đại tại Tel Aviv. Họ cười và nói rằng tấn công mạng là nghề của họ. Họ là một phần của nhóm hacker. Theo tin đồn ở Jerusalem và Tel Aviv, 2 người này đảm nhiệm một số công việc ngầm cho Mossad trong việc phát triển Stuxnet.  

"Người ta chưa từng chứng kiến điều gì như Stuxnet trước đây, trừ trên phim ảnh", một trong những hacker cho biết. "Và bây giờ họ có thể thấy đó là sự thực". Hầu hết các lỗ hổng đều đã được sử dụng trong các cuộc tấn công rồi, nhưng chưa bao giờ chúng được sử dụng cùng một lúc cả. Anh ta giải thích: Thách thức thực sự là thực hiện cuộc tấn công bằng một virus như Stuxnet chính là việc xâm nhập vào một hệ thống không kết nối với Internet.

Hai người thanh niên nhìn sự việc từ quan điểm của các hacker. "Việc khám phá ra Stuxnet là một cú nặng nề với chúng tôi bởi lẽ một phương pháp thành công đã bị tiết lộ". Các tác giả của Stuxnet rõ ràng đã lên nhiều kế hoạch cho sản phẩm của họ. Symantec đã phát hiện ra một phiên bản mới của Stuxnet, chứa nhiều mã phức tạp hơn và được thiết kế để nhắm đến công nghệ điều khiển hiện đại của Siemens, song chưa được kích hoạt. 

Mossad coi Stuxnet là một sự thành công lớn, so với việc bẻ khóa máy mã hóa Enigma của Đức trong Thế chiến thứ 2. Các quan chức thuộc chương trình hạt nhân Iran tin rằng, Stuxnet đã phá hủy khoảng 1.000 máy ly tâm và Iran phải thừa nhận là, chương trình hạt nhân của nước này đang bị chậm tiến độ. Chương trình này phải chịu một sự thiệt hại không gì so sánh nổi.

Cựu thủ lĩnh Mossad đã đạt được mục đích phá hoại chương trình hạt nhân mà không phải châm ngòi một cuộc chiến mới ở Trung Đông. Song Iran vẫn còn 8.000 máy ly tâm và các máy ly tâm hiện đại, thế hệ thứ 2 IR-2, được trang bị với các roto sợi carbon, có thể hoạt động trơn tru với tần suất 1.400 vòng/giây. Những chiếc máy này không bị ảnh hưởng bởi phiên bản hiện tại của Stuxnet