Nguy cơ xuất hiện Stuxnet thứ hai

Mã độc mới có tên “Duqu” rất giống với Stuxnet, loại vũ khí ảo làm hỏng các máy ly tâm hạt nhân của Iran bằng cách khiến chúng quay không theo kiểm soát.

Loại malware này được đặt tên Duqu vì nó tạo ra các tập tin có tiền tố “DQ”. Khoảng một nửa số mã được tìm thấy trong Duqu là sử dụng lại từ Stuxnet, nên có thể malware này cùng tác giả với Stuxnet hoặc do những người khai thác Stuxnet viết ra.

Theo bài đăng trên blog của hãng bảo mật Symantec, loại malware mới này “về cơ bản là tiền thân của một vụ tấn công giống Stuxnet trong tương lai”.

Tuy nhiên, các nhà nghiên cứu Symantec cho biết loại malware mới có cách thức khác Stuxnet: Thay vì gây thiệt hại, nó được thiết kế để theo dõi người dùng bằng cách ghi lại thao tác gõ bàn phím và đánh cắp các tệp tin để làm cơ sở cho một cuộc tấn công ảo nhằm vào hệ thống điều khiển công nghiệp, một thuật ngữ được dùng để miêu tả các cơ sở xử lý nước, nhà máy điện và các nhà máy.

Tác giả của Duqu có thể giả mạo phần mềm hợp pháp bằng cách lấy cắp chứng chỉ xác thực của các công ty đáng tin cậy và giống Stuxnet, Duqu lấy cắp chứng chỉ của một công ty Đài Loan.

Kể từ tháng 12/2010 tới nay, Duqu đã tấn công một số tổ chức. Tuy nhiên, các nhà nghiên cứu còn tìm thấy thêm hai biến thể của loại malware này, gây nghi ngờ hành vi gián điệp ảo còn diễn ra xa hơn những gì họ nắm được hiện nay. Blog của Symantec cho rằng: “Có thể có những cuộc tấn công khác đang được thực hiện chống lại các tổ chức theo cách thức tương tự bằng những biến thể mà hiện giờ chúng ta chưa phát hiện ra.”

Các nhà nghiên cứu cho biết họ vẫn còn một số câu hỏi chưa thể trả lời, ví dụ như ai đứng đằng sau Duqu và tại sao họ lại thu thập thông tin từ các hệ thống điều khiển công nghiệp.