Được nhận diện là một nguy cơ bảo mật bùng nổ cách đây hơn 4 năm, sâu máy tính Stuxnet có cơ chế hoạt động cực kì phức tạp, rất nguy hiểm. Stuxnet đã gây nên một mối lo ngại rất lớn, chúng được sử dụng để phá hoại sản xuất chứ không chỉ dùng cho mục đích thăm dò hay đánh cắp thông tin nữa.
Cho đến thời điểm hiện tại vẫn còn nhiều bí ẩn xoay quanh câu chuyện này. Một câu hỏi lớn được đặt ra là: Mục tiêu hoạt động chính xác của Stuxnet là gì? Sau khi phân tích hơn 2.000 tập tin Stuxnet thu thập được trong khoảng thời gian hai năm, các nhà nghiên cứu của Kaspersky Lab có thể xác định nạn nhân đầu tiên của sâu độc hại này.
Tất cả 5 tổ chức bị tấn công đang làm việc trong lĩnh vực ICS ở Iran, phát triển ICS hoặc cung cấp vật liệu và các bộ phận. Tổ chức thứ 5 bị tấn công là hấp dẫn nhất bởi vì bên cạnh việc sản xuất các sản phẩm tự động hóa công nghiệp, tổ chức này còn tạo ra máy ly tâm làm giàu uranium. Điều này đã xác định chính xác loại thiết bị được cho là mục tiêu của Stuxnet.
Rõ ràng, những kẻ tấn công hy vọng rằng các tổ chức này sẽ trao đổi dữ liệu với các khách hàng của họ – chẳng hạn như cơ sở làm giàu uranium – điều này sẽ giúp chúng cài được phần mềm độc hại vào bên trong các cơ sở mục tiêu. Kết quả cho thấy kế hoạch này của chúng đã thực sự thành công.
Alexander Gostev, trưởng nhóm chuyên gia bảo mật tại Kaspersky Lab, cho biết: “Việc phân tích các hoạt động chuyên nghiệp của các tổ chức là nạn nhân đầu tiên của Stuxnet cho chúng ta một sự hiểu biết tốt hơn về cách mà toàn bộ các hoạt động đã được lên kế hoạch. Giống như một vector tấn công các dây chuyền cung ứng, nơi mà phần mềm độc hại phát tán đến tổ chức mục tiêu một cách gián tiếp thông qua mạng lưới các đối tác có thể làm việc với tổ chức đó”.
Các chuyên gia Kaspersky Lab đã thực hiện một khám phá thú vị rằng sâu Stuxnet không chỉ lây nhiễm qua thẻ nhớ USB được cắm vào máy tính, nhưng lây nhiễm qua đâu thì hiện vẫn chưa được phát hiện ra. Dữ liệu thu thập được khi phân tích các cuộc tấn công cho thấy mẫu sâu đầu tiên (Stuxnet.a) đã được biên soạn chỉ vài giờ trước khi nó xuất hiện trên một máy tính trong cuộc tấn công đầu tiên. Thời gian biểu chặt chẽ này làm cho chúng ta khó có thể tưởng tượng rằng một kẻ tấn công tạo ra mẫu và đặt nó trên một thẻ nhớ USB, cũng như phát tán nó đến tổ chức mục tiêu chỉ trong vài giờ. Đó là lý do để giả định rằng trong trường hợp này những người đứng sau Stuxnet sử dụng các kỹ thuật khác thay vì lây nhiễm qua USB.
