Duy Linh
Writer
Một chiến dịch gián điệp mạng mang tên Fast16 vừa được các chuyên gia an ninh mạng phân tích đã cho thấy mức độ tinh vi hiếm thấy của các cuộc tấn công mạng hiện đại. Thay vì đánh cắp dữ liệu hay phá hủy hệ thống trực tiếp, mã độc này được thiết kế để âm thầm làm sai lệch các mô phỏng liên quan đến vũ khí hạt nhân bằng cách chỉnh sửa dữ liệu nghiên cứu quan trọng.
Theo các nhà nghiên cứu, Fast16 không chỉ xâm nhập vào hệ thống mục tiêu mà còn can thiệp trực tiếp vào kết quả mô phỏng khoa học nhằm khiến các phép tính và đánh giá trở nên sai lệch.
Mã độc liên tục theo dõi các tham số mô phỏng và chỉ bắt đầu hoạt động khi mật độ vật liệu vượt mốc 30 g/cm³, ngưỡng liên quan đến uranium bị nén dưới áp suất cực lớn trong phản ứng nổ hạt nhân.
Trong báo cáo chia sẻ với GBhackers, Symantec cho biết Fast16 được phát triển chuyên biệt để can thiệp vào các mô phỏng nén uranium trong LS-DYNA và AUTODYN, hai công cụ mô phỏng vật lý thường được sử dụng để nghiên cứu vụ nổ và hành vi vật liệu.
Giới nghiên cứu nhận định mức độ hiểu biết của nhóm tấn công cho thấy chúng nắm rất rõ các quy trình vật lý hạt nhân cũng như cơ chế hoạt động của phần mềm mô phỏng.
Fast16 chủ yếu nhắm tới các mô hình thuốc nổ mạnh sử dụng những phương trình trạng thái EOS như Jones-Wilkins-Lee và Lee-Tarver, vốn là các mô hình phổ biến trong vật lý nổ.
Sau khi được cài cắm vào hệ thống, mã độc bắt đầu chỉnh sửa dữ liệu đầu ra theo nhiều cách khác nhau:
Đồ thị giả định so sánh giá trị bình thường với giá trị bị can thiệp (Nguồn: Symantec).
Các chuyên gia đưa ra ví dụ dễ hiểu: điều này giống như một chiếc đồng hồ tốc độ luôn báo xe chạy 40 km/h dù tốc độ thực tế là 100 km/h. Nếu kỹ sư dựa vào thông số sai đó để đưa ra quyết định, toàn bộ quá trình tính toán sẽ bị ảnh hưởng nghiêm trọng.
Điều này cho thấy nhóm đứng sau liên tục theo dõi các bản cập nhật phần mềm để duy trì khả năng phá hoại.
EOS là mô hình toán học mô tả sự thay đổi áp suất của vật liệu khi mật độ hoặc thể tích thay đổi do nén hoặc giãn nở. Fast16 lợi dụng chính cơ chế này để thao túng kết quả mô phỏng.
Kết quả kiểm tra bị làm giả ( Nguồn: Symantec).
Dữ liệu phân tích cho thấy mức sai lệch có thể rất lớn:
Quá trình cài đặt của Fast16 cũng rất kín đáo. Nó sử dụng trình điều khiển cấp nhân để chặn tập tin thực thi, chèn mã độc trong quá trình tải ứng dụng và duy trì hoạt động thông qua các thủ thuật Registry Windows như chiếm quyền IFEO. Đồng thời, mã độc còn chủ động né tránh những hệ thống đã cài sẵn các công cụ bảo mật phổ biến.
Theo giới chuyên gia, Fast16 là một dạng vũ khí mạng hiếm gặp vì mục tiêu của nó không phải đánh cắp dữ liệu mà là phá hoại độ chính xác của nghiên cứu khoa học.
Bằng cách làm sai lệch kết quả mô phỏng, Fast16 có thể khiến quá trình phát triển vũ khí hạt nhân bị trì hoãn hoặc thất bại mà không tạo ra dấu hiệu cảnh báo rõ ràng.
Nhiều chuyên gia so sánh Fast16 với Stuxnet, tuy nhiên cho rằng mã độc này có thể đã xuất hiện sớm hơn vài năm, với một số thành phần được phát triển từ khoảng năm 2005. Chính sự kết hợp giữa kỹ thuật phần mềm cấp cao và kiến thức vật lý chuyên sâu đã khiến Fast16 trở nên khác biệt so với phần lớn mã độc từng được phát hiện.
Các tổ chức vận hành hệ thống mô phỏng nhạy cảm được khuyến nghị tăng cường giám sát trình điều khiển nhân hệ điều hành, đặc biệt là các driver không rõ nguồn gốc hoặc không có chữ ký số; kiểm soát chặt chẽ các tập tin thực thi; triển khai các giải pháp EDR; đồng thời thường xuyên đối chiếu kết quả mô phỏng với các mô hình độc lập để phát hiện dấu hiệu bất thường.
Fast16 cho thấy các cuộc tấn công mạng hiện đại đã bước sang cấp độ mới, nơi tin tặc không chỉ nhắm vào dữ liệu mà còn tìm cách âm thầm thay đổi chính kết quả khoa học và nhận thức của con người.
Theo các nhà nghiên cứu, Fast16 không chỉ xâm nhập vào hệ thống mục tiêu mà còn can thiệp trực tiếp vào kết quả mô phỏng khoa học nhằm khiến các phép tính và đánh giá trở nên sai lệch.
Fast16 can thiệp trực tiếp vào mô phỏng uranium
Điểm đặc biệt của Fast16 nằm ở cơ chế “hooking” có tính chọn lọc rất cao, cho phép mã độc thay đổi hoạt động của phần mềm trong thời gian thực. Không giống các loại malware truyền thống gây phá hoại hàng loạt, Fast16 chỉ kích hoạt khi xuất hiện những điều kiện cụ thể liên quan tới mô phỏng nổ hạt nhân.Mã độc liên tục theo dõi các tham số mô phỏng và chỉ bắt đầu hoạt động khi mật độ vật liệu vượt mốc 30 g/cm³, ngưỡng liên quan đến uranium bị nén dưới áp suất cực lớn trong phản ứng nổ hạt nhân.
Trong báo cáo chia sẻ với GBhackers, Symantec cho biết Fast16 được phát triển chuyên biệt để can thiệp vào các mô phỏng nén uranium trong LS-DYNA và AUTODYN, hai công cụ mô phỏng vật lý thường được sử dụng để nghiên cứu vụ nổ và hành vi vật liệu.
Giới nghiên cứu nhận định mức độ hiểu biết của nhóm tấn công cho thấy chúng nắm rất rõ các quy trình vật lý hạt nhân cũng như cơ chế hoạt động của phần mềm mô phỏng.
Fast16 chủ yếu nhắm tới các mô hình thuốc nổ mạnh sử dụng những phương trình trạng thái EOS như Jones-Wilkins-Lee và Lee-Tarver, vốn là các mô hình phổ biến trong vật lý nổ.
Sau khi được cài cắm vào hệ thống, mã độc bắt đầu chỉnh sửa dữ liệu đầu ra theo nhiều cách khác nhau:
- Cơ chế A khiến giá trị tính toán giảm xuống chỉ còn khoảng 10% giá trị thực khi đạt ngưỡng xác định.
Đồ thị giả định so sánh giá trị bình thường với giá trị bị can thiệp (Nguồn: Symantec).
- Cơ chế B tác động tới các giá trị tenxơ ứng suất trong LS-DYNA, kéo chúng giảm dần xuống mức thấp nhất chỉ còn 1% ở điều kiện mật độ cao.
- Cơ chế C ảnh hưởng tới mô phỏng AUTODYN, làm giảm kết quả áp suất từ 8% đến 42% tùy phiên bản phần mềm và tham số sử dụng.
Các chuyên gia đưa ra ví dụ dễ hiểu: điều này giống như một chiếc đồng hồ tốc độ luôn báo xe chạy 40 km/h dù tốc độ thực tế là 100 km/h. Nếu kỹ sư dựa vào thông số sai đó để đưa ra quyết định, toàn bộ quá trình tính toán sẽ bị ảnh hưởng nghiêm trọng.
Một dạng vũ khí mạng tương tự Stuxnet
Các dấu vết điều tra cho thấy Fast16 không phải công cụ được sử dụng trong thời gian ngắn. Nhóm nghiên cứu phát hiện khoảng 10 biến thể khác nhau của mã độc, mỗi phiên bản được tùy chỉnh riêng cho từng phiên bản LS-DYNA và AUTODYN.Điều này cho thấy nhóm đứng sau liên tục theo dõi các bản cập nhật phần mềm để duy trì khả năng phá hoại.
EOS là mô hình toán học mô tả sự thay đổi áp suất của vật liệu khi mật độ hoặc thể tích thay đổi do nén hoặc giãn nở. Fast16 lợi dụng chính cơ chế này để thao túng kết quả mô phỏng.
Kết quả kiểm tra bị làm giả ( Nguồn: Symantec).
Dữ liệu phân tích cho thấy mức sai lệch có thể rất lớn:
- Từ 30 g/cm³ lên 60 g/cm³: sai lệch tới 42%
- Từ 30 g/cm³ lên 40 g/cm³: sai lệch 10%
- Từ 30 g/cm³ lên 47 g/cm³: sai lệch 10%
- Từ 30 g/cm³ lên 48 g/cm³: sai lệch 8%
Quá trình cài đặt của Fast16 cũng rất kín đáo. Nó sử dụng trình điều khiển cấp nhân để chặn tập tin thực thi, chèn mã độc trong quá trình tải ứng dụng và duy trì hoạt động thông qua các thủ thuật Registry Windows như chiếm quyền IFEO. Đồng thời, mã độc còn chủ động né tránh những hệ thống đã cài sẵn các công cụ bảo mật phổ biến.
Theo giới chuyên gia, Fast16 là một dạng vũ khí mạng hiếm gặp vì mục tiêu của nó không phải đánh cắp dữ liệu mà là phá hoại độ chính xác của nghiên cứu khoa học.
Bằng cách làm sai lệch kết quả mô phỏng, Fast16 có thể khiến quá trình phát triển vũ khí hạt nhân bị trì hoãn hoặc thất bại mà không tạo ra dấu hiệu cảnh báo rõ ràng.
Nhiều chuyên gia so sánh Fast16 với Stuxnet, tuy nhiên cho rằng mã độc này có thể đã xuất hiện sớm hơn vài năm, với một số thành phần được phát triển từ khoảng năm 2005. Chính sự kết hợp giữa kỹ thuật phần mềm cấp cao và kiến thức vật lý chuyên sâu đã khiến Fast16 trở nên khác biệt so với phần lớn mã độc từng được phát hiện.
Các tổ chức vận hành hệ thống mô phỏng nhạy cảm được khuyến nghị tăng cường giám sát trình điều khiển nhân hệ điều hành, đặc biệt là các driver không rõ nguồn gốc hoặc không có chữ ký số; kiểm soát chặt chẽ các tập tin thực thi; triển khai các giải pháp EDR; đồng thời thường xuyên đối chiếu kết quả mô phỏng với các mô hình độc lập để phát hiện dấu hiệu bất thường.
Fast16 cho thấy các cuộc tấn công mạng hiện đại đã bước sang cấp độ mới, nơi tin tặc không chỉ nhắm vào dữ liệu mà còn tìm cách âm thầm thay đổi chính kết quả khoa học và nhận thức của con người.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
