NHỮNG CHIẾC MÁY GÂY LO LẮNG
Vào tháng 1/2010, các thanh tra viên của Cơ quan Năng lượng Nguyên tử Quốc tế đến thăm nhà máy làm giàu uranium Natanz ở Iran đã nhận thấy rằng các máy ly tâm được sử dụng để làm giàu khí uranium đang bị hỏng ở tốc độ chưa từng có. Nguyên nhân hoàn toàn là một bí ẩn - dường như là do các kỹ thuật viên Iran làm nhiệm vụ thay thế máy li tâm, hoặc do các thanh tra viên quan sát cơ sở.
Năm tháng sau, một sự kiện dường như không liên quan đã xảy ra. Một công ty bảo mật máy tính ở Belarus đã được gọi đến để khắc phục sự cố cho một loạt máy tính ở Iran bị sập và khởi động lại liên tục. Một lần nữa, nguyên nhân của vấn đề vẫn là một bí ẩn, cho đến khi các nhà nghiên cứu của công ty an ninh mạng Symantec tìm thấy một số tệp độc hại trên một trong các hệ thống và phát hiện ra loại vũ khí kỹ thuật số đầu tiên trên thế giới.
Ảnh vệ tinh do Space Imaging chụp cơ sở hạt nhân Natanz của Iran vào năm 2014. Ảnh: Wired
Stuxnet, tên gọi của loại vũ khí này, không giống bất kỳ loại virus hoặc sâu máy tính nào khác từng xuất hiện trước đó. Thay vì chỉ chiếm đoạt máy tính mục tiêu hoặc đánh cắp thông tin từ chúng, nó đã thoát khỏi thế giới kỹ thuật số để phá hủy về vật lý đối với các thiết bị mà máy tính kiểm soát.
Cuốn sách “Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon” (Đếm ngược đến Ngày Không: Stuxnet và sự ra mắt của vũ khí kỹ thuật số đầu tiên trên thế giới), do biên tập viên cấp cao của tờ WIRED, Kim Zetter chấp bút, đã kể câu chuyện đằng sau quá trình lập kế hoạch, thực hiện và phát hiện ra Stuxnet.
Theo cuốn sách này, Stuxnet đã âm thầm phá hoại các máy ly tâm tại nhà máy Natanz của Iran trong khoảng một năm và cuối cùng đã gây ra những hậu quả nghiêm trọng.
Chương trình của Iran, vốn đã bị trì hoãn trong nhiều năm, đã bắt đầu hoạt động mạnh mẽ vào năm 1996, khi Iran bí mật mua một bộ bản thiết kế và các thành phần máy ly tâm từ nhà khoa học người Pakistan Abdul Qadeer Khan. Năm 2000, Iran đã khởi công xây dựng Natanz với kế hoạch xây dựng một cơ sở có thể chứa 50.000 máy ly tâm quay để làm giàu khí uranium.
Các cơ quan tình báo Israel và phương Tây đã bí mật theo dõi tiến độ tại Natanz trong hai năm tiếp theo, cho đến tháng 8/2002, khi một nhóm bất đồng chính kiến Iran công khai chương trình của Iran tại một cuộc họp báo ở Washington, D.C., bằng cách sử dụng thông tin do các cơ quan tình báo cung cấp. Các thanh tra viên của Cơ quan Năng lượng Nguyên tử Quốc tế, cơ quan của Liên hợp quốc giám sát các chương trình hạt nhân trên toàn thế giới, đã yêu cầu được tiếp cận cơ sở Natanz và rất lo lắng khi phát hiện ra rằng chương trình của Iran đã tiến triển xa hơn nhiều so với dự kiến.
Iran đã bị ép phải đồng ý dừng mọi hoạt động tại Natanz trong khi IAEA tìm cách thu thập thêm thông tin về chương trình hạt nhân và việc đình chỉ này tiếp tục trong suốt năm 2004 và hầu hết năm 2005. Nhưng chỉ là vấn đề thời gian trước khi các hoạt động tại Natanz lại tiếp tục, và CIA (Cục tình báo trưng ương Mỹ) cùng Mossad (Cơ quan tình báo đối ngoại Israel) được cho là muốn xâm nhập vào bên trong cơ sở này.
Một tâm điểm trong chương trình hạt nhân Iran là các máy ly tâm. Đó là những ống hình trụ lớn—được kết nối bằng các đường ống theo cấu hình được gọi là "thác" - quay với tốc độ siêu thanh, tách các đồng vị trong khí urani, để sử dụng trong các nhà máy điện hạt nhân và vũ khí. Vào thời điểm xảy ra các cuộc tấn công, mỗi thác tại Natanz chứa 164 máy ly tâm. Khí urani chảy qua các đường ống vào máy ly tâm theo một loạt các giai đoạn, được "làm giàu" hơn nữa ở mỗi giai đoạn của thác khi các đồng vị cần thiết cho phản ứng hạt nhân được tách ra khỏi các đồng vị khác và trở nên cô đặc.
Tổng thống Iran khi đó, Mahmoud Ahmadinejad đang thị sát các máy ly tâm tại nhà máy Natanz vào năm 2008. Ảnh: Văn phòng Tổng thống Iran/Wired
Tình báo Mỹ được cho là đã xây dựng một bản sao cơ sở hạt nhân của Iran tại cơ sở Oak Ridge ở tiểu bang Tennessee, nơi họ tỉ mỉ nghiên cứu các máy ly tâm để hiểu cách phá hoại chúng mà không bị phát hiện.
Năm 2007, phiên bản đầu tiên của Stuxnet đã được tung ra, nhắm vào các máy ly tâm này bằng cách ngăn chặn việc giải phóng áp suất qua các van, khiến khí uranium đông đặc và các máy ly tâm quay mất kiểm soát và cuối cùng tự hủy.
Ở lần tấn công đầu tiên này, những người đứng sau Stuxnet đã sử dụng gián điệp hoạt động dưới vỏ bọc một công ty đối tác của cơ sở hạt nhân Natanz. Trước mùa hè 2007, điệp viên được cho là người Hà Lan, vốn là một kỹ sự, đã vào được bên trong Natanz bằng cách đóng giả làm thợ máy. Công việc của anh ta không liên quan đến việc lắp đặt máy ly tâm, nhưng nó đã đưa anh ta đến nơi cần đến để thu thập thông tin cấu hình về các hệ thống ở đó.
Các nguồn tin không cung cấp thông tin chi tiết về thông tin mà điệp viên thu thập được, nhưng Stuxnet được cho là một cuộc tấn công chính xác chỉ có thể phát động phá hoại nếu tìm thấy cấu hình thiết bị và điều kiện mạng rất cụ thể. Sử dụng thông tin mà điệp viên cung cấp, bên tấn công có thể cập nhật mã và cung cấp một số độ chính xác đó. Theo điều tra sau này của Symantec, những kẻ tấn công đã cập nhật mã vào tháng 5/2006 và một lần nữa vào tháng 7/năm 2007, ngay khi Iran bắt đầu lắp đặt máy ly tâm tại Natanz. Họ thực hiện các thay đổi cuối cùng cho mã vào ngày 24/9/2007, sửa đổi các chức năng chính cần thiết để thực hiện cuộc tấn công và biên dịch mã vào ngày đó. Biên dịch mã là giai đoạn cuối cùng trước khi khởi chạy.
Mã này được thiết kế để đóng van thoát trên một số lượng máy ly tâm ngẫu nhiên để khí có thể đi vào nhưng không thể thoát ra ngoài. Điều này nhằm mục đích tăng áp suất bên trong máy ly tâm và gây hư hỏng theo thời gian cũng như lãng phí khí.
Phiên bản Stuxnet này chỉ có một cách lây lan — thông qua ổ đĩa flash USB. Các kỹ sư tại Natanz đã lập trình các hệ thống điều khiển bằng mã được tải vào ổ đĩa flash USB, vì vậy, kẻ gian đã tự mình cài đặt mã bằng cách cắm USB vào các hệ thống điều khiển hoặc anh ta đã lây nhiễm hệ thống của một kỹ sư Iran, sau đó người này vô tình phát tán Stuxnet khi lập trình các hệ thống điều khiển bằng ổ USB.
Sau khi hoàn thành, điệp viên không quay lại Natanz nữa, nhưng phần mềm độc hại đã phát huy tác dụng phá hoại của nó trong suốt năm 2008.
Mặc dù có hiệu quả, các phiên bản ban đầu của Stuxnet chỉ làm chậm tiến độ của Iran và không phá hoại hoàn toàn. Để tung đòn quyết liệt hơn, tình báo Mỹ và Israel được cho là đã phát triển một phiên bản Stuxnet “hung hãn” hơn, sử dụng bốn lỗ hổng zero-day và khóa riêng bị đánh cắp để ký (log) các lệnh của nó. Phiên bản này có thể lây lan nhanh chóng, lập trình lại các máy ly tâm để tự hủy trong khi che giấu hành vi phá hoại dưới dạng trục trặc phần cứng.
Xem tiếp Kỳ 2: Phiên bản 2.0 "hung hãn"