Co to jest Stuxnet?

Jeśli chodzi o bezpieczeństwo cybernetyczne, to zwykle naruszenia bezpieczeństwa danych są głównym tematem wiadomości. Incydenty te dotykają wielu osób i stanowią okropną wiadomość dla firmy będącej ofiarą naruszenia bezpieczeństwa danych. Znacznie rzadziej słyszy się o nowym exploicie dnia zerowego, który często zwiastuje lawinę naruszeń danych firm, które nie mogą się chronić. Nieczęsto słyszy się o cyberincydentach, które nie mają bezpośredniego wpływu na użytkowników. Stuxnet jest jednym z tych rzadkich wyjątków.

Working jego droga

Stuxnet to nazwa odmiany złośliwego oprogramowania. Konkretnie chodzi o robaka. Robak to termin używany w odniesieniu do dowolnego złośliwego oprogramowania, które może automatycznie rozprzestrzeniać się z jednego zainfekowanego urządzenia na drugie. Pozwala to na szybkie rozprzestrzenianie się, ponieważ pojedyncza infekcja może spowodować infekcję na znacznie większą skalę. Nawet nie to sprawiło, że Stuxnet stał się sławny. Ani jak szeroko się rozprzestrzenił, ponieważ nie powodował tak wielu infekcji. To, co wyróżniało Stuxneta, to jego cele i techniki.

Stuxnet został po raz pierwszy znaleziony w ośrodku badań jądrowych w Iranie. Konkretnie, obiekt Natanz. Kilka rzeczy w tym wyróżnia się. Po pierwsze, Natanz było atomową placówką pracującą nad wzbogacaniem uranu. Po drugie, obiekt nie był podłączony do Internetu. Ten drugi punkt utrudnia zainfekowanie systemu złośliwym oprogramowaniem i jest zwykle nazywany „luką powietrzną”. Szczelina powietrzna jest zwykle stosowana w systemach wrażliwych, które nie potrzebują aktywnie połączenia z Internetem. Utrudnia to instalowanie aktualizacji, ale zmniejsza również zagrożenia.

W tym przypadku Stuxnet był w stanie „przeskoczyć” szczelinę powietrzną za pomocą pamięci USB. Dokładna historia nie jest znana, z dwiema popularnymi opcjami. Starsza historia była taka, że ​​pendrive'y zostały potajemnie upuszczone na parkingu obiektu i że zbyt ciekawy pracownik je podłączył. Niedawna historia mówi, że holenderski kret pracujący w obiekcie albo podłączył pendrive'a, albo zlecił to komuś innemu. Więc. Szkodliwe oprogramowanie na pendrivie zawierało pierwszy z czterech exploitów dnia zerowego używanych w Stuxnecie. Ten dzień zerowy automatycznie uruchamiał złośliwe oprogramowanie, gdy pamięć USB była podłączona do komputera z systemem Windows.

Cele Stuxneta

Głównym celem Stuxneta wydaje się być obiekt jądrowy w Natanz. Wpłynęło to również na inne obiekty, a Iran był świadkiem prawie 60% wszystkich infekcji na świecie. Natanz jest ekscytujące, ponieważ jedną z jego podstawowych funkcji jako obiektu jądrowego jest wzbogacanie uranu. Podczas gdy lekko wzbogacony uran jest potrzebny do elektrowni jądrowych, wysoko wzbogacony uran jest niezbędny do zbudowania bomby atomowej na bazie uranu. Podczas gdy Iran twierdzi, że wzbogaca uran do wykorzystania w elektrowniach jądrowych, pojawiły się międzynarodowe obawy co do stopnia wzbogacania i tego, że Iran może próbować skonstruować broń jądrową.

Aby wzbogacić uran, konieczne jest rozdzielenie trzech izotopów: U234, U235 i U238. U238 jest zdecydowanie najbardziej naturalnie występującym, ale nie nadaje się do wykorzystania w energetyce jądrowej lub broni jądrowej. Obecna metoda wykorzystuje wirówkę, w której wirowanie powoduje separację wagową różnych izotopów. Proces jest powolny z kilku powodów i zajmuje dużo czasu. Krytycznie rzecz biorąc, używane wirówki są bardzo czułe. Wirówki w Natanz obracały się z częstotliwością 1064 Hz. Stuxnet powodował, że wirówki obracały się szybciej, a następnie wolniej, do 1410 Hz i do 2 Hz. Spowodowało to fizyczne obciążenie wirówki, powodując katastrofalną awarię mechaniczną.

Ta awaria mechaniczna była zamierzonym rezultatem, którego przypuszczalnym celem było spowolnienie lub zatrzymanie procesu wzbogacania uranu w Iranie. To sprawia, że ​​Stuxnet jest pierwszym znanym przykładem cyberbroni użytej do degradacji zdolności państwa narodowego. Było to również pierwsze użycie jakiejkolwiek formy złośliwego oprogramowania, które spowodowało fizyczne zniszczenie sprzętu w świecie rzeczywistym.

Rzeczywisty proces Stuxneta – infekcja

Stuxnet został wprowadzony do komputera za pomocą pamięci USB. Używał exploita dnia zerowego do automatycznego uruchamiania się po podłączeniu do komputera z systemem Windows. Pamięć USB została użyta, ponieważ głównym celem obiektu jądrowego w Natanz była szczelina powietrzna i brak połączenia z Internetem. Pamięć USB została „upuszczona” w pobliżu obiektu i włożona przez nieświadomego pracownika lub została wprowadzona przez holenderskiego kreta w obiekcie; szczegóły tego są oparte na niepotwierdzonych raportach.

Złośliwe oprogramowanie infekowało komputery z systemem Windows, gdy pamięć USB została włożona przez lukę zero-day. Celem tej luki był proces, który renderował ikony i umożliwiał zdalne wykonanie kodu. Co najważniejsze, ten krok nie wymagał interakcji użytkownika poza włożeniem pamięci USB. Złośliwe oprogramowanie zawierało rootkita umożliwiającego głębokie zainfekowanie systemu operacyjnego i manipulowanie wszystkim, w tym narzędziami takimi jak program antywirusowy, w celu ukrycia swojej obecności. Był w stanie zainstalować się za pomocą pary skradzionych kluczy do podpisywania sterowników.

Wskazówka: rootkity to szczególnie paskudne wirusy, które są bardzo trudne do wykrycia i usunięcia. Dostają się do pozycji, w której mogą zmodyfikować cały system, w tym oprogramowanie antywirusowe, aby wykryć jego obecność.

Złośliwe oprogramowanie próbowało następnie rozprzestrzenić się na inne podłączone urządzenia za pośrednictwem lokalnych protokołów sieciowych. Niektóre metody wykorzystywały znane wcześniej exploity. Jednak jeden wykorzystał lukę zero-day w sterowniku Windows Printer Sharing.

Co ciekawe, złośliwe oprogramowanie zawierało kontrolę uniemożliwiającą infekowanie innych urządzeń, gdy urządzenie zainfekowało trzy różne urządzenia. Jednak te urządzenia same mogły zainfekować kolejne trzy urządzenia i tak dalej. Zawierał również czek, który automatycznie usunął złośliwe oprogramowanie 24 czerwca 2012 r.

Rzeczywisty proces Stuxneta – Eksploatacja

Po rozprzestrzenieniu się Stuxnet sprawdził, czy zainfekowane urządzenie może kontrolować swoje cele, wirówki. Sterowniki Siemens S7 lub programowalne sterowniki logiczne sterowały wirówkami. Sterowniki PLC były z kolei programowane przez oprogramowanie Siemens PCS 7, WinCC i STEP7 Industrial Control System (ICS). Aby zminimalizować ryzyko znalezienia złośliwego oprogramowania tam, gdzie nie mogłoby ono wpłynąć na swój cel, gdyby nie mogło znaleźć żadnego z trzech zainstalowanych elementów oprogramowania, pozostaje ono w stanie uśpienia i nie robi nic więcej.

Jeśli są zainstalowane jakiekolwiek aplikacje ICS, infekuje plik DLL. Pozwala to kontrolować, jakie dane oprogramowanie wysyła do PLC. Jednocześnie trzecia luka dnia zerowego, w postaci zakodowanego na stałe hasła do bazy danych, jest wykorzystywana do lokalnego kontrolowania aplikacji. Łącznie pozwala to złośliwemu oprogramowaniu dostosować programowanie PLC i ukryć fakt, że to zrobiło, przed oprogramowaniem ICS. Generuje fałszywe odczyty wskazujące, że wszystko jest w porządku. Robi to, analizując programowanie, ukrywając złośliwe oprogramowanie i zgłaszając prędkość wirowania, ukrywając rzeczywisty efekt.

ICS infekuje wtedy tylko sterowniki PLC Siemens S7-300, i to tylko wtedy, gdy sterownik PLC jest podłączony do przemiennika częstotliwości jednego z dwóch dostawców. Zainfekowany sterownik PLC atakuje wtedy tylko systemy, w których częstotliwość napędu wynosi od 807 Hz do 1210 Hz. Jest to znacznie szybsze niż tradycyjne wirówki, ale typowe dla wirówek gazowych używanych do wzbogacania uranu. PLC otrzymuje również niezależnego rootkita, aby uniemożliwić niezainfekowanym urządzeniom zobaczenie rzeczywistych prędkości obrotowych.

Wynik

W zakładzie w Natanz wszystkie te wymagania zostały spełnione, ponieważ wirówki pracują z częstotliwością 1064 Hz. Po zainfekowaniu sterownik PLC ustawiał wirówkę na 1410 Hz przez 15 minut, następnie spadał do 2 Hz, a następnie obracał się z powrotem do 1064 Hz. Robione wielokrotnie przez miesiąc, spowodowało to awarię około tysiąca wirówek w zakładzie w Natanz. Stało się tak, ponieważ zmiany prędkości obrotowej powodują mechaniczne naprężenia aluminiowej wirówki, tak że części rozszerzają się, stykają się ze sobą i ulegają mechanicznemu uszkodzeniu.

Chociaż istnieją doniesienia o utylizacji około 1000 wirówek w tym czasie, niewiele jest dowodów na to, jak katastrofalna byłaby awaria. Ubytek ma charakter mechaniczny, częściowo wywołany naprężeniami i drganiami rezonansowymi. Awaria dotyczy również ogromnego, ciężkiego urządzenia obracającego się bardzo szybko i prawdopodobnie była dramatyczna. Dodatkowo wirówka zawierałaby heksafluorek uranu, który jest toksyczny, żrący i radioaktywny.

Dane pokazują, że chociaż robak był skuteczny w swoim zadaniu, nie był w 100% skuteczny. Liczba funkcjonalnych wirówek posiadanych przez Iran spadła z 4700 do około 3900. Dodatkowo wszystkie zostały stosunkowo szybko wymienione. Obiekt w Natanz wzbogacił więcej uranu w 2010 roku, roku infekcji, niż w roku poprzednim.

Robak również nie był tak subtelny, jak się spodziewano. Wczesne doniesienia o przypadkowych awariach mechanicznych wirówek okazały się nie budzące podejrzeń, mimo że prekursor spowodował je w Stuxnecie. Stuxnet był bardziej aktywny i został zidentyfikowany przez firmę zajmującą się bezpieczeństwem, ponieważ komputery z systemem Windows czasami ulegały awariom. Takie zachowanie jest widoczne, gdy exploity pamięci nie działają zgodnie z przeznaczeniem. To ostatecznie doprowadziło do odkrycia Stuxneta, a nie nieudanych wirówek.

Atrybucja

Przypisanie Stuxneta jest owiane wiarygodnym zaprzeczeniem. Jednak powszechnie przyjmuje się, że winnymi są zarówno Stany Zjednoczone, jak i Izrael. Oba kraje mają silne różnice polityczne z Iranem i głęboko sprzeciwiają się jego programom nuklearnym, obawiając się, że próbuje on opracować broń jądrową.

Pierwsza wskazówka dotycząca tego przypisania pochodzi z natury Stuxneta. Eksperci oszacowali, że napisanie zajęłoby zespołowi od 5 do 30 programistów co najmniej sześć miesięcy. Ponadto Stuxnet wykorzystał cztery luki dnia zerowego, co stanowi niespotykaną liczbę za jednym zamachem. Sam kod był modułowy i łatwy do rozbudowy. Celował w system sterowania przemysłowego, a potem niezbyt powszechny.

Został on niezwykle precyzyjnie ukierunkowany, aby zminimalizować ryzyko wykrycia. Ponadto wykorzystywał skradzione certyfikaty kierowców, do których dostęp byłby bardzo trudny. Czynniki te wskazują na niezwykle zdolne, zmotywowane i dobrze finansowane źródło, co prawie na pewno oznacza APT państwa narodowego.

Konkretne wskazówki dotyczące zaangażowania USA obejmują wykorzystanie luk dnia zerowego przypisywanych wcześniej grupie Equation, powszechnie uważanej za część NSA. Udział Izraela jest nieco gorzej przypisany, ale różnice w stylu kodowania w różnych modułach mocno wskazują na istnienie co najmniej dwóch stron wnoszących wkład. Ponadto istnieją co najmniej dwie liczby, które po przeliczeniu na daty miałyby znaczenie polityczne dla Izraela. Izrael dostosował również szacunkowy harmonogram irańskiej broni nuklearnej na krótko przed rozmieszczeniem Stuxneta, wskazując, że był świadomy zbliżającego się wpływu na rzekomy program.

Wniosek

Stuxnet był samorozprzestrzeniającym się robakiem. Było to pierwsze użycie broni cybernetycznej i pierwszy przypadek złośliwego oprogramowania powodującego zniszczenie w świecie rzeczywistym. Stuxnet był używany głównie przeciwko irańskiemu obiektowi jądrowemu Natanz w celu obniżenia jego zdolności do wzbogacania uranu. Wykorzystuje cztery luki dnia zerowego i jest bardzo złożony. Wszystko wskazuje na to, że jest rozwijany przez państwową APT, a podejrzenia padają na Stany Zjednoczone i Izrael.

Chociaż Stuxnet odniósł sukces, nie miał znaczącego wpływu na proces wzbogacania uranu w Iranie. Otworzyło to również drzwi do przyszłego wykorzystania cyberbroni do powodowania szkód fizycznych, nawet w czasie pokoju. Chociaż istniało wiele innych czynników, pomogło to również zwiększyć polityczną, publiczną i korporacyjną świadomość bezpieczeństwa cybernetycznego. Stuxnet został wdrożony w latach 2009-2010