Stuxnet คืออะไร?

เมื่อพูดถึงการรักษาความปลอดภัยในโลกไซเบอร์ การละเมิดข้อมูลมักจะทำให้เกิดข่าว เหตุการณ์เหล่านี้ส่งผลกระทบต่อผู้คนจำนวนมากและเป็นข่าวร้ายสำหรับบริษัทเมื่อสิ้นสุดการได้รับข้อมูลรั่วไหล ไม่บ่อยนักที่คุณจะได้ยินเกี่ยวกับการหาประโยชน์แบบ Zero-day รูปแบบใหม่ ซึ่งมักจะประกาศถึงการละเมิดข้อมูลของบริษัทที่ไม่สามารถป้องกันตนเองได้ ไม่บ่อยนักที่คุณจะได้ยินเกี่ยวกับเหตุการณ์ในโลกไซเบอร์ที่ไม่ส่งผลกระทบต่อผู้ใช้โดยตรง Stuxnet เป็นหนึ่งในข้อยกเว้นที่หายากเหล่านั้น

เวิร์มกำลังเข้ามา

Stuxnet เป็นชื่อของมัลแวร์สายพันธุ์หนึ่ง โดยเฉพาะอย่างยิ่งมันเป็นหนอน เวิร์มเป็นคำที่ใช้เรียกมัลแวร์ใดๆ ที่สามารถแพร่กระจายตัวเองโดยอัตโนมัติจากอุปกรณ์ที่ติดไวรัสเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง สิ่งนี้ทำให้สามารถแพร่กระจายได้อย่างรวดเร็ว เนื่องจากการติดเชื้อเพียงครั้งเดียวสามารถทำให้เกิดการติดเชื้อขนาดใหญ่ขึ้นได้ นี่ไม่ใช่สิ่งที่ทำให้ Stuxnet โด่งดังด้วยซ้ำ มันไม่ได้แพร่กระจายเป็นวงกว้างเพราะมันไม่ได้ทำให้เกิดการติดเชื้อมากมายขนาดนั้น สิ่งที่ทำให้ Stuxnet โดดเด่นคือเป้าหมายและเทคนิคของมัน

Stuxnet ถูกพบครั้งแรกในศูนย์วิจัยนิวเคลียร์ในอิหร่าน โดยเฉพาะสิ่งอำนวยความสะดวก Natanz บางสิ่งเกี่ยวกับสิ่งนี้โดดเด่น ประการแรก Natanz เป็นโรงงานปรมาณูที่ทำงานเพื่อเพิ่มคุณค่ายูเรเนียม ประการที่สอง สิ่งอำนวยความสะดวกไม่ได้เชื่อมต่อกับอินเทอร์เน็ต ประเด็นที่สองนี้ทำให้ระบบติดมัลแวร์ได้ยาก และโดยทั่วไปเรียกว่า “ช่องว่างอากาศ” โดยทั่วไปจะใช้ช่องว่างอากาศสำหรับระบบที่อ่อนแอซึ่งไม่ต้องการการเชื่อมต่ออินเทอร์เน็ต มันทำให้การติดตั้งการอัปเดตยากขึ้น แต่ก็ลดแนวภัยคุกคามที่เผชิญอยู่

ในกรณีนี้ Stuxnet สามารถ "กระโดด" ช่องว่างอากาศผ่านการใช้แท่ง USB ไม่ทราบเรื่องราวที่ชัดเจน โดยมีสองตัวเลือกยอดนิยม เรื่องที่เก่ากว่านั้นก็คือ USB sticks ถูกทิ้งอย่างไม่ตั้งใจในที่จอดรถของโรงงานและพนักงานที่อยากรู้อยากเห็นมากเกินไปได้เสียบปลั๊กนั้น เรื่องล่าสุดอ้างว่าตัวตุ่นชาวดัตช์ที่ทำงานในโรงงานนั้นเสียบ USB stick หรือให้คนอื่นทำ ดังนั้น. มัลแวร์บนแท่ง USB รวมการโจมตีแบบ Zero-day ครั้งแรกจากสี่ครั้งที่ใช้ใน Stuxnet Zero-day นี้เปิดตัวมัลแวร์โดยอัตโนมัติเมื่อเสียบแท่ง USB เข้ากับคอมพิวเตอร์ Windows

เป้าหมายของ Stuxnet

เป้าหมายหลักของ Stuxnet ดูเหมือนจะเป็นโรงงานนิวเคลียร์ Natanz สิ่งอำนวยความสะดวกอื่นๆ ก็ได้รับผลกระทบเช่นกัน โดยอิหร่านพบผู้ติดเชื้อเกือบ 60% ทั่วโลก Natanz นั้นน่าตื่นเต้นเพราะหน้าที่หลักประการหนึ่งในฐานะโรงงานนิวเคลียร์คือการเสริมสมรรถนะยูเรเนียม แม้ว่ายูเรเนียมเสริมสมรรถนะเล็กน้อยจะมีความจำเป็นสำหรับโรงไฟฟ้านิวเคลียร์ แต่ยูเรเนียมเสริมสมรรถนะสูงก็มีความจำเป็นในการสร้างระเบิดนิวเคลียร์ที่มีพื้นฐานเป็นยูเรเนียม ในขณะที่อิหร่านระบุว่ากำลังเสริมสมรรถนะยูเรเนียมเพื่อใช้ในโรงไฟฟ้านิวเคลียร์ แต่ก็มีข้อกังวลระหว่างประเทศเกี่ยวกับปริมาณการเสริมสมรรถนะที่เกิดขึ้น และอิหร่านอาจพยายามสร้างอาวุธนิวเคลียร์

ในการเสริมสมรรถนะยูเรเนียม จำเป็นต้องแยกไอโซโทป 3 ไอโซโทป: U234, U235 และ U238 U238 มีอยู่ตามธรรมชาติมากที่สุด แต่ไม่เหมาะสำหรับการใช้พลังงานนิวเคลียร์หรือการใช้อาวุธนิวเคลียร์ วิธีการปัจจุบันใช้เครื่องหมุนเหวี่ยงซึ่งการหมุนจะทำให้ไอโซโทปต่างๆ แยกออกจากกันตามน้ำหนัก กระบวนการนี้ช้าด้วยเหตุผลหลายประการและใช้เวลานาน วิกฤตการณ์ เครื่องหมุนเหวี่ยงที่ใช้มีความละเอียดอ่อนมาก เครื่องหมุนเหวี่ยงที่ Natanz หมุนที่ 1064Hz Stuxnet ทำให้เครื่องหมุนเหวี่ยงหมุนเร็วขึ้นและช้าลง จนถึง 1410Hz และลดลงถึง 2Hz สิ่งนี้ทำให้เกิดความเครียดทางกายภาพบนเครื่องหมุนเหวี่ยง ส่งผลให้เกิดความล้มเหลวทางกลไกอย่างรุนแรง

ความล้มเหลวทางกลไกนี้เป็นผลที่ตั้งใจไว้ โดยมีจุดประสงค์เพื่อชะลอหรือหยุดกระบวนการเสริมสมรรถนะยูเรเนียมของอิหร่าน สิ่งนี้ทำให้ Stuxnet เป็นตัวอย่างแรกที่รู้จักของอาวุธไซเบอร์ที่ใช้เพื่อลดความสามารถของรัฐชาติ นอกจากนี้ยังเป็นการใช้มัลแวร์รูปแบบต่างๆ เป็นครั้งแรกที่ส่งผลให้ฮาร์ดแวร์เสียหายทางกายภาพในโลกแห่งความเป็นจริง

กระบวนการที่แท้จริงของ Stuxnet – การติดเชื้อ

Stuxnet ถูกนำเข้าสู่คอมพิวเตอร์โดยใช้แท่ง USB มันใช้การหาประโยชน์แบบซีโร่เดย์เพื่อรันตัวเองเมื่อเสียบเข้ากับคอมพิวเตอร์ที่ใช้ Windows โดยอัตโนมัติ แท่ง USB ถูกนำมาใช้เป็นเป้าหมายหลักของโรงงานนิวเคลียร์ Natanz ที่ไม่มีช่องว่างและไม่ได้เชื่อมต่อกับอินเทอร์เน็ต แท่ง USB อาจถูก "ทำหล่น" ใกล้กับโรงงานและเสียบโดยพนักงานที่ไม่เจตนา หรือตัวตุ่นชาวดัตช์นำมาที่โรงงาน ข้อมูลเฉพาะนี้ขึ้นอยู่กับรายงานที่ไม่ได้รับการยืนยัน

มัลแวร์ติดคอมพิวเตอร์ Windows เมื่อแท่ง USB ถูกเสียบผ่านช่องโหว่ซีโร่เดย์ ช่องโหว่นี้พุ่งเป้าไปที่กระบวนการที่แสดงไอคอนและอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล ขั้นตอนนี้ไม่ต้องการการโต้ตอบจากผู้ใช้นอกเหนือจากการเสียบอุปกรณ์ USB มัลแวร์มีรูทคิทที่ช่วยให้สามารถโจมตีระบบปฏิบัติการได้ลึกและจัดการทุกอย่าง รวมถึงเครื่องมือต่างๆ เช่น โปรแกรมป้องกันไวรัส เพื่อซ่อนการมีอยู่ของมัน สามารถติดตั้งตัวเองได้โดยใช้คีย์ลายเซ็นไดรเวอร์คู่หนึ่งที่ถูกขโมยมา

เคล็ดลับ:รูทคิทเป็นไวรัสที่น่ารังเกียจเป็นพิเศษซึ่งตรวจจับและกำจัดได้ยากมาก พวกเขาเข้าสู่ตำแหน่งที่สามารถแก้ไขทั้งระบบรวมถึงซอฟต์แวร์ป้องกันไวรัสเพื่อตรวจจับการมีอยู่ของมัน

จากนั้นมัลแวร์พยายามแพร่กระจายตัวเองไปยังอุปกรณ์ที่เชื่อมต่ออื่น ๆ ผ่านโปรโตคอลเครือข่ายท้องถิ่น วิธีการบางอย่างใช้ประโยชน์จากการหาประโยชน์ที่รู้จักก่อนหน้านี้ อย่างไรก็ตาม มีผู้หนึ่งใช้ช่องโหว่ Zero-day ในไดรเวอร์ Windows Printer Sharing

น่าสนใจ มัลแวร์รวมการตรวจสอบเพื่อปิดการใช้งานอุปกรณ์อื่นที่ติดไวรัสเมื่ออุปกรณ์ติดไวรัสสามเครื่อง อย่างไรก็ตาม อุปกรณ์เหล่านั้นมีอิสระที่จะแพร่เชื้อไปยังอุปกรณ์อีกสามเครื่องต่อเครื่อง และอื่น ๆ นอกจากนี้ยังมีการตรวจสอบที่ลบมัลแวร์โดยอัตโนมัติในวันที่ 24 มิถุนายน 2555

กระบวนการที่แท้จริงของ Stuxnet – การเอารัดเอาเปรียบ

เมื่อมันแพร่กระจายตัวเอง Stuxnet จะตรวจสอบเพื่อดูว่าอุปกรณ์ที่ติดเชื้อสามารถควบคุมเป้าหมายของมันได้หรือไม่ ซึ่งก็คือเครื่องหมุนเหวี่ยง Siemens S7 PLCs หรือ Programmable Logic Controllers ควบคุมเครื่องหมุนเหวี่ยง ในทางกลับกัน PLC ถูกตั้งโปรแกรมโดยซอฟต์แวร์ Siemens PCS 7, WinCC และ STEP7 Industrial Control System (ICS) เพื่อลดความเสี่ยงที่มัลแวร์จะถูกพบในที่ซึ่งไม่สามารถส่งผลกระทบต่อเป้าหมายได้ หากไม่พบซอฟต์แวร์ใดๆ ในสามส่วนที่ติดตั้งไว้ มัลแวร์จะนั่งเฉยๆ ไม่ทำอะไรอีก

หากมีการติดตั้งแอปพลิเคชัน ICS แอปพลิเคชันจะติดไฟล์ DLL สิ่งนี้ทำให้สามารถควบคุมข้อมูลที่ซอฟต์แวร์ส่งไปยัง PLC ในเวลาเดียวกัน ช่องโหว่ Zero-day ที่สาม ในรูปแบบของรหัสผ่านฐานข้อมูลแบบฮาร์ดโค้ด ถูกใช้เพื่อควบคุมแอปพลิเคชันในเครื่อง เมื่อรวมกันแล้ว สิ่งนี้ทำให้มัลแวร์สามารถปรับการตั้งโปรแกรมของ PLC และซ่อนข้อเท็จจริงที่ว่าได้ทำเช่นนั้นจากซอฟต์แวร์ ICS มันสร้างการอ่านที่ผิดพลาดซึ่งระบุว่าทุกอย่างเรียบร้อยดี ทำสิ่งนี้เมื่อวิเคราะห์การเขียนโปรแกรม ซ่อนมัลแวร์ และรายงานความเร็วการหมุน ซ่อนผลกระทบที่เกิดขึ้นจริง

จากนั้น ICS จะแพร่ระบาดเฉพาะ PLC ของ Siemens S7-300 และหลังจากนั้น ก็ต่อเมื่อ PLC เชื่อมต่อกับไดรฟ์แบบปรับความถี่ได้จากผู้จำหน่ายรายใดรายหนึ่งจากสองราย จากนั้น PLC ที่ติดไวรัสจะโจมตีเฉพาะระบบที่ความถี่ไดรฟ์อยู่ระหว่าง 807Hz ถึง 1210Hz ซึ่งเร็วกว่าเครื่องหมุนเหวี่ยงแบบดั้งเดิมมาก แต่โดยทั่วไปของเครื่องหมุนเหวี่ยงก๊าซที่ใช้สำหรับการเสริมสมรรถนะยูเรเนียม PLC ยังได้รับรูทคิตอิสระเพื่อป้องกันไม่ให้อุปกรณ์ที่ไม่ติดเชื้อเห็นความเร็วการหมุนที่แท้จริง

ผลลัพธ์

ในโรงงานของ Natanz เป็นไปตามข้อกำหนดทั้งหมดเนื่องจากเครื่องหมุนเหวี่ยงมีช่วงความถี่ที่ 1064Hz เมื่อติดไวรัสแล้ว PLC จะขยายการหมุนเหวี่ยงไปที่ 1410Hz เป็นเวลา 15 นาที จากนั้นลดลงเหลือ 2Hz จากนั้นหมุนกลับเป็น 1064Hz ดำเนินการซ้ำๆ เป็นเวลากว่าหนึ่งเดือน ทำให้เครื่องหมุนเหวี่ยงประมาณหนึ่งพันเครื่องที่โรงงาน Natanz ล้มเหลว สิ่งนี้เกิดขึ้นเนื่องจากการเปลี่ยนแปลงของความเร็วในการหมุนทำให้เกิดความเค้นเชิงกลบนเครื่องหมุนเหวี่ยงอลูมิเนียม เพื่อให้ชิ้นส่วนต่างๆ ขยายตัว สัมผัสกัน และกลไกทำงานล้มเหลว

แม้ว่าจะมีรายงานว่ามีการกำจัดเครื่องหมุนเหวี่ยงประมาณ 1,000 เครื่องในช่วงเวลานี้ แต่ก็ไม่มีหลักฐานเพียงเล็กน้อยหรือไม่มีเลยที่บ่งชี้ว่าความล้มเหลวจะร้ายแรงเพียงใด การสูญเสียเป็นแบบกลไก ส่วนหนึ่งเกิดจากความเครียดและการสั่นสะเทือนแบบก้องกังวาน ความล้มเหลวยังเกิดขึ้นกับอุปกรณ์ขนาดใหญ่และหนักที่หมุนเร็วมากและน่าจะรุนแรงมาก นอกจากนี้ เครื่องหมุนเหวี่ยงจะมีก๊าซยูเรเนียมเฮกซาฟลูออไรด์ซึ่งเป็นพิษ กัดกร่อน และมีกัมมันตภาพรังสี

บันทึกแสดงให้เห็นว่าแม้ว่าเวิร์มจะทำงานได้อย่างมีประสิทธิภาพ แต่ก็ไม่ได้ผล 100% จำนวนเครื่องหมุนเหวี่ยงเชิงฟังก์ชันที่อิหร่านเป็นเจ้าของลดลงจาก 4,700 เครื่องเหลือประมาณ 3,900 เครื่อง นอกจากนี้ เครื่องหมุนเหวี่ยงทั้งหมดถูกแทนที่ค่อนข้างเร็ว โรงงาน Natanz เสริมสมรรถนะยูเรเนียมมากขึ้นในปี 2010 ซึ่งเป็นปีแห่งการติดเชื้อมากกว่าปีที่แล้ว

หนอนไม่ได้บอบบางอย่างที่คิด รายงานก่อนหน้านี้เกี่ยวกับความล้มเหลวทางกลแบบสุ่มของเครื่องหมุนเหวี่ยงพบว่าไม่น่าสงสัยแม้ว่าสารตั้งต้นจะทำให้เกิด Stuxnet ก็ตาม Stuxnet มีการใช้งานมากขึ้นและถูกระบุโดยบริษัทรักษาความปลอดภัยที่เรียกเข้ามาเนื่องจากคอมพิวเตอร์ Windows ขัดข้องในบางครั้ง พฤติกรรมดังกล่าวจะเห็นเมื่อการหาประโยชน์จากหน่วยความจำไม่ทำงานตามที่ตั้งใจไว้ ในที่สุดสิ่งนี้นำไปสู่การค้นพบ Stuxnet ไม่ใช่เครื่องหมุนเหวี่ยงที่ล้มเหลว

แสดงที่มา

การระบุแหล่งที่มาของ Stuxnet นั้นถูกปกคลุมไปด้วยการปฏิเสธที่น่าเชื่อถือ อย่างไรก็ตาม คนร้ายสันนิษฐานกันอย่างกว้างขวางว่าเป็นทั้งสหรัฐฯ และอิสราเอล ทั้งสองประเทศมีความแตกต่างทางการเมืองอย่างมากกับอิหร่าน และคัดค้านโครงการนิวเคลียร์อย่างลึกซึ้ง เนื่องจากเกรงว่าอิหร่านกำลังพยายามพัฒนาอาวุธนิวเคลียร์

คำแนะนำแรกสำหรับการระบุแหล่งที่มานี้มาจากธรรมชาติของ Stuxnet ผู้เชี่ยวชาญคาดว่าต้องใช้ทีมโปรแกรมเมอร์ 5 ถึง 30 คนอย่างน้อยหกเดือนในการเขียน นอกจากนี้ Stuxnet ยังใช้ช่องโหว่แบบ Zero-day สี่ช่องโหว่ ซึ่งเป็นจำนวนที่ไม่เคยได้ยินมาก่อนในครั้งเดียว ตัวโค้ดนั้นเป็นแบบแยกส่วนและง่ายต่อการขยาย มันพุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม และหลังจากนั้นก็เป็นระบบที่ไม่ธรรมดา

มีการกำหนดเป้าหมายอย่างเฉพาะเจาะจงอย่างไม่น่าเชื่อเพื่อลดความเสี่ยงในการตรวจจับ นอกจากนี้ยังใช้ใบรับรองไดรเวอร์ที่ถูกขโมยซึ่งเข้าถึงได้ยากมาก ปัจจัยเหล่านี้ชี้ไปที่แหล่งที่มาที่มีความสามารถ มีแรงจูงใจ และได้รับเงินสนับสนุนเป็นอย่างดี ซึ่งเกือบจะหมายถึง APT ของรัฐชาติอย่างแน่นอน

คำแนะนำเฉพาะเกี่ยวกับการมีส่วนร่วมของสหรัฐฯ ได้แก่ การใช้ช่องโหว่แบบซีโร่เดย์ ซึ่งก่อนหน้านี้มาจากกลุ่ม Equation ซึ่งเชื่อกันว่าเป็นส่วนหนึ่งของ NSA การมีส่วนร่วมของอิสราเอลนั้นมีสาเหตุน้อยกว่าเล็กน้อย แต่ความแตกต่างของรูปแบบการเข้ารหัสในโมดูลต่างๆ นั้นบอกใบ้อย่างมากถึงการดำรงอยู่ของฝ่ายที่มีส่วนร่วมอย่างน้อยสองฝ่าย นอกจากนี้ ยังมีตัวเลขอย่างน้อยสองตัวที่หากแปลงเป็นวันที่ จะมีความสำคัญทางการเมืองต่ออิสราเอล อิสราเอลยังได้ปรับไทม์ไลน์โดยประมาณสำหรับอาวุธนิวเคลียร์ของอิหร่านไม่นานก่อนที่ Stuxnet จะถูกใช้งาน ซึ่งบ่งชี้ว่าพวกเขาตระหนักถึงผลกระทบที่จะเกิดขึ้นต่อโครงการที่ถูกกล่าวหา

บทสรุป

Stuxnet เป็นหนอนที่ขยายพันธุ์ได้เอง เป็นการใช้อาวุธไซเบอร์ครั้งแรกและเป็นมัลแวร์ตัวแรกที่ก่อให้เกิดการทำลายล้างในโลกแห่งความเป็นจริง Stuxnet ถูกนำไปใช้กับโรงงานนิวเคลียร์ Natanz ของอิหร่านเป็นหลักเพื่อลดความสามารถในการเสริมสมรรถนะยูเรเนียม มันใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ถึงสี่ช่องโหว่และมีความซับซ้อนสูง สัญญาณทั้งหมดบ่งชี้ว่า APT ได้รับการพัฒนาโดย APT ของรัฐ โดยข้อสงสัยตกอยู่ที่สหรัฐฯ และอิสราเอล

ในขณะที่ Stuxnet ประสบความสำเร็จ แต่ก็ไม่ส่งผลกระทบอย่างมีนัยสำคัญต่อกระบวนการเสริมสมรรถนะยูเรเนียมของอิหร่าน นอกจากนี้ยังเปิดประตูสู่การใช้อาวุธไซเบอร์ในอนาคตเพื่อสร้างความเสียหายทางกายภาพ แม้ในยามสงบ แม้ว่าจะมีปัจจัยอื่นๆ อีกมากมาย แต่ก็ช่วยเพิ่มการรับรู้ทางการเมือง สาธารณะ และองค์กรเกี่ยวกับความปลอดภัยในโลกไซเบอร์ Stuxnet ถูกปรับใช้ในช่วงเวลาระหว่างปี 2552-2553