Çfarë është Stuxnet?

Kur bëhet fjalë për sigurinë kibernetike, zakonisht janë shkeljet e të dhënave që bëjnë lajmet. Këto incidente prekin shumë njerëz dhe përfaqësojnë një ditë lajmi të tmerrshëm për kompaninë në momentin e pranimit të shkeljes së të dhënave. Shumë më pak rregullisht, ju dëgjoni për një shfrytëzim të ri të ditës zero që shpesh paralajmëron një numër të madh të shkeljeve të të dhënave të kompanive që nuk mund të mbrohen. Nuk ndodh shumë shpesh që dëgjoni për incidente kibernetike që nuk prekin drejtpërdrejt përdoruesit. Stuxnet është një nga ato përjashtime të rralla.

Rryma e krimbave

Stuxnet është emri i një lloji të malware. Konkretisht, është një krimb. Një krimb është një term që përdoret për t'iu referuar çdo malware që mund të përhapet automatikisht nga një pajisje e infektuar në tjetrën. Kjo e lejon atë të përhapet me shpejtësi, pasi një infeksion i vetëm mund të rezultojë në një infeksion shumë më të madh. As kjo nuk ishte ajo që e bëri Stuxnet të famshëm. As nuk ishte sa gjerësisht u përhap, pasi nuk shkaktoi aq shumë infeksione. Ajo që e bëri Stuxnet të dallohej ishin objektivat dhe teknikat e tij.

Stuxnet u gjet për herë të parë në një strukturë kërkimore bërthamore në Iran. Konkretisht objekti i Natanzit. Disa gjëra për këtë bien në sy. Së pari, Natanz ishte një strukturë atomike që punonte në pasurimin e Uraniumit. Së dyti, objekti nuk ishte i lidhur me internetin. Kjo pikë e dytë e bën të vështirë infektimin e sistemit me malware dhe zakonisht njihet si "boshllëk ajri". Një hendek ajri përdoret përgjithësisht për sistemet e ndjeshme që nuk kanë nevojë në mënyrë aktive për një lidhje interneti. Ai e bën më të vështirë instalimin e përditësimeve, por gjithashtu zvogëlon kërcënimet e peizazhit.

Në këtë rast, Stuxnet ishte në gjendje të "kërcej" hendekun e ajrit përmes përdorimit të USB-ve. Historia e saktë është e panjohur, me dy opsione të njohura. Historia më e vjetër ishte se USB-të u hodhën fshehurazi në parkun e makinës së objektit dhe se një punonjës tepër kurioz e futi në prizë. Një histori e fundit pretendon se një nishan holandez që punonte në objekt ose futi USB-në ose kërkoi dikë tjetër të bënte kështu që. Malware në USB-në përfshinte të parin nga katër shfrytëzimet zero-ditore të përdorura në Stuxnet. Kjo ditë zero lëshoi ​​automatikisht malware kur USB-ja u lidh në një kompjuter Windows.

Objektivat e Stuxnet

Objektivi kryesor i Stuxnet duket të jetë objekti bërthamor Natanz. Objektet e tjera u prekën gjithashtu, me Iranin që shihte pothuajse 60% të të gjitha infeksioneve në mbarë botën. Natanz është emocionues sepse një nga funksionet kryesore të tij si një objekt bërthamor është pasurimi i uraniumit. Ndërsa uraniumi i pasuruar lehtë është i nevojshëm për termocentralet bërthamore, uraniumi shumë i pasuruar është i nevojshëm për të ndërtuar një bombë bërthamore me bazë uraniumi. Ndërsa Irani deklaron se është duke pasuruar uranium për përdorim në termocentralet bërthamore, ka pasur shqetësime ndërkombëtare për sasinë e pasurimit që po ndodh dhe se Irani mund të përpiqet të ndërtojë një armë bërthamore.

Për të pasuruar uraniumin, është e nevojshme të ndahen tre izotopë: U234, U235 dhe U238. U238 është deri tani më i bollshmi në natyrë, por nuk është i përshtatshëm për përdorim të energjisë bërthamore ose armëve bërthamore. Metoda aktuale përdor një centrifugë ku rrotullimi bën që izotopet e ndryshëm të ndahen sipas peshës. Procesi është i ngadaltë për disa arsye dhe kërkon shumë kohë. Në mënyrë kritike, centrifugat e përdorura janë shumë të ndjeshme. Centrifugat në Natanz rrotulloheshin me 1064 Hz. Stuxnet bëri që centrifugat të rrotulloheshin më shpejt dhe më pas më ngadalë, deri në 1410 Hz dhe poshtë në 2 Hz. Kjo shkaktoi stres fizik në centrifugë, duke rezultuar në një dështim mekanik katastrofik.

Ky dështim mekanik ishte rezultati i synuar, me synimin e supozuar të ngadalësimit ose ndalimit të procesit të pasurimit të uraniumit në Iran. Kjo e bën Stuxnet shembullin e parë të njohur të një arme kibernetike të përdorur për të degraduar aftësitë e një shteti-komb. Ishte gjithashtu përdorimi i parë i çdo forme malware që rezultoi në shkatërrimin fizik të harduerit në botën reale.

Procesi aktual i Stuxnet - Infeksioni

Stuxnet u fut në një kompjuter nëpërmjet përdorimit të një USB-shqip. Ai përdori një shfrytëzim të ditës zero për të ekzekutuar veten kur lidhej automatikisht me një kompjuter Windows. Një shkop USB u përdor si objektivi kryesor që objekti bërthamor i Natanzit ishte i mbyllur nga ajri dhe nuk ishte i lidhur me internetin. USB-ja ose u "ra" pranë objektit dhe u fut nga një punonjës i padashur ose u fut nga një nishan holandez në objekt; specifikat e kësaj bazohen në raporte të pakonfirmuara.

Malware infektoi kompjuterët Windows kur USB-ja u fut përmes një cenueshmërie të ditës zero. Kjo dobësi synonte procesin që jepte ikona dhe lejonte ekzekutimin e kodit në distancë. Në mënyrë kritike, ky hap nuk kërkonte ndërveprim të përdoruesit përtej futjes së USB-së. Malware përfshinte një rootkit që e lejonte atë të infektonte thellë sistemin operativ dhe të manipulonte gjithçka, duke përfshirë mjete si antivirus, për të fshehur praninë e tij. Ai ishte në gjendje të instalohej duke përdorur një palë çelësa të vjedhur për nënshkrimin e shoferit.

Këshillë: Rootkits janë viruse veçanërisht të dëmshëm që janë shumë të vështirë për t'u zbuluar dhe hequr. Ata e vendosin veten në një pozicion ku mund të modifikojnë të gjithë sistemin, duke përfshirë softuerin antivirus, për të zbuluar praninë e tij.

Malware më pas u përpoq të përhapej në pajisjet e tjera të lidhura përmes protokolleve të rrjetit lokal. Disa metoda përdorën shfrytëzime të njohura më parë. Megjithatë, njëri përdori një cenueshmëri të ditës zero në drejtuesin e Windows Printer Sharing.

Është interesante se malware përfshinte një kontroll për të çaktivizuar infektimin e pajisjeve të tjera pasi pajisja kishte infektuar tre pajisje të ndryshme. Megjithatë, ato pajisje ishin vetë të lira për të infektuar tre pajisje të tjera secila, e kështu me radhë. Ai përfshinte gjithashtu një kontroll që fshinte automatikisht malware më 24 qershor 2012.

Procesi aktual i Stuxnet - Shfrytëzimi

Pasi u përhap, Stuxnet kontrolloi nëse pajisja e infektuar mund të kontrollonte objektivat e saj, centrifugat. Siemens S7 PLC ose Programmable Logic Controllers kontrollonin centrifugat. PLC-të, nga ana tjetër, u programuan nga softveri Siemens PCS 7, WinCC dhe STEP7 Industrial Control System (ICS). Për të minimizuar rrezikun e gjetjes së malware aty ku nuk mund të ndikojë në objektivin e tij nëse nuk mund të gjejë asnjë nga tre pjesët e softuerit të instaluar, ai qëndron i fjetur, duke mos bërë asgjë tjetër.

Nëse instalohet ndonjë aplikacion ICS, ai infekton një skedar DLL. Kjo e lejon atë të kontrollojë se çfarë të dhënash dërgon softueri në PLC. Në të njëjtën kohë, një cenueshmëri e tretë e ditës zero, në formën e një fjalëkalimi të koduar të bazës së të dhënave, përdoret për të kontrolluar aplikacionin në nivel lokal. E kombinuar, kjo lejon që malware të rregullojë programimin e PLC dhe të fshehë faktin që e ka bërë këtë nga softueri ICS. Ai gjeneron lexime të rreme që tregojnë se gjithçka është në rregull. Ai e bën këtë kur analizon programimin, fsheh malware dhe raporton shpejtësinë e rrotullimit, duke fshehur efektin aktual.

ICS atëherë infekton vetëm PLC-të e Siemens S7-300, dhe madje edhe atëherë, vetëm nëse PLC lidhet me një makinë me frekuencë të ndryshueshme nga një prej dy shitësve. PLC i infektuar atëherë sulmon vetëm sistemet ku frekuenca e drejtimit është midis 807Hz dhe 1210Hz. Kjo është shumë më e shpejtë se centrifugat tradicionale, por tipike për centrifugat e gazit që përdoren për pasurimin e uraniumit. PLC gjithashtu merr një rootkit të pavarur për të parandaluar që pajisjet e pa infektuara të shohin shpejtësinë e vërtetë të rrotullimit.

Rezultati

Në objektin e Natanzit, të gjitha këto kërkesa u plotësuan pasi centrifugat shtrihen në 1064 Hz. Pasi të infektohet, PLC e shtriu centrifugën deri në 1410 Hz për 15 minuta, më pas ra në 2 Hz dhe më pas u kthye në 1064 Hz. E bërë në mënyrë të përsëritur gjatë një muaji, kjo bëri që rreth një mijë centrifuga në objektin e Natanzit të dështonin. Kjo ndodhi sepse ndryshimet në shpejtësinë e rrotullimit vunë stres mekanik në centrifugën e aluminit në mënyrë që pjesët të zgjeroheshin, ranë në kontakt me njëra-tjetrën dhe dështuan mekanikisht.

Ndërsa ka raporte për rreth 1000 centrifuga që janë asgjësuar rreth kësaj kohe, ka pak ose aspak prova se sa katastrofik do të ishte dështimi. Humbja është mekanike, pjesërisht e shkaktuar nga stresi dhe dridhjet rezonante. Dështimi është gjithashtu në një pajisje të madhe, të rëndë që rrotullohet shumë shpejt dhe ka të ngjarë të jetë dramatike. Për më tepër, centrifuga do të kishte përmbajtur gaz heksafluorid uraniumi, i cili është toksik, gërryes dhe radioaktiv.

Të dhënat tregojnë se ndërsa krimbi ishte efektiv në detyrën e tij, ai nuk ishte 100% efektiv. Numri i centrifugave funksionale që zotëronte Irani ra nga 4700 në rreth 3900. Për më tepër, të gjitha ato u zëvendësuan relativisht shpejt. Objektet e Natanzit pasuruan më shumë uranium në vitin 2010, vitin e infektimit, sesa vitin e kaluar.

Krimbi gjithashtu nuk ishte aq delikat sa shpresohej. Raportet e hershme të dështimeve mekanike të rastësishme të centrifugave u gjetën të padyshimta edhe pse një pararendës i shkaktoi ato te Stuxnet. Stuxnet ishte më aktiv dhe u identifikua nga një firmë sigurie e thirrur sepse kompjuterët Windows herë pas here përplaseshin. Një sjellje e tillë shihet kur shfrytëzimet e kujtesës nuk funksionojnë siç synohet. Kjo përfundimisht çoi në zbulimin e Stuxnet, jo centrifugave të dështuara.

Atribuimi

Atribuimi i Stuxnet është i mbuluar me një mohim të besueshëm. Fajtoret, megjithatë, supozohet gjerësisht se janë SHBA dhe Izraeli. Të dy vendet kanë dallime të forta politike me Iranin dhe kundërshtojnë thellësisht programet e tij bërthamore, nga frika se ai po përpiqet të zhvillojë një armë bërthamore.

Lëvizja e parë për këtë atribut vjen nga natyra e Stuxnet. Ekspertët kanë vlerësuar se do t'i duhej një ekipi prej 5 deri në 30 programues të paktën gjashtë muaj për të shkruar. Për më tepër, Stuxnet përdori katër dobësi të ditës zero, një numër i padëgjuar me një lëvizje. Vetë kodi ishte modular dhe i lehtë për t'u zgjeruar. Ai synonte një sistem kontrolli industrial dhe më pas një sistem jo veçanërisht të zakonshëm.

Ishte tepër i synuar në mënyrë specifike për të minimizuar rrezikun e zbulimit. Për më tepër, ai përdori certifikata të vjedhura të shoferit që do të kishin qenë shumë të vështira për t'u aksesuar. Këta faktorë tregojnë drejt një burimi jashtëzakonisht të aftë, të motivuar dhe të mirëfinancuar, që pothuajse me siguri do të thotë një APT-shtet-komb.

Lëvizjet specifike për përfshirjen e SHBA përfshijnë përdorimin e dobësive të ditës zero që më parë i atribuoheshin grupit Equation, që besohet gjerësisht të jetë pjesë e NSA-së. Pjesëmarrja izraelite atribuohet pak më pak mirë, por ndryshimet në stilin e kodimit në module të ndryshme lë të kuptohet shumë për ekzistencën e të paktën dy palëve kontribuuese. Për më tepër, ka të paktën dy numra që, nëse konvertohen në data, do të ishin politikisht të rëndësishëm për Izraelin. Izraeli gjithashtu rregulloi afatin kohor të vlerësuar për një armë bërthamore iraniane pak para se të vendosej Stuxnet, duke treguar se ata ishin në dijeni të një ndikimi të afërt në programin e supozuar.

konkluzioni

Stuxnet ishte një krimb vetëpërhapës. Ishte përdorimi i parë i një arme kibernetike dhe rasti i parë i malware që shkaktonte shkatërrim në botën reale. Stuxnet u vendos kryesisht kundër objektit bërthamor iranian Natanz për të degraduar aftësinë e tij të pasurimit të uraniumit. Ai përdori katër dobësi të ditës zero dhe ishte shumë kompleks. Të gjitha shenjat tregojnë se ai po zhvillohet nga një APT-shtet-komb, me dyshime që bien mbi SHBA-në dhe Izraelin.

Ndërsa Stuxnet ishte i suksesshëm, ai nuk pati një ndikim domethënës në procesin e pasurimit të uraniumit të Iranit. Ai gjithashtu hapi derën për përdorimin e ardhshëm të armëve kibernetike për të shkaktuar dëme fizike, edhe në kohë paqeje. Ndërsa kishte shumë faktorë të tjerë, ai gjithashtu ndihmoi në rritjen e ndërgjegjësimit politik, publik dhe të korporatës për sigurinë kibernetike. Stuxnet u vendos në periudhën kohore 2009-2010