Какво е Stuxnet?

Когато става въпрос за киберсигурност, обикновено нарушенията на данните са тези, които правят новините. Тези инциденти засягат много хора и представляват ужасен ден за новини за компанията, която е жертва на пробив в данните. Много по-рядко чувате за нов експлойт за нулев ден, който често предвещава поредица от пробиви на данни на компании, които не могат да се защитят. Не се случва много често да чувате за кибер инциденти, които не засягат пряко потребителите. Stuxnet е едно от тези редки изключения.

Проправяйки си път

Stuxnet е името на вид зловреден софтуер. По-конкретно, това е червей. Червеят е термин, използван за означаване на всеки зловреден софтуер, който може автоматично да се разпространява от едно заразено устройство на друго. Това му позволява да се разпространява бързо, тъй като една инфекция може да доведе до много по-мащабна инфекция. Дори не това направи Stuxnet известен. Нито колко широко се е разпространил, тъй като не е причинил толкова много инфекции. Това, което отличаваше Stuxnet, бяха неговите цели и техники.

Stuxnet беше открит за първи път в ядрено изследователско съоръжение в Иран. По-конкретно, съоръжението в Натанц. Няколко неща за това се открояват. Първо, Натанц беше атомно съоръжение, работещо за обогатяване на уран. Второ, съоръжението не беше свързано с интернет. Тази втора точка затруднява заразяването на системата със зловреден софтуер и обикновено е известна като „въздушна междина“. Въздушната междина обикновено се използва за податливи системи, които не се нуждаят активно от интернет връзка. Това прави инсталирането на актуализации по-трудно, но също така намалява заплахите, пред които е изправен пейзажът.

В този случай Stuxnet успя да „прескочи“ въздушната междина чрез използването на USB памети. Точната история е неизвестна, с две популярни опции. По-старата история беше, че USB паметите са изпуснати тайно в паркинга на съоръжението и че прекалено любопитен служител ги е включил. Скорошна история твърди, че холандска къртица, работеща в съоръжението, или е включила USB паметта, или е накарала някой друг да го направи така. Зловреден софтуер на USB паметта включваше първия от четирите експлойта за нулев ден, използвани в Stuxnet. Този нулев ден автоматично стартира злонамерения софтуер, когато USB паметта беше включена в компютър с Windows.

Целите на Stuxnet

Основната цел на Stuxnet изглежда е ядреното съоръжение в Натанц. Други съоръжения също бяха засегнати, като Иран наблюдава почти 60% от всички инфекции в света. Натанц е вълнуващ, защото една от основните му функции като ядрено съоръжение е да обогатява уран. Докато леко обогатеният уран е необходим за атомните електроцентрали, високообогатеният уран е необходим за изграждането на ядрена бомба на базата на уран. Докато Иран заявява, че обогатява уран за използване в атомни електроцентрали, има международна загриженост относно количеството на обогатяването, което се случва и че Иран може да се опитва да конструира ядрено оръжие.

За обогатяване на уран е необходимо да се разделят три изотопа: U234, U235 и U238. U238 е най-разпространеният в природата, но не е подходящ за използване в ядрена енергия или ядрени оръжия. Настоящият метод използва центрофуга, при която въртенето кара различните изотопи да се разделят по тегло. Процесът е бавен по няколко причини и отнема много време. Критично, използваните центрофуги са много чувствителни. Центрофугите в Натанц се въртят на 1064Hz. Stuxnet накара центрофугите да се въртят по-бързо и след това по-бавно, до 1410Hz и надолу до 2Hz. Това предизвика физически стрес върху центрофугата, което доведе до катастрофална механична повреда.

Тази механична повреда беше планираният резултат, с предполагаемата цел да се забави или спре процеса на обогатяване на уран в Иран. Това прави Stuxnet първият известен пример за кибер оръжие, използвано за влошаване на способностите на национална държава. Това беше и първото използване на каквато и да е форма на зловреден софтуер, което доведе до физическо унищожаване на хардуер в реалния свят.

Действителният процес на Stuxnet – заразяване

Stuxnet беше въведен в компютър чрез използването на USB памет. Той използва експлойт за нулев ден, за да се стартира автоматично, когато е включен в компютър с Windows. Като основна цел беше използван USB стик. Ядреното съоръжение в Натанз беше с въздушна междина и не беше свързано с интернет. USB паметта или е била „изпусната“ близо до съоръжението и поставена от неволен служител, или е била въведена от холандска къртица в съоръжението; спецификата на това се основава на непотвърдени доклади.

Зловреден софтуер зарази компютри с Windows, когато USB паметта беше поставена чрез уязвимост от нулев ден. Тази уязвимост е насочена към процеса, който изобразява икони и позволява отдалечено изпълнение на код. Критично, тази стъпка не изисква взаимодействие с потребителя освен поставянето на USB паметта. Зловредният софтуер включва руткит, който му позволява да зарази дълбоко операционната система и да манипулира всичко, включително инструменти като антивирусна програма, за да скрие присъствието си. Той успя да се инсталира с помощта на чифт откраднати ключове за подписване на драйвери.

Съвет: Руткитовете са особено неприятни вируси, които са много трудни за откриване и премахване. Те се поставят в положение, в което могат да променят цялата система, включително антивирусния софтуер, за да открият присъствието му.

След това злонамереният софтуер се опита да се разпространи към други свързани устройства чрез протоколи за локална мрежа. Някои методи използват известни преди това експлойти. Един обаче използва уязвимост от нулев ден в драйвера за споделяне на принтер в Windows.

Интересното е, че зловредният софтуер включва проверка за деактивиране на заразяването на други устройства, след като устройството е заразило три различни устройства. Тези устройства обаче сами по себе си са свободни да заразят още три устройства всяко и т.н. Той също така включва проверка, която автоматично изтрива зловреден софтуер на 24 юни 2012 г.

Действителният процес на Stuxnet – експлоатация

След като се разпространи, Stuxnet провери дали заразеното устройство може да контролира своите цели, центрофугите. Siemens S7 PLC или програмируеми логически контролери управляваха центрофугите. PLC от своя страна бяха програмирани от софтуера Siemens PCS 7, WinCC и STEP7 Industrial Control System (ICS). За да се сведе до минимум рискът злонамереният софтуер да бъде открит там, където не може да засегне целта си, ако не може да намери нито един от трите инсталирани софтуера, той остава в латентно състояние, без да прави нищо друго.

Ако има инсталирани ICS приложения, те заразяват DLL файл. Това му позволява да контролира какви данни софтуерът изпраща към PLC. В същото време трета уязвимост от нулев ден под формата на твърдо кодирана парола за база данни се използва за локален контрол на приложението. В комбинация това позволява на злонамерения софтуер да коригира програмирането на PLC и да скрие факта, че го е направил от ICS софтуера. Той генерира фалшиви показания, показващи, че всичко е наред. Той прави това, когато анализира програмирането, скрива злонамерения софтуер и отчита скоростта на въртене, скривайки действителния ефект.

След това ICS заразява само Siemens S7-300 PLC и дори тогава, само ако PLC е свързан към задвижване с променлива честота от един от двама доставчици. След това заразеният PLC всъщност атакува само системи, където честотата на задвижване е между 807Hz и 1210Hz. Това е много по-бързо от традиционните центрофуги, но е типично за газовите центрофуги, използвани за обогатяване на уран. PLC също така получава независим руткит, за да попречи на незаразените устройства да видят истинските скорости на въртене.

Резултат

В съоръжението в Натанц всички тези изисквания бяха изпълнени, тъй като центрофугите работят на 1064Hz. Веднъж заразен, PLC обхваща центрофугата до 1410Hz за 15 минути, след което пада до 2Hz и след това се върти отново до 1064Hz. Правено многократно в продължение на месец, това доведе до повреда на около хиляда центрофуги в съоръжението в Натанц. Това се случи, защото промените в скоростта на въртене поставиха механично напрежение върху алуминиевата центрофуга, така че частите се разшириха, влязоха в контакт една с друга и механично се повредиха.

Въпреки че има съобщения за изхвърляне на около 1000 центрофуги по това време, няма почти никакви доказателства колко катастрофален би бил този отказ. Загубата е механична, частично предизвикана от напрежение и резонансни вибрации. Повредата също е в огромно, тежко устройство, което се върти много бързо и вероятно е било драматично. Освен това центрофугата би съдържала газ уранов хексафлуорид, който е токсичен, корозивен и радиоактивен.

Записите показват, че макар червеят да е бил ефективен при задачата си, той не е бил 100% ефективен. Броят на функционалните центрофуги, притежавани от Иран, спадна от 4700 на около 3900. Освен това всички те бяха заменени относително бързо. Съоръжението в Натанц обогати повече уран през 2010 г., годината на заразата, отколкото предходната година.

Червеят също не беше толкова фин, колкото се надявахме. Ранните доклади за случайни механични повреди на центрофуги се оказаха неподозрителни, въпреки че прекурсор ги е причинил на Stuxnet. Stuxnet беше по-активен и беше идентифициран от фирма за сигурност, извикана, тъй като компютрите с Windows понякога се сриваха. Такова поведение се наблюдава, когато експлойтите на паметта не работят по предназначение. Това в крайна сметка доведе до откриването на Stuxnet, а не до провалените центрофуги.

Приписване

Приписването на Stuxnet е обвито в правдоподобно отричане. Виновниците обаче се смятат широко за САЩ и Израел. И двете страни имат силни политически различия с Иран и дълбоко възразяват срещу ядрените му програми, опасявайки се, че се опитва да разработи ядрено оръжие.

Първият намек за това приписване идва от природата на Stuxnet. Експерти са изчислили, че на екип от 5 до 30 програмисти ще са нужни поне шест месеца, за да се напише. Освен това Stuxnet използва четири уязвимости от нулевия ден, нечуван брой наведнъж. Самият код беше модулен и лесен за разширяване. Той беше насочен към промишлена система за контрол и след това към не особено обичайна.

Беше невероятно специално насочен, за да се сведе до минимум рискът от откриване. Освен това той използва откраднати шофьорски сертификати, които биха били много трудни за достъп. Тези фактори сочат към изключително способен, мотивиран и добре финансиран източник, което почти сигурно означава национална държава APT.

Конкретни намеци за участието на САЩ включват използване на уязвимости от нулевия ден, приписвани преди това на групата Equation, за която се смята, че е част от NSA. Участието на Израел е малко по-малко приписано, но разликите в стила на кодиране в различните модули силно намекват за съществуването на поне две участващи страни. Освен това има поне две числа, които, ако се преобразуват в дати, биха били политически значими за Израел. Израел също коригира прогнозния си график за иранско ядрено оръжие малко преди разгръщането на Stuxnet, което показва, че са били наясно с предстоящото въздействие върху предполагаемата програма.

Заключение

Stuxnet беше саморазпространяващ се червей. Това беше първото използване на кибер оръжие и първият случай на зловреден софтуер, причиняващ унищожение в реалния свят. Stuxnet беше разгърната основно срещу иранското ядрено съоръжение в Натанц, за да намали способността му за обогатяване на уран. Той използваше четири уязвимости от нулевия ден и беше много сложен. Всички признаци сочат, че е разработен от национална държава APT, като подозренията падат върху САЩ и Израел.

Въпреки че Stuxnet беше успешен, той не оказа значително въздействие върху процеса на обогатяване на уран в Иран. Освен това отвори вратата за бъдещото използване на кибероръжия за причиняване на физически щети, дори в мирно време. Въпреки че имаше много други фактори, това също помогна за повишаване на политическата, обществената и корпоративната осведоменост за киберсигурността. Stuxnet беше внедрен в периода 2009-2010 г