Co je Stuxnet?

Pokud jde o kybernetickou bezpečnost, jsou to obvykle úniky dat, které jsou zdrojem zpráv. Tyto incidenty postihují mnoho lidí a představují pro společnost hrozný zpravodajský den na konci úniku dat. Mnohem méně pravidelně slýcháte o novém zero-day exploitu, který často předznamenává záplavu úniků dat společností, které se nemohou chránit. Nestává se příliš často, abyste slyšeli o kybernetických incidentech, které se uživatelů přímo netýkají. Stuxnet je jednou z těch vzácných výjimek.

Worming jeho cestu dovnitř

Stuxnet je název kmene malwaru. Konkrétně se jedná o červa. Červ je termín používaný k označení jakéhokoli malwaru, který se může automaticky šířit z jednoho infikovaného zařízení do druhého. To umožňuje jeho rychlé šíření, protože jediná infekce může vyústit v infekci mnohem většího rozsahu. To nebylo ani to, co Stuxnet proslavilo. Ani to, jak široce se rozšířil, protože nezpůsobil tolik infekcí. To, čím Stuxnet vyčníval, byly jeho cíle a jeho techniky.

Stuxnet byl poprvé nalezen v jaderném výzkumném zařízení v Íránu. Konkrétně zařízení v Natanzu. Pár věcí na tom vynikne. Za prvé, Natanz bylo atomové zařízení pracující na obohacování uranu. Za druhé, zařízení nebylo připojeno k internetu. Tento druhý bod ztěžuje infikování systému malwarem a je obvykle známý jako „vzduchová mezera“. Vzduchová mezera se obecně používá u citlivých systémů, které aktivně nepotřebují připojení k internetu. Ztěžuje to instalaci aktualizací, ale také snižuje rozsah hrozeb.

V tomto případě byl Stuxnet schopen „přeskočit“ vzduchovou mezeru pomocí USB klíčů. Přesný příběh je neznámý, se dvěma oblíbenými možnostmi. Starší příběh byl, že USB klíčenky byly tajně shozeny na parkovišti zařízení a že je zapojil příliš zvědavý zaměstnanec. Nedávný příběh tvrdí, že holandský krtek pracující v zařízení buď zastrčil USB klíčenku, nebo měl na práci někoho jiného. tak. Malware na USB klíčence zahrnoval první ze čtyř zero-day exploitů používaných ve Stuxnetu. Tento zero-day automaticky spustil malware, když byla USB klíčenka zapojena do počítače se systémem Windows.

Cíle Stuxnetu

Zdá se, že primárním cílem Stuxnetu je jaderné zařízení v Natanzu. Postižena byla i další zařízení, přičemž Írán zaznamenal téměř 60 % všech celosvětových infekcí. Natanz je vzrušující, protože jednou z jeho hlavních funkcí jako jaderného zařízení je obohacování uranu. Zatímco mírně obohacený uran je potřebný pro jaderné elektrárny, vysoce obohacený uran je nezbytný pro stavbu jaderné bomby na bázi uranu. Zatímco Írán prohlašuje, že obohacuje uran pro použití v jaderných elektrárnách, existuje mezinárodní znepokojení nad množstvím obohacování, ke kterému dochází, a že by se Írán mohl pokoušet vyrobit jadernou zbraň.

Pro obohacení uranu je nutné oddělit tři izotopy: U234, U235 a U238. U238 je v přírodě zdaleka nejhojnější, ale není vhodný pro jadernou energii nebo použití jaderných zbraní. Současná metoda používá odstředivku, kde rotace způsobuje, že se různé izotopy oddělují podle hmotnosti. Proces je pomalý z několika důvodů a zabere spoustu času. Důležité je, že použité odstředivky jsou velmi citlivé. Centrifugy v Natanzu se otáčely při 1064 Hz. Stuxnet způsobil, že se centrifugy otáčely rychleji a pak pomaleji, až do 1410 Hz a dolů na 2 Hz. To způsobilo fyzické namáhání centrifugy, což mělo za následek katastrofální mechanické selhání.

Toto mechanické selhání bylo zamýšleným výsledkem s předpokládaným cílem zpomalit nebo zastavit íránský proces obohacování uranu. Díky tomu je Stuxnet prvním známým příkladem kybernetické zbraně používané k degradaci schopností národního státu. Bylo to také první použití jakékoli formy malwaru, které vedlo k fyzickému zničení hardwaru v reálném světě.

Aktuální proces Stuxnetu – infekce

Stuxnet byl zaveden do počítače pomocí USB flash disku. Použil zero-day exploit, aby se automaticky spustil po připojení k počítači se systémem Windows. USB klíčenka byla použita jako primární cíl Natanzské jaderné zařízení bylo vzduchotěsné a nebylo připojeno k internetu. USB klíčenka byla buď „upuštěna“ poblíž zařízení a vložena nevědomým zaměstnancem, nebo byla zavedena holandským krtečkem v zařízení; specifika tohoto jsou založena na nepotvrzených zprávách.

Malware infikoval počítače se systémem Windows, když byl USB klíč vložen prostřednictvím zranitelnosti zero-day. Tato chyba zabezpečení se zaměřovala na proces, který vykresloval ikony a umožňoval vzdálené spuštění kódu. Důležité je, že tento krok nevyžadoval interakci uživatele kromě vložení USB flash disku. Malware obsahoval rootkit, který mu umožňoval hluboce infikovat operační systém a manipulovat se vším, včetně nástrojů, jako je antivirus, aby skryl svou přítomnost. Dokázal se sám nainstalovat pomocí dvojice ukradených klíčů k podpisu ovladače.

Tip: Rootkity jsou obzvláště nepříjemné viry, které je velmi obtížné detekovat a odstranit. Dostávají se do pozice, kdy mohou upravit celý systém včetně antivirového softwaru tak, aby detekoval jeho přítomnost.

Malware se poté pokusil rozšířit na další připojená zařízení prostřednictvím místních síťových protokolů. Některé metody využívaly dříve známé exploity. Jeden však použil zranitelnost zero-day v ovladači sdílení tiskáren Windows.

Zajímavé je, že malware zahrnoval kontrolu pro deaktivaci infikování dalších zařízení, jakmile zařízení infikovalo tři různá zařízení. Tato zařízení však mohla sama o sobě infikovat další tři zařízení a tak dále. Zahrnovala také kontrolu, která automaticky odstranila malware 24. června 2012.

Aktuální proces Stuxnetu – vykořisťování

Jakmile se samo rozšířilo, Stuxnet zkontroloval, zda infikované zařízení dokáže ovládat své cíle, centrifugy. Odstředivky ovládaly PLC nebo programovatelné logické automaty Siemens S7. PLC byly zase naprogramovány softwarem Siemens PCS 7, WinCC a STEP7 Industrial Control System (ICS). Aby se minimalizovalo riziko, že se malware najde tam, kde nemůže ovlivnit svůj cíl, pokud nenajde žádnou ze tří nainstalovaných částí softwaru, je nečinný a nedělá nic jiného.

Pokud jsou nainstalovány nějaké aplikace ICS, infikuje soubor DLL. To mu umožňuje řídit, jaká data software odesílá do PLC. Zároveň se pro lokální ovládání aplikace používá třetí zranitelnost zero-day v podobě pevně zakódovaného hesla databáze. Společně to umožňuje malwaru upravit programování PLC a skrýt před softwarem ICS skutečnost, že tak učinil. Generuje falešné údaje, které indikují, že je vše v pořádku. Dělá to při analýze programování, skrývání malwaru a hlášení rychlosti otáčení, čímž se skrývá skutečný efekt.

ICS pak infikuje pouze PLC Siemens S7-300 a i to pouze v případě, že je PLC připojeno k frekvenčnímu měniči od jednoho ze dvou výrobců. Infikované PLC pak skutečně útočí pouze na systémy, kde je frekvence pohonu mezi 807 Hz a 1210 Hz. To je mnohem rychlejší než tradiční odstředivky, ale typické pro plynové odstředivky používané pro obohacování uranu. PLC také získává nezávislý rootkit, který zabraňuje neinfikovaným zařízením vidět skutečné rychlosti otáčení.

Výsledek

V závodě v Natanzu byly všechny tyto požadavky splněny, protože centrifugy dosahovaly 1064 Hz. Jakmile je infikován, PLC nastaví rozsah centrifugy až na 1410 Hz po dobu 15 minut, poté klesne na 2 Hz a poté se roztočí zpět na 1064 Hz. Opakovaně během měsíce to způsobilo selhání přibližně tisíce odstředivek v zařízení v Natanzu. Stalo se to proto, že změny rychlosti otáčení způsobily mechanické namáhání hliníkové odstředivky, takže se části roztahovaly, dostaly se do vzájemného kontaktu a mechanicky selhaly.

I když existují zprávy o zhruba 1000 centrifugách, které byly v této době zlikvidovány, neexistuje žádný nebo žádný důkaz o tom, jak katastrofální by selhání bylo. Ztráta je mechanická, částečně vyvolaná napětím a rezonančními vibracemi. Porucha je také v obrovském, těžkém zařízení, které se velmi rychle otáčí a byla pravděpodobně dramatická. Kromě toho by centrifuga obsahovala plynný hexafluorid uranu, který je toxický, korozivní a radioaktivní.

Záznamy ukazují, že i když byl červ ve svém úkolu účinný, nebyl 100% účinný. Počet funkčních odstředivek, které Írán vlastnil, klesl ze 4700 na přibližně 3900. Navíc byly všechny poměrně rychle vyměněny. Zařízení v Natanzu obohatilo v roce 2010, v roce infekce, více uranu než v předchozím roce.

Červ také nebyl tak jemný, jak se doufalo. První zprávy o náhodných mechanických poruchách odstředivek byly shledány nepodezřelými, i když je Stuxnet způsobil prekurzor. Stuxnet byl aktivnější a identifikovala ho bezpečnostní firma, která se přivolala, protože počítače s Windows občas havarovaly. Takové chování je vidět, když zneužití paměti nefungují tak, jak bylo zamýšleno. To nakonec vedlo k objevu Stuxnetu, nikoli neúspěšných centrifug.

Atribuce

Připisování Stuxnetu je zahaleno věrohodným popřením. Obecně se však předpokládá, že viníky jsou jak USA, tak Izrael. Obě země mají silné politické rozdíly s Íránem a hluboce protestují proti jeho jadernému programu, protože se obávají, že se pokouší vyvinout jadernou zbraň.

První náznak tohoto přiřazení pochází z povahy Stuxnetu. Odborníci odhadují, že psaní by týmu 5 až 30 programátorů trvalo nejméně šest měsíců. Stuxnet navíc použil čtyři zranitelnosti zero-day, což je množství neslýchané najednou. Samotný kód byl modulární a snadno se rozšiřoval. Zaměřil se na průmyslový řídicí systém a poté na ne příliš běžný.

Bylo neuvěřitelně specificky zaměřeno, aby se minimalizovalo riziko odhalení. Navíc používal odcizené certifikáty ovladačů, ke kterým by bylo velmi obtížné získat přístup. Tyto faktory ukazují na extrémně schopný, motivovaný a dobře financovaný zdroj, což téměř jistě znamená APT národního státu.

Mezi konkrétní náznaky zapojení USA patří použití zranitelností nultého dne dříve připisovaných skupině Equation, o níž se všeobecně věří, že je součástí NSA. Izraelská účast je o něco méně dobře přisuzována, ale rozdíly ve stylu kódování v různých modulech silně naznačují existenci alespoň dvou přispívajících stran. Kromě toho existují nejméně dvě čísla, která by po převedení na data byla pro Izrael politicky významná. Izrael také upravil svůj odhadovaný časový plán pro íránskou jadernou zbraň krátce před nasazením Stuxnetu, což naznačuje, že si byl vědom hrozícího dopadu na údajný program.

Závěr

Stuxnet byl samomnožící se červ. Bylo to první použití kybernetické zbraně a první výskyt malwaru způsobujícího zkázu v reálném světě. Stuxnet byl primárně nasazen proti íránskému jadernému zařízení Natanz, aby snížil jeho schopnost obohacovat uran. Využíval čtyři zranitelnosti zero-day a byl vysoce komplexní. Všechny známky naznačují, že je vyvíjen národním státem APT, přičemž podezření padá na USA a Izrael.

Stuxnet byl sice úspěšný, ale neměl významný dopad na íránský proces obohacování uranu. Také to otevřelo dveře pro budoucí použití kybernetických zbraní k fyzickému poškození, a to i v době míru. I když existovalo mnoho dalších faktorů, pomohlo to také zvýšit politické, veřejné a firemní povědomí o kybernetické bezpečnosti. Stuxnet byl nasazen v časovém rámci 2009-2010