Hvad er Stuxnet?

Når det kommer til cybersikkerhed, er det normalt databrud, der kommer i nyhederne. Disse hændelser påvirker mange mennesker og repræsenterer en frygtelig nyhedsdag for virksomheden i den modtagende ende af databruddet. Meget mindre regelmæssigt hører du om en ny zero-day exploit, der ofte varsler et udslæt af databrud hos virksomheder, der ikke kan beskytte sig selv. Det er ikke særlig tit, man hører om cyberhændelser, som ikke direkte påvirker brugerne. Stuxnet er en af ​​de sjældne undtagelser.

Ormekur på vej ind

Stuxnet er navnet på en stamme af malware. Konkret er det en orm. En orm er et udtryk, der bruges til at henvise til enhver malware, der automatisk kan sprede sig fra en inficeret enhed til en anden. Dette gør det muligt at sprede sig hurtigt, da en enkelt infektion kan resultere i en meget større infektion. Det var ikke engang det, der gjorde Stuxnet berømt. Det var heller ikke, hvor bredt det spredte sig, da det ikke gav så mange infektioner. Det, der fik Stuxnet til at skille sig ud, var dets mål og dets teknikker.

Stuxnet blev først fundet i et atomforskningsanlæg i Iran. Nærmere bestemt Natanz-anlægget. Et par ting om dette skiller sig ud. For det første var Natanz et atomanlæg, der arbejdede på at berige uran. For det andet var anlægget ikke forbundet til internettet. Dette andet punkt gør det vanskeligt at inficere systemet med malware og er typisk kendt som et "luftgab". En luftspalte bruges generelt til følsomme systemer, der ikke aktivt har brug for en internetforbindelse. Det gør det sværere at installere opdateringer, men det mindsker også trusselsbilledet.

I dette tilfælde var Stuxnet i stand til at "springe" luftgabet gennem brug af USB-sticks. Den præcise historie er ukendt, med to populære muligheder. Den ældre historie var, at USB-stikkene blev tabt i det skjulte på anlæggets parkeringsplads, og at en alt for nysgerrig medarbejder tilsluttede det. En nylig historie hævder, at en hollandsk muldvarp, der arbejdede på anlægget, enten tilsluttede USB-stikket eller fik en anden til at gøre det. så. Malwaren på USB-stikket inkluderede den første af fire nul-dages udnyttelser, der blev brugt i Stuxnet. Denne nul-dag lancerede automatisk malwaren, når USB-stikket blev sat i en Windows-computer.

Stuxnets mål

Stuxnets primære mål ser ud til at være Natanz-atomanlægget. Andre faciliteter blev også ramt, hvor Iran så næsten 60 % af alle verdensomspændende infektioner. Natanz er spændende, fordi en af ​​dens kernefunktioner som atomanlæg er at berige uran. Mens let beriget uran er nødvendigt til atomkraftværker, er højt beriget uran nødvendigt for at bygge en uranbaseret atombombe. Mens Iran oplyser, at det beriger uran til brug i atomkraftværker, har der været international bekymring over mængden af ​​berigelse, der sker, og at Iran muligvis forsøger at konstruere et atomvåben.

For at berige uran er det nødvendigt at adskille tre isotoper: U234, U235 og U238. U238 er langt den mest naturligt forekommende, men er ikke egnet til atomkraft eller atomvåbenbrug. Den nuværende metode bruger en centrifuge, hvor spindingen får de forskellige isotoper til at adskille efter vægt. Processen er langsom af flere årsager og tager meget tid. Kritisk er de anvendte centrifuger meget følsomme. Centrifuger ved Natanz drejede ved 1064 Hz. Stuxnet fik centrifugerne til at rotere hurtigere og derefter langsommere, op til 1410Hz og ned til 2Hz. Dette forårsagede fysisk stress på centrifugen, hvilket resulterede i katastrofalt mekanisk svigt.

Denne mekaniske fejl var det tilsigtede resultat med det formodede mål at bremse eller standse Irans uranberigelsesproces. Dette gør Stuxnet til det første kendte eksempel på et cybervåben, der bruges til at forringe en nationalstats evner. Det var også den første brug af enhver form for malware, der resulterede i fysisk ødelæggelse af hardware i den virkelige verden.

Stuxnets faktiske proces – infektion

Stuxnet blev introduceret til en computer ved brug af en USB-stick. Den brugte en nul-dages udnyttelse til at køre sig selv, når den blev tilsluttet en Windows-computer automatisk. En USB-stick blev brugt, da det primære mål i Natanz nukleare anlæg var luftgap og ikke forbundet til internettet. USB-stikket blev enten "smidt" i nærheden af ​​anlægget og indsat af en uvidende medarbejder eller blev introduceret af en hollandsk muldvarp på anlægget; detaljerne i dette er baseret på ubekræftede rapporter.

Malwaren inficerede Windows-computere, da USB-stikket blev indsat gennem en nul-dages sårbarhed. Denne sårbarhed var rettet mod den proces, der gengav ikoner og tillod fjernudførelse af kode. Kritisk nok krævede dette trin ikke brugerinteraktion ud over at indsætte USB-nøglen. Malwaren inkluderede et rootkit, der gjorde det muligt for det at inficere operativsystemet dybt og manipulere alt, inklusive værktøjer som antivirus, for at skjule dets tilstedeværelse. Det var i stand til at installere sig selv ved hjælp af et par stjålne chauffør-signeringsnøgler.

Tip: Rootkits er særligt grimme vira, som er meget svære at opdage og fjerne. De kommer i en position, hvor de kan ændre hele systemet, inklusive antivirussoftwaren, for at opdage dets tilstedeværelse.

Malwaren forsøgte derefter at sprede sig til andre tilsluttede enheder gennem lokale netværksprotokoller. Nogle metoder gjorde brug af tidligere kendte udnyttelser. Men én brugte en nul-dages sårbarhed i Windows Printer Sharing-driveren.

Interessant nok inkluderede malwaren en kontrol for at deaktivere inficering af andre enheder, når enheden havde inficeret tre forskellige enheder. Disse enheder var dog selv frie til at inficere yderligere tre enheder hver, og så videre. Det inkluderede også en kontrol, der automatisk slettede malwaren den 24. juni 2012.

Stuxnets faktiske proces – udnyttelse

Da det først spredte sig, tjekkede Stuxnet for at se, om den inficerede enhed kunne kontrollere sine mål, centrifugerne. Siemens S7 PLC'er eller programmerbare logiske controllere styrede centrifugerne. PLC'erne blev til gengæld programmeret af Siemens PCS 7, WinCC og STEP7 Industrial Control System (ICS) software. For at minimere risikoen for, at malwaren bliver fundet, hvor den ikke kunne påvirke sit mål, hvis den ikke kunne finde nogen af ​​de tre installerede stykker software, sidder den i dvale og gør intet andet.

Hvis nogen ICS-applikationer er installeret, inficerer den en DLL-fil. Dette giver den mulighed for at kontrollere, hvilke data softwaren sender til PLC'en. Samtidig bruges en tredje nul-dages sårbarhed, i form af en hårdkodet databaseadgangskode, til at styre applikationen lokalt. Kombineret giver dette malwaren mulighed for at justere programmeringen af ​​PLC'en og skjule det faktum, at den har gjort det fra ICS-softwaren. Det genererer falske aflæsninger, der indikerer, at alt er i orden. Det gør den, når den analyserer programmeringen, skjuler malwaren og rapporterer spinhastigheden og skjuler den faktiske effekt.

ICS'en inficerer derefter kun Siemens S7-300 PLC'er, og selv da kun hvis PLC'en er forbundet til et variabelt frekvensdrev fra en af ​​to leverandører. Den inficerede PLC angriber så faktisk kun systemer, hvor drevfrekvensen er mellem 807Hz og 1210Hz. Dette er langt hurtigere end traditionelle centrifuger, men typisk for de gascentrifuger, der bruges til uranberigelse. PLC'en får også et uafhængigt rootkit for at forhindre uinficerede enheder i at se de sande rotationshastigheder.

Resultat

I Natanz-anlægget blev alle disse krav opfyldt, da centrifugerne spænder over 1064 Hz. Når først den er inficeret, spænder PLC'en centrifugen op til 1410 Hz i 15 minutter, faldt derefter til 2 Hz og drejede derefter tilbage til 1064 Hz. Dette blev gjort gentagne gange i løbet af en måned og fik omkring tusind centrifuger på Natanz-anlægget til at svigte. Dette skete, fordi ændringerne i omdrejningshastigheden lagde mekanisk belastning på aluminiumscentrifugen, så dele udvidede sig, kom i kontakt med hinanden og fejlede mekanisk.

Mens der er rapporter om, at omkring 1000 centrifuger bliver bortskaffet omkring dette tidspunkt, er der lidt eller ingen beviser for, hvor katastrofal fejlen ville være. Tabet er mekanisk, delvist forårsaget af stress og resonansvibrationer. Fejlen er også i en enorm, tung enhed, der drejer meget hurtigt og var sandsynligvis dramatisk. Derudover ville centrifugen have indeholdt uranhexafluoridgas, som er giftig, ætsende og radioaktiv.

Optegnelser viser, at mens ormen var effektiv til sin opgave, var den ikke 100 % effektiv. Antallet af funktionelle centrifuger Iran ejede faldt fra 4700 til omkring 3900. Derudover blev de alle udskiftet relativt hurtigt. Natanz-anlægget berigede mere uran i 2010, infektionsåret, end året før.

Ormen var heller ikke så subtil som håbet. Tidlige rapporter om tilfældige mekaniske fejl i centrifuger viste sig at være mistænkelige, selvom en forløber forårsagede dem til Stuxnet. Stuxnet var mere aktiv og blev identificeret af et sikkerhedsfirma, der blev tilkaldt, fordi Windows-computere af og til gik ned. Sådan adfærd ses, når hukommelsesudnyttelser ikke virker efter hensigten. Dette førte i sidste ende til opdagelsen af ​​Stuxnet, ikke de mislykkede centrifuger.

Tilskrivning

Tilskrivningen af ​​Stuxnet er indhyllet i plausibel benægtelse. De skyldige antages dog generelt at være både USA og Israel. Begge lande har stærke politiske uenigheder med Iran og protesterer dybt mod dets atomprogrammer af frygt for, at det forsøger at udvikle et atomvåben.

Det første tip til denne tilskrivning kommer fra Stuxnets natur. Eksperter har anslået, at det ville have taget et hold på 5 til 30 programmører mindst seks måneder at skrive. Derudover brugte Stuxnet fire nul-dages sårbarheder, et antal uhørt på én gang. Selve koden var modulopbygget og let at udvide. Det var rettet mod et industrielt kontrolsystem og derefter et ikke særligt almindeligt.

Det var utroligt specifikt målrettet for at minimere risikoen for opdagelse. Derudover brugte den stjålne førercertifikater, som ville have været meget vanskelige at få adgang til. Disse faktorer peger mod en ekstremt dygtig, motiveret og velfinansieret kilde, hvilket næsten helt sikkert betyder en nationalstats-APT.

Specifikke hints til amerikansk involvering omfatter brugen af ​​nul-dages sårbarheder, som tidligere blev tilskrevet Equation-gruppen, der almindeligvis menes at være en del af NSA. Israelsk deltagelse tilskrives lidt mindre godt, men forskelle i kodningsstil i forskellige moduler tyder stærkt på eksistensen af ​​mindst to medvirkende parter. Derudover er der mindst to tal, som, hvis de blev konverteret til datoer, ville have politisk betydning for Israel. Israel justerede også sin estimerede tidslinje for et iransk atomvåben kort før Stuxnet blev indsat, hvilket indikerer, at de var klar over en forestående indvirkning på det påståede program.

Konklusion

Stuxnet var en selvudbredende orm. Det var den første brug af et cybervåben og det første tilfælde af malware, der forårsagede ødelæggelse af den virkelige verden. Stuxnet blev primært indsat mod det iranske Natanz-atomanlæg for at forringe dets evne til at berige uran. Den gjorde brug af fire nul-dages sårbarheder og var meget kompleks. Alle tegn peger på, at det er udviklet af en nationalstats-APT, hvor mistanke falder på USA og Israel.

Selvom Stuxnet havde succes, havde det ikke en meningsfuld indvirkning på Irans uranberigelsesproces. Det åbnede også døren for fremtidig brug af cybervåben til at forårsage fysisk skade, selv i fredstid. Mens der var mange andre faktorer, hjalp det også med at øge den politiske, offentlige og virksomheders bevidsthed om cybersikkerhed. Stuxnet blev implementeret i tidsrammen 2009-2010