Τι είναι το Stuxnet;

Όσον αφορά την ασφάλεια στον κυβερνοχώρο, είναι συνήθως οι παραβιάσεις δεδομένων που κάνουν την είδηση. Αυτά τα περιστατικά επηρεάζουν πολλούς ανθρώπους και αντιπροσωπεύουν μια τρομερή ημέρα ειδήσεων για την εταιρεία στο σημείο λήψης της παραβίασης δεδομένων. Πολύ λιγότερο τακτικά, ακούτε για ένα νέο exploit μηδενικής ημέρας που συχνά προαναγγέλλει ένα εξάνθημα παραβιάσεων δεδομένων εταιρειών που δεν μπορούν να προστατευτούν. Δεν είναι πολύ συχνά που ακούτε για περιστατικά στον κυβερνοχώρο που δεν επηρεάζουν άμεσα τους χρήστες. Το Stuxnet είναι μια από αυτές τις σπάνιες εξαιρέσεις.

Το σκουλήκι

Το Stuxnet είναι το όνομα ενός στελέχους κακόβουλου λογισμικού. Συγκεκριμένα πρόκειται για σκουλήκι. Το worm είναι ένας όρος που χρησιμοποιείται για να αναφέρεται σε οποιοδήποτε κακόβουλο λογισμικό που μπορεί να διαδοθεί αυτόματα από τη μια μολυσμένη συσκευή στην άλλη. Αυτό του επιτρέπει να εξαπλωθεί γρήγορα, καθώς μια μεμονωμένη μόλυνση μπορεί να οδηγήσει σε μόλυνση πολύ μεγαλύτερης κλίμακας. Δεν ήταν καν αυτό που έκανε το Stuxnet διάσημο. Ούτε ήταν πόσο ευρέως εξαπλώθηκε, καθώς δεν προκάλεσε τόσες πολλές μολύνσεις. Αυτό που έκανε το Stuxnet να ξεχωρίζει ήταν οι στόχοι και οι τεχνικές του.

Το Stuxnet βρέθηκε για πρώτη φορά σε πυρηνική ερευνητική εγκατάσταση στο Ιράν. Συγκεκριμένα, οι εγκαταστάσεις Natanz. Ξεχωρίζουν μερικά πράγματα σχετικά με αυτό. Πρώτον, το Natanz ήταν μια ατομική εγκατάσταση που εργαζόταν στον εμπλουτισμό του Ουρανίου. Δεύτερον, η εγκατάσταση δεν ήταν συνδεδεμένη στο Διαδίκτυο. Αυτό το δεύτερο σημείο καθιστά δύσκολη τη μόλυνση του συστήματος με κακόβουλο λογισμικό και είναι συνήθως γνωστό ως "κενό αέρα". Ένα διάκενο αέρα χρησιμοποιείται γενικά για ευαίσθητα συστήματα που δεν χρειάζονται ενεργά σύνδεση στο Διαδίκτυο. Κάνει την εγκατάσταση ενημερώσεων πιο δύσκολη, αλλά μειώνει επίσης τις όψεις του τοπίου απειλών.

Σε αυτή την περίπτωση, το Stuxnet μπόρεσε να «πηδήσει» το διάκενο αέρα μέσω της χρήσης USB sticks. Η ακριβής ιστορία είναι άγνωστη, με δύο δημοφιλείς επιλογές. Η παλαιότερη ιστορία ήταν ότι τα USB sticks έπεσαν κρυφά στο πάρκινγκ της εγκατάστασης και ότι ένας υπερβολικά περίεργος υπάλληλος τα έβαλε στην πρίζα. Μια πρόσφατη ιστορία ισχυρίζεται ότι ένας Ολλανδός μωρός που εργαζόταν στο εργοστάσιο είτε έβαλε στην πρίζα το USB stick είτε έβαλε κάποιον άλλο να το κάνει Έτσι. Το κακόβουλο λογισμικό στο USB stick περιλάμβανε το πρώτο από τα τέσσερα μηδενικά exploits που χρησιμοποιήθηκαν στο Stuxnet. Αυτή η ημέρα μηδέν ξεκίνησε αυτόματα το κακόβουλο λογισμικό όταν το USB stick συνδέθηκε σε έναν υπολογιστή με Windows.

Στόχοι του Stuxnet

Ο πρωταρχικός στόχος του Stuxnet φαίνεται να είναι η πυρηνική εγκατάσταση Natanz. Επηρεάστηκαν επίσης και άλλες εγκαταστάσεις, με το Ιράν να έχει σχεδόν το 60% όλων των μολύνσεων παγκοσμίως. Το Natanz είναι συναρπαστικό γιατί μια από τις βασικές λειτουργίες του ως πυρηνική εγκατάσταση είναι ο εμπλουτισμός ουρανίου. Ενώ το ελαφρώς εμπλουτισμένο ουράνιο είναι απαραίτητο για τους πυρηνικούς σταθμούς ηλεκτροπαραγωγής, το ουράνιο υψηλής εμπλουτισμού είναι απαραίτητο για την κατασκευή μιας πυρηνικής βόμβας με βάση το ουράνιο. Ενώ το Ιράν δηλώνει ότι εμπλουτίζει ουράνιο για χρήση σε πυρηνικούς σταθμούς, υπήρξε διεθνής ανησυχία για το μέγεθος του εμπλουτισμού που συμβαίνει και ότι το Ιράν θα μπορούσε να επιχειρήσει να κατασκευάσει ένα πυρηνικό όπλο.

Για τον εμπλουτισμό του ουρανίου, είναι απαραίτητο να διαχωριστούν τρία ισότοπα: U234, U235 και U238. Το U238 είναι μακράν το πιο άφθονο, αλλά δεν είναι κατάλληλο για χρήση πυρηνικής ενέργειας ή πυρηνικών όπλων. Η τρέχουσα μέθοδος χρησιμοποιεί μια φυγόκεντρο όπου η περιστροφή προκαλεί τον διαχωρισμό των διαφορετικών ισοτόπων κατά βάρος. Η διαδικασία είναι αργή για διάφορους λόγους και απαιτεί πολύ χρόνο. Κρίσιμα, οι φυγόκεντροι που χρησιμοποιούνται είναι πολύ ευαίσθητοι. Οι φυγόκεντροι στο Natanz περιστράφηκαν στα 1064 Hz. Το Stuxnet έκανε τις φυγόκεντρες να περιστρέφονται πιο γρήγορα και μετά πιο αργά, μέχρι τα 1410 Hz και τα κάτω στα 2 Hz. Αυτό προκάλεσε φυσική καταπόνηση στη φυγόκεντρο, με αποτέλεσμα την καταστροφική μηχανική βλάβη.

Αυτή η μηχανική αστοχία ήταν το επιδιωκόμενο αποτέλεσμα, με υποτιθέμενο στόχο να επιβραδύνει ή να σταματήσει τη διαδικασία εμπλουτισμού ουρανίου του Ιράν. Αυτό καθιστά το Stuxnet το πρώτο γνωστό παράδειγμα όπλου στον κυβερνοχώρο που χρησιμοποιείται για την υποβάθμιση των ικανοτήτων ενός έθνους-κράτους. Ήταν επίσης η πρώτη χρήση οποιασδήποτε μορφής κακόβουλου λογισμικού που είχε ως αποτέλεσμα τη φυσική καταστροφή του υλικού στον πραγματικό κόσμο.

Η πραγματική διαδικασία του Stuxnet - μόλυνση

Το Stuxnet εισήχθη σε έναν υπολογιστή μέσω της χρήσης ενός USB stick. Χρησιμοποιούσε ένα exploit μηδενικής ημέρας για να εκτελείται μόνο του όταν συνδεόταν αυτόματα σε έναν υπολογιστή με Windows. Χρησιμοποιήθηκε ένα USB stick καθώς ο κύριος στόχος της πυρηνικής εγκατάστασης του Natanz ήταν με διάκενο αέρα και δεν ήταν συνδεδεμένος στο Διαδίκτυο. Το USB stick είτε "έπεσε" κοντά στην εγκατάσταση και το εισήγαγε ένας άθελος υπάλληλος ή εισήχθη από έναν Ολλανδό τυφλοπόντικα στην εγκατάσταση. οι λεπτομέρειες αυτού βασίζονται σε ανεπιβεβαίωτες αναφορές.

Το κακόβουλο λογισμικό μόλυνε υπολογιστές με Windows όταν το USB stick εισήχθη μέσω μιας ευπάθειας zero-day. Αυτή η ευπάθεια στόχευε τη διαδικασία που απέδιδε εικονίδια και επέτρεπε την απομακρυσμένη εκτέλεση κώδικα. Ουσιαστικά, αυτό το βήμα δεν απαιτούσε αλληλεπίδραση με τον χρήστη πέρα ​​από την τοποθέτηση του USB stick. Το κακόβουλο λογισμικό περιλάμβανε ένα rootkit που του επέτρεπε να μολύνει βαθιά το λειτουργικό σύστημα και να χειρίζεται τα πάντα, συμπεριλαμβανομένων εργαλείων όπως το antivirus, για να κρύψει την παρουσία του. Ήταν σε θέση να εγκατασταθεί χρησιμοποιώντας ένα ζευγάρι κλεμμένων κλειδιών υπογραφής προγράμματος οδήγησης.

Συμβουλή: Τα Rootkit είναι ιδιαίτερα άσχημοι ιοί που είναι πολύ δύσκολο να εντοπιστούν και να αφαιρεθούν. Φτάνουν σε μια θέση όπου μπορούν να τροποποιήσουν ολόκληρο το σύστημα, συμπεριλαμβανομένου του λογισμικού προστασίας από ιούς, για να ανιχνεύσουν την παρουσία του.

Στη συνέχεια, το κακόβουλο λογισμικό προσπάθησε να εξαπλωθεί σε άλλες συνδεδεμένες συσκευές μέσω πρωτοκόλλων τοπικού δικτύου. Ορισμένες μέθοδοι έκαναν χρήση προηγουμένως γνωστών εκμεταλλεύσεων. Ωστόσο, κάποιος χρησιμοποίησε μια ευπάθεια zero-day στο πρόγραμμα οδήγησης Printer Sharing των Windows.

Είναι ενδιαφέρον ότι το κακόβουλο λογισμικό περιλάμβανε έναν έλεγχο για την απενεργοποίηση της μόλυνσης άλλων συσκευών μόλις η συσκευή είχε μολύνει τρεις διαφορετικές συσκευές. Ωστόσο, αυτές οι συσκευές ήταν ελεύθερες να μολύνουν άλλες τρεις συσκευές η καθεμία και ούτω καθεξής. Περιλάμβανε επίσης έναν έλεγχο που διέγραψε αυτόματα το κακόβουλο λογισμικό στις 24 Ιουνίου 2012.

Η πραγματική διαδικασία του Stuxnet – Εκμετάλλευση

Μόλις εξαπλώθηκε, το Stuxnet έλεγξε αν η μολυσμένη συσκευή μπορούσε να ελέγξει τους στόχους της, τις φυγόκεντρες. Τα PLC της Siemens S7 ή οι Προγραμματιζόμενοι Λογικοί Ελεγκτές έλεγχαν τις φυγόκεντρες. Τα PLC, με τη σειρά τους, προγραμματίστηκαν από το λογισμικό Siemens PCS 7, WinCC και STEP7 Industrial Control System (ICS). Για να ελαχιστοποιηθεί ο κίνδυνος εντοπισμού του κακόβουλου λογισμικού όπου δεν θα μπορούσε να επηρεάσει τον στόχο του εάν δεν μπορούσε να βρει κανένα από τα τρία εγκατεστημένα κομμάτια λογισμικού, παραμένει σε αδράνεια, χωρίς να κάνει τίποτα άλλο.

Εάν έχει εγκατασταθεί οποιαδήποτε εφαρμογή ICS, μολύνει ένα αρχείο DLL. Αυτό του επιτρέπει να ελέγχει τα δεδομένα που στέλνει το λογισμικό στο PLC. Ταυτόχρονα, μια τρίτη ευπάθεια zero-day, με τη μορφή κωδικοποιημένου κωδικού πρόσβασης βάσης δεδομένων, χρησιμοποιείται για τον τοπικό έλεγχο της εφαρμογής. Σε συνδυασμό, αυτό επιτρέπει στο κακόβουλο λογισμικό να προσαρμόσει τον προγραμματισμό του PLC και να αποκρύψει το γεγονός ότι το έχει κάνει από το λογισμικό ICS. Δημιουργεί ψευδείς μετρήσεις που δείχνουν ότι όλα είναι καλά. Αυτό το κάνει κατά την ανάλυση του προγραμματισμού, την απόκρυψη του κακόβουλου λογισμικού και την αναφορά της ταχύτητας στυψίματος, αποκρύπτοντας το πραγματικό αποτέλεσμα.

Στη συνέχεια, το ICS μολύνει μόνο τα PLC Siemens S7-300 και ακόμη και τότε, μόνο εάν το PLC είναι συνδεδεμένο σε μονάδα μεταβλητής συχνότητας από έναν από τους δύο προμηθευτές. Το μολυσμένο PLC τότε επιτίθεται μόνο σε συστήματα όπου η συχνότητα της μονάδας είναι μεταξύ 807Hz και 1210Hz. Αυτό είναι πολύ ταχύτερο από τις παραδοσιακές φυγόκεντρες, αλλά τυπικό για τις φυγόκεντρες αερίου που χρησιμοποιούνται για τον εμπλουτισμό ουρανίου. Το PLC λαμβάνει επίσης ένα ανεξάρτητο rootkit για να εμποδίζει τις μη μολυσμένες συσκευές να βλέπουν τις πραγματικές ταχύτητες περιστροφής.

Αποτέλεσμα

Στην εγκατάσταση του Natanz, όλες αυτές οι απαιτήσεις ικανοποιήθηκαν καθώς οι φυγοκεντρητές εκτείνονται στα 1064 Hz. Μόλις μολυνθεί, το PLC εκτείνεται στη φυγόκεντρο έως τα 1410 Hz για 15 λεπτά, στη συνέχεια έπεσε στα 2 Hz και στη συνέχεια περιστράφηκε ξανά στα 1064 Hz. Αυτό που έγινε επανειλημμένα σε διάστημα ενός μήνα, προκάλεσε βλάβη σε περίπου χίλιες φυγόκεντρες στις εγκαταστάσεις του Natanz. Αυτό συνέβη επειδή οι αλλαγές στην ταχύτητα περιστροφής άσκησαν μηχανική πίεση στη φυγόκεντρο αλουμινίου, έτσι ώστε τα μέρη να διαστέλλονται, να έρχονται σε επαφή μεταξύ τους και να έχουν μηχανική βλάβη.

Ενώ υπάρχουν αναφορές για περίπου 1000 φυγόκεντρες που απορρίφθηκαν αυτήν την περίοδο, υπάρχουν ελάχιστα έως καθόλου στοιχεία για το πόσο καταστροφική θα ήταν η αποτυχία. Η απώλεια είναι μηχανική, εν μέρει προκαλείται από την καταπόνηση και τους συντονιστικούς κραδασμούς. Η αποτυχία είναι επίσης σε μια τεράστια, βαριά συσκευή που περιστρέφεται πολύ γρήγορα και ήταν πιθανότατα δραματική. Επιπλέον, η φυγόκεντρος θα περιείχε αέριο εξαφθοριούχο ουράνιο, το οποίο είναι τοξικό, διαβρωτικό και ραδιενεργό.

Τα αρχεία δείχνουν ότι ενώ το σκουλήκι ήταν αποτελεσματικό στο έργο του, δεν ήταν 100% αποτελεσματικό. Ο αριθμός των λειτουργικών φυγοκεντρητών που κατείχε το Ιράν μειώθηκε από 4700 σε περίπου 3900. Επιπλέον, αντικαταστάθηκαν όλες σχετικά γρήγορα. Οι εγκαταστάσεις του Natanz εμπλουτίστηκαν περισσότερο ουράνιο το 2010, το έτος μόλυνσης, από το προηγούμενο έτος.

Το σκουλήκι επίσης δεν ήταν τόσο λεπτό όσο ελπίζαμε. Οι πρώτες αναφορές για τυχαίες μηχανικές βλάβες των φυγοκεντρητών βρέθηκαν να μην είναι ύποπτες, παρόλο που ένας πρόδρομος τις προκάλεσε στο Stuxnet. Το Stuxnet ήταν πιο ενεργό και εντοπίστηκε από μια εταιρεία ασφαλείας που κλήθηκε επειδή οι υπολογιστές με Windows κατά καιρούς κατέρρευσαν. Μια τέτοια συμπεριφορά παρατηρείται όταν οι εκμεταλλεύσεις μνήμης δεν λειτουργούν όπως προβλέπεται. Αυτό οδήγησε τελικά στην ανακάλυψη του Stuxnet, όχι των αποτυχημένων φυγοκεντρητών.

Απόδοση

Η απόδοση του Stuxnet καλύπτεται από εύλογη άρνηση. Οι ένοχοι, ωστόσο, θεωρείται ευρέως ότι είναι τόσο οι ΗΠΑ όσο και το Ισραήλ. Και οι δύο χώρες έχουν έντονες πολιτικές διαφορές με το Ιράν και αντιτίθενται βαθιά στα πυρηνικά του προγράμματα, φοβούμενοι ότι επιχειρεί να αναπτύξει πυρηνικό όπλο.

Η πρώτη υπόδειξη για αυτήν την απόδοση προέρχεται από τη φύση του Stuxnet. Οι ειδικοί έχουν υπολογίσει ότι θα χρειαζόταν μια ομάδα 5 έως 30 προγραμματιστών τουλάχιστον έξι μήνες για να γράψει. Επιπλέον, το Stuxnet χρησιμοποίησε τέσσερις ευπάθειες μηδενικής ημέρας, έναν αριθμό ανήκουστο με μια κίνηση. Ο ίδιος ο κώδικας ήταν αρθρωτός και εύκολος στην επέκταση. Στοχεύτηκε σε ένα σύστημα βιομηχανικού ελέγχου και στη συνέχεια σε ένα όχι ιδιαίτερα κοινό.

Ήταν απίστευτα ειδικά στοχευμένο για να ελαχιστοποιήσει τον κίνδυνο ανίχνευσης. Επιπλέον, χρησιμοποίησε κλεμμένα πιστοποιητικά οδηγού στα οποία θα ήταν πολύ δύσκολο να προσπελαστούν. Αυτοί οι παράγοντες υποδεικνύουν μια εξαιρετικά ικανή, με κίνητρα και καλά χρηματοδοτούμενη πηγή, η οποία σχεδόν σίγουρα σημαίνει ένα έθνος-κράτος APT.

Συγκεκριμένες υποδείξεις για τη συμμετοχή των ΗΠΑ περιλαμβάνουν τη χρήση τρωτών σημείων zero-day που αποδίδονταν προηγουμένως στην ομάδα Equation, η οποία πιστεύεται ευρέως ότι είναι μέρος της NSA. Η συμμετοχή του Ισραήλ αποδίδεται ελαφρώς λιγότερο καλά, αλλά οι διαφορές στο στυλ κωδικοποίησης σε διαφορετικές ενότητες υποδηλώνουν σε μεγάλο βαθμό την ύπαρξη τουλάχιστον δύο συμμετεχόντων μερών. Επιπλέον, υπάρχουν τουλάχιστον δύο αριθμοί που, εάν μετατραπούν σε ημερομηνίες, θα ήταν πολιτικά σημαντικοί για το Ισραήλ. Το Ισραήλ προσάρμοσε επίσης το εκτιμώμενο χρονοδιάγραμμά του για ένα ιρανικό πυρηνικό όπλο λίγο πριν από την ανάπτυξη του Stuxnet, υποδεικνύοντας ότι γνώριζε τον επικείμενο αντίκτυπο στο υποτιθέμενο πρόγραμμα.

συμπέρασμα

Το Stuxnet ήταν ένα σκουλήκι που πολλαπλασιαζόταν μόνο του. Ήταν η πρώτη χρήση όπλου στον κυβερνοχώρο και η πρώτη περίπτωση κακόβουλου λογισμικού που προκάλεσε καταστροφή στον πραγματικό κόσμο. Το Stuxnet αναπτύχθηκε κυρίως κατά της ιρανικής πυρηνικής εγκατάστασης Natanz για να υποβαθμίσει την ικανότητά της να εμπλουτίζει ουράνιο. Έκανε χρήση τεσσάρων τρωτών σημείων zero-day και ήταν εξαιρετικά περίπλοκη. Όλα τα σημάδια δείχνουν ότι αναπτύσσεται από ένα έθνος-κράτος APT, με τις υποψίες να πέφτουν στις ΗΠΑ και το Ισραήλ.

Ενώ το Stuxnet ήταν επιτυχές, δεν είχε ουσιαστικό αντίκτυπο στη διαδικασία εμπλουτισμού ουρανίου του Ιράν. Άνοιξε επίσης την πόρτα για τη μελλοντική χρήση κυβερνοόπλων για την πρόκληση σωματικής βλάβης, ακόμη και σε καιρό ειρήνης. Ενώ υπήρχαν πολλοί άλλοι παράγοντες, βοήθησε επίσης στην αύξηση της πολιτικής, δημόσιας και εταιρικής ευαισθητοποίησης σχετικά με την ασφάλεια στον κυβερνοχώρο. Το Stuxnet αναπτύχθηκε στο χρονικό πλαίσιο 2009-2010