Mis on Stuxnet?

Kui rääkida küberturvalisusest, siis tavaliselt on uudisteks andmetega seotud rikkumised. Need intsidendid mõjutavad paljusid inimesi ja kujutavad endast kohutavat uudistepäeva ettevõttele andmete rikkumise saamisel. Palju harvemini kuulete uuest nullpäeva ärakasutamisest, mis sageli kuulutab end kaitsta mittesaavate ettevõtete andmerikkumiste löövet. Pole just sageli kuulda küberintsidentidest, mis kasutajaid otseselt ei puuduta. Stuxnet on üks neist harvadest eranditest.

Ussirohutõrje

Stuxnet on pahavara tüve nimi. Täpsemalt on see uss. Uss on termin, mida kasutatakse mis tahes pahavara kohta, mis võib automaatselt levida ühest nakatunud seadmest teise. See võimaldab sellel kiiresti levida, kuna ühe nakkuse tagajärjeks võib olla palju ulatuslikum infektsioon. See ei teinud isegi Stuxneti kuulsaks. Samuti ei olnud see, kui laialt levis, kuna see ei põhjustanud nii palju nakkusi. Stuxneti paistsid silma selle eesmärgid ja tehnikad.

Stuxnet leiti esmakordselt Iraani tuumauuringute rajatisest. Täpsemalt Natanzi rajatis. Sellega seoses paistavad silma mõned asjad. Esiteks oli Natanz aatomirajatis, mis töötas uraani rikastamisega. Teiseks ei olnud rajatis Internetiga ühendatud. See teine ​​punkt muudab süsteemi pahavaraga nakatamise keeruliseks ja seda nimetatakse tavaliselt "õhuvaheks". Õhupilu kasutatakse tavaliselt tundlike süsteemide jaoks, mis ei vaja aktiivselt Interneti-ühendust. See muudab värskenduste installimise raskemaks, kuid vähendab ka ohumaastikku.

Sel juhul suutis Stuxnet USB-mälupulkade abil õhupilu "hüpata". Täpne lugu on teadmata, kaks populaarset varianti. Vanem lugu oli see, et USB-mälupulgad visati varjatult asutuse parklasse ja liiga uudishimulik töötaja ühendas selle. Hiljutine lugu väidab, et asutuses töötav Hollandi mutt ühendas USB-mälupulga või pani kellegi teise tegema. nii. USB-mälupulgal olev pahavara sisaldas esimest neljast Stuxnetis kasutatavast nullpäevast. See nullpäev käivitas pahavara automaatselt, kui USB-mälupulk ühendati Windowsi arvutiga.

Stuxneti sihtmärgid

Stuxneti peamine sihtmärk näib olevat Natanzi tuumarajatis. Mõjutasid ka teised rajatised, peaaegu 60% kogu maailmas nakatunutest on Iraanis. Natanz on põnev, sest selle tuumarajatise üks põhifunktsioone on uraani rikastamine. Kui tuumaelektrijaamade jaoks on vaja kergelt rikastatud uraani, siis uraanipõhise tuumapommi ehitamiseks on vaja kõrgelt rikastatud uraani. Kuigi Iraan teatab, et ta rikastab uraani tuumaelektrijaamades kasutamiseks, on rahvusvaheline mure olnud rikastamise hulga ja selle pärast, et Iraan võib üritada luua tuumarelva.

Uraani rikastamiseks on vaja eraldada kolm isotoopi: U234, U235 ja U238. U238 on ülekaalukalt looduslikult kõige rikkalikum, kuid ei sobi tuumaenergia ega tuumarelvade kasutamiseks. Praegune meetod kasutab tsentrifuugi, kus pöörlemine põhjustab erinevate isotoopide massi järgi eraldumise. Protsess on mitmel põhjusel aeglane ja võtab palju aega. Kriitiliselt on kasutatavad tsentrifuugid väga tundlikud. Natanzi tsentrifuugid pöörlesid sagedusel 1064 Hz. Stuxnet pani tsentrifuugid pöörlema ​​kiiremini ja seejärel aeglasemalt, kuni 1410 Hz ja alla 2 Hz. See põhjustas tsentrifuugi füüsilise koormuse, mille tulemuseks oli katastroofiline mehaaniline rike.

See mehaaniline rike oli kavandatud tulemus, mille eeldatav eesmärk oli aeglustada või peatada Iraani uraani rikastamise protsess. See teeb Stuxnetist esimese teadaoleva näite küberrelvast, mida kasutatakse rahvusriigi võimete alandamiseks. See oli ka esimene pahavara mis tahes vormis kasutamine, mille tulemuseks oli riistvara füüsiline hävitamine reaalses maailmas.

Stuxneti tegelik protsess – infektsioon

Stuxnet viidi arvutisse USB-mälupulga abil. See kasutas null-päeva ärakasutamist, et käivitada end automaatselt, kui see ühendati Windowsi arvutiga. USB-mälupulka kasutati esmase sihtmärgina Natanzi tuumarajatis oli õhuvahega ja ei olnud Internetiga ühendatud. USB-mälupulk kas "kukkus" rajatise lähedale ja sisestas selle tahtmatult töötaja või tutvustas selle rajatises Hollandi mutt; selle üksikasjad põhinevad kinnitamata teadetel.

Pahavara nakatas Windowsi arvuteid, kui USB-mälupulk sisestati nullpäevase haavatavuse kaudu. See haavatavus oli suunatud protsessile, mis renderdas ikoone ja võimaldas koodi kaugkäivitamist. Kriitiline on see, et see samm ei nõudnud kasutaja sekkumist peale USB-mälupulga sisestamise. Pahavara sisaldas juurkomplekti, mis võimaldab sellel operatsioonisüsteemi sügavalt nakatada ja oma kohaloleku varjamiseks manipuleerida kõigega, sealhulgas selliste tööriistadega nagu viirusetõrje. See suutis end installida, kasutades paari varastatud draiveri allkirjastamise võtmeid.

Näpunäide: juurkomplektid on eriti vastikud viirused, mida on väga raske tuvastada ja eemaldada. Nad satuvad olukorda, kus nad saavad selle olemasolu tuvastamiseks muuta kogu süsteemi, sealhulgas viirusetõrjetarkvara.

Seejärel üritas pahavara kohalike võrguprotokollide kaudu levida teistesse ühendatud seadmetesse. Mõned meetodid kasutasid varem tuntud ärakasutusi. Üks kasutas aga Windowsi printeri ühiskasutusdraiveri nullpäeva turvaauku.

Huvitav on see, et pahavara sisaldas kontrolli teiste seadmete nakatamise keelamiseks, kui seade oli nakatanud kolm erinevat seadet. Kuid need seadmed võisid ise nakatada veel kolme seadet jne. See sisaldas ka kontrolli, mis kustutas pahavara automaatselt 24. juunil 2012.

Stuxneti tegelik protsess – ärakasutamine

Kui see ise levis, kontrollis Stuxnet, kas nakatunud seade suudab kontrollida oma sihtmärke, tsentrifuuge. Tsentrifuuge juhtisid Siemensi S7 PLC-d või programmeeritavad loogikakontrollerid. PLC-d programmeerisid omakorda Siemens PCS 7, WinCC ja STEP7 Industrial Control System (ICS) tarkvara. Et minimeerida ohtu, et pahavara leitakse sealt, kus see ei saa oma sihtmärki mõjutada, kui see ei leia ühtegi kolmest installitud tarkvaraosast, on see uinunud ega tee midagi muud.

Kui installitakse mõni ICS-rakendus, nakatab see DLL-faili. See võimaldab tal kontrollida, milliseid andmeid tarkvara PLC-le saadab. Samal ajal kasutatakse rakenduse lokaalseks juhtimiseks kolmandat nullpäeva turvaauku, mis on kõvakodeeritud andmebaasi parool. Üheskoos võimaldab see pahavaral kohandada PLC programmeerimist ja varjata seda, et ta on seda teinud ICS-tarkvara eest. See genereerib valenäidud, mis näitavad, et kõik on korras. See teeb seda programmeerimise analüüsimisel, pahavara peitmisel ja pöörlemiskiirusest teatamisel, varjates tegelikku mõju.

ICS nakatab siis ainult Siemens S7-300 PLC-sid ja isegi siis, kui PLC on ühendatud kahest müüjalt ühe sagedusega ajamiga. Nakatunud PLC ründab siis tegelikult ainult süsteeme, mille ajami sagedus on vahemikus 807 Hz kuni 1210 Hz. See on palju kiirem kui traditsioonilised tsentrifuugid, kuid tüüpiline uraani rikastamiseks kasutatavatele gaasitsentrifuugidele. PLC saab ka sõltumatu juurkomplekti, mis takistab nakatumata seadmetel tõelist pöörlemiskiirust nägemast.

Tulemus

Natanzi rajatises olid kõik need nõuded täidetud, kuna tsentrifuugid töötavad sagedusel 1064 Hz. Pärast nakatumist ulatub PLC tsentrifuugi sageduseni 1410 Hz 15 minutiks, seejärel langes sageduseni 2 Hz ja seejärel tsentrifuugib sagedusele 1064 Hz. Korduvalt kuu aja jooksul tehtud töö põhjustas umbes tuhande Natanzi rajatise tsentrifuugi rikke. See juhtus seetõttu, et pöörlemiskiiruse muutused tekitasid alumiiniumtsentrifuugi mehaanilise koormuse, nii et osad laienesid, puutusid kokku ja mehaaniliselt ebaõnnestusid.

Kuigi on teateid umbes 1000 tsentrifuugi utiliseerimisest umbes sel ajal, pole tõendeid selle kohta, kui katastroofiline see rike võib olla. Kadu on mehaaniline, osaliselt põhjustatud pingest ja resonantsvibratsioonist. Rikke põhjuseks on ka tohutu ja raske seade, mis pöörles väga kiiresti ja oli tõenäoliselt dramaatiline. Lisaks oleks tsentrifuug sisaldanud uraanheksafluoriidi, mis on mürgine, söövitav ja radioaktiivne.

Andmed näitavad, et kuigi uss täitis oma ülesannet tõhusalt, ei olnud see 100% efektiivne. Iraanile kuuluvate funktsionaalsete tsentrifuugide arv langes 4700-lt umbes 3900-le. Lisaks vahetati need kõik suhteliselt kiiresti välja. Natanzi rajatis rikastas nakatumise aastal 2010 rohkem uraani kui eelmisel aastal.

Uss ei olnud ka nii peen, kui loodeti. Varasemad teated tsentrifuugide juhuslike mehaaniliste rikete kohta leiti olevat kahtlased, kuigi eelkäija põhjustas need Stuxneti. Stuxnet oli aktiivsem ja turvafirma tuvastas selle, kuna Windowsi arvutid jooksid aeg-ajalt kokku. Sellist käitumist nähakse siis, kui mälukasutused ei tööta ettenähtud viisil. See viis lõpuks Stuxneti, mitte ebaõnnestunud tsentrifuugide avastamiseni.

Omistamine

Stuxneti omistamist varjab usutav eitamine. Süüdlasteks peetakse aga laialdaselt nii USA-d kui ka Iisraeli. Mõlemal riigil on Iraaniga tugevad poliitilised erimeelsused ja nad on sügavalt vastu selle tuumaprogrammidele, kartes, et see üritab välja töötada tuumarelva.

Esimene vihje selle omistamise kohta pärineb Stuxneti olemusest. Eksperdid on arvanud, et 5–30 programmeerijast koosneval meeskonnal oleks kirjutamiseks kulunud vähemalt kuus kuud. Lisaks kasutas Stuxnet nelja nullpäeva turvaauku, mis on ühe korraga ennekuulmatud. Kood ise oli modulaarne ja seda oli lihtne laiendada. See oli suunatud tööstuslikule ja seejärel mitte eriti levinud juhtimissüsteemile.

See oli uskumatult spetsiaalselt suunatud avastamisriski minimeerimiseks. Lisaks kasutas see varastatud juhisertifikaate, millele oleks olnud väga raske juurde pääseda. Need tegurid viitavad äärmiselt võimekale, motiveeritud ja hästi rahastatud allikale, mis peaaegu kindlasti tähendab rahvusriiklikku APT-d.

Konkreetsed vihjed USA osalusele hõlmavad nullpäeva turvaaukude kasutamist, mis on varem omistatud Equationi rühmale, mida laialdaselt arvatakse olevat NSA osa. Iisraeli osalust omistatakse veidi halvemini, kuid kodeerimisstiili erinevused erinevates moodulites viitavad tugevalt vähemalt kahe panustava osapoole olemasolule. Lisaks on vähemalt kaks numbrit, mis kuupäevadeks teisendatuna oleksid Iisraeli jaoks poliitiliselt olulised. Iisrael kohandas ka Iraani tuumarelva eeldatavat ajakava vahetult enne Stuxneti kasutuselevõttu, mis näitab, et nad olid teadlikud väidetava programmi eelseisvast mõjust.

Järeldus

Stuxnet oli isepaljunev uss. See oli esimene küberrelva kasutamine ja esimene pahavara, mis põhjustas reaalset hävingut. Stuxnet kasutati peamiselt Iraani Natanzi tuumarajatise vastu, et vähendada selle uraani rikastamise võimet. See kasutas nelja nullpäeva turvaauku ja oli väga keeruline. Kõik märgid viitavad sellele, et seda arendab rahvusriik APT, kusjuures kahtlused langevad USA ja Iisraeli peale.

Kuigi Stuxnet oli edukas, ei avaldanud see olulist mõju Iraani uraani rikastamise protsessile. Samuti avas see ukse küberrelvade edaspidiseks kasutamiseks füüsiliste kahjude tekitamiseks isegi rahuajal. Kuigi oli palju muid tegureid, aitas see tõsta ka poliitilist, avalikkuse ja ettevõtete teadlikkust küberturvalisusest. Stuxnet võeti kasutusele ajavahemikul 2009–2010