Mikä on Stuxnet?

Mitä tulee kyberturvallisuuteen, uutiset ovat yleensä tietomurrot. Nämä tapaukset vaikuttavat moniin ihmisiin ja ovat kauhea uutispäivä yritykselle tietomurron vastaanottaessa. Paljon harvemmin kuulet uudesta nollapäivän hyväksikäytöstä, joka usein ilmoittaa tietoturvaloukkauksista yrityksissä, jotka eivät pysty suojelemaan itseään. Harvoin kuulet tietoverkkotapauksista, jotka eivät vaikuta suoraan käyttäjiin. Stuxnet on yksi niistä harvoista poikkeuksista.

Madotus tiensä sisään

Stuxnet on haittaohjelmakannan nimi. Tarkemmin sanottuna se on mato. Mato on termi, jota käytetään viittaamaan haittaohjelmiin, jotka voivat automaattisesti levitä tartunnan saaneesta laitteesta toiseen. Tämä mahdollistaa sen nopean leviämisen, koska yksi infektio voi johtaa paljon laajempaan infektioon. Tämä ei edes tehnyt Stuxnetista kuuluisaa. Ei myöskään kuinka laajalle se levisi, koska se ei aiheuttanut niin paljon infektioita. Stuxnet erottui joukosta sen kohteet ja tekniikat.

Stuxnet löydettiin ensimmäisen kerran Iranin ydintutkimuslaitoksesta. Erityisesti Natanzin laitos. Muutama seikka tästä erottuu. Ensinnäkin Natanz oli atomilaitos, joka työskenteli uraanin rikastamiseksi. Toiseksi laitos ei ollut yhteydessä Internetiin. Tämä toinen kohta vaikeuttaa järjestelmän tartuttamista haittaohjelmilla, ja se tunnetaan tyypillisesti "ilmavälinä". Ilmarakoa käytetään yleensä herkissä järjestelmissä, jotka eivät aktiivisesti tarvitse Internet-yhteyttä. Se vaikeuttaa päivitysten asentamista, mutta se myös vähentää uhkakuvaa.

Tässä tapauksessa Stuxnet pystyi "hyppäämään" ilmaraon USB-tikkujen avulla. Tarkkaa tarinaa ei tunneta, sillä on kaksi suosittua vaihtoehtoa. Vanhempi tarina oli, että USB-tikut pudotettiin salaa laitoksen parkkipaikalle ja että liian utelias työntekijä liitti sen pistorasiaan. Äskettäinen tarina väittää, että laitoksella työskentelevä hollantilainen myyrä joko kytkei USB-tikun tai sai jonkun muun tekemään. niin. USB-tikulla oleva haittaohjelma sisälsi ensimmäisen neljästä Stuxnetissa käytetystä nollapäivän hyväksikäytöstä. Tämä nollapäivä käynnisti haittaohjelman automaattisesti, kun USB-tikku liitettiin Windows-tietokoneeseen.

Stuxnetin kohteet

Stuxnetin ensisijainen kohde näyttää olevan Natanzin ydinlaitos. Myös muut laitokset kärsivät, ja Iran näki lähes 60 prosenttia kaikista maailmanlaajuisista tartunnoista. Natanz on jännittävä, koska yksi sen ydintehtävistä ydinlaitoksena on uraanin rikastaminen. Kevyesti rikastettua uraania tarvitaan ydinvoimaloihin, mutta korkeasti rikastettua uraania tarvitaan uraanipohjaisen ydinpommin rakentamiseen. Vaikka Iran ilmoittaa rikastavansa uraania käytettäväksi ydinvoimaloissa, kansainvälinen huoli rikastamisen määrästä ja siitä, että Iran saattaa yrittää rakentaa ydinase, on ollut kansainvälistä huolta.

Uraanin rikastamiseksi on erotettava kolme isotooppia: U234, U235 ja U238. U238 on ylivoimaisesti luonnostaan ​​runsain, mutta se ei sovellu ydinvoimaan tai ydinaseiden käyttöön. Nykyinen menetelmä käyttää sentrifugia, jossa kehruu saa eri isotoopit erottumaan painon mukaan. Prosessi on hidas useista syistä ja vie paljon aikaa. Kriittisesti käytetyt sentrifugit ovat erittäin herkkiä. Natanzin sentrifugit pyöritettiin taajuudella 1064 Hz. Stuxnet sai sentrifugit pyörimään nopeammin ja sitten hitaammin, jopa 1410 Hz ja alas 2 Hz. Tämä aiheutti fyysistä rasitusta sentrifugiin, mikä johti katastrofaaliseen mekaaniseen vikaan.

Tämä mekaaninen vika oli suunniteltu lopputulos, jonka oletettiin hidastaa tai pysäyttää Iranin uraanin rikastusprosessi. Tämä tekee Stuxnetista ensimmäisen tunnetun esimerkin kyberaseesta, jota käytetään kansallisvaltion kykyjen heikentämiseen. Se oli myös ensimmäinen kaikenlaisten haittaohjelmien käyttö, joka johti laitteiston fyysiseen tuhoutumiseen todellisessa maailmassa.

Stuxnetin todellinen prosessi – infektio

Stuxnet tuotiin tietokoneeseen USB-tikun avulla. Se käytti nollapäivän hyväksikäyttöä toimiakseen automaattisesti, kun se liitettiin Windows-tietokoneeseen automaattisesti. Ensisijaisena kohteena käytettiin USB-tikkua. Natanzin ydinlaitos oli ilmarakoinen eikä se ollut yhteydessä Internetiin. USB-tikku joko "pudotti" lähelle laitosta, ja tahaton työntekijä asetti sen tai hollantilainen myyrä esitteli sen laitoksessa; tämän yksityiskohdat perustuvat vahvistamattomiin raportteihin.

Haittaohjelma tartutti Windows-tietokoneita, kun USB-tikku asetettiin nollapäivän haavoittuvuuden kautta. Tämä haavoittuvuus kohdistui prosessiin, joka hahmonsi kuvakkeita ja salli koodin etäsuorittamisen. Kriittisesti tämä vaihe ei vaatinut käyttäjän toimia USB-tikun asettamisen lisäksi. Haittaohjelma sisälsi rootkitin, jonka avulla se voi saastuttaa käyttöjärjestelmän syvästi ja manipuloida kaikkea, mukaan lukien työkalut, kuten virustorjunta, piilottaakseen läsnäolonsa. Se pystyi asentamaan itsensä käyttämällä paria varastettuja kuljettajan allekirjoitusavaimia.

Vinkki: Rootkitit ovat erityisen ikäviä viruksia, joita on erittäin vaikea havaita ja poistaa. He joutuvat tilanteeseen, jossa he voivat muokata koko järjestelmää, myös virustorjuntaohjelmistoa, havaitakseen sen läsnäolon.

Haittaohjelma yritti sitten levittää itseään muihin kytkettyihin laitteisiin paikallisten verkkoprotokollien kautta. Jotkut menetelmät käyttivät aiemmin tunnettuja hyväksikäyttöjä. Yksi käytti kuitenkin nollapäivän haavoittuvuutta Windowsin tulostimen jakamisohjaimessa.

Mielenkiintoista on, että haittaohjelma sisälsi tarkistuksen, joka estää muiden laitteiden tartunnan, kun laite oli tartuttanut kolme eri laitetta. Nämä laitteet saattoivat kuitenkin itse tartuttaa kolme muuta laitetta kukin ja niin edelleen. Se sisälsi myös tarkistuksen, joka poisti haittaohjelman automaattisesti 24. kesäkuuta 2012.

Stuxnetin todellinen prosessi – hyväksikäyttö

Kun se levisi itsestään, Stuxnet tarkisti, pystyykö tartunnan saanut laite hallitsemaan kohteitaan, sentrifugeja. Siemens S7 PLC:t tai ohjelmoitavat logiikkaohjaimet ohjasivat sentrifugeja. PLC:t puolestaan ​​ohjelmoitiin Siemens PCS 7-, WinCC- ja STEP7 Industrial Control System (ICS) -ohjelmistoilla. Minimoidakseen riskin, että haittaohjelma löydetään paikoista, joissa se ei voi vaikuttaa kohteeseensa, jos se ei löydä mitään kolmesta asennetusta ohjelmistosta, se on lepotilassa tekemättä mitään muuta.

Jos ICS-sovelluksia on asennettu, se saastuttaa DLL-tiedoston. Näin se voi hallita, mitä tietoja ohjelmisto lähettää PLC:lle. Samanaikaisesti kolmatta nollapäivän haavoittuvuutta, kovakoodatun tietokannan salasanan muodossa, käytetään hallitsemaan sovellusta paikallisesti. Yhdessä tämä antaa haittaohjelmalle mahdollisuuden säätää PLC:n ohjelmointia ja piilottaa sen tosiasian ICS-ohjelmistolta. Se tuottaa vääriä lukemia, jotka osoittavat, että kaikki on hyvin. Se tekee tämän, kun se analysoi ohjelmointia, piilottaa haittaohjelmia ja raportoi pyörimisnopeuden, piilottaen todellisen vaikutuksen.

ICS saastuttaa tällöin vain Siemens S7-300 PLC:t, ja silloinkin vain, jos PLC on kytketty jommankumman valmistajan taajuusmuuttajaan. Tartunnan saanut PLC hyökkää sitten vain järjestelmiin, joiden taajuusmuuttaja on välillä 807 Hz - 1210 Hz. Tämä on paljon nopeampi kuin perinteiset sentrifugit, mutta tyypillistä uraanin rikastamiseen käytettäville kaasusentrifugeille. PLC saa myös itsenäisen rootkitin, joka estää tartunnan saamattomia laitteita näkemästä todellisia pyörimisnopeuksia.

Tulos

Natanzin laitoksessa kaikki nämä vaatimukset täyttyivät, koska sentrifugit toimivat 1064 Hz:llä. Kun PLC on saanut tartunnan, se ohjasi sentrifugin 1410 Hz:iin 15 minuutin ajan, laski sitten 2 Hz:iin ja sentrifugoi sitten takaisin 1064 Hz:iin. Toistuvasti yli kuukauden aikana tämä aiheutti noin tuhannen Natanzin laitoksen sentrifugin epäonnistumisen. Tämä tapahtui, koska pyörimisnopeuden muutokset aiheuttivat mekaanista rasitusta alumiinisentrifugiin niin, että osat laajenivat, joutuivat kosketuksiin toistensa kanssa ja epäonnistuivat mekaanisesti.

Vaikka noin 1 000 sentrifugin hävittämisestä tähän aikaan on raportoitu, ei ole juurikaan todisteita siitä, kuinka katastrofaalinen vika olisi. Häviö on mekaanista, osittain jännityksen ja resonanssivärähtelyjen aiheuttamaa. Vika on myös valtavassa, raskaassa laitteessa, joka pyörii erittäin nopeasti ja oli todennäköisesti dramaattinen. Lisäksi sentrifugissa olisi ollut uraaniheksafluoridikaasua, joka on myrkyllistä, syövyttävää ja radioaktiivista.

Tiedot osoittavat, että vaikka mato oli tehokas tehtävässään, se ei ollut 100 % tehokas. Iranin omistamien toimivien sentrifugien määrä putosi 4700:sta noin 3900:aan. Lisäksi ne kaikki vaihdettiin suhteellisen nopeasti. Natanzin tehdas rikasti enemmän uraania vuonna 2010, tartuntavuonna, kuin edellisenä vuonna.

Mato ei myöskään ollut niin hienovarainen kuin toivottiin. Varhaiset ilmoitukset satunnaisista sentrifugien mekaanisista vioista havaittiin epäluuloisiksi, vaikka esiaste aiheutti ne Stuxnetiin. Stuxnet oli aktiivisempi ja tietoturvayritys tunnisti sen, koska Windows-tietokoneet kaatui ajoittain. Tällainen käyttäytyminen havaitaan, kun muistin hyväksikäytöt eivät toimi tarkoitetulla tavalla. Tämä johti lopulta Stuxnetin löytämiseen, ei epäonnistuneisiin sentrifugeihin.

Nimeäminen

Stuxnetin attribuutio on uskottavan kiistämisen peitossa. Syyllisten oletetaan kuitenkin laajalti olevan sekä Yhdysvallat että Israel. Molemmilla mailla on vahvoja poliittisia erimielisyyksiä Iranin kanssa, ja ne vastustavat syvästi sen ydinohjelmia peläten, että se yrittää kehittää ydinasetta.

Ensimmäinen vihje tälle tekijälle tulee Stuxnetin luonteesta. Asiantuntijat ovat arvioineet, että kirjoittamiseen olisi mennyt 5–30 ohjelmoijan tiimiltä vähintään kuusi kuukautta. Lisäksi Stuxnet käytti neljää nollapäivän haavoittuvuutta, joita oli ennenkuulumaton määrä kerralla. Koodi itsessään oli modulaarinen ja helppo laajentaa. Se kohdistui teollisuuden ohjausjärjestelmään ja sitten ei erityisen yleiseen järjestelmään.

Se oli uskomattoman erityisesti kohdennettu minimoimaan havaitsemisriski. Lisäksi se käytti varastettuja kuljettajavarmenteita, joita olisi ollut erittäin vaikea saada. Nämä tekijät viittaavat kohti erittäin osaavaa, motivoitunutta ja hyvin rahoitettua lähdettä, mikä lähes varmasti tarkoittaa kansallisvaltion APT:tä.

Erityisiä vihjeitä Yhdysvaltojen osallisuudesta on käytetty nollapäivän haavoittuvuuksia, jotka on aiemmin liitetty Equation-ryhmään, jonka uskotaan olevan osa NSA:ta. Israelin osallistuminen lasketaan hieman huonommin, mutta eri moduulien koodaustyylierot viittaavat vahvasti ainakin kahden osallistuvan osapuolen olemassaoloon. Lisäksi on olemassa ainakin kaksi numeroa, jotka päivämääriksi muutettuina olisivat poliittisesti tärkeitä Israelille. Israel myös muutti arvioitua aikatauluaan Iranin ydinaseelle vähän ennen Stuxnetin käyttöönottoa, mikä osoittaa, että he olivat tietoisia uhkaavasta vaikutuksesta väitettyyn ohjelmaan.

Johtopäätös

Stuxnet oli itseään leviävä mato. Se oli ensimmäinen kyberaseen käyttö ja ensimmäinen todellista tuhoa aiheuttava haittaohjelma. Stuxnet käytettiin ensisijaisesti Iranin Natanzin ydinvoimalaa vastaan ​​heikentääkseen sen uraanin rikastuskykyä. Se käytti neljää nollapäivän haavoittuvuutta ja oli erittäin monimutkainen. Kaikki merkit viittaavat siihen, että sitä kehittää kansallisvaltio APT, ja epäilyt kohdistuvat Yhdysvaltoihin ja Israeliin.

Vaikka Stuxnet menestyi, sillä ei ollut merkittävää vaikutusta Iranin uraanin rikastusprosessiin. Se avasi myös oven kyberaseiden tulevalle käytölle fyysisten vahinkojen aiheuttamiseen myös rauhan aikana. Vaikka oli monia muita tekijöitä, se auttoi myös lisäämään poliittista, julkista ja yritysten tietoisuutta kyberturvallisuudesta. Stuxnet otettiin käyttöön vuosina 2009-2010