Što je Stuxnet?

Kada je riječ o kibernetičkoj sigurnosti, obično su povrede podataka te koje čine vijesti. Ovi incidenti utječu na mnoge ljude i predstavljaju užasnu vijest za tvrtku koja je pogođena povredom podataka. Mnogo rjeđe čujete o novom zero-day exploit-u koji često najavljuje gomilu povreda podataka tvrtki koje se ne mogu zaštititi. Ne čujete često za cyber incidente koji ne utječu izravno na korisnike. Stuxnet je jedna od tih rijetkih iznimaka.

Probija svoj put

Stuxnet je naziv vrste zlonamjernog softvera. Konkretno, riječ je o crvu. Crv je izraz koji se koristi za označavanje bilo kojeg zlonamjernog softvera koji se može automatski širiti s jednog zaraženog uređaja na drugi. To mu omogućuje brzo širenje jer jedna infekcija može rezultirati infekcijom mnogo većih razmjera. To čak nije bilo ono što je Stuxnet učinilo slavnim. Niti koliko se proširio, jer nije uzrokovao toliko infekcija. Ono po čemu se Stuxnet isticao bile su njegove mete i tehnike.

Stuxnet je prvi put pronađen u postrojenju za nuklearna istraživanja u Iranu. Točnije, pogon u Natanzu. Ističe se nekoliko stvari o ovome. Prvo, Natanz je bio atomsko postrojenje koje je radilo na obogaćivanju urana. Drugo, objekt nije bio spojen na internet. Ova druga točka otežava zarazu sustava zlonamjernim softverom i obično je poznata kao "zračni jaz". Zračni raspor općenito se koristi za osjetljive sustave koji aktivno ne trebaju internetsku vezu. Otežava instaliranje ažuriranja, ali također smanjuje prijetnje s kojima se suočava.

U ovom slučaju, Stuxnet je uspio "preskočiti" zračni otvor korištenjem USB stickova. Točna priča je nepoznata, s dvije popularne opcije. Starija priča je bila da su USB memorije potajno ispuštene na parkiralište ustanove i da ju je uključio pretjerano znatiželjni zaposlenik. Nedavna priča tvrdi da je nizozemska krtica koja radi u ustanovi ili uključila USB memoriju ili je zamolila nekoga drugog da to učini tako. Malware na USB sticku uključivao je prvi od četiri zero-day exploita koji se koriste u Stuxnetu. Ovaj nulti dan automatski je pokrenuo zlonamjerni softver kada je USB stick priključen na Windows računalo.

Ciljevi Stuxneta

Čini se da je primarni cilj Stuxneta nuklearno postrojenje u Natanzu. Ostali objekti također su bili pogođeni, a Iran je zabilježio gotovo 60% svih infekcija u svijetu. Natanz je uzbudljiv jer je jedna od njegovih temeljnih funkcija kao nuklearnog postrojenja obogaćivanje urana. Dok je slabo obogaćeni uran potreban za nuklearne elektrane, visoko obogaćeni uran je neophodan za izradu nuklearne bombe na bazi urana. Iako Iran izjavljuje da obogaćuje uran za upotrebu u nuklearnim elektranama, postoji međunarodna zabrinutost zbog količine obogaćivanja koja se događa i da bi Iran mogao pokušati konstruirati nuklearno oružje.

Za obogaćivanje urana potrebno je razdvojiti tri izotopa: U234, U235 i U238. U238 je daleko najzastupljeniji u prirodi, ali nije prikladan za nuklearnu energiju ili upotrebu nuklearnog oružja. Trenutna metoda koristi centrifugu gdje centrifuga uzrokuje razdvajanje različitih izotopa po težini. Proces je spor iz nekoliko razloga i oduzima puno vremena. Kritično, korištene centrifuge su vrlo osjetljive. Centrifuge u Natanzu vrtjele su se na 1064 Hz. Stuxnet je uzrokovao da se centrifuge okreću brže, a zatim sporije, do 1410 Hz i do 2 Hz. To je uzrokovalo fizički stres na centrifugi, što je rezultiralo katastrofalnim mehaničkim kvarom.

Ovaj mehanički kvar bio je planirani ishod, s pretpostavljenim ciljem usporavanja ili zaustavljanja iranskog procesa obogaćivanja urana. Ovo čini Stuxnet prvim poznatim primjerom kibernetičkog oružja koje se koristi za degradaciju sposobnosti nacionalne države. To je također bila prva upotreba bilo kojeg oblika zlonamjernog softvera koja je rezultirala fizičkim uništenjem hardvera u stvarnom svijetu.

Stvarni proces Stuxneta – infekcija

Stuxnet je uveden u računalo korištenjem USB sticka. Koristio je zero-day exploit da se sam pokrene kada se automatski priključi na Windows računalo. Kao primarna meta korišten je USB stick. Nuklearno postrojenje u Natanzu bilo je zatvoreno i nije bilo spojeno na internet. USB stick je ili "ispušten" u blizini objekta i umetnut od strane nesvjesnog zaposlenika ili ga je nizozemska krtica unijela u objekt; pojedinosti o tome temelje se na nepotvrđenim izvješćima.

Zlonamjerni softver zarazio je Windows računala kada je USB stick umetnut kroz zero-day ranjivost. Ova je ranjivost usmjerena na proces koji je renderirao ikone i omogućio daljinsko izvršavanje koda. Kritično, ovaj korak nije zahtijevao interakciju korisnika osim umetanja USB sticka. Zlonamjerni softver uključivao je rootkit koji mu je omogućio da duboko zarazi operativni sustav i manipulira svime, uključujući alate poput antivirusa, kako bi sakrio svoju prisutnost. Uspio se sam instalirati pomoću para ukradenih ključeva za potpisivanje upravljačkog programa.

Savjet: Rootkiti su posebno neugodni virusi koje je vrlo teško otkriti i ukloniti. Dolaze u poziciju u kojoj mogu modificirati cijeli sustav, uključujući antivirusni softver, kako bi otkrili njegovu prisutnost.

Zlonamjerni se softver zatim pokušao proširiti na druge povezane uređaje putem lokalnih mrežnih protokola. Neke su metode koristile prethodno poznate eksploatacije. Međutim, jedan je koristio zero-day ranjivost u Windows Printer Sharing driveru.

Zanimljivo je da je zlonamjerni softver uključivao provjeru za onemogućavanje zaraze drugih uređaja nakon što je uređaj zarazio tri različita uređaja. Međutim, ti su uređaji sami mogli slobodno zaraziti još tri uređaja svaki, i tako dalje. Također je uključivao provjeru koja je automatski izbrisala zlonamjerni softver 24. lipnja 2012.

Stvarni proces Stuxneta – iskorištavanje

Nakon što se proširio, Stuxnet je provjerio može li zaraženi uređaj kontrolirati svoje mete, centrifuge. Siemens S7 PLC ili programabilni logički kontroleri kontrolirali su centrifuge. PLC-ovi su zauzvrat programirani pomoću softvera Siemens PCS 7, WinCC i STEP7 Industrial Control System (ICS). Kako bi se smanjio rizik da se zlonamjerni softver pronađe tamo gdje ne može utjecati na svoju metu ako ne može pronaći niti jedan od tri instalirana softvera, on miruje, ne radeći ništa drugo.

Ako je instalirana bilo koja ICS aplikacija, ona inficira DLL datoteku. To mu omogućuje kontrolu podataka koje softver šalje PLC-u. U isto vrijeme, treća ranjivost nultog dana, u obliku tvrdo kodirane lozinke baze podataka, koristi se za lokalnu kontrolu aplikacije. U kombinaciji, to omogućuje zlonamjernom softveru da prilagodi programiranje PLC-a i sakrije činjenicu da je to učinio od ICS softvera. Generira lažna očitanja koja pokazuju da je sve u redu. To čini kada analizira programiranje, skriva zlonamjerni softver i prijavljuje brzinu vrtnje, skrivajući stvarni učinak.

ICS tada inficira samo Siemens S7-300 PLC-ove, pa čak i tada, samo ako je PLC spojen na pogon varijabilne frekvencije jednog od dva dobavljača. Zaraženi PLC tada zapravo napada samo sustave gdje je frekvencija pogona između 807Hz i 1210Hz. To je daleko brže od tradicionalnih centrifuga, ali tipično za plinske centrifuge koje se koriste za obogaćivanje urana. PLC također dobiva neovisni rootkit kako bi se spriječilo da nezaraženi uređaji vide prave brzine rotacije.

Proizlaziti

U postrojenju u Natanzu, svi ovi zahtjevi su ispunjeni jer centrifuge rade na 1064 Hz. Nakon što je zaražen, PLC okreće centrifugu do 1410 Hz tijekom 15 minuta, zatim je pao na 2 Hz, a zatim se vratio na 1064 Hz. Učinjeno opetovano tijekom mjesec dana, uzrokovalo je otkazivanje oko tisuću centrifuga u postrojenju u Natanzu. To se dogodilo jer su promjene u brzini rotacije izazvale mehanički stres na aluminijskoj centrifugi tako da su se dijelovi proširili, došli u dodir jedan s drugim i mehanički otkazali.

Iako postoje izvješća o oko 1000 centrifuga koje su zbrinute u to vrijeme, malo je ili nimalo dokaza o tome koliko bi kvar bio katastrofalan. Gubitak je mehanički, djelomično izazvan stresom i rezonantnim vibracijama. Kvar je također u ogromnom, teškom uređaju koji se okreće vrlo brzo i vjerojatno je bio dramatičan. Osim toga, centrifuga bi sadržavala plin uran heksafluorid, koji je otrovan, korozivan i radioaktivan.

Zapisi pokazuju da iako je crv bio učinkovit u svom zadatku, nije bio 100% učinkovit. Broj funkcionalnih centrifuga koje je Iran posjedovao pao je s 4700 na oko 3900. Dodatno, sve su relativno brzo zamijenjene. Postrojenje u Natanzu obogatilo je više urana u 2010., godini infekcije, nego prethodne godine.

Crv također nije bio tako suptilan kako se nadalo. Rana izvješća o nasumičnim mehaničkim kvarovima centrifuga pokazala su se nesumnjivima iako ih je Stuxnetu uzrokovao prethodnik. Stuxnet je bio aktivniji i identificirala ga je sigurnosna tvrtka jer su se Windows računala povremeno rušila. Takvo se ponašanje vidi kada iskorištavanje memorije ne radi kako je predviđeno. To je u konačnici dovelo do otkrića Stuxneta, a ne neuspjelih centrifuga.

Pripisivanje

Pripisivanje Stuxneta obavijeno je plauzibilnim poricanjem. Međutim, mnogi smatraju da su krivci i SAD i Izrael. Obje zemlje imaju jake političke razlike s Iranom i duboko se protive njegovim nuklearnim programima, strahujući da pokušava razviti nuklearno oružje.

Prvi savjet za ovu atribuciju dolazi iz prirode Stuxneta. Stručnjaci su procijenili da bi timu od 5 do 30 programera trebalo najmanje šest mjeseci da ga napiše. Dodatno, Stuxnet je upotrijebio četiri ranjivosti nultog dana, nečuven broj odjednom. Sam kod je bio modularan i lako proširiv. Ciljao je na industrijski kontrolni sustav, a zatim na jedan ne osobito uobičajen.

Bio je nevjerojatno specifično ciljan kako bi se smanjio rizik otkrivanja. Osim toga, koristio je ukradene potvrde vozača kojima bi bilo vrlo teško pristupiti. Ovi čimbenici ukazuju na izuzetno sposoban, motiviran i dobro financiran izvor, što gotovo sigurno znači APT nacionalne države.

Konkretne naznake o američkom angažmanu uključuju korištenje ranjivosti nultog dana koje su prethodno pripisivane grupi Equation, za koju se vjeruje da je dio NSA-e. Izraelsko sudjelovanje nešto je lošije pripisano, ali razlike u stilu kodiranja u različitim modulima uvelike upućuju na postojanje najmanje dvije strane koje doprinose. Osim toga, postoje najmanje dva broja koja bi, ako se pretvore u datume, bila politički značajna za Izrael. Izrael je također prilagodio svoj procijenjeni rok za iransko nuklearno oružje nedugo prije postavljanja Stuxneta, što ukazuje da su bili svjesni predstojećeg utjecaja na navodni program.

Zaključak

Stuxnet je bio crv koji se sam razmnožavao. Bila je to prva uporaba cyber oružja i prvi primjer zlonamjernog softvera koji je uzrokovao razaranje u stvarnom svijetu. Stuxnet je prvenstveno bio raspoređen protiv iranskog nuklearnog postrojenja Natanz kako bi se smanjila njegova sposobnost obogaćivanja urana. Iskoristio je četiri ranjivosti nultog dana i bio je vrlo složen. Svi znakovi upućuju na to da ga je razvila nacionalna država APT, a sumnje padaju na SAD i Izrael.

Iako je Stuxnet bio uspješan, nije imao značajan utjecaj na iranski proces obogaćivanja urana. Također je otvorio vrata za buduću upotrebu kibernetičkog oružja za nanošenje fizičke štete, čak i tijekom mira. Iako je bilo mnogo drugih čimbenika, to je također pomoglo u povećanju političke, javne i korporativne svijesti o kibernetičkoj sigurnosti. Stuxnet je postavljen u vremenskom okviru 2009-2010