Mi az a Stuxnet?

Ha a kiberbiztonságról van szó, általában az adatszivárgásról van szó. Ezek az incidensek sok embert érintenek, és szörnyű hírnapot jelentenek a vállalat számára az adatszivárgás végén. Sokkal ritkábban hallani egy új nulladik napi kizsákmányolásról, amely gyakran a magukat megvédeni nem tudó cégek adatszivárgását jelzi. Nem túl gyakran hallani olyan kiberincidensekről, amelyek nem érintik közvetlenül a felhasználókat. A Stuxnet azon ritka kivételek egyike.

Féregtelenítés bejutott

A Stuxnet a rosszindulatú programok egyik törzsének a neve. Konkrétan egy féreg. A féreg olyan rosszindulatú programra utal, amely automatikusan átterjed egyik fertőzött eszközről a másikra. Ez lehetővé teszi a gyors terjedését, hiszen egyetlen fertőzés sokkal nagyobb léptékű fertőzést eredményezhet. Még csak nem is ez tette híressé a Stuxnetet. Az sem, hogy milyen széles körben terjedt el, mivel nem okozott annyi fertőzést. A Stuxnet a célpontjai és a technikái emelte ki a figyelmet.

A Stuxnetet először egy iráni nukleáris kutatóintézetben találták meg. Pontosabban a natanzi létesítmény. Néhány dolog kiemelkedik ezzel kapcsolatban. Először is, Natanz egy atomlétesítmény volt, amely az urán dúsításán dolgozott. Másodszor, a létesítmény nem volt csatlakoztatva az internethez. Ez a második pont megnehezíti a rendszer rosszindulatú programokkal való megfertőzését, és általában „légrésnek” nevezik. A légrést általában olyan érzékeny rendszerekre használják, amelyeknek nincs szükségük aktívan internetkapcsolatra. Ez megnehezíti a frissítések telepítését, de csökkenti a fenyegetettséget is.

Ebben az esetben a Stuxnet USB-meghajtók segítségével tudta „megugrani” a légrést. A pontos történet nem ismert, két népszerű lehetőség van. A régebbi történet az volt, hogy az USB-kulcsokat titokban leejtették a létesítmény parkolójában, és egy túl kíváncsi alkalmazott bedugta. Egy nemrégiben megjelent történet azt állítja, hogy a létesítményben dolgozó holland vakond vagy bedugta az USB-meghajtót, vagy valaki mást kért. így. Az USB pendrive-on lévő kártevő a Stuxnetben használt négy nulladik napi exploit közül az elsőt tartalmazta. Ez a nulladik nap automatikusan elindította a kártevőt, amikor az USB-meghajtót egy Windows számítógéphez csatlakoztatták.

A Stuxnet célpontjai

Úgy tűnik, hogy a Stuxnet elsődleges célpontja a natanzi nukleáris létesítmény. Más létesítmények is érintettek, Iránban a világ összes fertőzésének csaknem 60%-a. Natanz azért izgalmas, mert nukleáris létesítményként az egyik alapvető feladata az urándúsítás. Míg az atomerőművekhez enyhén dúsított uránra van szükség, addig egy uránalapú atombomba építéséhez erősen dúsított uránra van szükség. Míg Irán kijelenti, hogy uránt dúsít atomerőművekben való felhasználás céljából, nemzetközi aggodalomra ad okot a dúsítás mértéke, és hogy Irán megkísérelhet nukleáris fegyvert építeni.

Az urándúsításhoz három izotópot kell elkülöníteni: U234, U235 és U238. Az U238 messze a legelterjedtebb a természetben, de nem alkalmas atomenergia vagy nukleáris fegyverek felhasználására. A jelenlegi módszer centrifugát használ, ahol a centrifugálás hatására a különböző izotópok tömeg szerint szétválnak. A folyamat több okból is lassú, és sok időt vesz igénybe. Kritikusan az alkalmazott centrifugák nagyon érzékenyek. A natanzi centrifugák 1064 Hz-en forogtak. A Stuxnet hatására a centrifugák gyorsabban, majd lassabban forogtak, 1410 Hz-ig és 2 Hz-ig. Ez fizikai megterhelést okozott a centrifugán, ami katasztrofális mechanikai meghibásodáshoz vezetett.

Ez a mechanikai hiba volt a tervezett kimenetel, azzal a feltételezett céllal, hogy lassítsa vagy leállítsa Irán urándúsítási folyamatát. Ezzel a Stuxnet az első ismert példa a nemzetállamok képességeinek lerontására használt kiberfegyverre. Ez volt az első olyan rosszindulatú program, amely a való világban a hardver fizikai megsemmisüléséhez vezetett.

A Stuxnet tényleges folyamata – Fertőzés

A Stuxnet egy USB pendrive segítségével került be a számítógépbe. Nulladik napi exploitot használt, hogy automatikusan lefusson, amikor a Windows számítógéphez csatlakozik. USB-meghajtót használtak az elsődleges célpontként, a natanzi nukleáris létesítmény légrés volt, és nem volt csatlakoztatva az internethez. Az USB-meghajtót vagy „leejtették” a létesítmény közelében, és egy nem akart alkalmazott helyezte be, vagy egy holland vakond vezette be a létesítményben; ennek konkrétumai meg nem erősített jelentéseken alapulnak.

A kártevő megfertőzte a Windows számítógépeket, amikor az USB-meghajtót egy nulladik napi sebezhetőségen keresztül helyezték be. Ez a biztonsági rés az ikonokat megjelenítő és távoli kódfuttatást lehetővé tévő folyamatot célozta. Kritikus, ez a lépés nem igényel felhasználói beavatkozást az USB-meghajtó behelyezésén túl. A rosszindulatú program tartalmazott egy rootkitet, amely lehetővé teszi az operációs rendszer mélyen megfertőzését, és mindent manipulál, beleértve az olyan eszközöket is, mint a víruskereső, hogy elrejtse jelenlétét. Egy pár ellopott illesztőprogram-aláíró kulcs segítségével képes volt telepíteni magát.

Tipp: A rootkitek különösen csúnya vírusok, amelyeket nagyon nehéz észlelni és eltávolítani. Olyan helyzetbe kerülnek, ahol az egész rendszert módosíthatják, beleértve a víruskereső szoftvert is, hogy észleljék annak jelenlétét.

A rosszindulatú program ezután helyi hálózati protokollokon keresztül próbálta átterjedni más csatlakoztatott eszközökre. Egyes módszerek korábban ismert exploitokat használtak. Az egyik azonban nulladik napos biztonsági rést használt a Windows nyomtatómegosztó illesztőprogramjában.

Érdekes módon a rosszindulatú program tartalmazott egy ellenőrzést, amellyel letiltotta más eszközök megfertőzését, miután az eszköz három különböző eszközt fertőzött meg. Azonban ezek az eszközök maguk is szabadon megfertőzhettek további három eszközt, és így tovább. Tartalmaz egy ellenőrzést is, amely 2012. június 24-én automatikusan törölte a kártevőt.

A Stuxnet tényleges folyamata – Kihasználás

Miután elterjedt, a Stuxnet ellenőrizte, hogy a fertőzött eszköz képes-e irányítani célpontjait, a centrifugákat. Siemens S7 PLC-k vagy programozható logikai vezérlők vezérelték a centrifugákat. A PLC-ket pedig a Siemens PCS 7, WinCC és STEP7 Industrial Control System (ICS) szoftverek programozták. Annak érdekében, hogy minimalizáljuk annak kockázatát, hogy a rosszindulatú programot ott találják meg, ahol nem tudna hatni a célpontjára, ha nem találja a három telepített szoftver egyikét sem, alvó állapotban van, és nem tesz mást.

Ha bármilyen ICS-alkalmazás telepítve van, az megfertőz egy DLL-fájlt. Ez lehetővé teszi annak szabályozását, hogy a szoftver milyen adatokat küldjön a PLC-nek. Ezzel egyidejűleg egy harmadik nulladik napi sebezhetőség, egy merevített adatbázisjelszó formájában, az alkalmazás helyi vezérlésére szolgál. Ez együttesen lehetővé teszi a kártevő számára, hogy módosítsa a PLC programozását, és elrejtse az ICS szoftver elől, hogy ezt megtette. Hamis értékeket generál, jelezve, hogy minden rendben van. Ezt a programozás elemzésekor, a rosszindulatú programok elrejtésekor és a centrifugálási sebesség jelentésekor teszi, elrejtve a tényleges hatást.

Az ICS ekkor csak a Siemens S7-300 PLC-ket fertőzi meg, és akkor is csak akkor, ha a PLC két gyártó egyikének változtatható frekvenciájú meghajtójához csatlakozik. A fertőzött PLC ekkor csak azokat a rendszereket támadja meg, ahol a meghajtófrekvencia 807 Hz és 1210 Hz között van. Ez sokkal gyorsabb, mint a hagyományos centrifugák, de jellemző az urándúsításhoz használt gázcentrifugákra. A PLC egy független rootkitet is kap, amely megakadályozza, hogy a nem fertőzött eszközök lássák a valódi forgási sebességet.

Eredmény

A natanzi létesítményben mindezen követelmények teljesültek, mivel a centrifugák 1064 Hz-en működnek. Miután megfertőződött, a PLC 15 percig 1410 Hz-re húzza a centrifugát, majd 2 Hz-re csökkent, majd visszapörgeti 1064 Hz-re. Egy hónapon keresztül többször is megtörtént, és ez a natanzi létesítményben mintegy ezer centrifuga meghibásodását okozta. Ez azért történt, mert a forgási sebesség változásai mechanikai igénybevételnek tették ki az alumínium centrifugát, így az alkatrészek kitágultak, érintkeztek egymással, és mechanikailag meghibásodtak.

Noha körülbelül 1000 centrifuga ártalmatlanításáról szólnak jelentések ez idő tájt, alig van bizonyíték arra, hogy milyen katasztrofális lenne a meghibásodás. A veszteség mechanikus, részben feszültség és rezonáns rezgések okozzák. A hiba egy hatalmas, nehéz eszközben is van, amely nagyon gyorsan pörög, és valószínűleg drámai volt. Ezenkívül a centrifuga urán-hexafluorid gázt tartalmazott volna, amely mérgező, korrozív és radioaktív.

A feljegyzések azt mutatják, hogy bár a féreg hatékonyan teljesítette a feladatát, nem volt 100%-os. Az Irán tulajdonában lévő működőképes centrifugák száma 4700-ról körülbelül 3900-ra esett vissza. Ezenkívül viszonylag gyorsan mindegyiket kicserélték. A natanzi létesítmény több uránt dúsított 2010-ben, a fertőzés évében, mint az előző évben.

A féreg sem volt olyan finom, mint remélték. A centrifugák véletlenszerű mechanikai meghibásodásairól szóló korai jelentések gyanútlannak bizonyultak, bár egy prekurzor okozta őket a Stuxnet számára. A Stuxnet aktívabb volt, és egy biztonsági cég azonosította, mert a Windows számítógépek időnként összeomlottak. Ez a viselkedés akkor figyelhető meg, ha a memóriakizsákmányolások nem a szándék szerint működnek. Ez végül a Stuxnet felfedezéséhez vezetett, nem pedig a meghibásodott centrifugákhoz.

Attribútum

A Stuxnet tulajdonítását hihető tagadhatóság övezi. A bűnösökről azonban széles körben az Egyesült Államokat és Izraelt is tartják. Mindkét országnak erős politikai nézeteltérései vannak Iránnal, és mélyen kifogásolják annak nukleáris programját, attól tartva, hogy nukleáris fegyvert próbál kifejleszteni.

Az első utalás erre a forrásmegjelölésre a Stuxnet természetéből származik. Szakértők becslése szerint egy 5-30 fős programozói csapatnak legalább hat hónapba telt volna az írás. Ezenkívül a Stuxnet négy nulladik napi sebezhetőséget használt, amelyek száma hallatlan egyszerre. Maga a kód moduláris volt, és könnyen bővíthető. Egy ipari vezérlőrendszert céloz meg, majd egy nem különösebben elterjedt.

Hihetetlenül kifejezetten az észlelés kockázatának minimalizálására irányult. Ezenkívül lopott illesztőprogram-tanúsítványokat használt, amelyekhez nagyon nehéz lett volna hozzáférni. Ezek a tényezők egy rendkívül alkalmas, motivált és jól finanszírozott forrás felé mutatnak, ami szinte biztosan nemzetállami APT-t jelent.

Az Egyesült Államok részvételére utaló konkrét utalások közé tartozik a korábban az Equation csoportnak tulajdonított nulladik napi sebezhetőség, amelyről széles körben úgy gondolják, hogy az NSA része. Az izraeli részvételt valamivel kevésbé jól tulajdonítják, de a kódolási stílusbeli különbségek a különböző modulokban erősen utalnak legalább két közreműködő fél létezésére. Ezen túlmenően legalább két szám van, amelyek dátumokra átszámítva politikailag jelentősek lennének Izrael számára. Izrael nem sokkal a Stuxnet bevetése előtt módosította egy iráni nukleáris fegyver becsült ütemezését is, jelezve, hogy tudatában volt az állítólagos programra gyakorolt ​​közelgő hatásnak.

Következtetés

A Stuxnet önszaporító féreg volt. Ez volt a kiberfegyver első használata, és az első olyan rosszindulatú program, amely valós pusztítást okozott. A Stuxnetet elsősorban az iráni Natanz atomlétesítmény ellen vetették be, hogy csökkentsék annak urándúsító képességét. Négy nulladik napi sebezhetőséget használt fel, és rendkívül összetett volt. Minden jel arra utal, hogy egy nemzetállami APT fejleszti, és a gyanú az Egyesült Államokra és Izraelre száll.

Noha a Stuxnet sikeres volt, nem volt jelentős hatással Irán urándúsítási folyamatára. Ezenkívül megnyitotta az ajtót a kiberfegyverek jövőbeni fizikai károk okozására történő felhasználása előtt, még békeidőben is. Bár sok más tényező is volt, ez is hozzájárult a kiberbiztonsággal kapcsolatos politikai, közvélemény és vállalati tudatosság növeléséhez. A Stuxnet a 2009-2010 közötti időszakban került bevezetésre