Hvað er Stuxnet?

Þegar kemur að netöryggi eru það venjulega gagnabrot sem koma í fréttirnar. Þessi atvik hafa áhrif á marga og tákna hræðilegan fréttadag fyrir fyrirtækið við móttökulok gagnabrotsins. Miklu sjaldnar heyrir maður um nýtt núlldaga hetjudáð sem oft boðar útbrot af gagnabrotum fyrirtækja sem geta ekki verndað sig. Það er ekki mjög oft sem þú heyrir um netatvik sem hafa ekki bein áhrif á notendur. Stuxnet er ein af þessum sjaldgæfu undantekningum.

Að orma sig inn

Stuxnet er nafn á stofn af spilliforritum. Nánar tiltekið er það ormur. Ormur er hugtak sem notað er til að vísa til hvers kyns spilliforrita sem getur sjálfkrafa dreift sér frá einu sýktu tæki til annars. Þetta gerir það kleift að dreifa sér hratt, þar sem ein sýking getur leitt til mun umfangsmeiri sýkingar. Þetta var ekki einu sinni það sem gerði Stuxnet frægt. Ekki var heldur hversu víða það dreifðist, þar sem það olli ekki svo mörgum sýkingum. Það sem gerði Stuxnet áberandi voru markmið þess og tækni.

Stuxnet fannst fyrst í kjarnorkurannsóknarstöð í Íran. Nánar tiltekið Natanz aðstöðuna. Nokkrir hlutir um þetta standa upp úr. Í fyrsta lagi var Natanz kjarnorkuver sem vann að auðgun úrans. Í öðru lagi var aðstaðan ekki tengd við internetið. Þetta annað atriði gerir það erfitt að smita kerfið af spilliforritum og er venjulega þekkt sem „loftgap“. Loftgap er almennt notað fyrir viðkvæm kerfi sem þurfa ekki virka nettengingu. Það gerir það erfiðara að setja upp uppfærslur, en það dregur líka úr ógnunum sem landslag stendur frammi fyrir.

Í þessu tilviki gat Stuxnet „hoppað“ loftbilið með því að nota USB-lykla. Nákvæm saga er óþekkt, með tveimur vinsælum valkostum. Eldri sagan var sú að USB-kubbunum hafi verið sleppt í leynd á bílastæði stöðvarinnar og að of forvitinn starfsmaður hafi stungið því í samband. Í nýlegri frétt er því haldið fram að hollenskur múlvarpa sem starfaði á stöðinni hafi annaðhvort sett í USB-lykilinn eða fengið einhvern annan til að gera svo. Spilliforritið á USB-lyklinum innihélt fyrsta af fjórum núlldaga hetjudáðum sem notuð voru í Stuxnet. Þessi núll-dagur setti spilliforritið sjálfkrafa af stað þegar USB-lykillinn var tengdur við Windows tölvu.

Markmið Stuxnet

Aðalmarkmið Stuxnets virðist vera Natanz kjarnorkuverið. Önnur aðstaða varð einnig fyrir áhrifum, þar sem Íran sá næstum 60% allra sýkinga um allan heim. Natanz er spennandi vegna þess að eitt af kjarnahlutverkum þess sem kjarnorkuver er að auðga úran. Þó að létt auðgað úran sé nauðsynlegt í kjarnorkuver, er mjög auðgað úran nauðsynlegt til að smíða kjarnorkusprengju sem byggir á úrani. Þó að Íranar segist vera að auðga úran til notkunar í kjarnorkuverum, hafa alþjóðlegar áhyggjur verið af því hversu mikið auðgunin á sér stað og að Íranar gætu verið að reyna að smíða kjarnorkuvopn.

Til að auðga úran er nauðsynlegt að aðskilja þrjár samsætur: U234, U235 og U238. U238 er langmest náttúrulega algengast en hentar ekki fyrir kjarnorku eða kjarnorkuvopnanotkun. Núverandi aðferð notar skilvindu þar sem snúningurinn veldur því að mismunandi samsætur aðskiljast eftir þyngd. Ferlið er hægt af ýmsum ástæðum og tekur mikinn tíma. Mikilvægt er að skilvindurnar sem notaðar eru eru mjög viðkvæmar. Skilvindurnar í Natanz snerust við 1064Hz. Stuxnet varð til þess að skilvindurnar snerust hraðar og síðan hægar, allt að 1410Hz og niður í 2Hz. Þetta olli líkamlegu álagi á skilvinduna, sem leiddi til skelfilegrar vélrænni bilunar.

Þessi vélrænni bilun var fyrirhuguð niðurstaða, með það fyrirhugaða markmið að hægja á eða stöðva auðgunarferli Írans úran. Þetta gerir Stuxnet að fyrsta þekkta dæminu um netvopn sem notað er til að draga úr getu þjóðríkis. Það var líka fyrsta notkun hvers konar spilliforrita sem leiddi til líkamlegrar eyðileggingar vélbúnaðar í hinum raunverulega heimi.

Raunverulegt ferli Stuxnet - Sýking

Stuxnet var kynnt í tölvu með því að nota USB-lyki. Það notaði núlldaga hetjudáð til að keyra sig sjálft þegar það var tengt við Windows tölvu sjálfkrafa. USB-lykill var notaður þar sem aðalmarkmið Natanz kjarnorkuversins var loftgapið og ekki tengt við internetið. USB-lykillinn var annaðhvort „sleppt“ nálægt aðstöðunni og settur í af óvitandi starfsmanni eða var kynntur af hollenskum mól á aðstöðunni; einstök atriði þessa eru byggð á óstaðfestum skýrslum.

Spilliforritið sýkti Windows tölvur þegar USB-lykillinn var settur í gegnum núlldaga varnarleysi. Þessi varnarleysi beindist að ferlinu sem myndaði tákn og leyfði keyrslu á fjarstýringu kóða. Mikilvægt er að þetta skref krafðist ekki notendasamskipta umfram það að setja í USB-lykilinn. Spilliforritið innihélt rótarbúnað sem gerir honum kleift að djúpt smita stýrikerfið og vinna með allt, þar á meðal verkfæri eins og vírusvarnarefni, til að fela nærveru sína. Það gat sett sig upp með því að nota par af stolnum ökumannslykla.

Ábending: Rootkits eru sérstaklega viðbjóðslegir vírusar sem mjög erfitt er að greina og fjarlægja. Þeir koma sér í þá stöðu að þeir geta breytt öllu kerfinu, þar með talið vírusvarnarhugbúnaðinum, til að greina tilvist þess.

Spilliforritið reyndi síðan að dreifa sér til annarra tengdra tækja í gegnum samskiptareglur staðarnets. Sumar aðferðir notuðu áður þekkt hetjudáð. Hins vegar notaði einn núlldaga varnarleysi í Windows Printer Sharing reklanum.

Athyglisvert er að spilliforritið innihélt ávísun til að slökkva á sýkingu annarra tækja þegar tækið hafði sýkt þrjú mismunandi tæki. Hins vegar voru þessi tæki sjálf frjáls til að smita önnur þrjú tæki hvert, og svo framvegis. Það innihélt einnig ávísun sem eyddi spilliforritinu sjálfkrafa þann 24. júní 2012.

Raunverulegt ferli Stuxnet - Hagnýting

Þegar það breiddist út, athugaði Stuxnet hvort sýkta tækið gæti stjórnað skotmörkum sínum, skilvindunum. Siemens S7 PLC eða forritanlegir rökstýringar stjórnuðu skilvindunum. PLCs voru aftur á móti forrituð af Siemens PCS 7, WinCC og STEP7 Industrial Control System (ICS) hugbúnaðinum. Til að lágmarka hættuna á að spilliforritið finnist þar sem það gæti ekki haft áhrif á skotmarkið ef það gæti ekki fundið neinn af þremur hugbúnaðarhlutunum sem settur var upp, situr hann í dvala og gerir ekkert annað.

Ef einhver ICS forrit eru sett upp smitar það DLL skrá. Þetta gerir það kleift að stjórna hvaða gögnum hugbúnaðurinn sendir til PLC. Á sama tíma er þriðji núll-daga varnarleysið, í formi harðkóðas lykilorðs gagnagrunns, notað til að stjórna forritinu á staðnum. Samanlagt gerir þetta spilliforritinu kleift að stilla forritun PLC og fela þá staðreynd að það hefur gert það fyrir ICS hugbúnaðinum. Það býr til rangar lestur sem gefa til kynna að allt sé í lagi. Það gerir þetta þegar hann greinir forritunina, felur spilliforritið og tilkynnir um snúningshraðann og felur raunveruleg áhrif.

ICS sýkir þá aðeins Siemens S7-300 PLC, og jafnvel þá, aðeins ef PLC er tengdur við drif með breytilegri tíðni frá einum af tveimur söluaðilum. Sýkti PLC ræðst síðan aðeins á kerfi þar sem aksturstíðni er á milli 807Hz og 1210Hz. Þetta er mun hraðari en hefðbundnar skilvindur en dæmigert fyrir gasskilvindur sem notaðar eru til auðgunar úrans. PLC fær einnig sjálfstætt rótarsett til að koma í veg fyrir að ósýkt tæki sjái raunverulegan snúningshraða.

Niðurstaða

Í Natanz aðstöðunni var öllum þessum kröfum fullnægt þar sem skilvindurnar spanna 1064Hz. Eftir sýkingu spannar PLC skilvinduna upp í 1410Hz í 15 mínútur, lækkaði síðan í 2Hz og snerist síðan aftur upp í 1064Hz. Þetta var gert ítrekað í meira en mánuð og olli því að um þúsund skilvindur í Natanz verksmiðjunni biluðu. Þetta gerðist vegna þess að breytingar á snúningshraða settu vélrænt álag á álskilvinduna þannig að hlutar stækkuðu, komust í snertingu hver við annan og biluðu vélrænt.

Þó að skýrslur séu um að um 1000 skilvindur hafi verið fargað um þetta leyti, þá er lítið sem ekkert sem bendir til þess hversu skelfileg bilunin yrði. Tapið er vélrænt, að hluta framkallað af streitu og ómun titringi. Bilunin er líka í risastóru, þungu tæki sem snýst mjög hratt og var líklega stórkostlegt. Að auki hefði skilvindan innihaldið úranhexaflúoríð gas, sem er eitrað, ætandi og geislavirkt.

Skrár sýna að þótt ormurinn hafi verið árangursríkur í verkefni sínu, þá var hann ekki 100% árangursríkur. Fjöldi virkra skilvinda sem Íran átti fækkaði úr 4700 í um 3900. Auk þess var þeim öllum skipt út tiltölulega fljótt. Natanz verksmiðjan auðgaði meira úran árið 2010, ár sýkingarinnar, en árið áður.

Ormurinn var heldur ekki eins lúmskur og vonast var eftir. Snemma tilkynningar um tilviljunarkenndar vélrænar bilanir í skilvindur reyndust grunsamlegar þó að forveri hafi valdið Stuxnet. Stuxnet var virkara og var borið kennsl á öryggisfyrirtæki sem kallað var á vegna þess að Windows tölvur hrundu stundum. Slík hegðun sést þegar minnismisnotkun virkar ekki eins og til er ætlast. Þetta leiddi að lokum til uppgötvunar Stuxnet, ekki biluðu skilvindanna.

Eignun

Úthlutun Stuxnet er hulin trúverðugri afneitun. Hins vegar er almennt talið að sökudólgarnir séu bæði Bandaríkin og Ísrael. Bæði löndin hafa mikinn pólitískan ágreining við Íran og mótmæla harðlega kjarnorkuáætlunum þeirra af ótta við að þau séu að reyna að þróa kjarnorkuvopn.

Fyrsta vísbendingin um þessa tilvísun kemur frá eðli Stuxnet. Sérfræðingar hafa áætlað að það hefði tekið 5 til 30 teymi forritara að minnsta kosti sex mánuði að skrifa. Að auki notaði Stuxnet fjóra núlldaga veikleika, fjölda óheyrðan í einu. Kóðinn sjálfur var mát og auðvelt að stækka hann. Það miðaði við iðnaðareftirlitskerfi og síðan ekki sérstaklega algengt.

Það var ótrúlega sérstaklega miðað við að lágmarka hættuna á uppgötvun. Að auki notaði það stolin ökumannsskírteini sem hefði verið mjög erfitt að komast að. Þessir þættir benda til ákaflega hæfrar, áhugasamrar og vel fjármagnaðrar heimildar, sem nær örugglega þýðir APT þjóðríki.

Sérstakar vísbendingar um þátttöku Bandaríkjanna fela í sér að nota núlldaga veikleika sem áður voru kenndir við Equation hópinn, sem almennt er talið að sé hluti af NSA. Þátttaka Ísraels er örlítið verri kennd, en munur á kóðunarstíl í mismunandi einingum bendir mjög til þess að til séu að minnsta kosti tveir aðilar sem leggja sitt af mörkum. Að auki eru að minnsta kosti tvær tölur sem, ef þeim er breytt í dagsetningar, myndi skipta pólitískt máli fyrir Ísrael. Ísraelar breyttu einnig áætlaðri tímalínu sinni fyrir íranskt kjarnorkuvopn skömmu áður en Stuxnet var sent á vettvang, sem gefur til kynna að þeir hafi vitað af yfirvofandi áhrifum á meinta áætlunina.

Niðurstaða

Stuxnet var sjálfbreiða ormur. Þetta var fyrsta notkun netvopns og fyrsta tilvik spilliforrita sem olli raunverulegri eyðileggingu. Stuxnet var fyrst og fremst beitt gegn írönsku Natanz kjarnorkuverinu til að draga úr getu þess til að auðga úran. Það notaði fjóra núlldaga veikleika og var mjög flókið. Öll merki benda til þess að það sé þróað af þjóðríki APT, þar sem grunsemdir falla á Bandaríkin og Ísrael.

Þó Stuxnet hafi gengið vel, hafði það ekki marktæk áhrif á auðgun úrans í Íran. Það opnaði einnig dyrnar fyrir framtíðarnotkun netvopna til að valda líkamlegu tjóni, jafnvel á friðartímum. Þó að það hafi verið margir aðrir þættir, hjálpaði það einnig til við að auka pólitíska, almenna og fyrirtækjavitund um netöryggi. Stuxnet var notað á tímabilinu 2009-2010