Kas yra Stuxnet?

Kalbant apie kibernetinį saugumą, dažniausiai naujienos tampa duomenų pažeidimais. Šie incidentai paliečia daugelį žmonių ir yra siaubinga naujienų diena įmonei, kai gaunamas duomenų pažeidimas. Daug rečiau girdite apie naują nulinės dienos išnaudojimą, kuris dažnai praneša apie duomenų pažeidimus įmonėms, kurios negali apsisaugoti. Ne itin dažnai išgirstate apie kibernetinius incidentus, kurie tiesiogiai nepaveikia vartotojų. Stuxnet yra viena iš tų retų išimčių.

Kirminas patenka į vidų

Stuxnet yra kenkėjiškų programų atmainos pavadinimas. Tiksliau, tai yra kirminas. Kirminas yra terminas, naudojamas apibūdinti bet kokią kenkėjišką programą, kuri gali automatiškai plisti iš vieno užkrėsto įrenginio į kitą. Tai leidžia jai greitai plisti, nes viena infekcija gali sukelti daug didesnio masto infekciją. Net ne tai išgarsino Stuxnet. Taip pat nebuvo plačiai paplitęs, nes jis nesukėlė tiek daug infekcijų. Stuxnet išsiskyrė jo tikslai ir metodai.

„Stuxnet“ pirmą kartą buvo rastas branduolinių tyrimų objekte Irane. Tiksliau, Natanzo objektas. Keletas dalykų apie tai išsiskiria. Pirma, Natanzas buvo atominis objektas, kurio tikslas buvo sodrinti uraną. Antra, įrenginys nebuvo prijungtas prie interneto. Dėl šio antrojo punkto sunku užkrėsti sistemą kenkėjiška programa ir paprastai jis vadinamas „oro tarpu“. Oro tarpas paprastai naudojamas jautrioms sistemoms, kurioms aktyviai nereikia interneto ryšio. Tai apsunkina naujinimų diegimą, bet taip pat sumažina grėsmių aplinką.

Šiuo atveju „Stuxnet“ sugebėjo „peršokti“ oro tarpą naudodama USB atmintinę. Tiksli istorija nežinoma, yra du populiarūs variantai. Senesnė istorija buvo tokia, kad USB atmintinės buvo slapta numestos objekto automobilių stovėjimo aikštelėje ir pernelyg smalsus darbuotojas jas prijungė. Neseniai paskelbta istorija teigia, kad įstaigoje dirbantis olandų kurmis arba prijungė USB atmintinę, arba privertė ką nors padaryti. taip. Kenkėjiška programinė įranga USB atmintinėje apėmė pirmąjį iš keturių nulinės dienos išnaudojimų, naudojamų Stuxnet. Ši nulinė diena automatiškai paleido kenkėjišką programą, kai USB atmintinė buvo prijungta prie „Windows“ kompiuterio.

Stuxnet taikiniai

Atrodo, kad pagrindinis Stuxnet taikinys yra Natanzo branduolinis objektas. Taip pat nukentėjo ir kitos įstaigos – Irane užfiksuota beveik 60 % visų pasaulyje užsikrėtusių infekcijų. Natanzas yra įdomus, nes viena iš pagrindinių jo, kaip branduolinio objekto, funkcijų yra sodrinti uraną. Nors mažai prisodrintas uranas reikalingas atominėms elektrinėms, labai prisodrintas uranas yra būtinas norint sukurti urano branduolinę bombą. Nors Iranas teigia, kad jis sodrina uraną, skirtą naudoti atominėse elektrinėse, tarptautiniu mastu kilo susirūpinimas dėl sodrinimo kiekio ir kad Iranas gali bandyti sukurti branduolinį ginklą.

Norint sodrinti uraną, būtina atskirti tris izotopus: U234, U235 ir U238. U238 yra natūraliai gausiausias, bet netinka branduolinei energijai ar branduoliniams ginklams naudoti. Dabartinis metodas naudoja centrifugą, kai besisukant skirtingi izotopai atsiskiria pagal svorį. Procesas yra lėtas dėl kelių priežasčių ir užima daug laiko. Svarbiausia, kad naudojamos centrifugos yra labai jautrios. Natanzo centrifugos sukosi 1064 Hz dažniu. Stuxnet privertė centrifugas suktis greičiau, o paskui lėčiau iki 1410 Hz ir iki 2 Hz. Tai sukėlė fizinį centrifugos įtampą, dėl kurios įvyko katastrofiškas mechaninis gedimas.

Šis mechaninis gedimas buvo numatytas rezultatas, numanoma, kad tikslas sulėtinti arba sustabdyti Irano urano sodrinimo procesą. Dėl to Stuxnet yra pirmasis žinomas kibernetinio ginklo, naudojamo nacionalinės valstybės gebėjimams pažeminti, pavyzdžiu. Tai taip pat buvo pirmasis bet kokios formos kenkėjiškų programų panaudojimas, dėl kurio realiame pasaulyje buvo fiziškai sunaikinta aparatinė įranga.

Tikrasis Stuxnet procesas – infekcija

„Stuxnet“ buvo įvestas į kompiuterį naudojant USB atmintinę. Jis naudojo nulinės dienos išnaudojimą, kad veiktų automatiškai, kai buvo automatiškai prijungtas prie „Windows“ kompiuterio. USB atmintinė buvo naudojama, nes pagrindinis Natanzo branduolinis objektas buvo oro tarpas ir neprijungtas prie interneto. USB atmintinę arba „numetė“ netoli objekto ir įdėjo netyčia darbuotojas, arba įstaigoje ją įnešė olandų kurmis; to specifika paremta nepatvirtintais pranešimais.

Kenkėjiška programa užkrėtė „Windows“ kompiuterius, kai USB atmintinė buvo įdėta per nulinės dienos pažeidžiamumą. Šis pažeidžiamumas buvo nukreiptas į procesą, kuris pateikė piktogramas ir leido nuotoliniu būdu vykdyti kodą. Labai svarbu, kad šiam veiksmui nereikėjo vartotojo veiksmų, išskyrus USB atmintinės įdėjimą. Kenkėjiška programinė įranga apėmė šaknų rinkinį, leidžiantį giliai užkrėsti operacinę sistemą ir manipuliuoti viskuo, įskaitant tokius įrankius kaip antivirusinė programa, kad paslėptų savo buvimą. Jis galėjo įdiegti save naudodamas porą pavogtų vairuotojo pasirašymo raktų.

Patarimas: Rootkit yra ypač nemalonūs virusai, kuriuos labai sunku aptikti ir pašalinti. Jie patenka į tokią padėtį, kurioje gali modifikuoti visą sistemą, įskaitant antivirusinę programinę įrangą, kad aptiktų jos buvimą.

Tada kenkėjiška programa per vietinio tinklo protokolus bandė išplisti į kitus prijungtus įrenginius. Kai kuriuose metoduose buvo naudojami anksčiau žinomi išnaudojimai. Tačiau vienas iš jų naudojo „Windows“ spausdintuvo bendrinimo tvarkyklės nulinės dienos pažeidžiamumą.

Įdomu tai, kad kenkėjiška programa apėmė patikrinimą, kad būtų išjungtas kitų įrenginių užkrėtimas, kai įrenginys užkrėtė tris skirtingus įrenginius. Tačiau tie įrenginiai patys galėjo užkrėsti dar tris įrenginius ir pan. Taip pat buvo atliktas patikrinimas, kuris automatiškai pašalino kenkėjišką programą 2012 m. birželio 24 d.

Tikrasis Stuxnet procesas – išnaudojimas

Kai jis išplito pats, Stuxnet patikrino, ar užkrėstas įrenginys gali valdyti savo taikinius – centrifugas. Siemens S7 PLC arba programuojami loginiai valdikliai valdė centrifugas. Savo ruožtu PLC programavo „Siemens PCS 7“, „WinCC“ ir „STEP7 Industrial Control System“ (ICS) programinė įranga. Siekiant sumažinti riziką, kad kenkėjiška programa bus aptikta ten, kur ji negalėtų paveikti savo tikslo, jei nerastų nė vienos iš trijų įdiegtų programinės įrangos dalių, ji neveikia ir nieko daugiau nedaro.

Jei įdiegta kokia nors ICS programa, ji užkrečia DLL failą. Tai leidžia valdyti, kokius duomenis programinė įranga siunčia į PLC. Tuo pačiu metu programai valdyti vietoje naudojamas trečiasis nulinės dienos pažeidžiamumas – užkoduotas duomenų bazės slaptažodis. Kartu tai leidžia kenkėjiškajai programai koreguoti PLC programavimą ir paslėpti faktą, kad ji tai padarė nuo ICS programinės įrangos. Jis generuoja klaidingus rodmenis, rodančius, kad viskas gerai. Tai daroma analizuojant programavimą, slepiant kenkėjiškas programas ir pranešant apie sukimosi greitį, slepiant tikrąjį poveikį.

Tada ICS užkrečia tik Siemens S7-300 PLC ir net tada, jei PLC yra prijungtas prie vieno iš dviejų pardavėjų kintamo dažnio įrenginio. Tada užkrėstas PLC iš tikrųjų atakuoja tik tas sistemas, kuriose pavaros dažnis yra nuo 807 Hz iki 1210 Hz. Tai daug greičiau nei tradicinės centrifugos, tačiau būdinga uranui sodrinti naudojamoms dujų centrifugoms. PLC taip pat gauna nepriklausomą šaknų rinkinį, kad neužkrėsti įrenginiai nematytų tikrojo sukimosi greičio.

Rezultatas

Natanzo įrenginyje visi šie reikalavimai buvo įvykdyti, nes centrifugos veikia 1064 Hz dažniu. Užsikrėtus, PLC veikia centrifugoje iki 1410 Hz 15 minučių, tada nukrito iki 2 Hz ir vėl sukosi iki 1064 Hz. Tai pakartotinai per mėnesį, todėl maždaug tūkstantis centrifugų Natanzo gamykloje sugedo. Taip atsitiko dėl to, kad sukimosi greičio pokyčiai sukėlė mechaninį aliuminio centrifugos įtampą, todėl dalys išsiplėtė, kontaktavo viena su kita ir mechaniškai sugedo.

Nors yra pranešimų apie maždaug 1000 centrifugų, kurios buvo sunaikintos maždaug tuo metu, nėra jokių įrodymų, kad gedimas būtų katastrofiškas. Nuostoliai yra mechaniniai, iš dalies sukelti įtempių ir rezonansinių virpesių. Gedimas taip pat yra didžiuliame, sunkiame įrenginyje, kuris sukasi labai greitai ir greičiausiai buvo dramatiškas. Be to, centrifugoje būtų buvę urano heksafluorido dujų, kurios yra toksiškos, ėsdinančios ir radioaktyvios.

Įrašai rodo, kad nors kirminas atliko savo užduotį, jis nebuvo 100% efektyvus. Iranui priklausančių funkcinių centrifugų skaičius sumažėjo nuo 4700 iki maždaug 3900. Be to, visos jos buvo gana greitai pakeistos. Natanzo gamykla 2010 m., infekcijos metais, prisodrino daugiau urano nei ankstesniais metais.

Kirminas taip pat nebuvo toks subtilus, kaip tikėtasi. Ankstyvieji pranešimai apie atsitiktinius mechaninius centrifugų gedimus buvo neįtartini, nors pirmtakas juos sukėlė Stuxnet. „Stuxnet“ buvo aktyvesnis ir jį atpažino apsaugos įmonė, iškviesta, nes „Windows“ kompiuteriai retkarčiais sugenda. Toks elgesys pastebimas, kai atminties išnaudojimai neveikia taip, kaip numatyta. Tai galiausiai paskatino atrasti Stuxnet, o ne sugedusias centrifugas.

Priskyrimas

Stuxnet priskyrimas yra apgaubtas tikėtinu paneigimu. Vis dėlto plačiai manoma, kad kaltininkais yra ir JAV, ir Izraelis. Abi šalys turi didelių politinių nesutarimų su Iranu ir labai prieštarauja jo branduolinėms programoms, bijodamos, kad jis bando sukurti branduolinį ginklą.

Pirmoji užuomina apie šį priskyrimą kyla iš Stuxnet prigimties. Ekspertai apskaičiavo, kad 5–30 programuotojų komandai parašyti būtų prireikę mažiausiai šešių mėnesių. Be to, „Stuxnet“ panaudojo keturis nulinės dienos pažeidžiamumus, kurių skaičius negirdėtas vienu metu. Pats kodas buvo modulinis ir lengvai plečiamas. Tai buvo skirta pramoninei valdymo sistemai, o vėliau ne itin įprastai.

Jis buvo neįtikėtinai specialiai skirtas siekiant sumažinti aptikimo riziką. Be to, buvo naudojami pavogti vairuotojo pažymėjimai, kuriuos būtų buvę labai sunku pasiekti. Šie veiksniai rodo itin pajėgų, motyvuotą ir gerai finansuojamą šaltinį, kuris beveik neabejotinai reiškia nacionalinės valstybės APT.

Konkrečios užuominos apie JAV įsitraukimą apima nulinės dienos pažeidžiamumą, anksčiau priskirtą Equation grupei, kuri, kaip manoma, yra NSA dalis. Izraelio dalyvavimas priskiriamas šiek tiek prasčiau, tačiau skirtinguose moduliuose kodavimo stilių skirtumai aiškiai rodo, kad egzistuoja bent dvi prisidedančios šalys. Be to, yra bent du skaičiai, kurie, paskaičiavus datas, būtų politiškai reikšmingi Izraeliui. Izraelis taip pat pakoregavo savo numatomą Irano branduolinio ginklo terminą prieš pat Stuxnet dislokavimą, nurodydamas, kad jie žinojo apie gresiantį poveikį tariamai programai.

Išvada

Stuxnet buvo savaime besidauginantis kirminas. Tai buvo pirmasis kibernetinio ginklo panaudojimas ir pirmasis kenkėjiškų programų, sukėlusių realų pasaulį, atvejis. „Stuxnet“ pirmiausia buvo dislokuota prieš Irano Natanzo branduolinį įrenginį, siekiant pabloginti jo urano sodrinimo galimybes. Jis panaudojo keturis nulinės dienos pažeidžiamumus ir buvo labai sudėtingas. Visi ženklai rodo, kad jį kuria nacionalinė valstybė APT, o įtarimai tenka JAV ir Izraeliui.

Nors Stuxnet buvo sėkmingas, jis neturėjo reikšmingos įtakos Irano urano sodrinimo procesui. Tai taip pat atvėrė galimybę ateityje naudoti kibernetinius ginklus fizinei žalai sukelti net taikos metu. Nors buvo daug kitų veiksnių, tai taip pat padėjo padidinti politinį, visuomenės ir įmonių informuotumą apie kibernetinį saugumą. Stuxnet buvo įdiegtas 2009–2010 m