Kas ir Stuxnet?

Runājot par kiberdrošību, parasti ziņas ir par datu pārkāpumiem. Šie incidenti ietekmē daudzus cilvēkus un ir šausmīga ziņu diena uzņēmumam datu aizsardzības pārkāpuma beigās. Daudz retāk jūs dzirdat par jaunu nulles dienas izmantošanu, kas bieži vien vēsta par datu pārkāpumiem uzņēmumiem, kuri nevar sevi aizsargāt. Ne pārāk bieži nākas dzirdēt par kiberincidentiem, kas tieši neietekmē lietotājus. Stuxnet ir viens no retajiem izņēmumiem.

Tārpi iekļūst

Stuxnet ir ļaunprātīgas programmatūras celma nosaukums. Precīzāk, tas ir tārps. Tārps ir termins, ko lieto, lai apzīmētu jebkuru ļaunprātīgu programmatūru, kas var automātiski izplatīties no vienas inficētas ierīces uz citu. Tas ļauj tai ātri izplatīties, jo viena infekcija var izraisīt daudz lielāka mēroga infekciju. Tas pat nebija tas, kas padarīja Stuxnet slavenu. Nebija arī tas, cik plaši tas izplatījās, jo tas neizraisīja tik daudz infekciju. Stuxnet izceļas bija tā mērķi un paņēmieni.

Stuxnet pirmo reizi tika atrasts kodolpētniecības objektā Irānā. Konkrēti, Natanzas iekārta. Dažas lietas šajā jomā izceļas. Pirmkārt, Natanza bija atomu iekārta, kas strādāja pie urāna bagātināšanas. Otrkārt, iekārtai nebija savienojuma ar internetu. Šis otrais punkts apgrūtina sistēmas inficēšanu ar ļaunprātīgu programmatūru, un to parasti sauc par "gaisa spraugu". Gaisa spraugu parasti izmanto jutīgām sistēmām, kurām nav nepieciešams interneta savienojums. Tas apgrūtina atjauninājumu instalēšanu, bet arī samazina draudu ainavu.

Šajā gadījumā Stuxnet spēja “pārlēkt” gaisa spraugu, izmantojot USB zibatmiņas. Precīzs stāsts nav zināms, ir divas populāras iespējas. Senāks stāsts bija tāds, ka USB zibatmiņas zibatmiņas tika slepus nomestas objekta autostāvvietā un pārāk ziņkārīgs darbinieks to pievienoja. Nesenais stāsts liecina, ka objektā strādājošais holandiešu kurmis vai nu pievienoja USB zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņas zibatmiņai vai lika kādam citam darīt. tātad. Ļaunprātīgā programmatūra USB zibatmiņā ietvēra pirmo no četrām nulles dienas darbībām, ko izmantoja Stuxnet. Šī nulles diena automātiski palaida ļaunprātīgu programmatūru, kad USB zibatmiņa tika pievienota Windows datoram.

Stuxnet mērķi

Šķiet, ka Stuxnet galvenais mērķis ir Natancas kodoliekārta. Tika ietekmētas arī citas iestādes, un Irānā novēroja gandrīz 60% no visām pasaulē inficētajām vietām. Natanza ir aizraujoša, jo viena no tās kodoliekārtas pamatfunkcijām ir urāna bagātināšana. Kaut arī kodolspēkstacijām ir nepieciešams viegli bagātināts urāns, tad, lai izveidotu uz urānu balstītu kodolbumbu, ir nepieciešams ļoti bagātināts urāns. Lai gan Irāna norāda, ka tā bagātina urānu izmantošanai atomelektrostacijās, starptautiskā mērogā ir bijušas bažas par notiekošo bagātināšanas apjomu un to, ka Irāna varētu mēģināt izveidot kodolieroci.

Lai bagātinātu urānu, ir nepieciešams atdalīt trīs izotopus: U234, U235 un U238. U238 ir neapšaubāmi visizplatītākais dabā, taču tas nav piemērots kodolenerģijas vai kodolieroču izmantošanai. Pašreizējā metode izmanto centrifūgu, kur vērpšana izraisa dažādu izotopu atdalīšanu pēc svara. Process ir lēns vairāku iemeslu dēļ un aizņem daudz laika. Būtiski, ka izmantotās centrifūgas ir ļoti jutīgas. Centrifūgas Natanzā griezās pie 1064 Hz. Stuxnet lika centrifūgām griezties ātrāk un pēc tam lēnāk, līdz 1410 Hz un līdz 2 Hz. Tas izraisīja fizisku spriedzi centrifūgā, izraisot katastrofālu mehānisku atteici.

Šī mehāniskā kļūme bija paredzētais iznākums ar paredzamo mērķi palēnināt vai apturēt Irānas urāna bagātināšanas procesu. Tas padara Stuxnet par pirmo zināmo kiberieroču piemēru, ko izmanto nacionālās valsts spēju degradēšanai. Tā bija arī pirmā jebkāda veida ļaunprātīgas programmatūras izmantošana, kas izraisīja aparatūras fizisku iznīcināšanu reālajā pasaulē.

Faktiskais Stuxnet process - infekcija

Stuxnet tika ieviests datorā, izmantojot USB zibatmiņu. Tas izmantoja nulles dienas izmantošanu, lai palaistu sevi, kad tas tika automātiski pievienots Windows datoram. USB zibatmiņa tika izmantota kā primārais mērķis Natanzas kodoliekārta bija gaisa sprauga un nebija savienota ar internetu. USB zibatmiņu vai nu “nometa” netālu no objekta un to nejauši ievietoja kāds darbinieks, vai arī to objektā ienesa holandiešu kurmis; tā specifika ir balstīta uz neapstiprinātiem ziņojumiem.

Ļaunprātīga programmatūra inficēja Windows datorus, kad USB zibatmiņa tika ievietota, izmantojot nulles dienas ievainojamību. Šīs ievainojamības mērķis bija process, kas atveidoja ikonas un ļāva attālināti izpildīt kodu. Būtiski, ka šī darbība neprasa lietotāja mijiedarbību, izņemot USB zibatmiņas ievietošanu. Ļaunprātīgā programma ietvēra sakņu komplektu, kas ļauj tai dziļi inficēt operētājsistēmu un manipulēt ar visu, tostarp tādiem rīkiem kā pretvīrusu, lai slēptu savu klātbūtni. Tas varēja instalēt sevi, izmantojot pāris nozagtas draivera parakstīšanas atslēgas.

Padoms. Rootkit ir īpaši nepatīkami vīrusi, kurus ir ļoti grūti noteikt un noņemt. Viņi nonāk situācijā, kad var modificēt visu sistēmu, tostarp pretvīrusu programmatūru, lai noteiktu tās klātbūtni.

Pēc tam ļaunprogrammatūra mēģināja izplatīties uz citām pievienotajām ierīcēm, izmantojot lokālā tīkla protokolus. Dažas metodes izmantoja iepriekš zināmus paņēmienus. Tomēr vienā Windows printera koplietošanas draiverī tika izmantota nulles dienas ievainojamība.

Interesanti, ka ļaunprogrammatūra ietvēra pārbaudi, lai atspējotu citu ierīču inficēšanu, tiklīdz ierīce bija inficējusi trīs dažādas ierīces. Tomēr šīs ierīces pašas varēja inficēt vēl trīs ierīces un tā tālāk. Tajā bija iekļauta arī pārbaude, kas 2012. gada 24. jūnijā automātiski izdzēsa ļaunprātīgo programmatūru.

Faktiskais Stuxnet process – ekspluatācija

Kad tas izplatījās pats, Stuxnet pārbaudīja, vai inficētā ierīce var kontrolēt savus mērķus - centrifūgas. Siemens S7 PLC vai programmējamie loģiskie kontrolleri kontrolēja centrifūgas. Savukārt PLC ieprogrammēja Siemens PCS 7, WinCC un STEP7 Industrial Control System (ICS) programmatūra. Lai samazinātu risku, ka ļaunprātīga programmatūra tiks atrasta vietās, kur tā nevarētu ietekmēt tās mērķi, ja tā nevarētu atrast nevienu no trim instalētajām programmatūras daļām, tā nedarbojas, neko citu nedarot.

Ja ir instalētas kādas ICS lietojumprogrammas, tas inficē DLL failu. Tas ļauj tai kontrolēt, kādus datus programmatūra nosūta uz PLC. Tajā pašā laikā lietojumprogrammas lokālai kontrolei tiek izmantota trešā nulles dienas ievainojamība cietkodētas datu bāzes paroles veidā. Tas ļauj ļaunprogrammatūrai pielāgot PLC programmēšanu un slēpt faktu, ka tā ir to izdarījusi no ICS programmatūras. Tas ģenerē viltus rādījumus, kas norāda, ka viss ir kārtībā. Tas tiek darīts, analizējot programmēšanu, slēpjot ļaunprātīgu programmatūru un ziņojot par griešanās ātrumu, slēpjot faktisko efektu.

Pēc tam ICS inficē tikai Siemens S7-300 PLC un pat tad, ja PLC ir savienots ar mainīgas frekvences disku no viena no diviem piegādātājiem. Pēc tam inficētais PLC faktiski uzbrūk tikai sistēmām, kuru piedziņas frekvence ir no 807 Hz līdz 1210 Hz. Tas ir daudz ātrāk nekā tradicionālās centrifūgas, taču tas ir raksturīgi urāna bagātināšanai izmantotajām gāzes centrifūgām. PLC iegūst arī neatkarīgu sakņu komplektu, lai neļautu neinficētām ierīcēm redzēt patiesos rotācijas ātrumus.

Rezultāts

Natanzas iekārtā visas šīs prasības tika izpildītas, jo centrifūgas darbojas ar 1064 Hz. Kad PLC ir inficēts, centrifūgu 15 minūtes novērsa līdz 1410 Hz, pēc tam nokrita līdz 2 Hz un pēc tam griež atpakaļ līdz 1064 Hz. Mēneša laikā atkārtoti veiktas darbības rezultātā aptuveni tūkstotis centrifūgu Natancas rūpnīcā sabojājās. Tas notika tāpēc, ka rotācijas ātruma izmaiņas radīja alumīnija centrifūgas mehānisku spriedzi tā, ka daļas paplašinājās, saskārās viena ar otru un mehāniski sabojājās.

Lai gan ir ziņojumi par aptuveni 1000 centrifūgu likvidēšanu ap šo laiku, ir maz vai nav nekādu pierādījumu par to, cik katastrofāla būtu kļūme. Zudumi ir mehāniski, daļēji spriedzes un rezonanses vibrāciju izraisīti. Kļūme ir saistīta arī ar milzīgu, smagu ierīci, kas griežas ļoti ātri un, iespējams, bija dramatiska. Turklāt centrifūgā būtu bijusi urāna heksafluorīda gāze, kas ir toksiska, kodīga un radioaktīva.

Ieraksti liecina, ka, lai gan tārps bija efektīvs savu uzdevumu, tas nebija 100% efektīvs. Irānai piederošo funkcionālo centrifūgu skaits samazinājās no 4700 līdz aptuveni 3900. Turklāt tās visas tika nomainītas salīdzinoši ātri. Natanzas rūpnīca 2010. gadā, infekcijas gadā, bagātināja vairāk urāna nekā iepriekšējā gadā.

Arī tārps nebija tik smalks, kā cerēts. Agrīnie ziņojumi par nejaušām centrifūgu mehāniskām atteicēm tika uzskatīti par neapšaubāmiem, kaut arī Stuxnet tos izraisīja prekursors. Stuxnet bija aktīvāks, un to identificēja drošības firma, kuru pieaicināja, jo Windows datori laiku pa laikam avarēja. Šāda rīcība tiek novērota, ja atmiņas izmantošana nedarbojas, kā paredzēts. Tas galu galā noveda pie Stuxnet, nevis neveiksmīgo centrifūgu atklāšanas.

Attiecinājums

Stuxnet piedēvējums ir ticams noliedzams. Tomēr plaši tiek uzskatīts, ka vainīgie ir gan ASV, gan Izraēla. Abām valstīm ir spēcīgas politiskās nesaskaņas ar Irānu, un tās ļoti iebilst pret tās kodolprogrammām, baidoties, ka tā mēģina izstrādāt kodolieroci.

Pirmais mājiens par šo attiecinājumu nāk no Stuxnet būtības. Eksperti ir aprēķinājuši, ka 5 līdz 30 programmētāju komandai būtu nepieciešami vismaz seši mēneši, lai rakstītu. Turklāt Stuxnet izmantoja četras nulles dienas ievainojamības, kas ir nedzirdētas vienā piegājienā. Pats kods bija modulārs un viegli paplašināms. Tas bija vērsts uz rūpnieciskās kontroles sistēmu un pēc tam ne īpaši izplatītu.

Tas bija neticami īpaši mērķēts, lai samazinātu atklāšanas risku. Turklāt tajā tika izmantoti zagti autovadītāja sertifikāti, kuriem būtu bijis ļoti grūti piekļūt. Šie faktori norāda uz ārkārtīgi spējīgu, motivētu un labi finansētu avotu, kas gandrīz noteikti nozīmē nacionālas valsts APT.

Konkrēti mājieni par ASV iesaistīšanos ietver nulles dienas ievainojamību izmantošanu, kas iepriekš tika attiecināta uz Equation grupu, kas plaši tiek uzskatīta par NSA daļu. Izraēlas līdzdalība tiek attiecināta nedaudz mazāk, taču atšķirības kodēšanas stilā dažādos moduļos liecina par vismaz divu iesaistīto pušu esamību. Turklāt ir vismaz divi skaitļi, kas, pārrēķinot datumos, būtu politiski nozīmīgi Izraēlai. Izraēla arī koriģēja savu aptuveno Irānas kodolieroču laika grafiku īsi pirms Stuxnet izvietošanas, norādot, ka tā ir informēta par gaidāmo ietekmi uz iespējamo programmu.

Secinājums

Stuxnet bija pašvairojošs tārps. Tā bija pirmā kiberieroča izmantošana un pirmais ļaunprogrammatūras gadījums, kas izraisīja iznīcināšanu reālajā pasaulē. Stuxnet galvenokārt tika izmantots pret Irānas Natanzas kodolobjektu, lai pasliktinātu tā urāna bagātināšanas spēju. Tas izmantoja četras nulles dienas ievainojamības un bija ļoti sarežģīts. Visas pazīmes liecina, ka to izstrādā nacionāla valsts APT, un aizdomas krīt uz ASV un Izraēlu.

Lai gan Stuxnet bija veiksmīgs, tas būtiski neietekmēja Irānas urāna bagātināšanas procesu. Tas arī pavēra durvis turpmākai kiberieroču izmantošanai, lai radītu fiziskus bojājumus pat miera laikā. Lai gan bija daudzi citi faktori, tas arī palīdzēja palielināt politisko, sabiedrības un uzņēmumu izpratni par kiberdrošību. Stuxnet tika izvietots laika posmā no 2009. līdz 2010. gadam