Hva er Stuxnet?

Når det kommer til cybersikkerhet, er det normalt datainnbrudd som kommer opp i nyhetene. Disse hendelsene påvirker mange mennesker og representerer en forferdelig nyhetsdag for selskapet på mottakersiden av datainnbruddet. Mye mindre regelmessig hører du om en ny nulldagers utnyttelse som ofte varsler om et utslett av datainnbrudd fra selskaper som ikke kan beskytte seg selv. Det er ikke så ofte du hører om cyberhendelser som ikke påvirker brukerne direkte. Stuxnet er et av de sjeldne unntakene.

Ormekur på vei inn

Stuxnet er navnet på en stamme av skadelig programvare. Nærmere bestemt er det en orm. En orm er et begrep som brukes for å referere til skadelig programvare som automatisk kan spre seg fra en infisert enhet til en annen. Dette gjør at den sprer seg raskt, ettersom en enkelt infeksjon kan resultere i en mye større infeksjon. Dette var ikke engang det som gjorde Stuxnet kjent. Det var heller ikke hvor vidt det spredte seg, da det ikke forårsaket så mange infeksjoner. Det som gjorde at Stuxnet skilte seg ut var målene og teknikkene.

Stuxnet ble først funnet i et atomforskningsanlegg i Iran. Nærmere bestemt Natanz-anlegget. Et par ting om dette skiller seg ut. For det første var Natanz et atomanlegg som jobbet med å anrike uran. For det andre var anlegget ikke koblet til Internett. Dette andre punktet gjør det vanskelig å infisere systemet med skadelig programvare og er vanligvis kjent som et "luftgap". En luftspalte brukes vanligvis for mottakelige systemer som ikke aktivt trenger en Internett-tilkobling. Det gjør det vanskeligere å installere oppdateringer, men det reduserer også trussellandskapet.

I dette tilfellet var Stuxnet i stand til å "hoppe" luftgapet ved bruk av USB-pinner. Den nøyaktige historien er ukjent, med to populære alternativer. Den eldre historien var at USB-pinnene ble sluppet i det skjulte på anleggets parkeringsplass og at en altfor nysgjerrig ansatt plugget den inn. En fersk historie hevder at en nederlandsk føflekk som jobbet på anlegget enten plugget inn USB-pinnen eller fikk noen andre til å gjøre. så. Skadevaren på USB-pinnen inkluderte den første av fire nulldagers utnyttelser som ble brukt i Stuxnet. Denne nulldagen lanserte automatisk skadevare når USB-pinnen ble koblet til en Windows-datamaskin.

Mål for Stuxnet

Hovedmålet til Stuxnet ser ut til å være atomanlegget i Natanz. Andre anlegg ble også berørt, og Iran så nesten 60 % av alle verdensomspennende infeksjoner. Natanz er spennende fordi en av kjernefunksjonene som kjernefysisk anlegg er å anrike uran. Mens lett anriket uran er nødvendig for atomkraftverk, er høyt anriket uran nødvendig for å bygge en uranbasert atombombe. Mens Iran uttaler at det anriker uran for bruk i atomkraftverk, har det vært internasjonal bekymring over mengden anrikning som skjer og at Iran kan forsøke å konstruere et atomvåpen.

For å anrike uran, er det nødvendig å skille tre isotoper: U234, U235 og U238. U238 er den desidert mest naturlige, men er ikke egnet for atomkraft eller atomvåpenbruk. Dagens metode bruker en sentrifuge hvor spinningen får de forskjellige isotopene til å skille seg etter vekt. Prosessen er treg av flere grunner og tar mye tid. Kritisk sett er sentrifugene som brukes veldig følsomme. Sentrifugene ved Natanz snurret ved 1064Hz. Stuxnet fikk sentrifugene til å spinne raskere og deretter langsommere, opp til 1410Hz og ned til 2Hz. Dette forårsaket fysisk stress på sentrifugen, noe som resulterte i katastrofal mekanisk svikt.

Denne mekaniske feilen var det tiltenkte utfallet, med det antatte målet om å bremse eller stoppe Irans urananrikningsprosess. Dette gjør Stuxnet til det første kjente eksemplet på et cybervåpen som brukes til å forringe evnene til en nasjonalstat. Det var også den første bruken av noen form for skadelig programvare som resulterte i fysisk ødeleggelse av maskinvare i den virkelige verden.

Den faktiske prosessen med Stuxnet - Infeksjon

Stuxnet ble introdusert i en datamaskin ved bruk av en USB-pinne. Den brukte en null-dagers utnyttelse for å kjøre seg selv når den ble koblet til en Windows-datamaskin automatisk. En USB-pinne ble brukt da hovedmålet Natanz kjernefysiske anlegg var luftgapet og ikke koblet til Internett. USB-pinnen ble enten "slippet" i nærheten av anlegget og satt inn av en uvitende ansatt eller ble introdusert av en nederlandsk føflekk på anlegget; detaljene i dette er basert på ubekreftede rapporter.

Skadevaren infiserte Windows-datamaskiner da USB-pinnen ble satt inn gjennom en null-dagers sårbarhet. Dette sikkerhetsproblemet var rettet mot prosessen som gjengav ikoner og tillot ekstern kjøring av kode. Kritisk nok krevde ikke dette trinnet brukerinteraksjon utover å sette inn USB-pinnen. Skadevaren inkluderte et rootkit som lar det infisere operativsystemet dypt og manipulere alt, inkludert verktøy som antivirus, for å skjule tilstedeværelsen. Den var i stand til å installere seg selv ved hjelp av et par stjålne driversigneringsnøkler.

Tips: Rootkits er spesielt ekle virus som er svært vanskelige å oppdage og fjerne. De kommer i en posisjon der de kan modifisere hele systemet, inkludert antivirusprogramvaren, for å oppdage dets tilstedeværelse.

Skadevaren forsøkte deretter å spre seg til andre tilkoblede enheter gjennom lokale nettverksprotokoller. Noen metoder gjorde bruk av tidligere kjente utnyttelser. Imidlertid brukte en en null-dagers sårbarhet i Windows Printer Sharing-driveren.

Interessant nok inkluderte skadelig programvare en sjekk for å deaktivere infisering av andre enheter når enheten hadde infisert tre forskjellige enheter. Imidlertid var disse enhetene selv frie til å infisere ytterligere tre enheter hver, og så videre. Den inkluderte også en sjekk som automatisk slettet skadelig programvare den 24. juni 2012.

Den faktiske prosessen med Stuxnet – Utnyttelse

Så snart den spredte seg, sjekket Stuxnet for å se om den infiserte enheten kunne kontrollere målene sine, sentrifugene. Siemens S7 PLSer eller programmerbare logiske kontroller kontrollerte sentrifugene. PLS-ene ble på sin side programmert av programvaren Siemens PCS 7, WinCC og STEP7 Industrial Control System (ICS). For å minimere risikoen for at skadelig programvare blir funnet der den ikke kan påvirke målet hvis den ikke finner noen av de tre installerte programvarene, sitter den i dvale og gjør ingenting annet.

Hvis noen ICS-applikasjoner er installert, infiserer den en DLL-fil. Dette lar den kontrollere hvilke data programvaren sender til PLS-en. Samtidig brukes en tredje zero-day sårbarhet, i form av et hardkodet databasepassord, for å kontrollere applikasjonen lokalt. Kombinert lar dette skadelig programvare justere programmeringen av PLS-en og skjule det faktum at den har gjort det fra ICS-programvaren. Det genererer falske målinger som indikerer at alt er i orden. Den gjør dette når den analyserer programmeringen, skjuler skadelig programvare og rapporterer spinnhastigheten, og skjuler den faktiske effekten.

ICS-en infiserer da bare Siemens S7-300 PLS-er, og selv da kun hvis PLS-en er koblet til en variabel frekvensomformer fra en av to leverandører. Den infiserte PLS-en angriper da bare systemer der drivfrekvensen er mellom 807Hz og 1210Hz. Dette er langt raskere enn tradisjonelle sentrifuger, men typisk for gasssentrifugene som brukes til urananrikning. PLS-en får også et uavhengig rootkit for å forhindre at uinfiserte enheter ser de sanne rotasjonshastighetene.

Resultat

I Natanz-anlegget ble alle disse kravene oppfylt da sentrifugene spenner over 1064 Hz. Så snart den er infisert, spenner PLS-en over sentrifugen opp til 1410Hz i 15 minutter, falt deretter til 2Hz og snurret deretter tilbake til 1064Hz. Gjentatt gjentatte ganger over en måned førte dette til at rundt tusen sentrifuger ved Natanz-anlegget mislyktes. Dette skjedde fordi endringene i rotasjonshastighet satte mekanisk belastning på aluminiumsentrifugen slik at deler utvidet seg, kom i kontakt med hverandre og sviktet mekanisk.

Selv om det er rapporter om at rundt 1000 sentrifuger blir kastet rundt denne tiden, er det lite eller ingen bevis på hvor katastrofal feilen ville være. Tapet er mekanisk, delvis indusert av stress og resonansvibrasjoner. Feilen er også i en stor, tung enhet som snurrer veldig fort og var sannsynligvis dramatisk. I tillegg ville sentrifugen ha inneholdt uranheksafluoridgass, som er giftig, etsende og radioaktiv.

Registreringer viser at selv om ormen var effektiv til oppgaven sin, var den ikke 100 % effektiv. Antall funksjonelle sentrifuger Iran eide falt fra 4700 til rundt 3900. I tillegg ble de alle erstattet relativt raskt. Natanz-anlegget anriket mer uran i 2010, smitteåret, enn året før.

Ormen var heller ikke så subtil som håpet. Tidlige rapporter om tilfeldige mekaniske feil ved sentrifuger ble funnet å være mistenkelige selv om en forløper forårsaket dem til Stuxnet. Stuxnet var mer aktiv og ble identifisert av et sikkerhetsfirma som ble kalt inn fordi Windows-datamaskiner av og til krasjet. Slik oppførsel sees når minneutnyttelser ikke fungerer etter hensikten. Dette førte til slutt til oppdagelsen av Stuxnet, ikke de mislykkede sentrifugene.

Attribusjon

Attribusjonen til Stuxnet er innhyllet i plausibel benektelse. De skyldige antas imidlertid å være både USA og Israel. Begge land har sterke politiske forskjeller med Iran og protesterer sterkt mot deres atomprogrammer, i frykt for at de prøver å utvikle et atomvåpen.

Det første hintet for denne attribusjonen kommer fra naturen til Stuxnet. Eksperter har anslått at det ville tatt et team på 5 til 30 programmerere minst seks måneder å skrive. I tillegg brukte Stuxnet fire nulldagssårbarheter, et antall uhørt på en gang. Selve koden var modulær og enkel å utvide. Det var rettet mot et industrielt kontrollsystem og deretter et ikke spesielt vanlig.

Det var utrolig spesifikt målrettet for å minimere risikoen for oppdagelse. I tillegg brukte den stjålne førersertifikater som ville vært svært vanskelig tilgjengelige. Disse faktorene peker mot en ekstremt dyktig, motivert og godt finansiert kilde, som nesten helt sikkert betyr en nasjonalstatlig APT.

Spesifikke hint til USAs involvering inkluderer bruk av nulldagssårbarheter som tidligere ble tilskrevet Equation-gruppen, som antas å være en del av NSA. Israelsk deltakelse er litt mindre godt tilskrevet, men forskjeller i kodestil i forskjellige moduler antyder sterkt at det eksisterer minst to medvirkende parter. I tillegg er det minst to tall som, hvis de ble konvertert til datoer, ville ha politisk betydning for Israel. Israel justerte også sin estimerte tidslinje for et iransk atomvåpen kort før Stuxnet ble utplassert, noe som indikerer at de var klar over en forestående innvirkning på det påståtte programmet.

Konklusjon

Stuxnet var en selvforplantende orm. Det var den første bruken av et nettvåpen og den første forekomsten av skadelig programvare som forårsaket ødeleggelse i den virkelige verden. Stuxnet ble først og fremst utplassert mot det iranske atomanlegget Natanz for å forringe evnen til anrikning av uran. Den gjorde bruk av fire nulldagers sårbarheter og var svært kompleks. Alle tegn tyder på at det er utviklet av en nasjonalstatlig APT, med mistanker mot USA og Israel.

Selv om Stuxnet var vellykket, hadde det ikke en meningsfull innvirkning på Irans prosess for anrikning av uran. Det åpnet også døren for fremtidig bruk av nettvåpen for å forårsake fysisk skade, selv i fredstid. Mens det var mange andre faktorer, bidro det også til å øke den politiske, offentlige og bedriftens bevissthet om cybersikkerhet. Stuxnet ble distribuert i tidsrammen 2009-2010