Kaj je Stuxnet?

Ko gre za kibernetsko varnost, so v novicah običajno vdori podatkov. Ti incidenti prizadenejo veliko ljudi in predstavljajo grozen dan za podjetje, ki je prejelo kršitev podatkov. Veliko manj redno slišite za novo izkoriščanje ničelnega dne, ki pogosto napoveduje množico kršitev podatkov podjetij, ki se ne morejo zaščititi. Ne zgodi se prav pogosto, da slišite za kibernetske incidente, ki ne prizadenejo neposredno uporabnikov. Stuxnet je ena teh redkih izjem.

Črviti svojo pot

Stuxnet je ime vrste zlonamerne programske opreme. Natančneje, to je črv. Črv je izraz, ki se uporablja za katero koli zlonamerno programsko opremo, ki se lahko samodejno širi z ene okužene naprave na drugo. To mu omogoča hitro širjenje, saj lahko ena sama okužba povzroči okužbo veliko večjega obsega. Sploh to ni tisto, zaradi česar je Stuxnet postal znan. Prav tako ni bilo, kako široko se je razširil, saj ni povzročil toliko okužb. Stuxnet je izstopal po svojih ciljih in tehnikah.

Stuxnet so prvič našli v jedrskem raziskovalnem centru v Iranu. Natančneje, objekt Natanz. Nekaj ​​stvari o tem izstopa. Prvič, Natanz je bil jedrski objekt, ki je delal na bogatenju urana. Drugič, objekt ni bil povezan z internetom. Ta druga točka otežuje okužbo sistema z zlonamerno programsko opremo in je običajno znana kot »zračna reža«. Zračna reža se običajno uporablja za dovzetne sisteme, ki ne potrebujejo internetne povezave. Resda oteži namestitev posodobitev, vendar tudi zmanjša grožnjo, s katero se sooča okolje.

V tem primeru je Stuxnetu uspelo "preskočiti" zračno režo z uporabo USB ključkov. Natančna zgodba ni znana, obstajata dve priljubljeni možnosti. Starejša zgodba je bila, da so bili ključki USB prikrito odvrženi na parkirišču objekta in da jih je preveč radoveden uslužbenec priključil. Nedavna zgodba trdi, da je nizozemski krt, ki je delal v objektu, priključil ključek USB ali pa je za to nagovoril nekoga drugega torej. Zlonamerna programska oprema na ključku USB je vključevala prvo od štirih izkoriščanj ničelnega dne, uporabljenih v Stuxnetu. Ta ničelni dan je samodejno zagnal zlonamerno programsko opremo, ko je bil ključek USB priključen na računalnik z operacijskim sistemom Windows.

Cilji Stuxneta

Zdi se, da je glavni cilj Stuxneta jedrski objekt Natanz. Prizadeti so bili tudi drugi objekti, pri čemer je bilo v Iranu skoraj 60 % vseh okužb po svetu. Natanz je vznemirljiv, ker je ena njegovih glavnih funkcij kot jedrskega objekta bogatenje urana. Medtem ko je rahlo obogateni uran potreben za jedrske elektrarne, je visoko obogateni uran potreben za izdelavo jedrske bombe na osnovi urana. Medtem ko Iran navaja, da bogati uran za uporabo v jedrskih elektrarnah, obstaja mednarodna zaskrbljenost glede količine obogatitve, ki se dogaja, in da Iran morda poskuša izdelati jedrsko orožje.

Za obogatitev urana je potrebno ločiti tri izotope: U234, U235 in U238. U238 je daleč najbolj naravno prisoten, vendar ni primeren za jedrsko energijo ali uporabo jedrskega orožja. Sedanja metoda uporablja centrifugo, kjer vrtenje povzroči, da se različni izotopi ločijo po teži. Postopek je iz več razlogov počasen in traja veliko časa. Najpomembneje je, da so uporabljene centrifuge zelo občutljive. Centrifuge v Natanzu so se vrtele pri 1064 Hz. Stuxnet je povzročil, da so se centrifuge vrtele hitreje in nato počasneje, do 1410 Hz in navzdol do 2 Hz. To je povzročilo fizično obremenitev centrifuge, kar je povzročilo katastrofalno mehansko okvaro.

Ta mehanska okvara je bila predvideni rezultat z domnevnim ciljem upočasnitve ali ustavitve iranskega procesa bogatenja urana. Zaradi tega je Stuxnet prvi znani primer kibernetskega orožja, ki se uporablja za degradacijo sposobnosti nacionalne države. To je bila tudi prva uporaba kakršne koli oblike zlonamerne programske opreme, ki je povzročila fizično uničenje strojne opreme v resničnem svetu.

Dejanski postopek Stuxneta – okužba

Stuxnet je bil v računalnik vpeljan s pomočjo USB ključka. Uporabil je zero-day exploit, da se je samodejno zagnal, ko je bil samodejno priključen na računalnik z operacijskim sistemom Windows. Kot primarna tarča je bil uporabljen ključ USB. Jedrski objekt v Natanzu je bil zaprt in ni bil povezan z internetom. Ključek USB je bodisi "spustil" blizu objekta in ga vstavil nevede uslužbenec ali pa ga je v objekt vnesel nizozemski krt; posebnosti tega temeljijo na nepotrjenih poročilih.

Zlonamerna programska oprema je okužila računalnike z operacijskim sistemom Windows, ko je bil ključ USB vstavljen prek ranljivosti ničelnega dne. Ta ranljivost je bila usmerjena na proces, ki je upodabljal ikone in omogočal oddaljeno izvajanje kode. Kar je kritično, ta korak ni zahteval interakcije uporabnika razen vstavitve ključka USB. Zlonamerna programska oprema je vključevala rootkit, ki ji je omogočal globoko okužbo operacijskega sistema in manipuliranje z vsem, vključno z orodji, kot je protivirusni program, da bi prikril svojo prisotnost. Lahko se je namestil s parom ukradenih ključev za podpisovanje gonilnikov.

Nasvet: Rootkiti so še posebej neprijetni virusi, ki jih je zelo težko odkriti in odstraniti. Pridejo v položaj, ko lahko spremenijo celoten sistem, vključno s protivirusno programsko opremo, da zaznajo njegovo prisotnost.

Zlonamerna programska oprema se je nato poskušala razširiti na druge povezane naprave prek lokalnih omrežnih protokolov. Nekatere metode so uporabile prej znane podvige. Vendar je eden uporabil ranljivost zero-day v gonilniku Windows Printer Sharing.

Zanimivo je, da je zlonamerna programska oprema vključevala preverjanje za onemogočanje okužbe drugih naprav, ko je naprava okužila tri različne naprave. Vendar so lahko te naprave same okužile še tri naprave in tako naprej. Vključevalo je tudi preverjanje, ki je 24. junija 2012 samodejno izbrisalo zlonamerno programsko opremo.

Dejanski postopek Stuxneta – izkoriščanje

Ko se je razširila, je Stuxnet preveril, ali lahko okužena naprava nadzoruje svoje tarče, centrifuge. Centrifuge so krmilili Siemensovi PLC-ji S7 ali programabilni logični krmilniki. PLC-ji so bili nato programirani s programsko opremo Siemens PCS 7, WinCC in STEP7 Industrial Control System (ICS). Da bi čim bolj zmanjšali tveganje, da bi zlonamerno programsko opremo našli tam, kjer ne bi mogla vplivati ​​na cilj, če ne najde nobenega od treh nameščenih delov programske opreme, miruje in ne počne ničesar drugega.

Če je nameščena katera koli aplikacija ICS, okuži datoteko DLL. To mu omogoča nadzor nad tem, katere podatke programska oprema pošilja v PLC. Hkrati se tretja ranljivost zero-day v obliki trdo kodiranega gesla baze podatkov uporablja za lokalni nadzor aplikacije. Skupaj to omogoča zlonamerni programski opremi, da prilagodi programiranje PLC-ja in skrije dejstvo, da je to storila pred programsko opremo ICS. Ustvari napačne odčitke, ki kažejo, da je vse v redu. To počne pri analizi programiranja, skrivanju zlonamerne programske opreme in poročanju o hitrosti vrtenja, pri čemer skriva dejanski učinek.

ICS nato okuži samo PLC-je Siemens S7-300 in še to le, če je PLC priključen na frekvenčni pretvornik enega od dveh proizvajalcev. Okuženi PLC nato dejansko napade le sisteme, kjer je pogonska frekvenca med 807 Hz in 1210 Hz. To je veliko hitreje od tradicionalnih centrifug, vendar značilno za plinske centrifuge, ki se uporabljajo za bogatenje urana. PLC dobi tudi neodvisen rootkit, ki preprečuje, da bi neokužene naprave videle prave hitrosti vrtenja.

Rezultat

V obratu v Natanzu so bile vse te zahteve izpolnjene, saj centrifuge delujejo pri 1064 Hz. Ko je PLC okužen, vrti centrifugo do 1410Hz za 15 minut, nato pade na 2Hz in se nato zavrti nazaj do 1064Hz. To je bilo ponavljajoče se več kot en mesec in je povzročilo odpoved okoli tisoč centrifug v obratu v Natanzu. To se je zgodilo, ker so spremembe v hitrosti vrtenja povzročile mehansko obremenitev aluminijaste centrifuge, tako da so se deli razširili, prišli v stik drug z drugim in mehansko odpovedali.

Medtem ko obstajajo poročila o približno 1000 centrifugah, ki so bile v tem času odstranjene, je le malo ali nič dokazov o tem, kako katastrofalna bi bila okvara. Izguba je mehanska, delno povzročena z napetostjo in resonančnimi vibracijami. Napaka je tudi v ogromni, težki napravi, ki se vrti zelo hitro in je bila verjetno dramatična. Poleg tega bi centrifuga vsebovala plin uranov heksafluorid, ki je strupen, jedek in radioaktiven.

Zapisi kažejo, da je bil črv sicer učinkovit pri svoji nalogi, vendar ni bil 100 % učinkovit. Število delujočih centrifug v lasti Irana se je zmanjšalo s 4700 na približno 3900. Poleg tega so bile vse razmeroma hitro zamenjane. Obrat v Natanzu je leta 2010, v letu okužbe, obogatil več urana kot prejšnje leto.

Tudi črv ni bil tako subtilen, kot so upali. Za prva poročila o naključnih mehanskih okvarah centrifug je bilo ugotovljeno, da niso sumljiva, čeprav jih je Stuxnetu povzročil predhodnik. Stuxnet je bil bolj aktiven in identificiralo ga je varnostno podjetje, ker so se računalniki z operacijskim sistemom Windows občasno zrušili. Takšno vedenje opazimo, ko izkoriščanje pomnilnika ne deluje, kot je bilo predvideno. To je na koncu pripeljalo do odkritja Stuxneta, ne do neuspelih centrifug.

Pripisovanje

Pripisovanje Stuxnetu je zavito v verjetno zanikanje. Vendar pa se na splošno domneva, da sta krivca tako ZDA kot Izrael. Obe državi imata močne politične razlike z Iranom in globoko nasprotujeta njegovim jedrskim programom, saj se bojita, da poskuša razviti jedrsko orožje.

Prvi namig za to pripisovanje izhaja iz narave Stuxneta. Strokovnjaki so ocenili, da bi ekipa 5 do 30 programerjev potrebovala vsaj šest mesecev, da bi ga napisala. Poleg tega je Stuxnet uporabil štiri ranljivosti ničelnega dne, nezaslišano število naenkrat. Sama koda je bila modularna in enostavna za razširitev. Ciljal je na industrijski nadzorni sistem in nato na ne posebej običajnega.

Bil je neverjetno natančno usmerjen, da bi zmanjšal tveganje odkrivanja. Poleg tega je uporabil ukradena vozniška potrdila, do katerih bi bilo zelo težko dostopati. Ti dejavniki kažejo na izjemno sposoben, motiviran in dobro financiran vir, kar skoraj zagotovo pomeni APT nacionalne države.

Posebni namigi o vpletenosti ZDA vključujejo uporabo ranljivosti ničelnega dne, ki so bile prej pripisane skupini Equation, za katero se splošno verjame, da je del NSA. Izraelsko sodelovanje je nekoliko slabše pripisano, vendar razlike v slogu kodiranja v različnih modulih močno namigujejo na obstoj vsaj dveh sodelujočih strani. Poleg tega obstajata vsaj dve številki, ki bi bili politično pomembni za Izrael, če bi jih pretvorili v datume. Izrael je prav tako prilagodil svojo predvideno časovnico za iransko jedrsko orožje malo pred uvedbo Stuxneta, kar kaže, da so se zavedali bližajočega se vpliva na domnevni program.

Zaključek

Stuxnet je bil črv, ki se je sam razmnoževal. To je bila prva uporaba kibernetskega orožja in prvi primer zlonamerne programske opreme, ki povzroča uničenje v resničnem svetu. Stuxnet je bil primarno nameščen proti iranskemu jedrskemu objektu Natanz, da bi zmanjšal njegovo sposobnost bogatenja urana. Uporabil je štiri ranljivosti ničelnega dne in je bil zelo zapleten. Vsi znaki kažejo, da ga razvija nacionalna država APT, sumi pa padajo na ZDA in Izrael.

Čeprav je bil Stuxnet uspešen, ni imel pomembnega vpliva na iranski proces bogatenja urana. Prav tako je odprlo vrata za prihodnjo uporabo kibernetskega orožja za povzročanje fizične škode, tudi v času miru. Čeprav je bilo veliko drugih dejavnikov, je pripomoglo tudi k večji politični, javni in korporativni ozaveščenosti o kibernetski varnosti. Stuxnet je bil uveden v časovnem okviru 2009-2010