Čo je Stuxnet?

Pokiaľ ide o kybernetickú bezpečnosť, správy sú zvyčajne porušením údajov. Tieto incidenty sa týkajú mnohých ľudí a predstavujú pre spoločnosť hrozný spravodajský deň v čase, keď došlo k narušeniu údajov. Oveľa menej pravidelne počujete o novom využívaní zero-day, ktoré často predznamenáva záplavu únikov údajov spoločností, ktoré sa nedokážu chrániť. Nestáva sa často, že by ste počuli o kybernetických incidentoch, ktoré sa používateľov priamo netýkajú. Stuxnet je jednou z tých zriedkavých výnimiek.

Worming It Way In

Stuxnet je názov kmeňa malvéru. Konkrétne ide o červíka. Červ je termín používaný na označenie akéhokoľvek škodlivého softvéru, ktorý sa môže automaticky šíriť z jedného infikovaného zariadenia do druhého. To umožňuje jeho rýchle šírenie, pretože jediná infekcia môže viesť k infekcii oveľa väčšieho rozsahu. Toto nebolo ani to, čo preslávilo Stuxnet. Ani to, ako široko sa rozšíril, keďže nespôsobil toľko infekcií. To, čím Stuxnet vynikol, boli jeho ciele a jeho techniky.

Stuxnet bol prvýkrát nájdený v jadrovom výskumnom zariadení v Iráne. Konkrétne zariadenie Natanz. Niekoľko vecí o tom vyniká. Po prvé, Natanz bolo atómové zariadenie pracujúce na obohacovaní uránu. Po druhé, zariadenie nebolo pripojené na internet. Tento druhý bod sťažuje infikovanie systému škodlivým softvérom a je zvyčajne známy ako „vzduchová medzera“. Vzduchová medzera sa vo všeobecnosti používa pre citlivé systémy, ktoré aktívne nepotrebujú internetové pripojenie. Sťažuje inštaláciu aktualizácií, ale tiež znižuje rozsah hrozieb.

V tomto prípade bol Stuxnet schopný „preskočiť“ vzduchovú medzeru pomocou USB kľúčov. Presný príbeh je neznámy, s dvoma populárnymi možnosťami. Starší príbeh hovoril o tom, že USB kľúče boli tajne spadnuté na parkovisku zariadenia a že ho zapojil príliš zvedavý zamestnanec. Nedávny príbeh tvrdí, že holandský krtek pracujúci v zariadení buď zapojil USB kľúč, alebo mal na starosti niekoho iného. tak. Malvér na USB kľúči zahŕňal prvý zo štyroch zero-day exploitov používaných v Stuxnete. Tento zero-day automaticky spustil malvér po pripojení USB kľúča k počítaču so systémom Windows.

Ciele Stuxnetu

Zdá sa, že primárnym cieľom Stuxnetu je jadrové zariadenie v Natanze. Zasiahnuté boli aj ďalšie zariadenia, pričom Irán zaznamenal takmer 60 % všetkých celosvetových infekcií. Natanz je vzrušujúci, pretože jednou z jeho kľúčových funkcií ako jadrového zariadenia je obohacovať urán. Zatiaľ čo pre jadrové elektrárne je potrebný mierne obohatený urán, na výrobu jadrovej bomby na báze uránu je potrebný vysoko obohatený urán. Zatiaľ čo Irán uvádza, že obohacuje urán na použitie v jadrových elektrárňach, existuje medzinárodné znepokojenie nad množstvom obohacovania, ktoré sa deje, a že Irán by sa mohol pokúsiť skonštruovať jadrovú zbraň.

Na obohatenie uránu je potrebné oddeliť tri izotopy: U234, U235 a U238. U238 je zďaleka najviac prirodzene zastúpený, ale nie je vhodný na jadrovú energiu alebo použitie jadrových zbraní. Súčasná metóda využíva odstredivku, kde otáčanie spôsobuje, že sa rôzne izotopy oddeľujú podľa hmotnosti. Proces je pomalý z niekoľkých dôvodov a zaberie veľa času. Dôležité je, že použité centrifúgy sú veľmi citlivé. Centrifúgy v Natanzi sa otáčali pri 1064 Hz. Stuxnet spôsobil, že centrifúgy sa otáčali rýchlejšie a potom pomalšie, až do 1410 Hz a dole na 2 Hz. To spôsobilo fyzické namáhanie centrifúgy, čo malo za následok katastrofálne mechanické zlyhanie.

Toto mechanické zlyhanie bolo zamýšľaným výsledkom s predpokladaným cieľom spomaliť alebo zastaviť iránsky proces obohacovania uránu. Vďaka tomu je Stuxnet prvým známym príkladom kybernetickej zbrane používanej na degradáciu schopností národného štátu. Bolo to tiež prvé použitie akejkoľvek formy malvéru, ktoré viedlo k fyzickému zničeniu hardvéru v reálnom svete.

Aktuálny proces Stuxnet – infekcia

Stuxnet bol zavedený do počítača pomocou USB kľúča. Použil zero-day exploit na automatické spustenie po pripojení k počítaču so systémom Windows. USB kľúč bol použitý ako primárne cieľové jadrové zariadenie Natanz, ktoré bolo vzduchotesné a nebolo pripojené k internetu. USB kľúč buď „spadol“ v blízkosti zariadenia a vložil ho nevedomý zamestnanec, alebo ho do zariadenia zaviedol holandský krtek; špecifiká tohto vychádzajú z nepotvrdených správ.

Malvér infikoval počítače so systémom Windows, keď bol USB kľúč vložený prostredníctvom zraniteľnosti zero-day. Táto chyba zabezpečenia sa zamerala na proces, ktorý vykresľoval ikony a umožňoval vzdialené spustenie kódu. Dôležité je, že tento krok nevyžadoval interakciu používateľa okrem vloženia USB kľúča. Malvér obsahoval rootkit, ktorý mu umožňoval hlboko infikovať operačný systém a manipulovať so všetkým, vrátane nástrojov, ako je antivírus, aby skryl svoju prítomnosť. Dokázalo sa nainštalovať pomocou dvojice ukradnutých kľúčov na podpisovanie ovládačov.

Tip: Rootkity sú obzvlášť škaredé vírusy, ktoré je veľmi ťažké odhaliť a odstrániť. Dostávajú sa tak do pozície, že môžu upraviť celý systém vrátane antivírusového softvéru tak, aby detekoval jeho prítomnosť.

Malvér sa potom pokúsil rozšíriť na ďalšie pripojené zariadenia prostredníctvom lokálnych sieťových protokolov. Niektoré metódy využívali predtým známe exploity. Jeden však použil zraniteľnosť nultého dňa v ovládači zdieľania tlačiarní systému Windows.

Je zaujímavé, že malvér obsahoval kontrolu na zakázanie infikovania iných zariadení, keď zariadenie infikovalo tri rôzne zariadenia. Tieto zariadenia však mohli infikovať každé ďalšie tri zariadenia atď. Zahŕňala aj kontrolu, ktorá automaticky odstránila malvér 24. júna 2012.

Aktuálny proces Stuxnetu – využívanie

Akonáhle sa rozšíril, Stuxnet skontroloval, či infikované zariadenie dokáže kontrolovať svoje ciele, centrifúgy. Centrifúgy riadili PLC Siemens S7 alebo programovateľné logické ovládače. PLC boli zasa naprogramované softvérom Siemens PCS 7, WinCC a STEP7 Industrial Control System (ICS). Aby sa minimalizovalo riziko, že sa malvér nájde tam, kde nemôže ovplyvniť svoj cieľ, ak nenájde žiadnu z troch nainštalovaných častí softvéru, je nečinný a nerobí nič iné.

Ak sú nainštalované aplikácie ICS, infikuje to súbor DLL. To mu umožňuje kontrolovať, aké údaje softvér odosiela do PLC. Zároveň sa na lokálne ovládanie aplikácie používa tretia zraniteľnosť zero-day v podobe pevne zakódovaného hesla databázy. Spolu to umožňuje malvéru upraviť programovanie PLC a skryť skutočnosť, že tak urobil, pred softvérom ICS. Generuje falošné hodnoty, ktoré naznačujú, že je všetko v poriadku. Robí to pri analýze programovania, skrývaní škodlivého softvéru a hlásení rýchlosti odstreďovania, čím sa skrýva skutočný efekt.

ICS potom infikuje iba PLC Siemens S7-300 a aj to iba vtedy, ak je PLC pripojené k frekvenčnému meniču od jedného z dvoch predajcov. Infikované PLC potom skutočne útočí len na systémy, kde je frekvencia pohonu medzi 807 Hz a 1210 Hz. Je to oveľa rýchlejšie ako tradičné odstredivky, ale typické pre plynové odstredivky používané na obohacovanie uránu. PLC tiež získava nezávislý rootkit, ktorý zabraňuje neinfikovaným zariadeniam vidieť skutočné rýchlosti otáčania.

Výsledok

V zariadení v Natanze boli všetky tieto požiadavky splnené, keďže centrifúgy dosahujú frekvenciu 1064 Hz. Po infikovaní PLC nastaví centrifúgu až na 1410 Hz počas 15 minút, potom klesne na 2 Hz a potom sa roztočí späť na 1064 Hz. Toto sa opakovalo viac ako mesiac a spôsobilo zlyhanie približne tisícky centrifúg v zariadení Natanz. Stalo sa to preto, že zmeny rýchlosti otáčania spôsobili mechanické namáhanie hliníkovej odstredivky, takže časti sa roztiahli, dostali sa do vzájomného kontaktu a mechanicky zlyhali.

Zatiaľ čo existujú správy o približne 1 000 centrifúgach, ktoré sa v tomto čase zlikvidujú, neexistuje žiadny alebo žiadny dôkaz o tom, aké katastrofické by bolo zlyhanie. Strata je mechanická, čiastočne vyvolaná stresom a rezonančnými vibráciami. Porucha je tiež v obrovskom, ťažkom zariadení, ktoré sa otáča veľmi rýchlo a bola pravdepodobne dramatická. Okrem toho by centrifúga obsahovala plynný hexafluorid uránu, ktorý je toxický, korozívny a rádioaktívny.

Záznamy ukazujú, že hoci bol červ pri svojej úlohe efektívny, nebol účinný na 100 %. Počet funkčných centrifúg, ktoré Irán vlastnil, klesol zo 4700 na približne 3900. Okrem toho boli všetky pomerne rýchlo vymenené. Zariadenie v Natanze obohatilo v roku 2010, roku infekcie, viac uránu ako v predchádzajúcom roku.

Červ tiež nebol taký jemný, ako sa očakávalo. Zistilo sa, že skoré správy o náhodných mechanických poruchách centrifúg nie sú podozrivé, aj keď ich Stuxnet spôsobil prekurzor. Stuxnet bol aktívnejší a identifikovala ho privolaná bezpečnostná firma, pretože počítače so systémom Windows občas havarovali. Takéto správanie sa prejaví, keď zneužitie pamäte nepracuje podľa plánu. To nakoniec viedlo k objavu Stuxnet, nie neúspešných centrifúg.

Pripisovanie

Pripisovanie Stuxnetu je zahalené hodnoverným popieraním. Všeobecne sa však predpokladá, že vinníkmi sú USA aj Izrael. Obe krajiny majú silné politické rozdiely s Iránom a hlboko namietajú proti jeho jadrovým programom, pretože sa obávajú, že sa pokúša vyvinúť jadrovú zbraň.

Prvý náznak tohto priradenia pochádza z povahy Stuxnetu. Odborníci odhadujú, že písanie by tímu 5 až 30 programátorov trvalo najmenej šesť mesiacov. Stuxnet navyše použil štyri zraniteľnosti nultého dňa, čo je množstvo neslýchané naraz. Samotný kód bol modulárny a ľahko sa rozširoval. Zameral sa na priemyselný riadiaci systém a potom na nie príliš bežný.

Bol neuveriteľne špecificky zameraný, aby sa minimalizovalo riziko odhalenia. Okrem toho používal ukradnuté certifikáty ovládačov, ku ktorým by bol veľmi ťažký prístup. Tieto faktory poukazujú na mimoriadne schopný, motivovaný a dobre financovaný zdroj, čo takmer určite znamená národný štát APT.

Špecifické náznaky zapojenia USA zahŕňajú použitie zraniteľností nultého dňa, ktoré sa predtým pripisovali skupine Equation, o ktorej sa všeobecne predpokladá, že je súčasťou NSA. Izraelská účasť sa pripisuje o niečo menej dobre, ale rozdiely v štýle kódovania v rôznych moduloch výrazne naznačujú existenciu najmenej dvoch prispievajúcich strán. Okrem toho existujú najmenej dve čísla, ktoré by po prevedení na dátumy boli pre Izrael politicky významné. Izrael tiež upravil svoj odhadovaný časový plán pre iránsku jadrovú zbraň krátko pred nasadením Stuxnetu, čo naznačuje, že si bol vedomý hroziaceho vplyvu na údajný program.

Záver

Stuxnet bol samomnožiaci sa červ. Bolo to prvé použitie kybernetickej zbrane a prvý výskyt škodlivého softvéru, ktorý spôsobil deštrukciu v reálnom svete. Stuxnet bol primárne nasadený proti iránskemu jadrovému zariadeniu Natanz, aby znížil jeho schopnosť obohacovať urán. Využíval štyri zraniteľnosti nultého dňa a bol veľmi zložitý. Všetky znaky poukazujú na to, že ho vyvíja národný štát APT, pričom podozrenia padajú na USA a Izrael.

Hoci bol Stuxnet úspešný, nemal významný vplyv na iránsky proces obohacovania uránu. Otvorila tiež dvere pre budúce použitie kybernetických zbraní na spôsobenie fyzických škôd, dokonca aj v čase mieru. Hoci existovalo mnoho ďalších faktorov, pomohlo to tiež zvýšiť politické, verejné a firemné povedomie o kybernetickej bezpečnosti. Stuxnet bol nasadený v časovom rámci 2009-2010