Шта је Стукнет?

Када је у питању сајбер безбедност, вести су обично кршења података. Ови инциденти погађају многе људе и представљају ужасан дан вести за компанију која је примила кршење података. Много ређе, чујете о новом експлоатацији нултог дана који често најављује налет кршења података компанија које не могу да се заштите. Није често да чујете о сајбер инцидентима који не утичу директно на кориснике. Стукнет је један од оних ретких изузетака.

Ворминг Итс Ваи Ин

Стукнет је назив врсте малвера. Конкретно, то је црв. Црв је термин који се користи за означавање било ког злонамерног софтвера који може аутоматски да се шири са једног зараженог уређаја на други. То му омогућава да се брзо шири, јер једна инфекција може довести до инфекције много већег обима. То чак није ни оно што је Стукнет учинило познатим. Нити колико се широко проширио, јер није изазвао толико инфекција. Оно по чему се Стукнет истиче су његове мете и његове технике.

Стукнет је први пут пронађен у нуклеарном истраживачком објекту у Ирану. Тачније, објекат Натанз. Неколико ствари о овоме се издваја. Прво, Натанз је био атомско постројење које је радило на обогаћивању уранијума. Друго, објекат није био повезан на интернет. Ова друга тачка отежава заразу система малвером и обично је позната као „ваздушни јаз“. Ваздушни јаз се генерално користи за подложне системе којима није активно потребна интернетска веза. То отежава инсталирање ажурирања, али такође смањује опасност са којом се суочава.

У овом случају, Стукнет је успео да „прескочи” ваздушни јаз помоћу УСБ стикова. Тачна прича је непозната, са две ��опуларне опције. Старија прича је била да су УСБ стицкови кришом бачени на паркинг у објекту и да их је претерано радознао запосленик укључио. Недавна прича наводи да је холандска кртица која ради у објекту или укључила УСБ стицк или је натерала неког другог да то уради тако. Злонамерни софтвер на УСБ стику укључивао је први од четири експлоатације нултог дана које се користе у Стукнету. Овај нулти дан је аутоматски покренуо малвер када је УСБ стицк био прикључен на Виндовс рачунар.

Циљеви Стукнета

Чини се да је примарна мета Стукнета нуклеарно постројење Натанз. Остали објекти су такође погођени, а Иран је забележио скоро 60% свих инфекција широм света. Натанз је узбудљив јер је једна од његових основних функција као нуклеарног постројења обогаћивање уранијума. Док је лагано обогаћени уранијум потребан за нуклеарне електране, високо обогаћени уранијум је неопходан за изградњу нуклеарне бомбе на бази уранијума. Док Иран наводи да обогаћује уранијум за употребу у нуклеарним електранама, постојала је међународна забринутост због количине обогаћивања која се дешава и да би Иран могао да покуша да направи нуклеарно оружје.

За обогаћивање уранијума потребно је издвојити три изотопа: У234, У235 и У238. У238 је далеко природно најзаступљенији, али није погодан за нуклеарну енергију или употребу нуклеарног оружја. Тренутни метод користи центрифугу где ротирање узрокује да се различити изотопи одвајају по тежини. Процес је спор из неколико разлога и траје доста времена. Критично је да су центрифуге које се користе су веома осетљиве. Центрифуге у Натанзу су се окретале на 1064 Хз. Стукнет је проузроковао да се центрифуге окрећу брже, а затим спорије, до 1410 Хз и до 2 Хз. Ово је изазвало физички стрес на центрифуги, што је резултирало катастрофалним механичким кваром.

Овај механички квар је био предвиђени исход, са претпостављеним циљем да се успори или заустави ирански процес обогаћивања уранијума. Ово чини Стукнет првим познатим примером сајбер оружја које се користи за деградацију способности националне државе. То је такође била прва употреба било ког облика малвера која је резултирала физичким уништењем хардвера у стварном свету.

Стварни процес Стукнета – инфекција

Стукнет је уведен у рачунар помоћу УСБ стицка. Користио је експлоатацију нултог дана да се покрене када се аутоматски прикључи на Виндовс рачунар. УСБ стицк је коришћен као примарна мета Натанз нуклеарно постројење је било затворено и није било повезано на Интернет. УСБ стицк је или „испуштен“ у близини објекта и уметнут од стране несвесног запосленог или га је унео холандски кртица у објекат; специфичности овога су засноване на непотврђеним извештајима.

Малвер је заразио Виндовс рачунаре када је УСБ стицк уметнут кроз рањивост нултог дана. Ова рањивост је била усмерена на процес који је приказивао иконе и омогућавао даљинско извршавање кода. Важно је да овај корак није захтевао интеракцију корисника осим уметања УСБ стицка. Злонамерни софтвер је укључивао руткит који му омогућава да дубоко инфицира оперативни систем и манипулише свиме, укључујући алате попут антивируса, како би сакрио своје присуство. Успео је да се инсталира помоћу пара украдених кључева за потписивање драјвера.

Савет: Руткитови су посебно гадни вируси које је веома тешко открити и уклонити. Они се доводе у позицију у којој могу да модификују цео систем, укључујући антивирусни софтвер, како би открили његово присуство.

Малвер је затим покушао да се прошири на друге повезане уређаје преко локалних мрежних протокола. Неке методе су користиле раније познате експлоатације. Међутим, један је користио рањивост нултог дана у Виндовс драјверу за дељење штампача.

Занимљиво је да је малвер укључивао проверу за онемогућавање заразе других уређаја након што је уређај заразио три различита уређаја. Међутим, ти уређаји су сами могли да заразе још три уређаја, и тако даље. Такође је укључивао проверу која је аутоматски избрисала малвер 24. јуна 2012.

Стварни процес Стукнета – експлоатација

Када се сам проширио, Стукнет је проверио да ли заражени уређај може да контролише своје мете, центрифуге. Сиеменс С7 ПЛЦ или програмабилни логички контролери су контролисали центрифуге. ПЛЦ-ови су, заузврат, програмирани софтвером Сиеменс ПЦС 7, ВинЦЦ и СТЕП7 Индустриал Цонтрол Систем (ИЦС). Да би се смањио ризик од проналажења злонамерног софтвера тамо где не би могао да утиче на своју мету ако не може да пронађе ниједан од три инсталирана софтвера, он мирује и не ради ништа друго.

Ако је инсталирана било која ИЦС апликација, она инфицира ДЛЛ датотеку. Ово му омогућава да контролише које податке софтвер шаље ПЛЦ-у. У исто време, трећа рањивост нултог дана, у облику тврдокодиране лозинке базе података, користи се за локалну контролу апликације. У комбинацији, ово омогућава малверу да прилагоди програмирање ПЛЦ-а и да сакрије чињеницу да је то учинио од ИЦС софтвера. Генерише лажна очитавања која показују да је све у реду. То ради када анализира програмирање, скрива злонамерни софтвер и извештава о брзини окретања, скривајући стварни ефекат.

ИЦС тада само инфицира Сиеменс С7-300 ПЛЦ-ове, па чак и тада, само ако је ПЛЦ повезан са променљивом фреквенцијом једног од два произвођача. Заражени ПЛЦ тада заправо напада само системе где је фреквенција погона између 807Хз и 1210Хз. Ово је далеко брже од традиционалних центрифуга, али је типично за гасне центрифуге које се користе за обогаћивање уранијума. ПЛЦ такође добија независан рооткит који спречава да незаражени уређаји виде стварне брзине ротације.

Резултат

У постројењу Натанз, сви ови захтеви су испуњени јер се центрифуге крећу на 1064 Хз. Једном инфициран, ПЛЦ се креће кроз центрифугу до 1410 Хз током 15 минута, затим је пао на 2 Хз, а затим се вратио на 1064 Хз. Учињено више пута током месец дана, ово је довело до квара око хиљаду центрифуга у постројењу у Натанзу. То се догодило зато што су промене брзине ротације довеле до механичког стреса на алуминијумску центрифугу тако да су се делови проширили, дошли у контакт један са другим и механички отказали.

Иако постоје извештаји да је око 1000 центрифуга одложено отприлике у то време, мало је или уопште нема доказа о томе колико би квар био катастрофалан. Губитак је механички, делимично изазван стресом и резонантним вибрацијама. Квар је такође у огромном, тешком уређају који се врти веома брзо и вероватно је био драматичан. Поред тога, центрифуга би садржала гас уранијум хексафлуорид, који је токсичан, корозиван и радиоактиван.

Записи показују да иако је црв био ефикасан у свом задатку, није био 100% ефикасан. Број функционалних центрифуга које је Иран поседовао пао је са 4700 на око 3900. Поред тога, све су релативно брзо замењене. Постројење Натанз је 2010. године, у години заразе, обогатило више уранијума него претходне године.

Црв такође није био тако суптилан као што се очекивало. Утврђено је да су рани извештаји о насумичним механичким кваровима центрифуга били несумњиви иако их је претходник довео до Стукнета. Стукнет је био активнији и идентификована је од стране безбедносне фирме која је позвана јер су Виндовс рачунари повремено кварили. Такво понашање се види када експлоатације меморије не раде како је предвиђено. Ово је на крају довело до открића Стукнета, а не пропалих центрифуга.

Приписивање

Приписивање Стукнета је обавијено уверљивим порицањем. Међутим, широко се претпоставља да су кривци и САД и Израел. Обе земље имају јаке политичке разлике са Ираном и дубоко се противе његовим нуклеарним програмима, страхујући да покушава да развије нуклеарно оружје.

Први наговештај за ову атрибуцију долази из природе Стукнета. Стручњаци су проценили да би тиму од 5 до 30 програмера било потребно најмање шест месеци за писање. Поред тога, Стукнет је користио четири рањивости нултог дана, што је број незапамћен у једном потезу. Сам код је био модуларан и лако се проширио. Циљ је био индустријски контролни систем, а затим и не нарочито уобичајен.

Био је невероватно посебно циљан како би се смањио ризик од откривања. Поред тога, користио је украдене сертификате возача којима би било веома тешко приступити. Ови фактори указују на изузетно способан, мотивисан и добро финансиран извор, што готово сигурно значи АПТ националну државу.

Специфични наговештаји за учешће САД укључују коришћење рањивости нултог дана које су се раније приписивале групи Екуатион, за коју се верује да је део НСА. Учешће Израела је нешто мање добро приписано, али разлике у стилу кодирања у различитим модулима у великој мери наговештавају постојање најмање две стране које доприносе. Поред тога, постоје најмање два броја која би, ако се претворе у датуме, била политички значајна за Израел. Израел је такође прилагодио свој процењени временски оквир за иранско нуклеарно оружје непосредно пре него што је Стукнет био распоређен, указујући да су били свесни предстојећег утицаја на наводни програм.

Закључак

Стукнет је био саморазмножавајући црв. То је била прва употреба сајбер оружја и први случај злонамерног софтвера који је изазвао уништење у стварном свету. Стукнет је првенствено распоређен против иранског нуклеарног постројења Натанз како би се смањила његова способност обогаћивања уранијума. Користио је четири рањивости нултог дана и био је веома сложен. Сви знаци указују на то да га је развила национална држава АПТ, а сумње падају на САД и Израел.

Иако је Стукнет био успешан, није имао значајан утицај на ирански процес обогаћивања уранијума. То је такође отворило врата за будућу употребу сајбер оружја за наношење физичке штете, чак и за време мира. Иако је било много других фактора, то је такође помогло да се повећа политичка, јавна и корпоративна свест о сајбер безбедности. Стукнет је распоређен у периоду 2009-2010