Vad är Stuxnet?

När det kommer till cybersäkerhet är det normalt dataintrång som gör nyheterna. Dessa incidenter påverkar många människor och representerar en fruktansvärd nyhetsdag för företaget i den mottagande delen av dataintrånget. Mycket mindre regelbundet hör du om en ny zero-day exploit som ofta förebådar ett utslag av dataintrång hos företag som inte kan skydda sig själva. Det är inte så ofta man hör om cyberincidenter som inte direkt påverkar användarna. Stuxnet är ett av de sällsynta undantagen.

Maskar sig in

Stuxnet är namnet på en skadlig stam. Specifikt är det en mask. En mask är en term som används för att hänvisa till skadlig programvara som automatiskt kan sprida sig från en infekterad enhet till en annan. Detta gör att den sprider sig snabbt, eftersom en enda infektion kan resultera i en mycket större infektion. Det var inte ens det som gjorde Stuxnet känd. Det var inte heller hur brett det spred sig, eftersom det inte orsakade så många infektioner. Det som fick Stuxnet att sticka ut var dess mål och dess tekniker.

Stuxnet hittades först i en kärnteknisk forskningsanläggning i Iran. Närmare bestämt Natanz-anläggningen. Några saker om detta sticker ut. För det första var Natanz en atomanläggning som arbetade med att anrika uran. För det andra var anläggningen inte ansluten till Internet. Denna andra punkt gör det svårt att infektera systemet med skadlig programvara och är vanligtvis känd som en "luftgap". Ett luftgap används vanligtvis för känsliga system som inte aktivt behöver en internetanslutning. Det gör det svårare att installera uppdateringar, men det minskar också hotbilden.

I det här fallet kunde Stuxnet "hoppa" luftgapet genom att använda USB-minnen. Den exakta historien är okänd, med två populära alternativ. Den äldre historien var att USB-minnen tappades i smyg på anläggningens parkering och att en alltför nyfiken anställd kopplade in den. En ny berättelse hävdar att en holländsk mullvad som arbetade på anläggningen antingen kopplade in USB-minnet eller fick någon annan att göra så. Skadlig programvara på USB-minnet inkluderade den första av fyra zero-day exploits som användes i Stuxnet. Den här nolldagen startade automatiskt skadlig programvara när USB-minnet sattes in i en Windows-dator.

Stuxnets mål

Stuxnets primära mål verkar vara kärnkraftsanläggningen i Natanz. Andra anläggningar påverkades också, där Iran såg nästan 60 % av alla infektioner i världen. Natanz är spännande eftersom en av dess kärnfunktioner som kärnkraftsanläggning är att anrika uran. Medan lätt anrikat uran behövs för kärnkraftverk är höganrikat uran nödvändigt för att bygga en uranbaserad kärnvapenbomb. Medan Iran uppger att de anrikar uran för användning i kärnkraftverk, har det funnits internationell oro över mängden anrikning som sker och att Iran skulle kunna försöka konstruera ett kärnvapen.

För att anrika uran är det nödvändigt att separera tre isotoper: U234, U235 och U238. U238 är den överlägset mest naturligt förekommande men är inte lämplig för kärnkraft eller kärnvapen. Den nuvarande metoden använder en centrifug där spinningen gör att de olika isotoperna separeras efter vikt. Processen är långsam av flera anledningar och tar mycket tid. Kritiskt sett är de använda centrifugerna mycket känsliga. Centrifugerna vid Natanz snurrade vid 1064 Hz. Stuxnet fick centrifugerna att snurra snabbare och sedan långsammare, upp till 1410Hz och ner till 2Hz. Detta orsakade fysisk stress på centrifugen, vilket resulterade i katastrofala mekaniska fel.

Detta mekaniska fel var det avsedda resultatet, med det förmodade syftet att bromsa eller stoppa Irans urananrikningsprocess. Detta gör Stuxnet till det första kända exemplet på ett cybervapen som används för att försämra en nationalstats förmågor. Det var också den första användningen av någon form av skadlig programvara som resulterade i fysisk förstörelse av hårdvara i den verkliga världen.

Den faktiska processen för Stuxnet – infektion

Stuxnet introducerades i en dator med hjälp av ett USB-minne. Den använde en zero-day exploit för att köra sig själv när den ansluts till en Windows-dator automatiskt. Ett USB-minne användes eftersom det primära målet Natanz kärnkraftsanläggning var luftgap och inte ansluten till Internet. USB-minnet "tappades" antingen nära anläggningen och sattes in av en ovetande anställd eller introducerades av en holländsk mullvad på anläggningen; detaljerna i detta är baserade på obekräftade rapporter.

Skadlig programvara infekterade Windows-datorer när USB-minnet sattes in genom en nolldagarssårbarhet. Denna sårbarhet var inriktad på processen som återgav ikoner och tillät fjärrkörning av kod. Kritiskt sett krävde detta steg inte användarinteraktion utöver att sätta i USB-minnet. Skadlig programvara inkluderade ett rootkit som gjorde det möjligt för det att djupt infektera operativsystemet och manipulera allt, inklusive verktyg som antivirus, för att dölja dess närvaro. Den kunde installera sig själv med ett par stulna förarsigneringsnycklar.

Tips: Rootkits är särskilt otäcka virus som är mycket svåra att upptäcka och ta bort. De hamnar i en position där de kan modifiera hela systemet, inklusive antivirusprogramvaran, för att upptäcka dess närvaro.

Skadlig programvara försökte sedan sprida sig till andra anslutna enheter via lokala nätverksprotokoll. Vissa metoder använde sig av tidigare kända exploateringar. Däremot använde en en nolldagarssårbarhet i Windows Printer Sharing-drivrutinen.

Intressant nog inkluderade skadlig programvara en kontroll för att inaktivera infektering av andra enheter när enheten hade infekterat tre olika enheter. Dessa enheter var dock fria att infektera ytterligare tre enheter var och så vidare. Den inkluderade också en kontroll som automatiskt raderade skadlig programvara den 24 juni 2012.

Stuxnets faktiska process – exploatering

När den väl spridit sig kontrollerade Stuxnet om den infekterade enheten kunde kontrollera sina mål, centrifugerna. Siemens S7 PLC:er eller programmerbara logiska styrenheter styrde centrifugerna. PLC:erna programmerades i sin tur av programvaran Siemens PCS 7, WinCC och STEP7 Industrial Control System (ICS). För att minimera risken för att skadlig programvara hittas där den inte skulle kunna påverka sitt mål om den inte kunde hitta någon av de tre installerade mjukvarorna, sitter den vilande och gör inget annat.

Om några ICS-program är installerade infekterar det en DLL-fil. Detta gör att den kan styra vilken data programvaran skickar till PLC:n. Samtidigt används en tredje nolldagarssårbarhet, i form av ett hårdkodat databaslösenord, för att styra applikationen lokalt. Tillsammans gör detta det möjligt för skadlig programvara att justera programmeringen av PLC:n och att dölja det faktum att den har gjort det från ICS-mjukvaran. Det genererar falska avläsningar som indikerar att allt är bra. Det gör det när man analyserar programmeringen, döljer skadlig programvara och rapporterar snurrhastigheten, döljer den faktiska effekten.

ICS infekterar då endast Siemens S7-300 PLC:er, och även då, endast om PLC:n är ansluten till en frekvensomriktare från en av två leverantörer. Den infekterade PLC:n attackerar sedan bara system där drivfrekvensen är mellan 807Hz och 1210Hz. Detta är mycket snabbare än traditionella centrifuger men typiskt för de gascentrifuger som används för urananrikning. PLC:n får också ett oberoende rootkit för att förhindra oinfekterade enheter från att se de verkliga rotationshastigheterna.

Resultat

I Natanz-anläggningen uppfylldes alla dessa krav eftersom centrifugerna spänner över 1064 Hz. När den väl har infekterats sträcker sig PLC:n över centrifugen upp till 1410 Hz i 15 minuter, sjunker sedan till 2 Hz och snurrade sedan tillbaka upp till 1064 Hz. Upprepade gånger under en månad ledde detta till att omkring tusen centrifuger vid Natanz-anläggningen misslyckades. Detta hände på grund av att förändringarna i rotationshastigheten satte mekanisk belastning på aluminiumcentrifugen så att delar expanderade, kom i kontakt med varandra och mekaniskt misslyckades.

Även om det finns rapporter om att omkring 1 000 centrifuger har kasserats runt denna tid, finns det få eller inga bevis på hur katastrofalt felet skulle bli. Förlusten är mekanisk, delvis inducerad av stress och resonansvibrationer. Felet är också i en enorm, tung enhet som snurrar mycket snabbt och var sannolikt dramatisk. Dessutom skulle centrifugen ha innehållit uranhexafluoridgas, som är giftig, frätande och radioaktiv.

Uppgifter visar att även om masken var effektiv i sin uppgift, var den inte 100 % effektiv. Antalet funktionella centrifuger Iran ägde minskade från 4700 till cirka 3900. Dessutom byttes de alla ut relativt snabbt. Anläggningen i Natanz anrikade mer uran 2010, infektionsåret, än föregående år.

Masken var inte heller så subtil som hoppats. Tidiga rapporter om slumpmässiga mekaniska fel i centrifuger befanns vara otänkbara även om en föregångare orsakade dem till Stuxnet. Stuxnet var mer aktivt och identifierades av en säkerhetsfirma som kallades in eftersom Windows-datorer ibland kraschade. Sådant beteende ses när minnesutnyttjande inte fungerar som avsett. Detta ledde till slut till upptäckten av Stuxnet, inte de misslyckade centrifugerna.

Tillskrivning

Tillskrivningen av Stuxnet är höljd i rimlig förnekelse. De skyldiga antas dock allmänt vara både USA och Israel. Båda länderna har starka politiska meningsskiljaktigheter med Iran och protesterar djupt mot dess kärnkraftsprogram, av rädsla för att de försöker utveckla ett kärnvapen.

Det första tipset för denna tillskrivning kommer från Stuxnets natur. Experter har uppskattat att det skulle ha tagit ett team på 5 till 30 programmerare minst sex månader att skriva. Dessutom använde Stuxnet fyra nolldagssårbarheter, ett antal ovanliga på en gång. Själva koden var modulär och lätt att utöka. Det riktade sig mot ett industriellt styrsystem och sedan ett inte särskilt vanligt sådant.

Det var otroligt specifikt inriktat för att minimera risken för upptäckt. Dessutom använde den stulna förarcertifikat som skulle ha varit mycket svåra att komma åt. Dessa faktorer pekar mot en extremt kapabel, motiverad och välfinansierad källa, vilket nästan säkert betyder en nationalstatlig APT.

Specifika tips om USA:s inblandning inkluderar användning av nolldagssårbarheter som tidigare tillskrivits Equation-gruppen, som allmänt anses vara en del av NSA. Israeliskt deltagande är något mindre väl tillskrivet, men skillnader i kodningsstil i olika moduler tyder starkt på att det finns minst två bidragande parter. Dessutom finns det minst två siffror som, om de konverterades till datum, skulle vara politiskt betydelsefulla för Israel. Israel justerade också sin beräknade tidslinje för ett iranskt kärnvapen kort innan Stuxnet sändes ut, vilket indikerar att de var medvetna om en förestående inverkan på det påstådda programmet.

Slutsats

Stuxnet var en självförökande mask. Det var den första användningen av ett cybervapen och den första instansen av skadlig programvara som orsakade verklig förstörelse. Stuxnet sattes främst in mot den iranska kärnkraftsanläggningen i Natanz för att försämra dess urananrikningsförmåga. Den använde sig av fyra nolldagars sårbarheter och var mycket komplex. Alla tecken tyder på att det utvecklas av en nationalstatlig APT, med misstankar mot USA och Israel.

Även om Stuxnet var framgångsrikt, hade det ingen meningsfull inverkan på Irans urananrikningsprocess. Det öppnade också dörren för framtida användning av cybervapen för att orsaka fysisk skada, även under fredstid. Även om det fanns många andra faktorer, bidrog det också till att öka den politiska, offentliga och företags medvetenheten om cybersäkerhet. Stuxnet distribuerades under tidsramen 2009-2010