Що таке Stuxnet?

Коли йдеться про кібербезпеку, зазвичай у новинах стають витоки даних. Ці інциденти стосуються багатьох людей і є жахливою новиною для компанії, яка одержала витік даних. Набагато рідше ви чуєте про новий експлойт нульового дня, який часто віщує низку витоків даних компаній, які не можуть захистити себе. Нечасто можна почути про кіберінциденти, які безпосередньо не стосуються користувачів. Stuxnet є одним із тих рідкісних винятків.

Прокладаючи свій шлях

Stuxnet — це назва різновиду шкідливого програмного забезпечення. Зокрема, це хробак. Черв’як – це термін, який використовується для позначення будь-якого шкідливого програмного забезпечення, яке може автоматично поширюватися з одного зараженого пристрою на інший. Це дозволяє йому швидко поширюватися, оскільки одна інфекція може призвести до набагато більш масштабної інфекції. Навіть не це прославило Stuxnet. Не було й того, наскільки широко він поширився, оскільки не викликав такої кількості інфекцій. Що виділяло Stuxnet, так це його цілі та методи.

Вперше Stuxnet було виявлено в ядерному дослідницькому центрі в Ірані. Зокрема, об’єкт у Натанзі. Кілька речей про це виділяються. По-перше, Натанз був атомним об'єктом, який займався збагаченням урану. По-друге, заклад не був підключений до Інтернету. Цей другий момент ускладнює зараження системи шкідливим програмним забезпеченням і зазвичай відомий як «повітряний зазор». Повітряний зазор зазвичай використовується для чутливих систем, які не потребують підключення до Інтернету. Це ускладнює встановлення оновлень, але також зменшує загрози, з якими стикається ландшафт.

У цьому випадку Stuxnet вдалося «перескочити» повітряний зазор за допомогою USB-флешок. Точна історія невідома, з двома популярними варіантами. Старіша історія полягала в тому, що USB-накопичувачі були таємно впущені на автостоянці закладу, і що надто цікавий працівник підключив його до мережі. Недавня історія стверджує, що голландський кріт, який працював у закладі, або підключив USB-накопичувач, або доручив комусь іншому зробити це. так. Зловмисне програмне забезпечення на USB-накопичувачі включало перший із чотирьох експлойтів нульового дня, які використовуються в Stuxnet. Цей нульовий день автоматично запускав зловмисне програмне забезпечення, коли USB-накопичувач був підключений до комп’ютера з Windows.

Цілі Stuxnet

Схоже, що основною метою Stuxnet є ядерний об’єкт у Натанзі. Інші заклади також постраждали, і на Іран припадає майже 60% усіх інфекцій у світі. Натанз є захоплюючим, тому що однією з його основних функцій як ядерного об’єкта є збагачення урану. У той час як легкозбагачений уран необхідний для атомних електростанцій, високозбагачений уран необхідний для створення ядерної бомби на основі урану. Незважаючи на те, що Іран заявляє, що збагачує уран для використання на атомних електростанціях, міжнародна спільнота стурбована обсягом збагачення, що відбувається, і тим, що Іран може намагатися створити ядерну зброю.

Для збагачення урану необхідно розділити три ізотопи: U234, U235 і U238. U238 є найбільш поширеним у природі, але непридатний для ядерної енергетики чи використання ядерної зброї. Сучасний метод використовує центрифугу, де обертання призводить до розділення різних ізотопів за вагою. Процес повільний з кількох причин і займає багато часу. Важливо те, що використовувані центрифуги дуже чутливі. Центрифуги в Натанзі оберталися з частотою 1064 Гц. Stuxnet змушує центрифуги обертатися швидше, а потім повільніше, до 1410 Гц і до 2 Гц. Це спричинило фізичне навантаження на центрифугу, що призвело до катастрофічної механічної несправності.

Цей механічний збій був запланованим результатом з передбачуваною метою уповільнити або зупинити процес збагачення урану в Ірані. Це робить Stuxnet першим відомим прикладом кіберзброї, яка використовується для погіршення можливостей національної держави. Це також було перше використання будь-якої форми зловмисного програмного забезпечення, яке призвело до фізичного знищення апаратного забезпечення в реальному світі.

Фактичний процес Stuxnet – зараження

Stuxnet було введено в комп’ютер за допомогою USB-накопичувача. Він використовував експлойт нульового дня для автоматичного запуску, коли його підключали до комп’ютера Windows. В якості основної мішені використовувався USB-накопичувач. Ядерний об'єкт у Натанзі був закритий і не підключений до Інтернету. USB-накопичувач був або «кинутий» поблизу закладу та вставлений мимовільним працівником, або був введений голландським крітом у закладі; деталі цього ґрунтуються на непідтверджених повідомленнях.

Зловмисне програмне забезпечення заражало комп’ютери Windows, коли USB-накопичувач був вставлений через уразливість нульового дня. Ця вразливість була спрямована на процес, який відтворював піктограми та дозволяв віддалене виконання коду. Важливо те, що цей крок не вимагав взаємодії з користувачем, окрім вставлення USB-накопичувача. Зловмисне програмне забезпечення включало руткіт, який дозволяв йому глибоко заразити операційну систему та маніпулювати всім, включаючи такі інструменти, як антивірус, щоб приховати свою присутність. Він зміг встановити себе за допомогою пари викрадених ключів підпису драйвера.

Порада: руткіти – це особливо неприємні віруси, які дуже важко виявити та видалити. Вони потрапляють у положення, коли можуть модифікувати всю систему, включаючи антивірусне програмне забезпечення, щоб виявити його присутність.

Потім зловмисне програмне забезпечення спробувало поширитися на інші підключені пристрої через протоколи локальної мережі. Деякі методи використовували раніше відомі експлойти. Однак один використав уразливість нульового дня в драйвері Windows Printer Sharing.

Цікаво, що зловмисне програмне забезпечення включало перевірку для вимкнення зараження інших пристроїв, коли пристрій заразив три різні пристрої. Однак ці пристрої самі могли заразити ще три пристрої кожен і так далі. Він також включав перевірку, яка автоматично видалила зловмисне програмне забезпечення 24 червня 2012 року.

Фактичний процес Stuxnet – експлуатація

Після того, як він поширився, Stuxnet перевірив, чи може заражений пристрій контролювати свої цілі, центрифуги. Центрифугами керували ПЛК Siemens S7 або програмовані логічні контролери. ПЛК, у свою чергу, були запрограмовані програмним забезпеченням Siemens PCS 7, WinCC і STEP7 Industrial Control System (ICS). Щоб звести до мінімуму ризик виявлення зловмисного програмного забезпечення там, де воно не могло вплинути на ціль, якщо воно не знайшло жодного з трьох інстальованих програм, воно перебуває в стані бездіяльності, нічого більше не роблячи.

Якщо встановлено будь-яку програму ICS, вона заражає файл DLL. Це дозволяє йому контролювати, які дані програмне забезпечення надсилає на ПЛК. У той же час третя уразливість нульового дня у вигляді жорстко закодованого пароля бази даних використовується для локального контролю програми. У сукупності це дозволяє зловмисному програмному забезпеченню коригувати програмування ПЛК і приховувати той факт, що воно зробило це від програмного забезпечення ICS. Він генерує помилкові показання, які вказують на те, що все гаразд. Він робить це під час аналізу програмування, приховування зловмисного програмного забезпечення та звітування про швидкість обертання, приховуючи фактичний ефект.

Тоді ICS заражає лише ПЛК Siemens S7-300, і навіть тоді, лише якщо ПЛК підключено до частотно-регульованого приводу одного з двох постачальників. Тоді інфікований ПЛК фактично атакує лише системи, у яких частота приводу становить від 807 Гц до 1210 Гц. Це набагато швидше, ніж традиційні центрифуги, але типово для газових центрифуг, які використовуються для збагачення урану. ПЛК також отримує незалежний руткіт, щоб не заражені пристрої бачили справжню швидкість обертання.

Результат

На заводі в Натанзі всі ці вимоги були виконані, оскільки центрифуги працюють на частоті 1064 Гц. Після зараження ПЛК піднімає центрифугу до 1410 Гц протягом 15 хвилин, потім знижується до 2 Гц, а потім обертається знову до 1064 Гц. Це робилося неодноразово протягом місяця, що призвело до виходу з ладу близько тисячі центрифуг на заводі в Натанзі. Це сталося тому, що зміни швидкості обертання призвели до механічного навантаження на алюмінієву центрифугу, так що деталі розширилися, стикалися одна з одною та механічно вийшли з ладу.

Хоча є повідомлення про те, що близько 1000 центрифуг було утилізовано приблизно в цей час, майже немає доказів того, наскільки катастрофічним буде цей збій. Втрата є механічною, частково спричиненою напругою та резонансними коливаннями. Помилка також пов’язана з величезним, важким пристроєм, який обертався дуже швидко і, ймовірно, був драматичним. Крім того, центрифуга містила газ гексафторид урану, який є токсичним, корозійним і радіоактивним.

Записи показують, що, хоча черв’як ефективно справлявся зі своїм завданням, він не був ефективним на 100%. Кількість функціональних центрифуг, якими володів Іран, скоротилася з 4700 до приблизно 3900. Крім того, усі вони були замінені відносно швидко. У 2010 році, році зараження, завод у Натанзі збагатив більше урану, ніж у попередньому році.

Черв'як також був не таким непомітним, як сподівалися. Ранні повідомлення про випадкові механічні несправності центрифуг не виявилися підозрілими, навіть якщо Stuxnet спричинив їх попередник. Stuxnet був більш активним і був ідентифікований охоронною фірмою, яка викликала зв’язок, оскільки комп’ютери з Windows час від часу виходили з ладу. Така поведінка спостерігається, коли експлойти пам’яті не працюють належним чином. Це зрештою призвело до відкриття Stuxnet, а не невдалих центрифуг.

Атрибуція

Приписування Stuxnet оповите правдоподібним запереченням. Винними, однак, багато хто вважає як США, так і Ізраїль. Обидві країни мають сильні політичні розбіжності з Іраном і глибоко заперечують проти його ядерних програм, побоюючись, що він намагається розробити ядерну зброю.

Перший натяк на це приписування походить від природи Stuxnet. Експерти підрахували, що на його написання команді з 5-30 програмістів знадобилося б щонайменше шість місяців. Крім того, Stuxnet використав чотири вразливості нульового дня, нечувану кількість за один раз. Сам код був модульним і його легко розширювати. Він був націлений на промислову систему управління, а потім на не дуже поширену.

Це було неймовірно спеціально націлено, щоб мінімізувати ризик виявлення. Крім того, він використовував викрадені сертифікати водія, до яких було б дуже важко отримати доступ. Ці фактори вказують на надзвичайно спроможне, мотивоване та добре фінансоване джерело, що майже напевно означає APT національної держави.

Конкретні натяки на участь США включають використання вразливостей нульового дня, які раніше приписувалися групі Equation, яка, як вважається, є частиною АНБ. Участь Ізраїлю пояснюється трохи гірше, але відмінності в стилях кодування в різних модулях значною мірою натякають на існування принаймні двох сторін. Крім того, є принаймні два числа, які, якщо їх перетворити на дати, будуть мати політичне значення для Ізраїлю. Ізраїль також скоригував свій орієнтовний графік іранської ядерної зброї незадовго до розгортання Stuxnet, вказуючи на те, що вони знали про майбутній вплив на передбачувану програму.

Висновок

Stuxnet був хробаком, що саморозповсюджується. Це було перше використання кіберзброї та перший випадок зловмисного програмного забезпечення, яке спричинило руйнування в реальному світі. Stuxnet був в основному розгорнутий проти іранського ядерного об’єкта в Натанзі, щоб знизити його здатність зі збагачення урану. Він використовував чотири вразливості нульового дня і був дуже складним. Усі ознаки вказують на те, що його розробляє APT національної держави, а підозри падають на США та Ізраїль.

Хоча Stuxnet був успішним, він не мав значного впливу на процес збагачення урану в Ірані. Це також відкрило двері для майбутнього використання кіберзброї для завдання фізичної шкоди навіть у мирний час. Хоча було багато інших факторів, це також допомогло підвищити політичну, громадську та корпоративну обізнаність щодо кібербезпеки. Stuxnet був розгорнутий у період 2009-2010 років