Mikä on Stuxnet?
Stuxnet on Windows-järjestelmässä leviävä erittäin vaarallinen tietokonemato eli haittaohjelma, joka vakoilee ja häiritsee teollisuutta. Tunnetuin esimerkki Stuxnetin toiminnasta on Iranin ydinohjelmaan kohdistunut isku. Ensimmäisenä Stuxnetistä kertoi julkisuuteen valkovenäläinen VirusBlokAda vuonna 2010.
Stuxnet-mato hyödynsi Windowsin nollapäivähaavoittuvuuksia toimiakseen ja levitäkseen. Sen vaarallisuuteen havahduttiin laajasti, kun sen avulla iskettiin Iranin uraanin rikastuslaitokseen, mutta myöhemmin sitä on muokattu ja sitä on käytetty esimerkiksi ydinvoimaloihin ja kaasuputkiin kohdistuvissa iskuissa.
Stuxnet herätti laajaa huomiota, sillä se pystyy aiheuttamaan mittavaa fyysistä tuhoa sen toimintaympäristönsä ja tehokkuutensa vuoksi: on esimerkiksi arveltu, että se saattaisi aiheuttaa ydinvoimalaonnettomuuden.
Mikään maa ei ole virallisesti myöntänyt osallisuuttaan Stuxnetin luomiseen, mutta yleisesti arvellaan, että Yhdysvallat ja Israel loivat madon yhteistyössä.
Stuxnetin historia
Stuxnet-virus tunnistettiin ja siitä kerrottiin julkisuuteen vuonna 2010, mutta sen historia alkaa aikaisemmin: sen kehitys aloitettiin vuonna 2005 ja ensimmäinen tunnettu Stuxnetin versio oli Stuxnet 0.5 [McD13].
Tammikuussa 2010 Iranin Natanzin uraanin rikastuslaitoksella vierailevat tutkijat huomasivat, että sentrifugit toimivat ennennäkemättömän epävakaasti. He eivät saaneet selville, mistä ongelmat johtuivat. Vasta viiden kuukauden päästä tutkijat löysivät haittaohjelman yhdestä laitoksen järjestelmistä.
Mato alkoi levitä laajemmin maaliskuussa 2010, vaikka sen ensimmäinen versio ilmestyikin jo vuonna 2009. Heinäkuussa 2010 madon olemassaolosta tultiin tietoiseksi teollisuusjärjestelmien turvallisuussähköpostilistaan kohdistuvasta palvelunestohyökkäyksestä. Tämä isku keskeytti tehtaiden ja ydinvoimaloiden tärkeän tietolähteen toiminnan.
Stuxnet levisi kahdessa aallossa. Ensimmäinen aalto jäi melko näkymättömäksi, ja se kohdistui rajatumpiin kohteisiin. Julkisuudessa siitä alettiin puhua toisen aallon aikana, joka oli aggressiivisempi ja laajempi. Juuri tällöin sitä käytettiin Iranin iskussa: se levisi yli 20 000 laitteelle 14 ydinlaitoksella Iranissa ja tuhosi noin 900 sentrifugia.
Minkälaista vahinkoa Stuxnet aiheutti Iranissa? Kyseessä oli ensimmäinen virus, joka tuhosi saastuneita laitteita fyysisesti. Se rajoitti Iranin ydinohjelman toimintaa rajusti, ja se levisi vahingossa myös ydinlaitosten ulkopuolelle aggressiivisen luonteensa takia. Se ei kuitenkaan aiheuttanut merkittävää vahinkoa varsinaisen kohteensa ulkopuolella.
Vuonna 2018 kerrottiin, että Stuxnet 2.0 eli aiemman madon uudempi ja aggressiivisempi versio teki tuhoja Iranin teollisuudelle.
Stuxnet-madosta tehtiin havaintoja Suomessakin, mutta tehtaille se ei ole päässyt täällä leviämään – jos se ei löydä oikeanlaista ympäristöä, eli teollisuusympäristöä, se ei käytännössä tee mitään. Useissa tapauksissa virustorjuntaohjelma havaitsi Stuxnetin ja poisti sen.
Stuxnetista tuli esimerkki myöhemmille haittaohjelmille, joiden kohteina olivat niin infrastruktuuri kuin valtiotkin. Muokatut versiot vahingoittavat muitakin kuin ydinlaitoksia.
Mitä Stuxnet-virus tekee?
Alun perin Stuxnet kehitettiin tuhoamaan sentrifugit, joita Iran käytti uraanin rikastamiseen osana ydinohjelmaansa. Uraani on myrkyllinen alkuaine, jonka kaikki isotoopit ovat radioaktiivisia. Luonnosta löytyvä uraanin isotooppi on 238U, kun taas ydinaseissa ja ydinvoimaloissa käytetään kevyempää isotooppia 235U.
Stuxnetin kohteena olevat laitokset olivat eristettyjä maailmanlaajuisesta verkosta, joten mitä todennäköisimmin mato toimitettiin niihin USB-tikulla agentin toimesta. Tämä on ovela toimintatapa, etenkin kun matoa on erittäin vaikea huomata – se siis pääsee tekemään tuhojaan suojatuksi oletetussa verkossa kaikessa rauhassa, kunnes on jo myöhäistä korjata vahingot.
Stuxnet on siis hienostunut ja monimutkainen haittaohjelma, joka ensinnäkin huijaa järjestelmää jatkamaan toimintaansa poikkeuksellisesta käytöksestä huolimatta. Se on myös laaja haittaohjelma, joka on kirjoitettu useilla koodikielillä, ja se leviää huimaa vauhtia.
Stuxnet iskee kolmeen järjestelmän rajapintaan:
- Windows-käyttöjärjestelmä
- Teollisuussovellukset Siemens PCS 7, WinCC ja STEP7
- Siemens S7 -ohjelmoitava logiikkaohjain
Stuxnet pääsi Windows-järjestelmiin hyödyntämällä useita nollapäivähaavoittuvuuksia, ja se iski sekä käyttäjätasolle että käyttöjärjestelmän ytimeen, ja sen havaitseminen on erittäin vaikeaa.
Windows-järjestelmiin tunkeuduttuaan Stuxnet saastuttaa Siemens-teollisuusohjelmistoihin kuuluvat tiedostot ja muokkaa PLC-laitteiden koodia. Se asentaa haittaohjelman myös PLC-monitoreihin. Sitten se muuttaa toistuvasti järjestelmän taajuutta ja vaikuttaa moottorien toimintaan muuttamalla niiden rotaationopeutta. Stuxnet sisältää myös rootkitin eli piilohallintaohjelman, joka piilottaa madon valvontajärjestelmiltä.
Miksi Stuxnet oli niin menestyksekäs?
Stuxnet sisälsi aitoja turvallisuussertifikaatteja, jotka oli varastettu luotettavilta ohjelmistoyrityksiltä. Se myös hyödynsi lukuisia nollapäivähaavoittuvuuksia, jotka saastuttivat tietokoneet. Tämän yhdistelmän ansiosta se pääsi toimimaan helposti ja nopeasti tietokoneilla, joille se asennettiin USB-porttien kautta.
Piiloutumiskykynsä vuoksi Stuxnet on erittäin ovela haittaohjelma – Iranissa sentrifugien ongelmat huomattiin tammikuussa, mutta haittaohjelma havaittiin vasta lähes puolen vuoden kuluttua.
Tämä kaikki kertoo siitä, että Stuxnetin luojat ovat taitavia ammattilaisia ja haittaohjelmaa on kehitetty erittäin huolellisesti.
Stuxnet nykyään
Onko Stuxnet edelleen olemassa? Stuxnet on edelleen olemassa, sillä vanhasta Microsoft Windowsin haavoittuvuudesta johtuen on löytynyt uusia nollapäivähaavoittuvuuksia, joita Stuxnet hyödyntää.
Stuxnet on myös vaikuttanut suuresti haittaohjelmien kehitykseen: sen jättämä perintö on vaikuttava – ikävässä mielessä. Katso alta esimerkkejä:
- Flame. Flame on kehittänyt vakoiluhaittaohjelma, jonka kohteena ovat olleet Iran ja muita Lähi-idän maita, ja se on kehitetty erityisesti koulutusalaa ja hallintoa häiritsemään. Flame tallentaa näppäimistön painalluksia ja esimerkiksi Skype-keskusteluja sen jälkeen, kun se asennetaan laitteelle USB-tikun välityksellä.
- Havex. Toisin kuin Flame, Havexin kohteena ovat olleet länsimaat, mutta tarkoitukset ovat samankaltaiset. Se vakoilee muun muassa ilmailualan yrityksiä, puolustusvoimia, sähkölaitoksia ja lääkealan yrityksiä.
- Duqu. Duqu koostuu erilaisista haittaohjelmista, ja se hyödyntää Windowsin nollapäivähaavoittuvuuksia. Se muistuttaa Stuxnetiä ja sen kohteena ovat myös olleet Iranin ydinvoimalaitokset.
- Industroyer. Industroyer on haittaohjelma, jota käytettiin Ukrainan sähköverkkoon kohdistuvassa hyökkäyksessä. Hyökkäyksen seurauksena Kiovassa oltiin tunti ilman sähköä.
- Triton. Triton iski saudiarabialaiseen petrokemian laitokseen. Sitä kutsutaan maailman murhaavimmaksi haittaohjelmaksi, ja se voi aiheuttaa mittavan katastrofin.
Voidaankin siis sanoa, että Stuxnetin ilmestyminen avasi tien aivan uudenlaisia uhkia aiheuttaville ovelille ja kehittyneille haittaohjelmille, joita voidaan käyttää muun muassa kybersodankäynnissä.
Kiinnostavia tietoja Stuxnetistä
Kokosimme alle muutamia kiinnostavia Stuxnet-virusta koskevia tietoja – ne auttavat ymmärtämään, miksi kyseessä on niin vaarallinen, ainutlaatuinen ja huolestuttava mato.
- Stuxnet on ensimmäinen haittaohjelma, joka levisi kohdelaitteille USB-tikkujen välityksellä. Sen levittäminen vaatii siis sitä, että suljetun laitoksen, kuten uraanin rikastamon, laitteisiin pääsee käsiksi henkilö, joka toimii pahoissa tarkoituksissa. Esimerkiksi Iranissa kyseessä on ollut agentti, jolla on ollut pääsy kohdelaitoksen tietokoneisiin.
- Stuxnet pystyi päivittämään itsensä käyttämällä P2P-viestintää ja verkkoyhteyttä.
- Rootkitin eli piilohallintaohjelman asentamiseen se käytti varastettua digitaalista allekirjoitusta.
- Stuxnet-dokumentti Sota tietoverkossa (2016) kertoo tästä vaarallisesta viruksesta, samoin elokuva Blackhat (2015).
Miten suojautua Stuxnetiltä?
Kuten yllä on jo käynyt ilmi, Stuxnet ei uhkaa yksittäisiä käyttäjiä, vaan sen kohteena ovat yritykset. Yksityishenkilöt voivat osallistua Stuxnetin torjumiseen huolehtimalla siitä, että työpaikalle ei tuoda arveluttavia USB-tikkuja, ja muutoinkin käyttämällä työpaikan laitteita harkiten ja riskit tunnistaen.
Miten yritykset sitten voivat välttää Stuxnetin aiheuttamia tuhoja? Katso alta neuvot:
- Eristä teollisuusverkot yleisistä yrityksen verkoista palomuureilla, jotta haittaohjelma ei pääse leviämään.
- Käytä sovellusten valkolistausta (whitelisting) suodattaaksesi vaaralliset toimijat verkostasi.
- Seuraa verkkoa tarkasti, jotta havaitset poikkeavan toiminnan.
- Luo tiukat käytännöt koskien USB-tikkuja ja muita liikutettavia laitteita, jotta virusta ei päästä asentamaan USB-tikun välityksellä.
- Poista käytöstä tarpeettomat palvelut, jolloin estät haavoittuvuuksia.
- Pidä turvallisuusjärjestelmät ajan tasalla, huolehdi siitä, että työntekijät ovat tietoisia kyberturvallisuudesta ja kybervaaroista, sekä seuraa tarkasti kyberturvallisuusuutisia.
Jos Stuxnet on jo iskenyt yrityksen järjestelmiin, on syytä toimia ripeästi. Miten Stuxnetin voi poistaa? Stuxnet-viruksen torjunnassa ja poistamisessa käytetään tehokasta virustorjuntaohjelmaa – esimerkiksi Suomessa havaittuja Stuxnet-tartuntoja pystyttiin torjumaan virustorjunnan avulla. Stuxnet on monimutkainen ja laaja haittaohjelma, joten jos arvelet, että sellainen on päässyt tekemään tuhoa järjestelmissä, tilanne on syytä jättää ammattilaisten hoidettavaksi.