Stuxnet, czyli wirus komputerowy masowego rażenia

Stuxnet to wirus komputerowy – tzw. robak (ang. worm) – który po raz pierwszy ujrzał światło dzienne w 2010 roku. Do dziś uznawany jest za największy oraz najdroższy typ złośliwego oprogramowania na świecie. Wykorzystuje luki 0-day w Windowsie do infekowania systemów docelowych i rozprzestrzeniania się na inne systemy. Wirus atakował przede wszystkim wirówki irańskich zakładów wzbogacania uranu. Jednak z czasem cyberprzestępcy zmodyfikowali go i dostosowali do innych obiektów przemysłowych, takich jak elektrownie i gazociągi.

Chociaż żaden kraj oficjalnie nie przyznał się do stworzenia Stuxneta, powszechnie uważa się, że wirus ten został opracowany przez Stany Zjednoczone i Izrael. Stuxnet był pierwszym wirusem, który spowodował fizyczne zniszczenie zainfekowanych urządzeń. Poważnie sparaliżował irański program nuklearny oraz – ze względu na swój agresywny charakter – przypadkowo rozprzestrzenił się poza granice irańskich obiektów nuklearnych. Nie spowodowało to większych uszkodzeń urządzeń zewnętrznych poza pierwotnymi obszarami docelowymi.

Stuxnet został zidentyfikowany i zgłoszony w 2010 roku, choć początki jego rozwoju sięgają 2005 roku. Stuxnet 0.5 [McD13] to pierwsza znana wersja Stuxneta. W styczniu 2010 r. inspektorzy wizytujący zakład wzbogacania uranu w Natanz w Iranie zauważyli, że wirówki w nim psują się w niespotykanym dotąd tempie, a przyczyny awarii są nieznane. Po pięciu miesiącach badacze znaleźli złośliwe pliki w jednym z systemów.

Wirus zaczął się rozprzestrzeniać w marcu 2010 r., ale pierwszy wariant pojawił się w 2009 r. 15 lipca 2010 r. o istnieniu robaka stało się głośno dzięki atakowi DDoS na listę mailingową dotyczącą bezpieczeństwa systemów przemysłowych. Atak ten poważnie zakłócił główne źródło informacji fabryk i elektrowni.

Stuxnet rozprzestrzenił się w dwóch falach. Pierwsza fala była mniej widoczna i bardziej ukierunkowana niż druga.

Stuxnet stał się znany opinii publicznej podczas drugiej fali, która była bardziej agresywna i rozpowszechniona. Wirus zdołał zainfekować ponad 20 000 urządzeń w 14 irańskich obiektach jądrowych i zniszczył około 900 wirówek.

Choć Stuxnet nie wyrządził większych szkód poza swoim celem, służy jako przykład dla późniejszych złośliwych programów atakujących różne infrastruktury i kraje. Zmodyfikowane wersje są również przeznaczone dla obiektów niejądrowych.

Stuxnet jest wyrafinowanym i wyjątkowo natrętnym złośliwym oprogramowaniem. Został starannie zaprojektowany, aby oddziaływać tylko na sterowniki o określonych konfiguracjach, powodując tym samym minimalne uszkodzenia innych urządzeń.

Docelowe obiekty nuklearne były odizolowane od sieci globalnej, dlatego Stuxnet był najprawdopodobniej przesyłany za pośrednictwem nośników USB należących do agentów w tych obiektach.

Stuxnet to złożone złośliwe oprogramowanie. Zawiera kod ataku typu man-in-the-middle, który fałszuje sygnały z czujników, aby docelowy system nie został odcięty z powodu nieprawidłowego zachowania. Jest naprawdę duży, został napisany w różnych językach programowania i szybko się rozprzestrzenia.

Stuxnet atakuje trzy warstwy systemowe:

• System operacyjny Windows
• Oprogramowanie przemysłowe Siemens PCS 7, WinCC i STEP7
• Programowalny sterownik logiczny Siemens S7

Stuxnet infiltrował systemy Windows, wykorzystując różne luki 0-day, takie jak zdalne wykonywanie kodu. Wykorzystuje włączone udostępnianie drukarki lub lukę w zabezpieczeniach LNK/PIF, uruchamiając plik, gdy jest on wyświetlany w Windows Explorer.

To złośliwe oprogramowanie uzyskuje dostęp zarówno do poziomu użytkownika, jak i jądra. Jego sterowniki urządzeń są podpisane dwoma publicznymi certyfikatami, dzięki czemu może uzyskiwać dostęp do sterowników jądra bez wiedzy użytkowników i pozostawać niewykrytym przez długi czas.

Po przeniknięciu do systemów Windows, Stuxnet infekuje pliki należące do przemysłowych aplikacji firmy Siemens i zakłóca ich komunikację. Zmienia również ustawienia sterowników PLC.

Stuxnet instaluje bloki złośliwego oprogramowania w monitorach PLC. Następnie stale zmienia częstotliwość układu i wpływa na pracę silników poprzez zmianę ich prędkości obrotowej. Stuxnet zawiera również rootkit, który ukrywa robaka przed systemami monitorującymi.

Należy pamiętać, że wirus Stuxnet nie zniknął i wciąż może być uważany za zagrożenie cybernetyczne. Dzięki swojej sławie Stuxnet miał znaczący wpływ na przyszły rozwój szkodliwego oprogramowania. Oto kilka przykładów dziedzictwa Stuxneta:

• Duqu. Duqu to złośliwe oprogramowanie komputerowe typu trojan, które również wykorzystywało luki 0-day w zabezpieczeniach systemu Windows. Określa się go mianem Stuxnet 2.0, a jego celem także są jednostki nuklearne w Iranie.
• Flame. Flame to wyrafinowane oprogramowanie szpiegowskie, którego celem są Iran i inne kraje Bliskiego Wschodu. Mierzy głównie w instytucje edukacyjne i rządowe. Po wstrzyknięciu za pomocą nośników USB rejestrował naciśnięcia klawiszy i nagrywał rozmowy Skype.
• Havex. W przeciwieństwie do Flame’a, Havex atakuje głównie kraje zachodnie, ale jego zamiary są podobne. Szpieguje firmy lotnicze, obronne, energetyczne i farmaceutyczne.
• Industroyer. Industroyer to złośliwe oprogramowanie użyte do ataku na ukraińską sieć energetyczną w 2016 roku. Atak sprawił, że część Kijowa została odłączona od prądu na godzinę.
• Triton. Triton obrał za cel zakład petrochemiczny w Arabii Saudyjskiej. Triton jest nazywany „najbardziej morderczym złośliwym oprogramowaniem na świecie” i może przyczynić się do katastrofy w elektrowni.

Oto kilka interesujących faktów na temat Stuxneta:

• Stuxnet jest pierwszym złośliwym oprogramowaniem, które infekowało urządzenia docelowe za pośrednictwem dysków USB.
• Stuxnet miał możliwość samodzielnej aktualizacji za pomocą komunikacji P2P i połączenia online.
• Do zainstalowania rootkita użył skradzionego podpisu cyfrowego.
• Stał się tematem kilku filmów, takich jak Zero Days czy Blackhat.

Stuxnet nie stanowi bezpośredniego zagrożenia dla indywidualnych użytkowników, dlatego oto kilka wskazówek dla firm:

• Odizoluj swoje sieci przemysłowe od ogólnych sieci biznesowych za pomocą zapór sieciowych, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania
• Stwórz listę zaufanych aplikacji, aby ochronić swoją sieć przed hakerami
• Uważnie monitoruj swoją sieć pod kątem nietypowej aktywności
• Zachowaj ścisłe zasady dotyczące nośników danych, aby zapobiec podłączaniu podejrzanych dysków USB do urządzeń
• Korzystaj z zaufanej sieci VPN, aby chronić urządzenia
• Przećwicz hartowanie hosta, wyłączając niepotrzebne usługi.