Czym jest Stuxnet?
Stuxnet to wirus komputerowy – tzw. robak (ang. worm) – który po raz pierwszy ujrzał światło dzienne w 2010 roku. Do dziś uznawany jest za największy oraz najdroższy typ złośliwego oprogramowania na świecie. Wykorzystuje luki 0-day w Windowsie do infekowania systemów docelowych i rozprzestrzeniania się na inne systemy. Wirus atakował przede wszystkim wirówki irańskich zakładów wzbogacania uranu. Jednak z czasem cyberprzestępcy zmodyfikowali go i dostosowali do innych obiektów przemysłowych, takich jak elektrownie i gazociągi.
Chociaż żaden kraj oficjalnie nie przyznał się do stworzenia Stuxneta, powszechnie uważa się, że wirus ten został opracowany przez Stany Zjednoczone i Izrael. Stuxnet był pierwszym wirusem, który spowodował fizyczne zniszczenie zainfekowanych urządzeń. Poważnie sparaliżował irański program nuklearny oraz – ze względu na swój agresywny charakter – przypadkowo rozprzestrzenił się poza granice irańskich obiektów nuklearnych. Nie spowodowało to większych uszkodzeń urządzeń zewnętrznych poza pierwotnymi obszarami docelowymi.
Stuxnet atak – historia
Stuxnet został zidentyfikowany i zgłoszony w 2010 roku, choć początki jego rozwoju sięgają 2005 roku. Stuxnet 0.5 [McD13] to pierwsza znana wersja Stuxneta. W styczniu 2010 r. inspektorzy wizytujący zakład wzbogacania uranu w Natanz w Iranie zauważyli, że wirówki w nim psują się w niespotykanym dotąd tempie, a przyczyny awarii są nieznane. Po pięciu miesiącach badacze znaleźli złośliwe pliki w jednym z systemów.
Przebieg wydarzeń
Wirus zaczął się rozprzestrzeniać w marcu 2010 r., ale pierwszy wariant pojawił się w 2009 r. 15 lipca 2010 r. o istnieniu robaka stało się głośno dzięki atakowi DDoS na listę mailingową dotyczącą bezpieczeństwa systemów przemysłowych. Atak ten poważnie zakłócił główne źródło informacji fabryk i elektrowni.
Stuxnet rozprzestrzenił się w dwóch falach. Pierwsza fala była mniej widoczna i bardziej ukierunkowana niż druga.
Odkrycie wirusa
Stuxnet stał się znany opinii publicznej podczas drugiej fali, która była bardziej agresywna i rozpowszechniona. Wirus zdołał zainfekować ponad 20 000 urządzeń w 14 irańskich obiektach jądrowych i zniszczył około 900 wirówek.
Choć Stuxnet nie wyrządził większych szkód poza swoim celem, służy jako przykład dla późniejszych złośliwych programów atakujących różne infrastruktury i kraje. Zmodyfikowane wersje są również przeznaczone dla obiektów niejądrowych.
Jak działa Stuxnet?
Stuxnet jest wyrafinowanym i wyjątkowo natrętnym złośliwym oprogramowaniem. Został starannie zaprojektowany, aby oddziaływać tylko na sterowniki o określonych konfiguracjach, powodując tym samym minimalne uszkodzenia innych urządzeń.
Docelowe obiekty nuklearne były odizolowane od sieci globalnej, dlatego Stuxnet był najprawdopodobniej przesyłany za pośrednictwem nośników USB należących do agentów w tych obiektach.
Stuxnet to złożone złośliwe oprogramowanie. Zawiera kod ataku typu man-in-the-middle, który fałszuje sygnały z czujników, aby docelowy system nie został odcięty z powodu nieprawidłowego zachowania. Jest naprawdę duży, został napisany w różnych językach programowania i szybko się rozprzestrzenia.
Stuxnet atakuje trzy warstwy systemowe:
- System operacyjny Windows
- Oprogramowanie przemysłowe Siemens PCS 7, WinCC i STEP7
- Programowalny sterownik logiczny Siemens S7
Stuxnet infiltrował systemy Windows, wykorzystując różne luki 0-day, takie jak zdalne wykonywanie kodu. Wykorzystuje włączone udostępnianie drukarki lub lukę w zabezpieczeniach LNK/PIF, uruchamiając plik, gdy jest on wyświetlany w Windows Explorer.
To złośliwe oprogramowanie uzyskuje dostęp zarówno do poziomu użytkownika, jak i jądra. Jego sterowniki urządzeń są podpisane dwoma publicznymi certyfikatami, dzięki czemu może uzyskiwać dostęp do sterowników jądra bez wiedzy użytkowników i pozostawać niewykrytym przez długi czas.
Po przeniknięciu do systemów Windows, Stuxnet infekuje pliki należące do przemysłowych aplikacji firmy Siemens i zakłóca ich komunikację. Zmienia również ustawienia sterowników PLC.
Stuxnet instaluje bloki złośliwego oprogramowania w monitorach PLC. Następnie stale zmienia częstotliwość układu i wpływa na pracę silników poprzez zmianę ich prędkości obrotowej. Stuxnet zawiera również rootkit, który ukrywa robaka przed systemami monitorującymi.
Stuxnet dziś
Należy pamiętać, że wirus Stuxnet nie zniknął i wciąż może być uważany za zagrożenie cybernetyczne. Dzięki swojej sławie Stuxnet miał znaczący wpływ na przyszły rozwój szkodliwego oprogramowania. Oto kilka przykładów dziedzictwa Stuxneta:
- Duqu. Duqu to złośliwe oprogramowanie komputerowe typu trojan, które również wykorzystywało luki 0-day w zabezpieczeniach systemu Windows. Określa się go mianem Stuxnet 2.0, a jego celem także są jednostki nuklearne w Iranie.
- Flame. Flame to wyrafinowane oprogramowanie szpiegowskie, którego celem są Iran i inne kraje Bliskiego Wschodu. Mierzy głównie w instytucje edukacyjne i rządowe. Po wstrzyknięciu za pomocą nośników USB rejestrował naciśnięcia klawiszy i nagrywał rozmowy Skype.
- Havex. W przeciwieństwie do Flame’a, Havex atakuje głównie kraje zachodnie, ale jego zamiary są podobne. Szpieguje firmy lotnicze, obronne, energetyczne i farmaceutyczne.
- Industroyer. Industroyer to złośliwe oprogramowanie użyte do ataku na ukraińską sieć energetyczną w 2016 roku. Atak sprawił, że część Kijowa została odłączona od prądu na godzinę.
- Triton. Triton obrał za cel zakład petrochemiczny w Arabii Saudyjskiej. Triton jest nazywany „najbardziej morderczym złośliwym oprogramowaniem na świecie” i może przyczynić się do katastrofy w elektrowni.
Ciekawostki
Oto kilka interesujących faktów na temat Stuxneta:
- Stuxnet jest pierwszym złośliwym oprogramowaniem, które infekowało urządzenia docelowe za pośrednictwem dysków USB.
- Stuxnet miał możliwość samodzielnej aktualizacji za pomocą komunikacji P2P i połączenia online.
- Do zainstalowania rootkita użył skradzionego podpisu cyfrowego.
- Stał się tematem kilku filmów, takich jak Zero Days czy Blackhat.
Jak chronić się przed Stuxnetem?
Stuxnet nie stanowi bezpośredniego zagrożenia dla indywidualnych użytkowników, dlatego oto kilka wskazówek dla firm:
- Odizoluj swoje sieci przemysłowe od ogólnych sieci biznesowych za pomocą zapór sieciowych, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania
- Stwórz listę zaufanych aplikacji, aby ochronić swoją sieć przed hakerami
- Uważnie monitoruj swoją sieć pod kątem nietypowej aktywności
- Zachowaj ścisłe zasady dotyczące nośników danych, aby zapobiec podłączaniu podejrzanych dysków USB do urządzeń
- Korzystaj z zaufanej sieci VPN, aby chronić urządzenia
- Przećwicz hartowanie hosta, wyłączając niepotrzebne usługi.
Bezpieczeństwo online zaczyna się od jednego kliknięcia.
Zachowaj bezpieczeństwo, wybierając VPN dominujący na całym świecie