Czy istnieje wirus, który jest w stanie wyrządzić szkody nie tylko na komputerze? Stuxnet to wirus komputerowy, którego działanie znacznie wykracza poza sferę wirtualną. Poznaj szczegóły i historię ataku hakerskiego, który zniszczył irańskie zaplecze nuklearne.
Spis treści
Stuxnet to wirus komputerowy – tzw. robak (ang. worm) – który po raz pierwszy ujrzał światło dzienne w 2010 roku. Do dziś uznawany jest za największy oraz najdroższy typ złośliwego oprogramowania na świecie. Wykorzystuje luki 0-day w Windowsie do infekowania systemów docelowych i rozprzestrzeniania się na inne systemy. Wirus atakował przede wszystkim wirówki irańskich zakładów wzbogacania uranu. Jednak z czasem cyberprzestępcy zmodyfikowali go i dostosowali do innych obiektów przemysłowych, takich jak elektrownie i gazociągi.
Chociaż żaden kraj oficjalnie nie przyznał się do stworzenia Stuxneta, powszechnie uważa się, że wirus ten został opracowany przez Stany Zjednoczone i Izrael. Stuxnet był pierwszym wirusem, który spowodował fizyczne zniszczenie zainfekowanych urządzeń. Poważnie sparaliżował irański program nuklearny oraz – ze względu na swój agresywny charakter – przypadkowo rozprzestrzenił się poza granice irańskich obiektów nuklearnych. Nie spowodowało to większych uszkodzeń urządzeń zewnętrznych poza pierwotnymi obszarami docelowymi.
Stuxnet został zidentyfikowany i zgłoszony w 2010 roku, choć początki jego rozwoju sięgają 2005 roku. Stuxnet 0.5 [McD13] to pierwsza znana wersja Stuxneta. W styczniu 2010 r. inspektorzy wizytujący zakład wzbogacania uranu w Natanz w Iranie zauważyli, że wirówki w nim psują się w niespotykanym dotąd tempie, a przyczyny awarii są nieznane. Po pięciu miesiącach badacze znaleźli złośliwe pliki w jednym z systemów.
Wirus zaczął się rozprzestrzeniać w marcu 2010 r., ale pierwszy wariant pojawił się w 2009 r. 15 lipca 2010 r. o istnieniu robaka stało się głośno dzięki atakowi DDoS na listę mailingową dotyczącą bezpieczeństwa systemów przemysłowych. Atak ten poważnie zakłócił główne źródło informacji fabryk i elektrowni.
Stuxnet rozprzestrzenił się w dwóch falach. Pierwsza fala była mniej widoczna i bardziej ukierunkowana niż druga.
Stuxnet stał się znany opinii publicznej podczas drugiej fali, która była bardziej agresywna i rozpowszechniona. Wirus zdołał zainfekować ponad 20 000 urządzeń w 14 irańskich obiektach jądrowych i zniszczył około 900 wirówek.
Choć Stuxnet nie wyrządził większych szkód poza swoim celem, służy jako przykład dla późniejszych złośliwych programów atakujących różne infrastruktury i kraje. Zmodyfikowane wersje są również przeznaczone dla obiektów niejądrowych.
Stuxnet jest wyrafinowanym i wyjątkowo natrętnym złośliwym oprogramowaniem. Został starannie zaprojektowany, aby oddziaływać tylko na sterowniki o określonych konfiguracjach, powodując tym samym minimalne uszkodzenia innych urządzeń.
Docelowe obiekty nuklearne były odizolowane od sieci globalnej, dlatego Stuxnet był najprawdopodobniej przesyłany za pośrednictwem nośników USB należących do agentów w tych obiektach.
Stuxnet to złożone złośliwe oprogramowanie. Zawiera kod ataku typu man-in-the-middle, który fałszuje sygnały z czujników, aby docelowy system nie został odcięty z powodu nieprawidłowego zachowania. Jest naprawdę duży, został napisany w różnych językach programowania i szybko się rozprzestrzenia.
Stuxnet atakuje trzy warstwy systemowe:
Stuxnet infiltrował systemy Windows, wykorzystując różne luki 0-day, takie jak zdalne wykonywanie kodu. Wykorzystuje włączone udostępnianie drukarki lub lukę w zabezpieczeniach LNK/PIF, uruchamiając plik, gdy jest on wyświetlany w Windows Explorer.
To złośliwe oprogramowanie uzyskuje dostęp zarówno do poziomu użytkownika, jak i jądra. Jego sterowniki urządzeń są podpisane dwoma publicznymi certyfikatami, dzięki czemu może uzyskiwać dostęp do sterowników jądra bez wiedzy użytkowników i pozostawać niewykrytym przez długi czas.
Po przeniknięciu do systemów Windows, Stuxnet infekuje pliki należące do przemysłowych aplikacji firmy Siemens i zakłóca ich komunikację. Zmienia również ustawienia sterowników PLC.
Stuxnet instaluje bloki złośliwego oprogramowania w monitorach PLC. Następnie stale zmienia częstotliwość układu i wpływa na pracę silników poprzez zmianę ich prędkości obrotowej. Stuxnet zawiera również rootkit, który ukrywa robaka przed systemami monitorującymi.
Należy pamiętać, że wirus Stuxnet nie zniknął i wciąż może być uważany za zagrożenie cybernetyczne. Dzięki swojej sławie Stuxnet miał znaczący wpływ na przyszły rozwój szkodliwego oprogramowania. Oto kilka przykładów dziedzictwa Stuxneta:
Oto kilka interesujących faktów na temat Stuxneta:
Stuxnet nie stanowi bezpośredniego zagrożenia dla indywidualnych użytkowników, dlatego oto kilka wskazówek dla firm: