Stuxnet
Stuxnet – działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu 2010[1]. Jest jednym z pierwszych znanych robaków użytych do szpiegowania i przeprogramowywania instalacji przemysłowych[2], choć ataki tego typu zdarzały się już wcześniej[3]. Zawierał rootkit na system Windows[1], pierwszy w historii PLC rootkit[1]. Wykorzystywał 4 luki 0-day[1]. Wirus miał zdolność aktualizacji metodą peer-to-peer[1].
Powstanie
Najstarsze znane kompilacje Stuxneta pochodzą z 2009 roku. W porównaniu do późniejszych wersji nie mają one zasobu 207 (zaszyfrowany DLL propagujący wirusa na dyskach USB), który jest pluginem Flamea (prawdopodobnie najbardziej skomplikowany wirus, jaki kiedykolwiek odkryto[4], wykrada on informacje z komputera i jego otoczenia włączając mikrofony oraz łącząc się z innymi urządzeniami elektronicznymi przez Bluetooth[5]), co sugeruje, że z jego kodu powstał Stuxnet[6].
Początkowo nie było wiadomo, kto i dlaczego napisał Stuxneta, co wywołało wiele teorii spiskowych[7][8][9][10], niemniej już w styczniu 2011 r. pojawiły się informacje, że został on opracowany przez specjalistów izraelskich oraz amerykańskich w celu sabotażu irańskiego programu nuklearnego[11], co w czerwcu 2012 roku potwierdzili współpracownicy Obamy, ujawniając wiele bardziej szczegółowych danych[12].
Działanie
Podstawową formą rozpowszechniania się robaka są zainfekowane podręczne pamięci USB[7].
Po zainstalowaniu się w systemie operacyjnym Windows robak zaczyna przeszukiwać sieć lokalną w poszukiwaniu podłączonych sterowników PLC, które są często używane w różnego rodzaju fabrykach, rafineriach czy elektrowniach. W przypadku znalezienia ściśle określonej konfiguracji sterowników SIMATIC S7-300 oraz S7-400 firmy Siemens następuje aktywacja. Wirus wykorzystuje działające na zainfekowanym komputerze oprogramowanie Siemens SIMATIC WinCC/Step 7[7] (oprogramowanie łączące system SCADA[13] oraz programistyczną stację inżynierską) w celu zmian ustawień sterowników PLC. Robi to w sposób sugerujący, że jego twórcy mieli na celu tylko wybrane kontrolery[7]. Stuxnet atakował głównie konwertery częstotliwości zmieniając częstotliwość prądu, jaki one wysyłały, co doprowadzało do przyspieszenia pracy wirówek gazowych[14].
Jeżeli zarażony robakiem komputer nie jest podłączony do poszukiwanego przez niego kontrolera, to robak nie robi nic.
Dokładna liczba zarażonych komputerów i systemów nie jest znana, według danych z 29 września zarażonych było ok. 100 000 komputerów ze 155 krajów, najwięcej infekcji odkryto w Iranie – 58% z zarażonych komputerów, Indonezji – 18%, Indiach – 10% i Azerbejdżanie – 3,4% (pozostałe kraje poniżej 2%)[8].
Według niepotwierdzonych informacji chińskiego producenta oprogramowania antywirusowego, Rising International, robak zaatakował kilka tysięcy zakładów przemysłowych w Chinach[15].
Nie wiadomo na pewno, czy robak jest odpowiedzialny za jakieś fizyczne straty. Podejrzewa się, że mógł być odpowiedzialny za problemy z indyjskim satelitą INSAT-4B[7]. Wiadomo, że zainfekował komputery irańskiej elektrowni atomowej w Buszehr[7], choć według oficjalnych informacji rządu irańskiego zainfekowane zostały tylko osobiste komputery niektórych z pracowników, a nie systemy elektrowni[16]. W grudniu 2010 prezydent Iranu Mahmud Ahmadineżad przyznał, że wirus spowodował „problemy w niewielkiej liczbie wirówek używanych do wzbogacania uranu”[16].
Według analizy wirusa przeprowadzonej w firmie Symantec wirus zainteresowany jest najbardziej dwoma typami sterowników PLC, po infekcji modyfikuje je w specyficzny sposób zmieniając parametry pracy kontrolowanych przez nich silników w taki sposób, aby je fizycznie uszkodzić[8].
Spuścizna
Język następcy Stuxneta, Duqu, odkrytego we wrześniu 2011 roku[17], był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomy był również użyty do scalenia modułów wirusa kompilator, a także typu szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych[18]. Miesiąc później okazało się, że Duqu jest napisany w OO C[19].
W lipcu 2012 roku za pomocą Metasploita zatrzymano pracę w zakładach w Natanz i Fordo, dodatkowo odtwarzając na tamtejszych głośnikach komputerowych utwór Thunderstruck zespołu AC/DC maksymalnie głośno[20].
Na tym samym frameworku co Flame, Stuxnet i Duqu powstał też Gauss. Pierwszy raz zaatakował we wrześniu 2011 roku, ale odkryto go 11 miesięcy później. Wirus przechwytuje cookies i hasła z przeglądarek internetowych, wykrada pliki konfiguracyjne oraz dane dostępowe do banków, portali społecznościowych, skrzynek e-mail i kont IM. Malware, podobnie jak jego poprzednicy, infekuje głównie komputery na Bliskim Wschodzie (najczęściej Iran i Izrael)[21].
W 2014 roku został odkryty kolejny trojan, który celuje w instalacje przemysłowe. Został on odkryty przez specjalistów firmy F-Secure. Podobnie jak w przypadku poprzednika, twórcy trojana mogli nie tylko wykradać dane, ale także mogli mieć wpływ na proces produkcyjny[22].
Przypisy
- ↑ a b c d e Nicolas Falliere, Lian O Murchu, Eric Chien: W32.Stuxnet Dossier, Version 1.4 (February 2011). Symantec Security Response. [dostęp 2014-12-21]. (ang.).
- ↑ Robert McMillan: Siemens: Stuxnet worm hit industrial systems. Computerworld, 16 września 2010. [dostęp 2017-01-12]. (ang.).
- ↑ Ataki hakerskie na infrastrukturę przemysłową - jeden wirus, milionowe straty [online], komputerswiat.pl [dostęp 2024-04-26] (pol.).
- ↑ https://www.webcitation.org/682bQ4f6J?url=http://www.crysys.hu/skywiper/skywiper.pdf.
- ↑ » Flame – mówią, że gorszy od Stuxneta – Niebezpiecznik.pl [online], niebezpiecznik.pl [dostęp 2017-11-26] .
- ↑ » Flame i Stuxnet są ze sobą powiązane. Bardzo. – Niebezpiecznik.pl [online], niebezpiecznik.pl [dostęp 2017-11-26] .
- ↑ a b c d e f Schneier on Security: Stuxnet. [dostęp 2010-10-22]. (ang.).
- ↑ a b c W32.Stuxnet Dossier. Symantec. [dostęp 2010-11-13]. (ang.). – plik PDF.
- ↑ Factbox: What is Stuxnet?. reuters.com. [dostęp 2010-10-22].
- ↑ Stuxnet’s Finnish-Chinese Connection. forbes.com. (ang.).
- ↑ tvn24.pl: Wirus miał zatrzymać nuklearne zbrojenie. [dostęp 2011-01-16].
- ↑ » To USA i Izrael stworzyły Stuxneta. I wymknął im się spod kontroli… – Niebezpiecznik.pl [online], niebezpiecznik.pl [dostęp 2017-11-26] .
- ↑ Na przykład Iran’s Nuclear Agency Trying to Stop Computer Worm. Associated Press, 2010-09-25. [dostęp 2010-09-25]. (ang.).
- ↑ Twórcy Flame mieli silne wsparcie. Od [online], tech.money.pl [dostęp 2017-11-26] (pol.).
- ↑ heise-online: Chiny nawiedziła epidemia robaka Stuxnet. 2010-10-01. [dostęp 2010-10-04].
- ↑ a b Wired: Computer Malware Sabotaged Uranium Centrifuges. 2010-11-29. [dostęp 2010-12-06].
- ↑ Threatpost | The first stop for security news [online], threatpost.com [dostęp 2017-11-26] [zarchiwizowane z adresu 2013-02-24] (ang.).
- ↑ Jeden z najsłynniejszych koni trojańskich napisany w nieznanym języku – Wiadomości [online], wiadomosci.onet.pl [dostęp 2017-11-26] (pol.).
- ↑ The mystery of Duqu Framework solved – Securelist. securelist.com. [zarchiwizowane z tego adresu (2016-06-05)]..
- ↑ Is a Computer Worm Causing Iranian Nuclear Facilities to Blast AC/DC’s ‘Thunderstruck’ At Night? [online], gawker.com [dostęp 2017-11-26] (ang.).
- ↑ » Gauss – kolejny członek rodziny Stuxnet, Duqu, Flame – Niebezpiecznik.pl [online], niebezpiecznik.pl [dostęp 2017-11-26] .
- ↑ Stuxnet ma następcę – to Havex.