Stuxnet

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

Stuxnet – działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu 2010. Jest pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych[1]. Zawierał rootkit na system Windows[2], pierwszy w historii PLC rootkit[2]. Wykorzystywał też wiele luk 0-day[2]. Wirus miał zdolność aktualizacji metodą peer-to-peer[2].

Powstanie[edytuj | edytuj kod]

Najstarsze znane kompilacje Stuxneta pochodzą z 2009 roku. W porównaniu do późniejszych wersji nie mają one zasobu 207 (zaszyfrowany DLL propagujący wirusa na dyskach USB), który jest pluginem Flamea (prawdopodobnie najbardziej skomplikowany wirus jaki kiedykolwiek odkryto[3], wykrada on informacje z komputera i jego otoczenia włączając mikrofony oraz łącząc się z innymi urządzeniami elektronicznymi przez Bluetooth[4]), co sugeruje, że z jego kodu powstał Stuxnet[5].

Nie jest pewne kto i dlaczego napisał Stuxneta choć na ten temat istnieje wiele teorii, w tym teorii spiskowych[6][7][8][9]. W styczniu 2011 pojawiły się informacje o opracowaniu wirusa przez specjalistów izraelskich i amerykańskich[10], co w czerwcu 2012 roku potwierdzili współpracownicy Obamy, ujawniając wiele bardziej szczegółowych danych[11].

Działanie[edytuj | edytuj kod]

Podstawową formą rozpowszechniania się robaka są zainfekowane podręczne pamięci USB[6].

Po zainstalowaniu się w systemie operacyjnym Windows robak zaczyna przeszukiwać sieć lokalną w poszukiwaniu podłączonych sterowników PLC, które są często używane w różnego rodzaju fabrykach, rafineriach czy elektrowniach. W przypadku znalezienia ściśle określonej konfiguracji sterowników SIMATIC S7-300 oraz S7-400 firmy Siemens następuje aktywacja. Wirus wykorzystuje działające na zainfekowanym komputerze oprogramowanie Siemens SIMATIC WinCC/Step 7[6] (oprogramowanie łączące system SCADA[12] oraz programistyczną stację inżynierską ) w celu zmian ustawień sterowników PLC. Robi to w sposób sugerujący, że jego twórcy mieli na celu tylko wybrane kontrolery[6]. Stuxnet atakował głównie konwertery częstotliwości zmieniając częstotliwość prądu, jaki one wysyłały, co doprowadzało do przyspieszenia pracy wirówek gazowych[13].

Jeżeli zarażony robakiem komputer nie jest podłączony do poszukiwanego przez niego kontrolera to robak nie robi nic.

Dokładna liczba zarażonych komputerów i systemów nie jest znana, według danych z 29 września zarażonych było ok. 100 000 komputerów ze 155 krajów, najwięcej infekcji odkryto w Iranie – 58% z zarażonych komputerów, Indonezji – 18%, Indiach – 10% i Azerbejdżanie – 3,4% (pozostałe kraje poniżej 2%)[7].

Według niepotwierdzonych informacji chińskiego producenta oprogramowania antywirusowego, Rising International, robak zaatakował kilka tysięcy zakładów przemysłowych w Chinach[14].

Nie wiadomo na pewno czy robak jest odpowiedzialny za jakieś fizyczne straty. Podejrzewa się, że mógł być odpowiedzialny za problemy z indyjskim satelitą INSAT-4B[6]. Wiadomo, że zainfekował komputery irańskiej elektrowni atomowej w Buszehr[6] choć według oficjalnych informacji rządu irańskiego zainfekowane zostały tylko osobiste komputery niektórych z pracowników, a nie systemy elektrowni[15]. W grudniu 2010 prezydent Iranu Mahmud Ahmadineżad przyznał, że wirus spowodował "problemy w niewielkiej liczbie wirówek używanych do wzbogacania uranu"[15].

Według analizy wirusa przeprowadzonej w firmie Symantec wirus zainteresowany jest najbardziej dwoma typami sterowników PLC, po infekcji modyfikuje je w specyficzny sposób zmieniając parametry pracy kontrolowanych przez nich silników w taki sposób, aby je fizycznie uszkodzić[7].

Spuścizna[edytuj | edytuj kod]

Język następcy Stuxneta, Duqu odkrytego we wrześniu 2011 roku[16], był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były również użyty do scalenia modułów wirusa kompilator a także typu szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych[17]. Miesiąc później okazało się, że Duqu jest napisany w OO C[18].

W lipcu 2012 roku za pomocą Metasploita zatrzymano pracę w zakładach w Natanz i Fordo, dodatkowo odtwarzając na tamtejszych głośnikach komputerowych utwór Thunderstruck zespołu AC/DC maksymalnie głośno[19].

Na tym samym frameworku co Flame, Stuxnet i Duqu powstał też Gauss. Pierwszy raz zaatakował we wrześniu 2011 roku, ale odkryto go 11 miesięcy później. Wirus przechwytuje cookies i hasła z przeglądarek internetowych, wykrada pliki konfiguracyjne oraz dane dostępowe do banków, portali społecznościowych, skrzynek e-mail i kont IM. Malware, podobnie jak jego poprzednicy, infekuje głównie komputery na Bliskim Wschodzie (najczęściej Iran i Izrael)[20].

W 2014 roku został odkryty kolejny trojan, który celuje w instalacje przemysłowe. Został on odkryty przez specjalistów firmy F-Secure. Podobnie jak w przypadku poprzednika, twórcy trojana mogli nie tylko wykradać dane ale także mogli mieć wpływ na proces produkcyjny.[21]

Przypisy

  1. Robert McMillan: Siemens: Stuxnet worm hit industrial systems (ang.). Computerworld, 16 września 2010. [dostęp 16 września 2010].
  2. 2,0 2,1 2,2 2,3 Symantec Security Response – W32.Stuxnet Dossier, Version 1.4 (February 2011). Nicolas Falliere, Lian O Murchu, Eric Chien
  3. http://www.crysys.hu/skywiper/skywiper.pdf
  4. » Flame — mówią, że gorszy od Stuxneta – Niebezpiecznik.pl
  5. » Flame i Stuxnet są ze sobą powiązane. Bardzo. – Niebezpiecznik.pl
  6. 6,0 6,1 6,2 6,3 6,4 6,5 Schneier on Security: Stuxnet (ang.). [dostęp 2010-10-22].
  7. 7,0 7,1 7,2 W32.Stuxnet Dossier (ang.). Symantec. [dostęp 2010-11-13]. – plik PDF
  8. Factbox: What is Stuxnet?. reuters.com. [dostęp 2010-10-22].
  9. Stuxnet's Finnish-Chinese Connection (ang.). forbes.com.
  10. tvn24.pl: Wirus miał zatrzymać nuklearne zbrojenie. [dostęp 16.01.2011].
  11. » To USA i Izrael stworzyły Stuxneta. I wymknął im się spod kontroli… – Niebezpiecznik.pl
  12. Na przykład Iran's Nuclear Agency Trying to Stop Computer Worm (ang.). Associated Press, 2010-09-25. [dostęp 2010-09-25].
  13. Twórcy Flame mieli silne wsparcie. Od
  14. heise-online: Chiny nawiedziła epidemia robaka Stuxnet. 01.10.2010. [dostęp 2010-10-04].
  15. 15,0 15,1 Wired: Computer Malware Sabotaged Uranium Centrifuges. 2010-11-29. [dostęp 2010-12-06].
  16. Anatomy of the Duqu Attacks | threatpost
  17. Jeden z najsłynniejszych koni trojańskich napisany w nieznanym języku – Onet Wiadomości
  18. The mystery of Duqu Framework solved – Securelist
  19. Is a Computer Worm Causing Iranian Nuclear Facilities to Blast AC/DC's 'Thunderstruck' At Night?
  20. » Gauss – kolejny członek rodziny Stuxnet, Duqu, Flame – Niebezpiecznik.pl
  21. Stuxnet ma następcę - to Havex

Linki zewnętrzne[edytuj | edytuj kod]

Wikimedia Commons