Stuxnet

A Stuxnet az első katonai számítógépes vírus.

Története

 

A Stuxnet terjedési mechanizmusa

A kártevőt 2010 júniusában a fehérorosz „VirusBlokAda” cég fedezte fel Iránban, a Bushehr erőmű egyik számítógépén. Azóta bebizonyosodott, hogy több, mint 100 000 számítógépet fertőzött meg, Simatic WinCC SCADA-kat keresve. Csak Iránban 45 000 felügyeleti számítógép és szerver tartalmazta a vírust.^[1]

A Stuxnet nem az erőműre jelentett közvetlen fenyegetést, hanem az urándúsító berendezések voltak a célpontjai.

A Stuxnetet feltételezések szerint az USA-ban és/vagy Izraelben fejlesztették ki (felmerült az izraeli hadsereg high tech különítményének, a Unit8200-nak a neve). Erre utalhat, hogy a kód az alábbi hivatkozást tartalmazza: 1979. május 9.; ezen a napon végezték ki a prominens zsidó üzletembert, Habib Elghaniant Iránban, Izraelnek való kémkedés vádjával.

Ma már tudjuk, hogy Barack Obamához és elődjéhez George W. Bushhoz köthető a féregprogram létrehozása és bevetése.^[2]

Több feltevés szerint az izraeli Dimonában egy tesztkörnyezetet építettek ki Simatic rendszerrel és IR-1 centrifugákkal, és itt fejlesztették ki a Stuxnet támadó blokkját. A munkához az amerikai Idaho National Laboratory (INL) szakemberei adtak tanácsokat (vagy akár részt is vettek a fejlesztésben).

 

A Stuxnet fertőzési mechanizmusa

Az iráni urándúsító centrifugák kifejlesztése a pakisztáni Abdul Qadeer Khan nevéhez köthető, aki a holland Urenco-nál is dolgozott, majd a cég által kifejlesztett berendezéseket „másodhasznosította” a pakisztáni atomfegyver-programban, és az általa „honosított” berendezéseket Pak-1 vagy P-1 néven fejlesztették és terjesztették a Közel-Keleten, többek között Líbiában és Iránban.

Az urándúsító centrifugákat is hajtó motorok nagyfrekvenciás átalakítóinak a technikai adatait azoknak a gyártóitól, a finn Vacon-tól és az iráni Fararo Paya-tól szerezték meg. Ez az „adatszerzés” még a szakértőket is meglepte, hiszen a Fararo Paya-t olyan szinten próbálták elrejteni az iráni hatóságok, hogy az IAEA (International Atomic Energy Agency: Nemzetközi Atomenergia-ügynökség) se tudott róla.

A fejlesztésbe rendkívül sok energiát és időt öltek, erre utal a kártevő komplexitása és fejlett hatásmechanizmusa, így szinte kizárt a magányos cracker teóriája, aki otthon, hobbiból fejlesztette volna a kódot. Itt egy komoly szakértőkből álló csoportnak kellett állnia a háttérben, a fertőzés jól irányzott volta, és az, hogy a kártevő elérte a célját, profi kivitelezőket és bőséges finanszírozást feltételez. A fejlesztés a „Myrtus” projekt keretein belül történt, erre utal a beforgatott kód elérési útja: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. A „Myrtus” hivatkozás lehet a bibliai Eszterre, aki megmentette a perzsáktól az ókori zsidó államot, de lehet akár a „My RTU”s (remote terminal unit – távoli elérésű terminál) is.

A kódban található egy DEADF007 hivatkozás is, melynek eredetije a DEADFOOT, ez a pilóták szlengjében a hajtómű-meghibásodást jelenti. Az „o” betű 0-nak és „T”-nek pedig a 7-es számmal való írása nem véletlen elgépelés. A leet speech nevet kapott, alternatív ábécé szerint írták, ahol egyes betűket számokkal helyettesítenek. Érdekessége továbbá, hogy a DEADF007 felbontható hexadecimális számok sorozatává, mint DE AD F0 07.

A fejlesztéshez kiindulásként valószínűleg, egy korábbi kártevő, a Conficker kódját használták. A féreg tevékenységéről egy maláj és egy dán szerverre folyamatosan jelentéseket küldött (www.mypremierfutbol.com, www.todaysfutbom.com), majd a nantanzi támadás után ezeket a szervereket lekapcsolták üzemeltetőik.

Eredmény

2010. november 16-án Irán leállította az urándúsítóit, miután a centrifugák több mint 20%-a megsemmisült a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját. Egyes kutatók megkérdőjelezik, hogy az elért siker megérte-e a befektetett hatalmas összegeket, ugyanakkor a támadás új fejezetet nyitott a cyber-hadviselés történelmében.

A kártevő – persze megint csak feltételezések szerint – az igazi pusztítást a natanzi urándúsító létesítményben fejtette ki, itt jó eséllyel kb. ezer IR-1 típusú urándúsító centrifugát égetett le. Ezeknek a berendezéseknek a hajtómotorja 1007 cps-nél (cycles per second, másodpercenkénti fordulatszám) is már tönkremegy, a Stuxnet viszont rövidebb fázisokra, észrevétlenül 1064 cps-es tempót diktált nekik, széthajtva őket.

Habár az iráni hatóságok állítják, hogy a fertőzést megszüntették, minden szakértő tudja, hogy mindaddig, míg az alkalmazott technológiát nem cserélik le, egy újabb – a Stuxnethez hasonló felépítésű, de eltérő működésű – behatoló fertőzése csak idő kérdése. A Bushehr atomerőmű kapcsán emlegetett Csernobil-analógia bár nem következhet be (alapvetően a csernobili berendezés és az ott történtek nem vethetők össze az iráni erőművel), de – és ezt a Stuxnet fényesen bizonyította – ezek a programok hatalmas károkat okozhatnak.

Duqu

2010 óta szinte naponta publikáltak újabb és újabb részleteket a Stuxnet támadásról, amikor 2011. október 18-án publikálásra került a Duqu malware létezése.^[3] Az új malware komponenseket a Budapesti Műszaki Egyetem CrySys Adat- és Rendszerbiztonság Laboratóriuma azonosította egy európai cégnél. A szűk szakmai közösségben végzett munkájuk eredményeképpen azonosították a Duqu komponenseket, elkészítették az első részletes elemzést, azonosították a droppert és bizonyították, hogy 0-day Windows exploitot tartalmaz, továbbá kiadtak egy Duqu detekcióra alkalmas toolkitet is, amelyet nyílt forráskódja révén akár kritikus infrastruktúra környezetben is alkalmazhatnak nemcsak a Duqu, hanem ahhoz közel álló módosított támadó modulok és fájlok azonosítására is.

Források

1. Homeland Security Newswire, 2011. február
2. Index: Obama hagyta jóvá az Irán elleni vírustámadást (magyar nyelven). index.hu, 2012. június 1. (Hozzáférés: 2019. július 24.)
3. W32.Duqu – The precursor to the next Stuxnet (Version 1.4). Symantec, 2011. november 23. [2012. március 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. december 30.)

• Vámos Sándor: ob121.com blogja - technológiák work=ob121.blog.hu (magyar nyelven) (html), 2011 [last update]. (Hozzáférés: 2011. május 16.) - A Stuxnet és hatásai

További információk

 

A Wikimédia Commons tartalmaz Stuxnet témájú médiaállományokat.

• Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon. TED. TED Conferences, LLC, 2011. March. [2014. február 1-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. május 13.)
• The short path from cyber missiles to dirty digital bombs. Blog. Langner Communications GmbH, 2010. december 26. (Hozzáférés: 2011. május 13.)
• Falliere, Nicolas: Exploring Stuxnet's PLC Infection Process. Blogs: Security Response. Symantec, 2010. szeptember 21. (Hozzáférés: 2011. május 13.)
• Stuxnet Questions and Answers. News from the Lab. F-Secure, 2010. október 1. (Hozzáférés: 2011. május 13.)
• Mills, Elinor. „Stuxnet: Fact vs. theory”, CNET News , CBS Interactive, 2010. október 5. (Hozzáférés: 2011. május 13.) ^{[halott link]}
• 27C3: Adventures in analyzing Stuxnet. CCC-TV. Chaos Computer Club e.V., 2010. december 28. (Hozzáférés: 2011. május 13.)
• decompile-dump: Partial stuxnet source decompiled with hexrays. GitHub. GitHub Inc, 2011. február 15. (Hozzáférés: 2011. május 13.)
• Russinovich, Mark. „Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1”, Mark's Blog, Microsoft Corporation, 2011. március 30.. [2011. április 23-i dátummal az eredetiből archiválva] (Hozzáférés: 2011. május 13.) 
• Russinovich, Mark. „Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 2”, Mark's Blog, Microsoft Corporation, 2011. március 30.. [2011. május 2-i dátummal az eredetiből archiválva] (Hozzáférés: 2011. május 13.) 
• Russinovich, Mark. „Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 3”, Mark's Blog, Microsoft Corporation, 2011. március 30.. [2011. május 13-i dátummal az eredetiből archiválva] (Hozzáférés: 2011. május 13.) 
• Cserháti, András. „A Stuxnet vírus és az iráni atomprogram”, Nukleon on-line folyóirat, Magyar Nukleáris Társaság, 2011. április 5. (Hozzáférés: 2011. április 18.) 
• Vámos, Sándor. „A Stuxnet sztori”, passport blog, 2011. április 5. (Hozzáférés: 2017. július 30.) 

•   Informatikai portál • összefoglaló, színes tartalomajánló lap