Stuxnet

Z WikiKnihovna
Přejít na: navigace, hledání

Autor: Josef Kos

Klíčová slova: obohacování, uran, Írán, USA, USB, Izrael, bezpečnost, zbrojařství

Nadřazené pojmy: malware, virus, kyberválka

Podřazené pojmy: worm, rootkit, trojan, backdoor, hijacker, zero-day attack, man-in-the-middle


Stuxnet je počítačový virus – červ, pravděpodobně vyvinutý jako prostředek mezinárodní vojensko-průmyslové sabotáže.

Chování

Vlastní konstrukcí i kompatibilitou jde o velmi úzce cílený program, složený z několika různorodých funkčních stupňů, odpovídajících příslušným úrovním ochrany a kontroly, které během svého cyklu překonává.

Přenos a šíření

Viru pro tento účel slouží za hlavní médium externí flash paměti, tedy např. USB klíčenky, což je zásadní pro průnik do uzavřených okruhů (bez připojení k vnějším sítím), kterými zařízení s vyžadovanými technologiemi obyčejně bývají. Pouhým prohlížením jednotky např. v Průzkumníku na ní dojde k automatickému spuštění upravených souborů .lnk (tzv. „shortcut“, čili „zástupce“), které rozběhnou procedury Stuxnetu.[1] Na poměry virů nebývale velký soubor (kolem 0,5 MB) se jakožto červ sám replikuje a otevírá „zadní vrátka“ několika svým součástem - „trojským koním“, které také mj. následně zahladí stopy. Neobvyklé je, že soubor obsahuje počítadlo, které z jedné konkrétní USB paměti povoluje nakažení celkem nejvýše tří dalších počítačů (neplatí však obráceně - počítač se pokusí nakazit každou připojenou USB), čímž oproti užití masivní lavinové nákazy dále snižuje riziko včasného odhalení útoku.

Napadení

Ve Windows hostitelského počítače pak Stuxnet, pokud možno ještě v době před svým prozrazením a zpracováním náležité opravné záplaty (odtud tzv. „zero-day attack“), či obecně, nebyla-li tato dosud nainstalována (dotyčné uzavřené sítě bývají ze své podstaty aktualizovány v delších intervalech, navíc nutně právě z přenosných médií), může využít libovolnou ze čtyř různých bezpečnostních děr („print spooler“, „MS08-067“ anebo jednu ze dvou tzv. „EoP“ [elevation of privilege]), což je u jednoho viru počet taktéž zcela nevídaný. Pomocí zmíněné „elevation of privilege“ pak získá administrátorská přístupová práva i k sousedním počítačům.[2] Prováděné zásahy se nadto snaží tvářit jako důvěryhodné díky zcizeným (dodatečně zablokovaným) certifikátům společnosti Realtek.

Činnost

V nabouraných okruzích Stuxnet vyhledá a odhesluje sítě označované jako SCADA [supervisory control and data acquisition] - využívané k řízení nejkomplexních procesů v rozsáhlých průmyslových a energetických zařízeních, přičemž se zaměřuje výhradně na software WIN CC a PCS-7 [process control system 7] firmy Siemens, přesněji komponentu Step-7, pohánějící specializované počítače, tzv. PLC [programmable logic controller] její výroby. Ty je Stuxnet jako první svého druhu schopen infikovat rootkitem, který nejenže se zmocní řečené techniky výpočetní, ale zároveň i jí podléhajících strojů v provozu. Své počínání mezitím maskuje metodou „man-in-the-midle“: nejdříve načte běžná měření, jejichž přeposíláním později během svého působení simuluje hladký chod, aniž by tak vzbudil podezření obsluhy nebo zalarmoval bezpečnostní systémy.

Škody

Koncovým přístrojem, po kterém Stuxnet od počátku pátral, je měnič kmitočtu – součástka používaná k regulaci otáček střídavoproudých elektromotorů. Stuxnet se přitom opět zajímá jen o typ dodávaný pouhými dvěma výrobci - jedním finským a druhým íránským - a i tehdy jedině za podmínky, že přístroj začne pracovat s vysokými frekvencemi, jmenovitě mezi 807 až 1210 Hz. V takovém případě rootkit po dobu měsíců pravidelně v krátkých sekvencích zvyšuje a snižuje výstupní frekvenci,[3] čímž zamezuje správnému fungování nebo přímo poškozuje napájené zařízení.

Pozadí

Odborníci se shodují, že vynaložené – nejen lidské - zdroje jsou mimo možnosti soukromých skupin, např. konkurentů: počínaje složitostí (Stuxnet je psán v mnoha objektově orientovaných programovacích jazycích, atp.), přes dokonalou znalost nezvyklého vybavení, sotva testovatelnou jinak než v reálu, až po zřejmou disciplinovanost (pozornost jediné okrajové aplikaci, omezený počet přenosů, mj. také přednastavená deaktivace 24. června 2012), vše nasvědčuje spíše zajištění státními organizacemi. Za cíl – splňující všechny specifikace - jsou považovány centrifugy pro obohacování uranu v Íránu (s téměř 60% zasažených počítačů v době krátce po odhalení viru v červenci 2010). Tyto domněnky potvrzuje např. spolupráce Amerických vědců z Idaho National Laboratory (pod Ministrestvem energetiky, zodpovídajícím i za jaderný program USA) se společností Siemens na vystopování slabin v dotyčném systému, stejně jako neúspěšné pokusy západních zemí zprovoznit k testování vlastní „obohacovací kaskádu“ z Íránem používaných nestabilních centrifug P-1. Stuxnet také počítá s ovládáním 984 propojených strojů, což přesně odpovídá počtu v Íránu vyřazených centrifug. Podíl na vývoji je připisován Izraeli, který se s odhadovaným několikaletým zbržděním Íránského jaderného programu vyhnul zvažované vojenské intervenci a podle expertů má údajně pro testování k dispozici „kaskádu“ - na rozdíl od jiných - plně funkční.[4] USA ani Izrael se o svém zapojení oficiálně nevyjadřují.

Zdroje

  1. SAADE, Tareq. Microsoft Malware Protection Center : Threat Research & Response Blog [online]. 2010-07-16 [cit. 2011-05-19]. The Stuxnet Sting. Dostupné z WWW: <http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx>.
  2. KEIZER, Gregg. COMPUTERWORLD [online]. 2010-09-16 [cit. 2011-05-19]. Is Stuxnet the 'best' malware ever?. Dostupné z WWW: <http://www.computerworld.com/s/article/9185919/Is_Stuxnet_the_best_malware_ever_>.
  3. CHIEN, Eric. Symantec : Connect [online]. 2010-11-12 [cit. 2011-05-19]. Stuxnet: A Breakthrough. Dostupné z WWW: <http://www.symantec.com/connect/blogs/stuxnet-breakthrough>.
  4. BROAD, William J.; MARKOFF, John; SANGER, David E. The New York Times [online]. 2011-01-15, 2011-01-17 [cit. 2011-05-19]. Israeli Test on Worm Called Crucial in Iran Nuclear Delay. Dostupné z WWW: <http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html>.