Ugrás a tartalomhoz

Stuxnet

Ellenőrzött
A Wikipédiából, a szabad enciklopédiából

A Stuxnet az első katonai számítógépes vírus.

Története

[szerkesztés]
A Stuxnet terjedési mechanizmusa

A kártevőt 2010 júniusában a fehérorosz „VirusBlokAda” cég fedezte fel Iránban, a Bushehr erőmű egyik számítógépén. Azóta bebizonyosodott, hogy több, mint 100 000 számítógépet fertőzött meg, Simatic WinCC SCADA-kat keresve. Csak Iránban 45 000 felügyeleti számítógép és szerver tartalmazta a vírust.[1]

A Stuxnet nem az erőműre jelentett közvetlen fenyegetést, hanem az urándúsító berendezések voltak a célpontjai.

A Stuxnetet feltételezések szerint az USA-ban és/vagy Izraelben fejlesztették ki (felmerült az izraeli hadsereg high tech különítményének, a Unit8200-nak a neve). Erre utalhat, hogy a kód az alábbi hivatkozást tartalmazza: 1979. május 9.; ezen a napon végezték ki a prominens zsidó üzletembert, Habib Elghaniant Iránban, Izraelnek való kémkedés vádjával.

Ma már tudjuk, hogy Barack Obamához és elődjéhez George W. Bushhoz köthető a féregprogram létrehozása és bevetése.[2]

Több feltevés szerint az izraeli Dimonában egy tesztkörnyezetet építettek ki Simatic rendszerrel és IR-1 centrifugákkal, és itt fejlesztették ki a Stuxnet támadó blokkját. A munkához az amerikai Idaho National Laboratory (INL) szakemberei adtak tanácsokat (vagy akár részt is vettek a fejlesztésben).

A Stuxnet fertőzési mechanizmusa

Az iráni urándúsító centrifugák kifejlesztése a pakisztáni Abdul Qadeer Khan nevéhez köthető, aki a holland Urenco-nál is dolgozott, majd a cég által kifejlesztett berendezéseket „másodhasznosította” a pakisztáni atomfegyver-programban, és az általa „honosított” berendezéseket Pak-1 vagy P-1 néven fejlesztették és terjesztették a Közel-Keleten, többek között Líbiában és Iránban.

Az urándúsító centrifugákat is hajtó motorok nagyfrekvenciás átalakítóinak a technikai adatait azoknak a gyártóitól, a finn Vacon-tól és az iráni Fararo Paya-tól szerezték meg. Ez az „adatszerzés” még a szakértőket is meglepte, hiszen a Fararo Paya-t olyan szinten próbálták elrejteni az iráni hatóságok, hogy az IAEA (International Atomic Energy Agency: Nemzetközi Atomenergia-ügynökség) se tudott róla.

A fejlesztésbe rendkívül sok energiát és időt öltek, erre utal a kártevő komplexitása és fejlett hatásmechanizmusa, így szinte kizárt a magányos cracker teóriája, aki otthon, hobbiból fejlesztette volna a kódot. Itt egy komoly szakértőkből álló csoportnak kellett állnia a háttérben, a fertőzés jól irányzott volta, és az, hogy a kártevő elérte a célját, profi kivitelezőket és bőséges finanszírozást feltételez. A fejlesztés a „Myrtus” projekt keretein belül történt, erre utal a beforgatott kód elérési útja: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. A „Myrtus” hivatkozás lehet a bibliai Eszterre, aki megmentette a perzsáktól az ókori zsidó államot, de lehet akár a „My RTU”s (remote terminal unit – távoli elérésű terminál) is.

A kódban található egy DEADF007 hivatkozás is, melynek eredetije a DEADFOOT, ez a pilóták szlengjében a hajtómű-meghibásodást jelenti. Az „o” betű 0-nak és „T”-nek pedig a 7-es számmal való írása nem véletlen elgépelés. A leet speech nevet kapott, alternatív ábécé szerint írták, ahol egyes betűket számokkal helyettesítenek. Érdekessége továbbá, hogy a DEADF007 felbontható hexadecimális számok sorozatává, mint DE AD F0 07.

A fejlesztéshez kiindulásként valószínűleg, egy korábbi kártevő, a Conficker kódját használták. A féreg tevékenységéről egy maláj és egy dán szerverre folyamatosan jelentéseket küldött (www.mypremierfutbol.com, www.todaysfutbom.com), majd a nantanzi támadás után ezeket a szervereket lekapcsolták üzemeltetőik.

Eredmény

[szerkesztés]

2010. november 16-án Irán leállította az urándúsítóit, miután a centrifugák több mint 20%-a megsemmisült a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját. Egyes kutatók megkérdőjelezik, hogy az elért siker megérte-e a befektetett hatalmas összegeket, ugyanakkor a támadás új fejezetet nyitott a cyber-hadviselés történelmében.

A kártevő – persze megint csak feltételezések szerint – az igazi pusztítást a natanzi urándúsító létesítményben fejtette ki, itt jó eséllyel kb. ezer IR-1 típusú urándúsító centrifugát égetett le. Ezeknek a berendezéseknek a hajtómotorja 1007 cps-nél (cycles per second, másodpercenkénti fordulatszám) is már tönkremegy, a Stuxnet viszont rövidebb fázisokra, észrevétlenül 1064 cps-es tempót diktált nekik, széthajtva őket.

Habár az iráni hatóságok állítják, hogy a fertőzést megszüntették, minden szakértő tudja, hogy mindaddig, míg az alkalmazott technológiát nem cserélik le, egy újabb – a Stuxnethez hasonló felépítésű, de eltérő működésű – behatoló fertőzése csak idő kérdése. A Bushehr atomerőmű kapcsán emlegetett Csernobil-analógia bár nem következhet be (alapvetően a csernobili berendezés és az ott történtek nem vethetők össze az iráni erőművel), de – és ezt a Stuxnet fényesen bizonyította – ezek a programok hatalmas károkat okozhatnak.

2010 óta szinte naponta publikáltak újabb és újabb részleteket a Stuxnet támadásról, amikor 2011. október 18-án publikálásra került a Duqu malware létezése.[3] Az új malware komponenseket a Budapesti Műszaki Egyetem CrySys Adat- és Rendszerbiztonság Laboratóriuma azonosította egy európai cégnél. A szűk szakmai közösségben végzett munkájuk eredményeképpen azonosították a Duqu komponenseket, elkészítették az első részletes elemzést, azonosították a droppert és bizonyították, hogy 0-day Windows exploitot tartalmaz, továbbá kiadtak egy Duqu detekcióra alkalmas toolkitet is, amelyet nyílt forráskódja révén akár kritikus infrastruktúra környezetben is alkalmazhatnak nemcsak a Duqu, hanem ahhoz közel álló módosított támadó modulok és fájlok azonosítására is.

Források

[szerkesztés]
  1. Homeland Security Newswire, 2011. február
  2. Index: Obama hagyta jóvá az Irán elleni vírustámadást (magyar nyelven). index.hu, 2012. június 1. (Hozzáférés: 2019. július 24.)
  3. W32.Duqu – The precursor to the next Stuxnet (Version 1.4). Symantec, 2011. november 23. [2012. március 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. december 30.)

További információk

[szerkesztés]
Commons:Category:Stuxnet
A Wikimédia Commons tartalmaz Stuxnet témájú médiaállományokat.