Stuxnet

Stuxnet – działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu 2010^[1]. Jest jednym z pierwszych znanych robaków użytych do szpiegowania i przeprogramowywania instalacji przemysłowych^[2], choć ataki tego typu zdarzały się już wcześniej^[3]. Zawierał rootkit na system Windows^[1], pierwszy w historii PLC rootkit^[1]. Wykorzystywał 4 luki 0-day^[1]. Wirus miał zdolność aktualizacji metodą peer-to-peer^[1].

Powstanie

Najstarsze znane kompilacje Stuxneta pochodzą z 2009 roku. W porównaniu do późniejszych wersji nie mają one zasobu 207 (zaszyfrowany DLL propagujący wirusa na dyskach USB), który jest pluginem Flamea (prawdopodobnie najbardziej skomplikowany wirus, jaki kiedykolwiek odkryto^[4], wykrada on informacje z komputera i jego otoczenia włączając mikrofony oraz łącząc się z innymi urządzeniami elektronicznymi przez Bluetooth^[5]), co sugeruje, że z jego kodu powstał Stuxnet^[6].

Początkowo nie było wiadomo, kto i dlaczego napisał Stuxneta, co wywołało wiele teorii spiskowych^{[7][8][9][10]}, niemniej już w styczniu 2011 r. pojawiły się informacje, że został on opracowany przez specjalistów izraelskich oraz amerykańskich w celu sabotażu irańskiego programu nuklearnego^[11], co w czerwcu 2012 roku potwierdzili współpracownicy Obamy, ujawniając wiele bardziej szczegółowych danych^[12].

Działanie

Podstawową formą rozpowszechniania się robaka są zainfekowane podręczne pamięci USB^[7].

Po zainstalowaniu się w systemie operacyjnym Windows robak zaczyna przeszukiwać sieć lokalną w poszukiwaniu podłączonych sterowników PLC, które są często używane w różnego rodzaju fabrykach, rafineriach czy elektrowniach. W przypadku znalezienia ściśle określonej konfiguracji sterowników SIMATIC S7-300 oraz S7-400 firmy Siemens następuje aktywacja. Wirus wykorzystuje działające na zainfekowanym komputerze oprogramowanie Siemens SIMATIC WinCC/Step 7^[7] (oprogramowanie łączące system SCADA^[13] oraz programistyczną stację inżynierską) w celu zmian ustawień sterowników PLC. Robi to w sposób sugerujący, że jego twórcy mieli na celu tylko wybrane kontrolery^[7]. Stuxnet atakował głównie konwertery częstotliwości zmieniając częstotliwość prądu, jaki one wysyłały, co doprowadzało do przyspieszenia pracy wirówek gazowych^[14].

Jeżeli zarażony robakiem komputer nie jest podłączony do poszukiwanego przez niego kontrolera, to robak nie robi nic.

Dokładna liczba zarażonych komputerów i systemów nie jest znana, według danych z 29 września zarażonych było ok. 100 000 komputerów ze 155 krajów, najwięcej infekcji odkryto w Iranie – 58% z zarażonych komputerów, Indonezji – 18%, Indiach – 10% i Azerbejdżanie – 3,4% (pozostałe kraje poniżej 2%)^[8].

Według niepotwierdzonych informacji chińskiego producenta oprogramowania antywirusowego, Rising International, robak zaatakował kilka tysięcy zakładów przemysłowych w Chinach^[15].

Nie wiadomo na pewno, czy robak jest odpowiedzialny za jakieś fizyczne straty. Podejrzewa się, że mógł być odpowiedzialny za problemy z indyjskim satelitą INSAT-4B^[7]. Wiadomo, że zainfekował komputery irańskiej elektrowni atomowej w Buszehr^[7], choć według oficjalnych informacji rządu irańskiego zainfekowane zostały tylko osobiste komputery niektórych z pracowników, a nie systemy elektrowni^[16]. W grudniu 2010 prezydent Iranu Mahmud Ahmadineżad przyznał, że wirus spowodował „problemy w niewielkiej liczbie wirówek używanych do wzbogacania uranu”^[16].

Według analizy wirusa przeprowadzonej w firmie Symantec wirus zainteresowany jest najbardziej dwoma typami sterowników PLC, po infekcji modyfikuje je w specyficzny sposób zmieniając parametry pracy kontrolowanych przez nie silników w taki sposób, aby je fizycznie uszkodzić^[8].

Spuścizna

Język następcy Stuxneta, Duqu, odkrytego we wrześniu 2011 roku^[17], był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomy był również użyty do scalenia modułów wirusa kompilator, a także typ szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych^[18]. Miesiąc później okazało się, że Duqu jest napisany w OO C^[19].

W lipcu 2012 roku za pomocą Metasploita zatrzymano pracę w zakładach w Natanz i Fordo, dodatkowo odtwarzając na tamtejszych głośnikach komputerowych utwór Thunderstruck zespołu AC/DC maksymalnie głośno^[20].

Na tym samym frameworku co Flame, Stuxnet i Duqu powstał też Gauss. Pierwszy raz zaatakował we wrześniu 2011 roku, ale odkryto go 11 miesięcy później. Wirus przechwytuje cookies i hasła z przeglądarek internetowych, wykrada pliki konfiguracyjne oraz dane dostępowe do banków, portali społecznościowych, skrzynek e-mail i kont IM. Malware, podobnie jak jego poprzednicy, infekuje głównie komputery na Bliskim Wschodzie (najczęściej Iran i Izrael)^[21].

W 2014 roku został odkryty kolejny trojan, który celuje w instalacje przemysłowe. Został on odkryty przez specjalistów firmy F-Secure. Podobnie jak w przypadku poprzednika, twórcy trojana mogli nie tylko wykradać dane, ale także mogli mieć wpływ na proces produkcyjny^[22].