Stuxnet

Stuxnet je počítačový červ objevený v červnu 2010 běloruskou firmou VirusBlokAda. Je zajímavý tím, že to je první známý červ, který se soustředí na kontrolu průmyslových systémů. Byl naprogramován, aby útočil na systémy SCADA. Umí přeprogramovat programovatelné logické automaty (PLC) a své změny skrýt.

Fungování a cíle

V době, kdy byl objeven, byl už několik měsíců v oběhu a využíval několik (asi 4[1]) zneužití nultého dne operačních systémů Microsoft Windows. Tedy takových zneužití, která jsou známa útočníkovi dřív, než na ně přišel výrobce software, nebo než je nějaký dobrák nahlásil výrobci softwaru. Ta jsou mezi počítačovými zločinci ceněna a že je autor použil do jednoho červa, místo aby si je šetřil pro různá použití, je neobvyklé. Zajímavou chybou, kterou červ použil pro své šíření, je chyba MS Windows při čtení souborů *.lnk. Jakmile se uživatel chtěl podívat na svou přenosnou USB paměť, na které se nacházel poškozený soubor *.lnk, došlo ke spuštění jiného programu nacházejícího se ve stejném adresáři a instalaci červa do systému.

Stuxnet je také neobvyklý svou značnou velikostí půl megabajtu a tím, že je programován v několika různých programovacích jazycích (včetně C a C++).

Simatic S7-300

Červ testoval, zda se nachází na počítači, na kterém je nainstalován řídicí software Siemens (WinCC, Step7), ze kterého jsou sledovány specifické automaty (S7-300) s připojenými moduly (CP-342-5) pro řízení frekvenčních měničů. V takových případech červ upravil software PLC, tak aby docházelo k opakované změně výstupní frekvence měničů. Aby zamaskoval svoji činnost, podstrčil do Step7 své DLL knihovny tak, aby uživatel infikovaného počítače měl pocit, že v PLC se nachází původní nepoškozený software.

Součástí Stuxnetu byla i funkce pro připojení ke vzdálenému internetovému serveru, aby od něj červ přijal další příkazy a mohl jej informovat o své činnosti.

Cílem útoku byla pravděpodobně jaderná elektrárna Búšehr, či ještě spíše závod na obohacování uranu v Natanzu, obojí v Íránu. Útoku na Írán odpovídá i to, že z 45 000 (jak uvedl Microsoft v srpnu 2010) napadených počítačů leží 60 % v Íránu, 18 % v Indonésii a 8 % v Indii (podle firmy Symantec). Snížení počtu funkčních centrifug v Natanzu na počátku roku 2009 by mohl být projev Stuxnetu.[1]

Celková sofistikovanost viru vede experty k domněnce, že se jedná o profesionální práci s největší pravděpodobností armádního původu. Izrael, pravděpodobně prostřednictvím Jednotky 8200,[2] je podle mnoha mediálních zpráv spekulovaným výrobcem viru, tento názor zastává také expert Richard A. Falkenrath, bývalý pracovník Ministerstva vnitřní bezpečnosti Spojených států amerických.[3][4][5] V říjnu 2011 společnosti Symantec a McAfee informovaly, že objevily novou verzi viru podobnou Stuxnetu, označovanou jako DuQu nebo také Stuxnet 2.0. Ta používá ovladače a šifrované knihovny DLL s podobnou funkcionalitou jako Stuxnet, obdobné jsou rovněž použité šifrovací klíče. Hlavní rozdíl je v cílech útočníků. Ve srovnání se Stuxnetem není DuQu navržen za účelem sabotáže systémů řídících průmyslové procesy, ale především pro útoky na weby certifikačních autorit. Další cílem malwaru DuQu je špionáž – zejména krádeže duševního vlastnictví z informačních systémů průmyslových podniků.[6]

Reference

  1. a b The Economist: Červ v centrifuze. Respekt 4. října 2010: s. 36.
  2. BEAUMONT, Peter. Stuxnet worm heralds new era of global cyberwar [online]. Guardian News & Media, 2010-9-30 [cit. 2010-10-02]. Dostupné online. (angličtina) 
  3. HALLIDAY, Josh. Stuxnet worm is the 'work of a national government agency' [online]. Guardian News & Media, 2010-9-24 [cit. 2010-10-02]. Dostupné online. (angličtina) 
  4. HOUNSHELL, Blake. 6 mysteries about Stuxnet [online]. Foreign Policy, 2010-9-27 [cit. 2010-10-02]. Dostupné v archivu pořízeném dne 2014-02-09. (angličtina) 
  5. A cyber-missile aimed at Iran? [online]. The Economist, 2010-9-24 [cit. 2010-10-02]. Dostupné online. (angličtina) 
  6. NOVÁK, Jiří. Přichází DuQu – nová hrozba podobná Stuxnetu. ICT manažer [online]. 20. 10. 2011 [cit. 21.10.2011]. Dostupné v archivu pořízeném z originálu dne 2012-11-08. 

Externí odkazy

Média použitá na této stránce

S7300.JPG
Autor: Ulli1105, Licence: CC BY-SA 2.5
Siemens Simatic S7-300