Nové důkazy: Stuxnet fungoval minimálně od roku 2007

Výzkumníci z bezpečnostní firmy Symantec nalezli a analyzovali verzi kybersabotážního malwaru Stuxnet, který dříve objevené verze předchází o minimálně dva roky. Pro přerušení obohacování uranu v íránském jaderném zařízení Natanz používala starší verze odlišnou metodu.

Nové důkazy: Stuxnet fungoval minimálně od roku 2007


Stuxnet byl objeven v roce 2010 a byl považován za nejsofistikovanější malware, který bylo do té doby odhalen. Pro své šíření využíval více než jedno zneužití bezpečnostních děr, přičemž o většině těchto děr se předtím nevědělo, a jednalo se také o první malware cílící na průmyslové kontrolní systémy. Na základě časových razítek nalezených v posbíraných vzorcích Stuxnetu se bezpečnostní vědci domnívali, že byl tento malware vytvořen původně v roce 2009 – až dodnes.

Verze nalezená badateli Symantecu – nazvaná Stuxnet 0.5 – byla aktivně používána už v roce 2007, a existují důkazy, které naznačují, že mohla být vytvořena ještě o dva roky dříve, kdy byla poprvé registrována doménová jména používaná pro její ovládací servery.

Badatelé Symantecu věří tomu, že Stuxnet 0.5 je chybějícím mezičlánkem mezi Stuxnetem 1.0 a kyberšpionážním malwarem Flame (Flamer), nalezeným v roce 2012, který podle nepřímých důkazů Stuxnet časově předcházel.

Technické důkazy naznačují, že Flame a Stuxnet 1.0 byly postaveny na různých vývojových platformách, bezpečnostní vědci však mezi těmito dvěma hrozbami zjistili dost podobností, z čehož usuzují, že tvůrci Stuxnetu měli přístup ke kódové bázi Flame.

Stuxnet 0.5 je důkazem, že vývojáři Stuxnetu nejenže spolupracovali s vývojáři Flame, ale že tyto dvě hrozby na počátku skutečně sdílely podstatnou část svého zdrojového kódu.

Nově objevená verze Stuxnetu je částečně založena na platformě Flame, která je od platformy Stuxnetu 1.0, zvané Tilded, odlišná. „Vývojáři v pozdějších verzích ve skutečnosti znovu implementovali komponenty platformy Flameru s využitím platformy Tilded,“ oznámili lidé ze Symantecu na bezpečnostní konferenci RSA 2013 v San Francisku.

Na rozdíl od Stuxnetu 1.0 zneužívá verze 0.5 v technickém softwaru Siemens Step 7 pouze jediné zranitelnosti, pomocí níž infikuje systémy a šíří se z jednoho počítače na druhý prostřednictvím infikovaných projektů Step 7 kopírovaných přes USB flash disky. Software Step 7 se používá k programování PLC (programovatelných logických ovladačů), což jsou speciální digitální počítače, které ovládají průmyslové stroje a procesy.

Stuxnet 1.0 ke zranitelnosti Step 7 přidal také zneužití zero-day zranitelností ve Windows, aby se mohl šířit místními sítěmi.

Stuxnet 0.5 používal jinou strategii sabotáže než Stuxnet 1.0. Podle badatelů Symantecu vnesla tato starší verze Stuxnetu útočný kód do PLC Siements 417, aby mohla manipulovat s ventily používány k plnění centrifug k obohacování uranu UF6 (hexafluoridem uranu neboli „hexem“).

Takový útok by „způsobil vážné poškození centrifug a systému obohacování uranu jako celku,“ řekli vědci.

Navíc byl tento škodlivý PLC kód naprogramován tak, aby vykazoval falešné výstupy a tím skryl svůj útok a přesvědčil operátory jaderného zařízení, že všechno běží tak, jak má. Jednalo se o normální výstupy sesbírané malwarem v průběhu třicetidenní čekací periody následující po dni, kdy byly systémy infikovány, a zpětně přehrávané ve chvíli útoku.

Škodlivý PLC kód také znemožňoval operátorům intervenci a změnu stavu ventilů ve chvíli, kdy probíhal útok.

HackerNaopak Stuxnet 1.0 byl profilován tak, aby infikoval odlišný model PLC zvaný 315, který byl používán ke kontrole rychlosti otáčení centrifug pro obohacování uranu. Ve Stuxnetu 1.0 byly nalezeny také nekompletní sekvence útočného kódu 417 PLC, jejich význam byl však dosud neznámý.

Není jasné, proč se tvůrci Stuxnetu rozhodli změnit útočnou strategii od manipulace ventilů centrifug ke změně rychlosti jejich otáčení. Je možné, že útok 417 PLC nevykazoval očekávané výsledky, ale je také možné, že entita, na niž byly útoky prováděny, vyměnila model 417 PLC, což tvůrce Stuxnetu donutilo změnit způsob útoku.

Stuxnet 0.5 měl provádět extenzivní „snímání otisků prstů“ systému, aby se ujistil, že cílí pouze na specifické konfigurace kaskád centrifug. Na základě hodnot nalezených v kódu a open-source informacích z různých zdrojů je velmi pravděpodobné, že cílem bylo íránské zařízení pro obohacování uranu Natanz.

Tato verze malwaru byla naprogramována tak, aby své ovládací servery přestala kontaktovat po 11. lednu 2009, a aby se přestala šířit o několik měsíců později, 4. července 2009. Nejstarší nalezená verze Stuxnetu 1.0 byla zkompilována 22. června 2009, badatelé Symantecu však věří tomu, že mohla existovat ještě další verze mezi verzemi 0.5 a 1.0, která zatím nebyla objevena.

Přestože se měl Stuxnet 0.5 přestat šířit v roce 2009, byl Symantec v průběhu uplynulého roku stále schopen identifikovat malý počet tzv. „spících infekcí“ - kopií malwaru v projektech Step 7. Téměř polovina z nich byla v Íránu, 21 procent z nich potom v USA.

Tato verze malwaru daleko překračuje sofistikovanost jakéhokoliv jiného škodlivého programu, který existoval v roce 2005, když byly registrovány ovládací domény, či v roce 2007, kdy byl nahrán vzorek na veřejnou službu skenování malwaru. „Pouhý fakt, že tento malware je schopen poškodit hardware tak, jak jeho tvůrci zamýšleli, nám bere dech. Lidé za tímto projektem viděli hodně dopředu; byli velmi zaměření na to, co bylo jejich konečným cílem,“ oznámili vědci na konferenci v San Francisku. „Nikdo jiný se v té době ani nepřiblížil tomu, co udělali oni, alespoň z toho, co zatím víme.“

Zdroj: IDG News Service


Úvodní foto: Fotolia © ktsdesign




Komentáře