Stuxnet

Straipsnis iš Vikipedijos, laisvosios enciklopedijos.
Peršokti į: navigaciją, paiešką
Siemens Simatic S7-300 PLC su trim pramoninių mašinų valdymo moduliais

Stuxnet yra 2010 m. atrastas labai didelės (pusės megabaito) apimties, neįprastai sudėtingas Interneto kirminas, kurio tikslas, tikėtina, buvo sukelti nežinomos pramoninės mašinos avariją ar katastrofą.

Sandara bei elgsena[taisyti | redaguoti kodą]

Dvi iš trijų kirmino pakopų daugumoje kompiuterių buvo iš esmės neaktyvus krovinys (angl. payload) kurį pirmoji pakopa platino kol jis patekdavo į tinkamą taikinį. Neįprastai tokiems kirminams, bent dalis kodo buvo parašyta C bei C++.[1]

Pirmoji pakopa[taisyti | redaguoti kodą]

Pirmojo lygio pakopos kodas platino jį tarp Windows kompiuterių (panašiai kaip ir kitus kirminus). Šioje pakopoje kirminas buvo labai nuosaikus ir atsargus: jo plitimas buvo ribojamas, ir jis turėjo visiškai ištrinti save 2012 m. birželio 24 d. Kirminas iš pradžių plito per nešiojamuosius atminties diskus, paskui persimesdavo iš vienos mašinos į kitą per jas jungiantį kompiuterinį tinklą, naudodamas įvairias šios operacinės sistemos saugumo spragas. Naudojamų spragų skaičius buvo neįprastai didelis.[2][3]. Interneto saugumui skirtose svetainėse pasirodžius pirmiesiems straipsniams apie naują kirminą, iš taip ir nenustatyto šaltinio prieš šiuos serverius buvo surengta masinė DDoS ataka. Ši ataka buvo sėkminga, dalinai blokuodama saugumo ekspertams reikalingą informaciją ir taip laimėdama daugiau laiko kirminui išplisti.[4]. Kirminą palaikė du serveriai, su kuriais jis reguliariai susisiekdavo ir per juos prireikus galėjo būti atnaujintas. Kirminas naudojo padirbtus JMicron ir Realtek skaitmeninius parašus.[5].

Antroji pakopa[taisyti | redaguoti kodą]

Įsimetus į puolamą kompiuterį, pradėdavo veikti antroji kirmino pakopa. Ši pakopa specifiškai ieškodavo kompiuteryje galbūt esančios Siemens WinCC/PCS 7 SCADA programinės įrangos, kuria gali būti valdomi įvairūs su kompiuteriu sujungti pramonės įrenginiai.[6] Kirminas perimdavo šios programos valdymą pasinaudodamas joje esančia programavimo klaida, fiksuotu programoje esančiu duomenų bazės slaptažodžiu. Perėmęs valdymą, kirminas pirmiausia patikrindavo kokie išoriniai įrenginiai prijungti prie puolamos mašinos.

Stuxnet ieškojo prie kompiuterio prijungtų galingų valdomo sukimosi greičio elektros variklių. Jam tiko dviejų tipų variklių kontroleriai: Suomijoje gaminami Vacon ir Irane gaminami Fararo Paya.[7] Toliau, tie varikliai turėjo suktis nuo 807 iki 1210 aps/min. Tokių variklių pramonėje gana daug, daugelis jų varo įvairus siurblius bei centrifugas.

Trečioji pakopa[taisyti | redaguoti kodą]

Aptikus ieškomo tipo, ieškomu greičiu besisukančius variklius, imdavo veikti trečiosios kirmino pakopos kodas, vykdomas tiesiogiai variklio kontroleryje. Šis kodas pirmiausia pasirūpindavo, jog į centrinį kompiuterį būtų siunčiami (ir jo monitoriuose rodomi) įprastiniai sukimosi greičiai, nesvarbu, kokiu iš tiesų greičiu sukosi varikliai. Kirminui įsitvirtinus kontrolerio atmintyje, kenkiančios programos pašalinimas iš pagrindinio kompiuterio jau nebebūdavo efektyvus.

Įsitvirtinęs bei užsimaskavęs, trečios pakopos kodas pasiųsdavo varikliui tokias komandas:[7]

  • Nustatyti sukimosi dažnį 1410 aps/min.
  • Po kurio laiko nustatyti sukimosi dažnį tik 2 aps/min.
  • Po kurio laiko pakeisti dažnį į 1064 aps/min.

Iki šiol nėra vienareikšmiškai žinoma, kam ir kokios turėjo būti šių komandų pasekmės ir kodėl parinkti būtent tokie sukimosi greičiai. Gali būti, jog sukantis šiuo greičiu pasireiškia sistemą sugadinti galintis rezonansas.

Spėjamas taikinys bei kilmė[taisyti | redaguoti kodą]

Kadangi kirminui sukurti buvo skirta daug resursų, o atakuojama sistema tarp įprastinių vartotojų nepaplitusi, manoma, jog kirminą parašė vienos valstybės kariškiai ar specialiųjų tarnybų atstovai, atakuoti kokį nors svarbų objektą kitos valstybės karo, galbūt atominėje pramonėje. Tokiais kompiuteriais valdomos, panašių charakteristikų centrifugos naudojamos radioaktyvių medžiagų išskyrimui. Iš tiesų, 2010 m. Irane nepataisomai sugedo daug tokių centrifugų, jo vadovybei prasitariant, jog yra su kompiuterių virusais susijusių problemų.[8][9] Gali būti, jog tokiu atveju kirminą parašė JAV arba Izraelio kariniai programuotojai. Specialistų nuomone, toks sudėtingas kirminas galėjo būti parašytas tik valstybinės tarnybos.[10]

Paplitimas[taisyti | redaguoti kodą]

Pagrindinės viruso plitimo šalys buvo Iranas, Indonezija ir Indija:[11]

Šalis Paplitimas
Iranas 58,85 %
Indonezija 18,22 %
Indija 8,31 %
Azerbaidžanas 2,57 %
JAV 1,56 %
Pakistanas 1,28 %
Kitos šalys 9,2 %

Pašalinimas[taisyti | redaguoti kodą]

Šiuo metu Siemens pateikia programą virusui aptikti ir pašalinti. Tuo tarpu Iranas, kurio branduolinio kuro gamyklos, tikėtina, nukentėjo, turi parengęs ir naudoja savo antivirusinę įrangą. Irano specialistai tvirtina jog Siemens „antivirusas“ Stuxnet iš tiesų nepašalina.[12][13]

Šaltiniai[taisyti | redaguoti kodą]

Commons-logo.svg Vikiteka: Stuxnet – vaizdinė ir garsinė medžiaga

Vikiteka

  1. Robert McMillan (16 September 2010). "Siemens: Stuxnet worm hit industrial systems." Computerworld. Nuoroda tikrinta 16 September 2010.
  2. Michael Joseph Gross. „A Declaration of Cyber-War“. Vanity Fair (2011 m. April). Pasiektas 4 March 2011. 
  3. Ralph Langner (14 September 2010). "Ralph's Step-By-Step Guide to Get a Crack at Stuxnet Traffic and Behaviour." Nuoroda tikrinta 4 March 2011.
  4. Gross, Michael Joseph (April 2011). "A Declaration of Cyber-War." Vanity Fair. Condé Nast.
  5. "W32.Stuxnet Dossier." Symantec Corporation.
  6. Nicolas Falliere (26 September 2010). "Stuxnet Infection of Step 7 Projects." Symantec.
  7. 7,0 7,1 Eric Chien (12 November 2010). "Stuxnet: A Breakthrough." Symantec. Nuoroda tikrinta 14 November 2010.
  8. "Ahmadinedschad räumt Virus-Attacke ein." Der Spiegel: 29 November 2010. Nuoroda tikrinta 29 December 2010.
  9. "Stuxnet: Ahmadinejad admits cyberweapon hit Iran nuclear program." The Christian Science Monitor: 30 November 2010. Nuoroda tikrinta 29 December 2010.
  10. Halliday, Josh. "Stuxnet worm is the 'work of a national government agency'", The Guardian, 24 September 2010. Nuoroda tikrinta 27 September 2010.
  11. "W32.Stuxnet." Symantec: 17 September 2010. Nuoroda tikrinta 2 March 2011.
  12. "شبکه خبر :: راه های مقابله با ویروس"استاکس نت" (Iranian)." Irinn.ir. Nuoroda tikrinta 28 September 2010.
  13. "Stuxnet worm rampaging through Iran: IT official." AFP. Suarchyvuota nuo originalo 28 Rugsėjis 2010.