Stuxnet

Straipsnis iš Vikipedijos, laisvosios enciklopedijos.
Siemens Simatic S7-300 PLC su trim pramoninių mašinų valdymo moduliais

Stuxnet – 2010 m. atrastas labai didelės (pusės megabaito) apimties, neįprastai sudėtingas Interneto kirminas, kurio tikslas, tikėtina, buvo sukelti nežinomos pramoninės mašinos avariją ar katastrofą.

Sandara bei elgsena[redaguoti | redaguoti vikitekstą]

Dvi iš trijų kirmino pakopų daugumoje kompiuterių buvo iš esmės neaktyvus krovinys (angl. payload) kurį pirmoji pakopa platino kol jis patekdavo į tinkamą taikinį. Neįprastai tokiems kirminams, bent dalis kodo buvo parašyta C bei C++.[1]

Pirmoji pakopa[redaguoti | redaguoti vikitekstą]

Pirmojo lygio pakopos kodas platino Stuxnet tarp Windows kompiuterių (panašiai kaip ir kitus kirminus). Šioje pakopoje kirminas buvo labai nuosaikus ir atsargus: jo plitimas buvo ribojamas, ir jis turėjo visiškai ištrinti save 2012 m. birželio 24 d. Kirminas iš pradžių plito per nešiojamuosius atminties diskus, paskui persimesdavo iš vienos mašinos į kitą per jas jungiantį kompiuterinį tinklą, naudodamas įvairias šios operacinės sistemos saugumo spragas. Naudojamų spragų skaičius buvo neįprastai didelis.[2][3]. Interneto saugumui skirtose svetainėse pasirodžius pirmiesiems straipsniams apie naują kirminą, iš taip ir nenustatyto šaltinio prieš šiuos serverius buvo surengta masinė DDoS ataka. Ši ataka buvo sėkminga, dalinai blokuodama saugumo ekspertams reikalingą informaciją ir taip laimėdama daugiau laiko kirminui išplisti.[4]. Kirminą palaikė du serveriai, su kuriais jis reguliariai susisiekdavo ir per juos prireikus galėjo būti atnaujintas. Kirminas naudojo padirbtus JMicron ir Realtek skaitmeninius parašus.[5].

Antroji pakopa[redaguoti | redaguoti vikitekstą]

Įsimetus į puolamą kompiuterį, pradėdavo veikti antroji kirmino pakopa. Ši pakopa specifiškai ieškodavo kompiuteryje galbūt esančios Siemens WinCC/PCS 7 SCADA programinės įrangos, kuria gali būti valdomi įvairūs su kompiuteriu sujungti pramonės įrenginiai.[6] Kirminas perimdavo šios programos valdymą pasinaudodamas joje esančia programavimo klaida, fiksuotu programoje esančiu duomenų bazės slaptažodžiu. Perėmęs valdymą, kirminas pirmiausia patikrindavo kokie išoriniai įrenginiai prijungti prie puolamos mašinos.

Stuxnet ieškojo prie kompiuterio prijungtų galingų valdomo sukimosi greičio elektros variklių. Jam tiko dviejų tipų variklių kontroleriai: Suomijoje gaminami Vacon ir Irane gaminami Fararo Paya.[7] Toliau, tie varikliai turėjo suktis nuo 807 iki 1210 aps/s. Tokių variklių pramonėje gana daug, daugelis jų varo įvairus siurblius bei centrifugas.

Trečioji pakopa[redaguoti | redaguoti vikitekstą]

Aptikus ieškomo tipo, ieškomu greičiu besisukančius variklius, imdavo veikti trečiosios kirmino pakopos kodas, vykdomas tiesiogiai variklio kontroleryje. Šis kodas pirmiausia pasirūpindavo, jog į centrinį kompiuterį būtų siunčiami (ir jo monitoriuose rodomi) įprastiniai sukimosi greičiai, nesvarbu, kokiu iš tiesų greičiu sukosi varikliai. Kirminui įsitvirtinus kontrolerio atmintyje, kenkiančios programos pašalinimas iš pagrindinio kompiuterio jau nebebūdavo efektyvus.

Įsitvirtinęs bei užsimaskavęs, trečios pakopos kodas pasiųsdavo varikliui tokias komandas:[7]

  • Nustatyti sukimosi dažnį 1410 aps/s.
  • Po kurio laiko nustatyti sukimosi dažnį tik 2 aps/s.
  • Po kurio laiko pakeisti dažnį į 1064 aps/s.

Iki šiol nėra vienareikšmiškai žinoma, kam ir kokios turėjo būti šių komandų pasekmės ir kodėl parinkti būtent tokie sukimosi greičiai. Gali būti, jog sukantis šiuo greičiu pasireiškia sistemą sugadinti galintis rezonansas.

Spėjamas taikinys bei kilmė[redaguoti | redaguoti vikitekstą]

Kadangi kirminui sukurti buvo skirta daug resursų, o atakuojama sistema tarp įprastinių vartotojų nepaplitusi, manoma, jog kirminą parašė vienos valstybės kariškiai ar specialiųjų tarnybų atstovai, atakuoti kokį nors svarbų objektą kitos valstybės karo, galbūt atominėje pramonėje. Tokiais kompiuteriais valdomos, panašių charakteristikų centrifugos naudojamos radioaktyvių medžiagų išskyrimui. Iš tiesų, 2010 m. Irane nepataisomai sugedo daug tokių centrifugų, jo vadovybei prasitariant, jog yra su kompiuterių virusais susijusių problemų.[8][9] Gali būti, jog tokiu atveju kirminą parašė JAV arba Izraelio kariniai programuotojai. Specialistų nuomone, toks sudėtingas kirminas galėjo būti parašytas tik valstybinės tarnybos.[10]

Paplitimas[redaguoti | redaguoti vikitekstą]

Pagrindinės viruso plitimo šalys buvo Iranas, Indonezija ir Indija:[11]

Šalis Paplitimas
Iranas 58,85 %
Indonezija 18,22 %
Indija 8,31 %
Azerbaidžanas 2,57 %
JAV 1,56 %
Pakistanas 1,28 %
Kitos šalys 9,2 %

Pašalinimas[redaguoti | redaguoti vikitekstą]

Šiuo metu Siemens pateikia programą virusui aptikti ir pašalinti. Tuo tarpu Iranas, kurio branduolinio kuro gamyklos, tikėtina, nukentėjo, turi parengęs ir naudoja savo antivirusinę įrangą. Irano specialistai tvirtina jog Siemens „antivirusas“ Stuxnet iš tiesų nepašalina.[12][13]

Duqu ir Flame[redaguoti | redaguoti vikitekstą]

2011 metais buvo aptiktas kirminas Duqu [14], o 2012 metais – kirminas Flame[15]. Skirtingai nuo Stuxnet, šios programos neskirtos tiesioginei atakai. Abi jos šnipinėja, bando pagrobti skaitmeninius parašus, klaviatūra renkamus slaptažodžius, klausytis Interneto pokalbių ir pan. Tačiau kai kurios kodo vietos abiem atvejais labai panašios į Stuxnet.[15][14]

Šaltiniai[redaguoti | redaguoti vikitekstą]

  1. Robert McMillan (16 September 2010). „Siemens: Stuxnet worm hit industrial systems“. Computerworld. Suarchyvuotas originalas 2012-05-25. Nuoroda tikrinta 16 September 2010.
  2. Michael Joseph Gross (2011 m. balandžio mėn.). „A Declaration of Cyber-War“. Vanity Fair. Suarchyvuotas originalas 2014-07-13. Nuoroda tikrinta 4 March 2011.
  3. Ralph Langner (14 September 2010). „Ralph's Step-By-Step Guide to Get a Crack at Stuxnet Traffic and Behaviour“. Nuoroda tikrinta 4 March 2011.
  4. Gross, Michael Joseph (2011 m. balandžio mėn.). „A Declaration of Cyber-War“. Vanity Fair. Condé Nast. Suarchyvuotas originalas 2014-07-13. Nuoroda tikrinta 2012-02-18.
  5. „W32.Stuxnet Dossier“ (PDF). Symantec Corporation.
  6. Nicolas Falliere (26 September 2010). „Stuxnet Infection of Step 7 Projects“. Symantec.
  7. 7,0 7,1 Eric Chien (12 November 2010). „Stuxnet: A Breakthrough“. Symantec. Nuoroda tikrinta 14 November 2010.
  8. „Ahmadinedschad räumt Virus-Attacke ein“. Der Spiegel. 29 November 2010. Nuoroda tikrinta 29 December 2010.
  9. „Stuxnet: Ahmadinejad admits cyberweapon hit Iran nuclear program“. The Christian Science Monitor. 30 November 2010. Nuoroda tikrinta 29 December 2010.
  10. Halliday, Josh (24 September 2010). „Stuxnet worm is the 'work of a national government agency'“. London: The Guardian. Nuoroda tikrinta 27 September 2010.
  11. „W32.Stuxnet“. Symantec. 17 September 2010. Nuoroda tikrinta 2 March 2011.
  12. „شبکه خبر :: راه های مقابله با ویروس"استاکس نت"“ (hebrajų). Irinn.ir. Suarchyvuotas originalas 2013-06-21. Nuoroda tikrinta 28 September 2010.
  13. „Stuxnet worm rampaging through Iran: IT official“. AFP. Suarchyvuota iš originalo 2010-09-28. Nuoroda tikrinta 2012-02-19.
  14. 14,0 14,1 „W32.Duqu – The precursor to the next Stuxnet (Version 1.2)“ (PDF). Symantec. 20 October 2011. Suarchyvuotas originalas (PDF) 2019-10-25. Nuoroda tikrinta 25 October 2011.
  15. 15,0 15,1 „Resource 207: Kaspersky Lab Research Proves that Stuxnet and Flame Developers are Connected“. Kaspersky Lab. 11 June 2012.