Stuxnet

A Wikipédiából, a szabad enciklopédiából

A Stuxnet az első katonai számítógépes vírus.

Története[szerkesztés | forrásszöveg szerkesztése]

A kártevő 2010. júniusában „bukott le” a fehérorosz „VirusBlokAda” cég által Iránban, a Bushehr erőmű egyik gépén, és azóta bebizonyosodott, hogy több, mint 100 000 számítógépet fertőzött meg, a Simatic WinCC SCADA-kat keresve. Csak Iránban 45 000 felügyeleti számítógép és szerver tartalmazta a vírust[1]

A felfedezés óta bebizonyosodott, hogy a Stuxnet vírus az erőműre közvetlen fenyegetést nem jelentett, mert annak az urániumdúsító berendezések voltak a célpontjai. Közvetett értelemben azonban az a tény mindenképpen fenyegető, hogy egy vírus bejutott a létesítménybe.

A Stuxnet-et feltételezések szerint az USA-ban vagy/és Izraelben fejlesztették ki (több találgatásban is felmerült az izraeli hadsereg high tech különítményének, a Unit8200-nak a neve). Erre utal (de akár figyelem-elterelés is lehet), hogy a kód az alábbi hivatkozást tartalmazza: 1979 május 9; ezen a napon végezték ki a prominens zsidó üzletembert, Habib Elghanian-t Iránban, Izraelnek való kémkedés vádjával.

Több feltevés szerint az izraeli Dimonában egy tesztkörnyezetet építettek ki Simatic rendszerrel és IR-1 centrifugákkal, és itt fejlesztették ki a Stuxnet támadó blokkját. A munkához az amerikai Idaho National Laboratory (INL) szakemberei adtak tanácsokat (vagy akár részt is vettek a fejlesztésben).

Az iráni urándúsító centrifugák kifejlesztése a pakisztáni Abdul Qadeer Khan nevéhez köthető, aki a holland Urenco-nál is dolgozott, majd a cég által kifejlesztett berendezéseket „másodhasznosította” a pakisztáni atomfegyver-programban, és az általa „honosított” berendezéseket Pak-1 vagy P-1 néven fejlesztették és terjesztették a Közel-Keleten, többek között Líbiában és Iránban.

Az urándúsító centrifugákat is hajtó motorok nagyfrekvenciás átalakítóinak a technikai adatait azoknak a gyártóitól, a finn Vacon-tól és az iráni Fararo Paya-tól szerezték meg. Ez az „adatszerzés” még a szakértőket is meglepte, hiszen a Fararo Paya-t olyan szinten próbálták elrejteni az iráni hatóságok, hogy az IAEA (International Atomic Energy Agency: Nemzetközi Atomenergia-ügynökség) se tudott róla.

A fejlesztésbe rendkívül sok energiát és időt öltek, erre utal a kártevő komplexitása és fejlett hatásmechanizmusa, így szinte kizárt a magányos cracker (ejtsd: krekker) teóriája, aki otthon, hobbiból fejlesztette volna a kódot. Itt egy komoly szakértőkből álló team-nek kellett állnia a háttérben, a fertőzés jól irányzott volta, és az, hogy a kártevő elérte a célját, profi kivitelezőket és bőséges finanszírozást feltételez. A fejlesztés a "Myrtus" projekt keretein belül történt, erre utal a beforgatott kód path-je: \myrtus\src\objfre_w2k_x86\i386\guava.pdb.

A "Myrtus" lehet egy hivatkozás a bibliai Eszterre, aki megmentette a perzsáktól az ókori zsidó államot, de lehet akár a „My RTU”s (remote terminal unit – távoli elérésű terminál) is.

A kódban található egy DEADF007 hivatkozás is, melynek eredetije a DEADFOOT, ez a pilóták szlengjében a hajtómű-meghibásodást jelenti. Az "o" betű 0-nak és "T"-nek pedig a 7-es számmal való írása nem véletlen elgépelés. A leet speech nevet kapott, alternatív ábécé szerint írták, ahol egyes betűket számokkal helyettesítenek. Érdekessége továbbá, hogy a DEADF007 felbontható hexadecimális számok sorozatává, mint DE AD F0 07. Ugyanakkor, a vége "007" utalhat James Bond-ra is.

A fejlesztéshez kiindulásként valószínűleg, egy korábbi kártevő, a Conficker kódját használták. A féreg tevékenységéről egy maláj és egy dán szerverre folyamatosan jelentéseket küldött (www.mypremierfutbol.com, www.todaysfutbom.com), majd a nantanz-i támadás után ezeket a szervereket lekapcsolták üzemeltetőik.

Eredmény[szerkesztés | forrásszöveg szerkesztése]

2010. november 16-án Irán leállította az urándúsítóit, miután a centrifugák több, mint 20%-a megsemmisült a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját. Egyes kutatók megkérdőjelezik, hogy az elért siker megérte-e a befektetett hatalmas összegeket, ugyanakkor a támadás új fejezetet nyitott a cyber-hadviselés történelmében.

A kártevő – persze megint csak feltételezések szerint – az igazi pusztítást a natanz-i urándúsító létesítményben fejtette ki, itt jó eséllyel kb. ezer IR-1 típusú urándúsító centrifugát égetett le. Ezeknek a berendezéseknek a hajtómotorja 1007 cps-nél (cycles per second, másodpercenkénti fordulatszám) is már tönkremegy, a Stuxnet viszont rövidebb fázisokra, észrevétlenül 1064 cps-es tempót diktált nekik, széthajtva őket.

Habár az iráni hatóságok állítják, hogy a fertőzést megszüntették, minden szakértő tudja, hogy mindaddig, míg az alkalmazott technológiát nem cserélik le, az újabb – a Stuxnethez hasonló felépítésű, de eltérő működésű behatoló fertőzése csak idő kérdése. A Bushehr atomerőmű kapcsán emlegetett Csernobil-analógia bár nem következhet be (alapvetően a csernobili berendezés és az ott történtek nem vethetők össze az iráni erőművel), de – és ezt a Stuxnet fényesen bizonyította – ezek a programok iszonyú károkat okozhatnak.

Duqu[szerkesztés | forrásszöveg szerkesztése]

2010. óta szinte naponta publikáltak újabb és újabb részleteket a Stuxnet támadásról, amikor 2011. október 18-án publikálásra került a Duqu malware létezése.[2] Az új malware komponenseket a Budapesti Műszaki Egyetem Híradástechnikai Tanszékének CrySys Adat- és Rendszerbiztonság Laboratóriuma azonosította egy európai cégnél. A szűk szakmai közösségben végzett munkájuk eredményeképpen azonosították a Duqu komponenseket, elkészítették az első részletes elemzést, azonosították a droppert és bizonyították, hogy 0-day Windows exploitot tartalmaz, továbbá kiadtak egy Duqu detekcióra alkalmas toolkitet is, amelyet nyílt forráskódja révén akár kritikus infrastruktúra környezetben is alkalmazhatnak nemcsak a Duqu, hanem ahhoz közel álló módosított támadó modulok és fájlok azonosítására is.

Források[szerkesztés | forrásszöveg szerkesztése]

  1. Homeland Security Newswire, 2011. február
  2. W32.Duqu – The precursor to the next Stuxnet (Version 1.4). Symantec, 2011. november 23. (Hozzáférés: 2011. december 30.)

További információk[szerkesztés | forrásszöveg szerkesztése]

Commons
A Wikimédia Commons tartalmaz Stuxnet témájú médiaállományokat.