#CyberFiles: Stuxnet, "viermele" care a deschis calea terorismului cibernetic

Luni, 23 Septembrie 2019, ora 10:24
2001 citiri
#CyberFiles: Stuxnet, "viermele" care a deschis calea terorismului cibernetic
Foto: Pixabay

Considerat prima si una dintre cele mai faimoase arme cibernetice cunoscute, cu state vechi pe harta mondiala de malware, "viermele" Stuxnet, nascut in 2005, este extrem de "ambitios.

Nu s-a dat in laturi de la a dezactiva centrifugele de imbogatire a uraniului din Iran, reusind astfel sa incetineasca programul nuclear al tarii pentru mai multi ani.

Cu ce s-a mai ocupat Stuxnet in anii sai de glorie si ce au intreprins expertii in domeniul securitatii cibernetice pentru a-l extermina, descoperim in cele ce urmeaza.

Cand, unde si de ce a aparut Stuxnet?

Desi specialistii in securitate cibernetica au pus ochii pe Stuxnet prin anul 2010, se pare ca "viermele" periculos ar fi fost activ inca din 2005.

In viziunea celor de la Kaspersky, virusul Stuxnet este considerat prima arma cibernetica cunoscuta si una dintre cele mai faimoase.

Pe fondul si in perioada descoperirii acestuia, mostra de malware viza programul nuclear al Iranului cu un mecanism complex.

S-a constatat la vremea respectiva ca persoanele din spatele Stuxnet au reusit sa dezactiveze centrifugele de imbogatire a uraniului din Iran, lucru care a decalat cu cativa ani si in mod considerabil programul nuclear national.

Tinand seama de amploarea si tinta vizata, Stuxnet este caracterizat drept una dintre cele mai interesante mostre de malware create vreodata, echivalentul cibernetic al atacurilor atomice asupra Nagasaki si Hiroshima, din 1945.

Dar cum au reusit creatorii "viermelui" sa faca asemenea pagube?

"Autorii au reusit sa introduca un cod infectat intr-un laborator unde nu existau conexiuni directe la Internet, folosind stick-uri USB. Din cauza unor erori, Stuxnet a ajuns si la alte organizatii in afara celor vizate si s-a propagat pe Internet, infectand sute de mii de computere.

Nu au putut, insa, sa afecteze aceste computere, pentru ca fusese creat pentru un scop precis", explica, pentru AGERPRES, specialistii Kaspersky.

La nivel international, in breasla expertilor in securitate cibernetica, atacurile Stuxnet au generat numeroase controverse privind identitatea atacatorilor si a tintei.

Astfel, conform Kaspersky, atacul a fost pregatit de catre un grup de infractori cu vaste cunostinte despre tehnologia SCADA (Supervisory Control and Data Acquisition, n.r.) si nu putea fi realizat decat cu sprijinul unui stat.

In acest context, complexitatea atacului l-a determinat pe Eugene Kaspersky sa afirme ca "ne apropiem de era terorismului cibernetic, a armelor complexe si a razboaielor cibernetice".

"Acest program periculos nu a fost creat pentru a fura bani, a trimite mesaje spam sau a fura date personale, ci pentru a sabota companii de productie, pentru a distruge sisteme industriale. Constat ca acesta este inceputul unei noi ere. Anii '90 au fost marcati de vandalism cibernetic, anii 2000 au insemnat deceniul infractionalitatii cibernetice, iar acum ne apropiem de terorism si razboaie cibernetice', a spus Kaspersky.

La randul lor, cei de la Bitdefender sustineau, in toamna anului 2010, la scurt timp dupa descoperirea lui Stuxnet, exploatarea vulnerabilitatilor din Microsoft Windows duce la instalarea unui backdoor ce vor ascunde fisiere cu extensiile .lnk si .tmp.

Viermele se raspandeste exploatand o serie de vulnerabilitati de tip 'Zero-day' din sistemul Windows. Mai mult decat atat, acesta se auto-executa dintr-un dispozitiv de stocare infectat, chiar in momentul in care sistemul de operare proceseaza scurtaturile .lnk special concepute. Exploatarea cu succes a acestei vulnerabilitati duce la instalarea unui backdoor (program cibernetic malitios ce lucreaza in fundal si ii ofera atacatorului acces de la distanta la un sistem de PC compromis, n.r.), precum si a altor doua componente rootkit (program ce reuseste printr-o vulnerabilitate a sistemului-gazda sa detina drepturi depline pe un sistem, pe care il modifica pentru a-i putea folosi resursele, nedetectat, n.r.) care vor ascunde atat fisierele cu extensiile .lnk, cat si .tmp. Se cunoaste faptul ca amenintarile de tip 'Zero-Day' sau programele malware necunoscute sunt cele care evita, de regula, solutiile traditionale de protectie antivirus si antimalware.

Vulnerabilitati de tip "Zero-day" din Windows, in "meniul" lui Stuxnet

In afara de tinta pe care isi propusesera sa o distruga initial, "parintii" lui Stuxnet au exploatat patru vulnerabilitati de tip "Zero-day' din Microsoft Windows.

Ulterior detectarii acestui virus, doua dintre aceste brese de securitate au fost raportate direct la Microsoft, expertii Kaspersky lucrand indeaproape cu producatorul american de software pentru crearea si lansarea patch-urilor de securitate pentru sistemul de operare.

Mai mult decat atat, Stuxnet a folosit si doua certificate digitale valide, furate de la Realtek si JMicron, care i-au ajutat pe infractorii cibernetici sa ascunda prezenta malware-ului in sistem pentru o perioada lunga de timp.

Astfel, programul incerca accesarea si reprogramarea de sisteme industriale de control, tintind sistemele de tip SCADA produse de catre compania Siemens: WinCC.

Acestea sunt utilizate pentru monitorizarea si administrarea infrastructurii si a proceselor de productie. De asemenea, sisteme similare sunt folosite la scara larga pe platformele petroliere, centrale electrice, mari platforme de comunicatii, in aeroporturi, pe vapoare si chiar in armata.

Din cercetarile celor de la Kaspersky reiese faptul ca "viermele' se manifesta doar pe computere unde existau software si controlere Siemens, in sensul ca reprograma aceste controlere, apoi seta viteza de rotatie a centrifugelor de imbogatire a uraniului cateodata prea mare, cateodata prea mica.

"In consola de administrare, vitezele raportate erau normale. Astfel, rata de defectare a centrifugelor era mai mare de 50%, fata de media de sub 30% raportata in conditii normale. Pentru ca nu puteau sa anunte public ca aveau un program de exploatare a uraniului, cercetatorii iranieni nu au putut sa identifice corect problemele ce apareau", este concluzia expertilor in securitate cibernetica.

In ceea ce priveste identitatea celor care s-au aflat in spatele Stuxnet, cunostintele avansate despre sistemele industriale de control, atacul sofisticat pe mai multe niveluri, folosirea de vulnerabilitati 'Zero-day' si furtul de certificate digitale valide i-au determinat pe specialistii de la Kaspersky sa constate ca virusul a fost creat de catre o echipa de profesionisti foarte experimentati, care poseda resurse vaste si suport financiar. "Tinta atacului si localizarea geografica in care a aparut (Iran) sugereaza faptul ca acesta nu a fost initiat de un grup oarecare de infractori cibernetici", precizeaza sursa citata.

In plus, specialistii care au analizat programul sustin ca scopul principal al lui Stuxnet nu era spionajul sistemelor infectate, ci acela de a initia o actiune de sabotaj, iar toate aceste indicii arata ca dezvoltarea acestuia a fost sustinuta de catre un stat care dispune de numeroase informatii, avand in acelasi timp mari capabilitati financiare.

Considerat de catre experti un prototip al unei arme cibernetice, care a condus la crearea de noi instrumente de atac foarte periculoase, Stuxnet reprezinta un soi de "pionier" al grupurilor de atacatori cibernetici, ce a deschis calea spre un alt fel de a produce pagube la nivel industrial.

#terorism cibernetic, #vierme Stuxnet , #Internet hacking