Novi dokazi govore da je Stuxnet stariji nego što se mislilo

Vesti, 27.02.2013, 08:23 AM

Stručnjaci Symantec-a otkrili su verziju proslavljenog malvera Stuxnet koja je od ranije otkrivenih verzija starija najmanje dve godine i koja je koristila drugačije metode za sabotažu iranskog nuklearnog postrojenja Natanz od svojih naslednika.

Stuxnet koji je jedan od najkompleksnijih malvera ikada viđenih je otkriven 2010. godine. Stuxnet je poznat po tome što je to prvi malver koji je korišćen za napade na industrijske kontrolne sisteme, u kojima su korišćeni različiti exploit-i, od kojih je većina do tada bila nepoznata. Na osnovu dokaza koje su pronašli stručnjaci sve do sada se verovalo da je Stuxnet nastao 2009. godine.

Međutim, verzija malvera koju su otkrili istraživači Symantec-a, nazvana Stuxnet 0.5, aktivno je korišćena još 2007. godine, a postoje dokazi da malver postoji još od 2005. godine, kada su registrovani nazivi domena korišćeni za servere za komandu i kontrolu.

Za razliku od verzija 1.x Stuxnet-a čiji je zadatak bio ometanje rada gasnih centrifuga u iranskom postrojenju za obogaćivanje uranijuma, koje su zbog aktivnosti malvera radile ili suviše brzo ili suviše sporo, starija verzija Stuxnet-a je imala zadatak da zatvara ventile odgovorne za snabdevanje centrifuga uranijum heksafluoridom, ometajući tako proces obogaćivanje uranijuma stvaranjem pritiska sve dok gas ne pređe u čvrsto stanje.

Pored toga, malver je pravio snimke normalnog stanja rada sistema i operaterima prikazivao očekivane vrednosti procesa tako da oni nisu mogli biti svesni toga da se nešto loše događa. Malver je prikupljao normalna očitavanja sistema tokom 30 dana nakon infekcije koja je potom prikazivao operaterima za vreme trajanja napada. Pored toga, Stuxnet 0.5 je sprečavao bilo kakve izmene stanja rada ventila tako da bi operateri bili onemogućeni ukoliko bi pokušali da izmene podešavanja tokom napada.

Da li je Stuxnet 0.5 bio uspešan u svojoj misiji nije još uvek poznato, ali su kasnije verzije postale mnogo agresivnije, sa drugačijom strategijom napada menjajući brzinu rada gasnih centrifuga, pa stručnjaci pretpostavljaju da Stuxnet 0.5 ipak nije ispunio, bar ne u potpunosti, ciljeve napadača.

Mehanizam za širenje Stuxnet-a 0.5 je takođe drugačiji, tako da se ova verzija malvera mogla širiti jedino infekcijom Siemens Step 7 project fajlova koji su kopirani na USB memorijske stikove, ali je ažurirana preko P2P (peer-to-peer). Softver Step 7 se koristi za programiranje logičkih kontrolera (PLC, programmable logic controllers), koji kontrolišu industrijske procese. Stuxnet 1.0 je osim ovog mehanizma za širenje, koristio i 0-day ranjivosti u Windows-u za širenje u lokalnim mrežama.

Analiza najstarije poznate verzije Stuxnet-a otkrila je da je ona razvijana još u novembru 2005. godine a objavljena dve godine kasnije. Stuxnet 0.5 je bio programiran da prekine komunikaciju sa C&C serverima 11. januara 2009. godine i da prestane da se širi preko zaraženih USB stikova 4. jula iste godine. Međutim, određeni broj infekcija sada neaktivnim Stuxnet-om 0.5 otkriven je prošle godine širom sveta, a skoro polovina zaraženih računara otkrivena je u Iranu, a 21% u SAD.

Istraživači veruju da postoje i druge, neotkrivene verzije Stuxnet-a, možda i starije od verzije 0.5, ali sasvim je izvesno da postoje za sada nepronađene verzije između verzija 0.5 i 1.001.

U Symantec-u smatraju da je Stuxnet 0.5 veza koja je nedostajala da se povežu Stuxnet 1.0 i Flame, malver za sajber špijunažu koji je otrkiven prošle godine ali za koga stručnjaci veruju da je prethodio Stuxnet-u.

Tehnički dokazi govore da su Flame i Stuxnet 1.0 izgrađeni na različitim platformama, ali stručnjaci smatraju da ima mnogo sličnosti između ova dva malvera koje govore u prilog pretpostavkama da su autori Stuxnet-a imali pristup kodu Flame-a.

Stuxnet 0.5 dokazuje ne samo da su autori Stuxnet-a sarađivali sa autorima Flame-a, već i da su u početku dva malvera delila značajan deo izvornog koda. Stuxnet 0.5 je delom nastao na platformi Flame-a, koja se razlikuje od platforme Stuxnet-a 1.0.

Stuxnet 1.0 dizajniran je tako da napada model 315 PLC-a koji se koristi za kontrolu brzine okretanja gasnih centrifuga. Starija verzija malvera (Stuxnet 0.5) je ubacivala napdački kod u Siemens 417 PLC, model koji je korišćen za kontrolu već spomenutih ventila. Nepotpuni delovi 417 PLC koda na napad pronađeni su i u Stuxnet 1.0, ali njihovo značenje nije bilo poznato do sada.

Nije još uvek jasno zbog čega su autori Stuxnet-a odlučili da promene strategiju napada, i sa manipulacije ventilima prešli na menjanje brzine okretanja centrifuga. Moguće je da prvobitna strategija nije donela željene rezultate, ali je moguće i da su u nuklarnom postrojenju zamenili model 417 PLC-a, što je primoralo autore Stuxnet-a da promene taktiku napada.

Ova verzija malvera prevazilazi sofisticiiranost bilo kog malvera koji je postojao 2005. godine, kada su registrovani C&C domeni, pa i malvera koji su postojali 2007. godine kada je neko poslao uzorak malvera javnom anti-malver servisu VirusTotal.

„Sama činjenica da je malver bio u stanju da napravi takvu štetu hardveru je ono što oduzima dah“, kažu u Symantec-u. „Oni koji stoje iz ovoga su bili vrlo fokusirani na ono što je bio njihov krajnji cilj. Niko drugi nije bio ni blizu da uradi ono što su oni uradili u to vreme, bar koliko mi znamo.“

Za sada niko sa sigurnošću ne može da tvrdi ko stoji iz ovog kompleksnog sajber oružja koje je povezano sa sajber špijunažom i sajber ratom. Ipak, mnogi upiru prstom u SAD i Izrael, dve zemlje koje su najoštrije kritikovle iranski nuklearni program.