Otkriveno ko su bile prve žrtve prvog sajber oružja, malvera Stuxnet

Vesti, 12.11.2014, 19:18 PM

Od trenutka kada se pojavio kao prvo poznato sajber oružje, malver Stuxnet je bio i ostao omiljena tema rasprava bezbednosnih istraživača iz celog sveta. Iako je Stuxnet otkriven pre četiri godine i od tada bio predmet detaljnih analiza brojnih istraživača, ostala je nepoznanica šta je bio prvobitni cilj ovog kompjuterskog crva. Istraživači su pretpostavljali da je Stuxnet najverovatnije bio dizajniran za napad na motore u centrifugama za obogaćivanje uranijuma, ali niko sa sigurnošću nije mogao da kaže koje je postrojenje bilo originalna meta malvera. Da li je u pitanju bio iranski Natanz, ili možda drugo iransko postrojenje Fordo? Ili možda neko treće?

Posle analize više od 2000 Stuxnetovih fajlova prikupljenih tokom dve godine, istraživači Kaspersky Laba uspeli su da identifikuju prve žrtve ovog malvera i tako odgovore na neka pitanja koja su i posle četiri godine od otkrića malvera ostala bez odgovora.

Od otkrića malvera istraživači nisu imali dileme oko toga da je napad bio ciljane prirode. Kod Stuxneta je bio delo profesionalaca a korišćene 0-day ranjivosti bile su izuzetno skupe. Međutim, nije se znalo koje kompanije su najpre napadnute ovim malverom, kao ni kako je malver uspeo da dođe do centrifuga za obogaćivanje uranijuma u dobro čuvanim tajnim postrojenjima.

Detaljna analiza stručnjaka Kaspersky Laba razrešila je neke dosadašnje dileme. Svih pet kompanija koje su prve napadnute ovim malverom radilo je u oblasti industrijskih kontrolnih sistema, u razvoju ili snabdevanju.

Jedna od kompanija koja je napadnuta poslednja, između ostalih proizvoda za industrijsku automatizaciju, proizvodi i centrifuge za obogaćivanje uranijuma. To je upravo ona oprema za koju se veruje da je bila glavni cilj Stuxneta.

Prve žrtve Stuxneta su proizvođač automatizovanih industrijskih sistema Foolad Technic Engineering Co., kompanija koja razvija industrijski kontrolni sistem Behpajooh Co. Elec & Comp. Engineering, kompanija Neda Industrial Group koja Iran snabdeva vojnom opremom, i Control Gostar Jahed koja snabdeva klijente industrijskim kontrolnim sistemima.

Očigledno su napadači očekivali da ove kompanije razmenjuju podatke sa svojim klinentima, pa i sa postrojenjima za obogaćivanje uranijuma i da bi to moglo omogućiti malveru da se nađe unutar postrojenja. Ishod pokazuje da je plan odgovornih za nastanak i širenja Stuxneta uspeo.

Na žalost, zbog određenih grešaka ili propusta u dizajnu, napadači su izgubili kontrolu nad crvom, koji je zarazio stotine hiljada računara mimo onih koji su bili ciljevi napada.

Stručnjaci Kaspersky Laba otkrili su još nešto zanimljivo: Stuxnet se nije širio samo preko USB memorijskog stika priključenog na računar. Ovo je bila početna prepostavka kojom su stručnjaci pokušali da objasne kako se malver ušunjao na mesto koje nema direktnu vezu sa internetom.

Analiza prvog napada je pokazala da je prvi uzorak malvera kompajliran samo nekoliko sati pre nego što se malver pojavio na računaru kompanije koja je prva napadnuta. S obzirom da je teško zamisliti da je napadač stavio malver na USB stik i doneo ga u kompaniju koja je bila cilj napada, stručnjaci pretpostavljaju da su u ovom slučaju oni koji stoje iza Stuxneta koristili neke druge tehnike a ne infekciju preko USB stika.

U normalnim okolnostima, veoma je teško rekonstruisati put infekcije nekog malvera. Međutim, Stuxnet ima neobičnu osobinu da svaki put kada se izvrši, beleži se ime računara, ime mreže, IP adresa, datum i lanac infekcije koji se ugrađuju u ažurirani izvršni fajl. Spisak inficiranih računara je veći sa svakim novoinficiranim računarom.

Više o svemu ovome možete naći na blogu Kaspersky Laba, Securelist.com. O Stuxnetu je nedavno objavljena i knjiga “Odbrojavanje do nultog dana”, a njen autor je novinar Kim Zeter.