Novi dokazi govore da je Stuxnet stariji nego što se mislilo

Vesti, 27.02.2013, 08:23 AM

Novi dokazi govore da je Stuxnet stariji nego što se mislilo

Stručnjaci Symantec-a otkrili su verziju proslavljenog malvera Stuxnet koja je od ranije otkrivenih verzija starija najmanje dve godine i koja je koristila drugačije metode za sabotažu iranskog nuklearnog postrojenja Natanz od svojih naslednika.

Stuxnet koji je jedan od najkompleksnijih malvera ikada viđenih je otkriven 2010. godine. Stuxnet je poznat po tome što je to prvi malver koji je korišćen za napade na industrijske kontrolne sisteme, u kojima su korišćeni različiti exploit-i, od kojih je većina do tada bila nepoznata. Na osnovu dokaza koje su pronašli stručnjaci sve do sada se verovalo da je Stuxnet nastao 2009. godine.

Međutim, verzija malvera koju su otkrili istraživači Symantec-a, nazvana Stuxnet 0.5, aktivno je korišćena još 2007. godine, a postoje dokazi da malver postoji još od 2005. godine, kada su registrovani nazivi domena korišćeni za servere za komandu i kontrolu.

Za razliku od verzija 1.x Stuxnet-a čiji je zadatak bio ometanje rada gasnih centrifuga u iranskom postrojenju za obogaćivanje uranijuma, koje su zbog aktivnosti malvera radile ili suviše brzo ili suviše sporo, starija verzija Stuxnet-a je imala zadatak da zatvara ventile odgovorne za snabdevanje centrifuga uranijum heksafluoridom, ometajući tako proces obogaćivanje uranijuma stvaranjem pritiska sve dok gas ne pređe u čvrsto stanje.

Pored toga, malver je pravio snimke normalnog stanja rada sistema i operaterima prikazivao očekivane vrednosti procesa tako da oni nisu mogli biti svesni toga da se nešto loše događa. Malver je prikupljao normalna očitavanja sistema tokom 30 dana nakon infekcije koja je potom prikazivao operaterima za vreme trajanja napada. Pored toga, Stuxnet 0.5 je sprečavao bilo kakve izmene stanja rada ventila tako da bi operateri bili onemogućeni ukoliko bi pokušali da izmene podešavanja tokom napada.

Da li je Stuxnet 0.5 bio uspešan u svojoj misiji nije još uvek poznato, ali su kasnije verzije postale mnogo agresivnije, sa drugačijom strategijom napada menjajući brzinu rada gasnih centrifuga, pa stručnjaci pretpostavljaju da Stuxnet 0.5 ipak nije ispunio, bar ne u potpunosti, ciljeve napadača.

Mehanizam za širenje Stuxnet-a 0.5 je takođe drugačiji, tako da se ova verzija malvera mogla širiti jedino infekcijom Siemens Step 7 project fajlova koji su kopirani na USB memorijske stikove, ali je ažurirana preko P2P (peer-to-peer). Softver Step 7 se koristi za programiranje logičkih kontrolera (PLC, programmable logic controllers), koji kontrolišu industrijske procese. Stuxnet 1.0 je osim ovog mehanizma za širenje, koristio i 0-day ranjivosti u Windows-u za širenje u lokalnim mrežama.

Analiza najstarije poznate verzije Stuxnet-a otkrila je da je ona razvijana još u novembru 2005. godine a objavljena dve godine kasnije. Stuxnet 0.5 je bio programiran da prekine komunikaciju sa C&C serverima 11. januara 2009. godine i da prestane da se širi preko zaraženih USB stikova 4. jula iste godine. Međutim, određeni broj infekcija sada neaktivnim Stuxnet-om 0.5 otkriven je prošle godine širom sveta, a skoro polovina zaraženih računara otkrivena je u Iranu, a 21% u SAD.

Istraživači veruju da postoje i druge, neotkrivene verzije Stuxnet-a, možda i starije od verzije 0.5, ali sasvim je izvesno da postoje za sada nepronađene verzije između verzija 0.5 i 1.001.

U Symantec-u smatraju da je Stuxnet 0.5 veza koja je nedostajala da se povežu Stuxnet 1.0 i Flame, malver za sajber špijunažu koji je otrkiven prošle godine ali za koga stručnjaci veruju da je prethodio Stuxnet-u.

Tehnički dokazi govore da su Flame i Stuxnet 1.0 izgrađeni na različitim platformama, ali stručnjaci smatraju da ima mnogo sličnosti između ova dva malvera koje govore u prilog pretpostavkama da su autori Stuxnet-a imali pristup kodu Flame-a.

Stuxnet 0.5 dokazuje ne samo da su autori Stuxnet-a sarađivali sa autorima Flame-a, već i da su u početku dva malvera delila značajan deo izvornog koda. Stuxnet 0.5 je delom nastao na platformi Flame-a, koja se razlikuje od platforme Stuxnet-a 1.0.

Stuxnet 1.0 dizajniran je tako da napada model 315 PLC-a koji se koristi za kontrolu brzine okretanja gasnih centrifuga. Starija verzija malvera (Stuxnet 0.5) je ubacivala napdački kod u Siemens 417 PLC, model koji je korišćen za kontrolu već spomenutih ventila. Nepotpuni delovi 417 PLC koda na napad pronađeni su i u Stuxnet 1.0, ali njihovo značenje nije bilo poznato do sada.

Nije još uvek jasno zbog čega su autori Stuxnet-a odlučili da promene strategiju napada, i sa manipulacije ventilima prešli na menjanje brzine okretanja centrifuga. Moguće je da prvobitna strategija nije donela željene rezultate, ali je moguće i da su u nuklarnom postrojenju zamenili model 417 PLC-a, što je primoralo autore Stuxnet-a da promene taktiku napada.

Ova verzija malvera prevazilazi sofisticiiranost bilo kog malvera koji je postojao 2005. godine, kada su registrovani C&C domeni, pa i malvera koji su postojali 2007. godine kada je neko poslao uzorak malvera javnom anti-malver servisu VirusTotal.

„Sama činjenica da je malver bio u stanju da napravi takvu štetu hardveru je ono što oduzima dah“, kažu u Symantec-u. „Oni koji stoje iz ovoga su bili vrlo fokusirani na ono što je bio njihov krajnji cilj. Niko drugi nije bio ni blizu da uradi ono što su oni uradili u to vreme, bar koliko mi znamo.“

Za sada niko sa sigurnošću ne može da tvrdi ko stoji iz ovog kompleksnog sajber oružja koje je povezano sa sajber špijunažom i sajber ratom. Ipak, mnogi upiru prstom u SAD i Izrael, dve zemlje koje su najoštrije kritikovle iranski nuklearni program.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje