Чи ви чули про вірус Stuxnet? На початку нового десятиліття давайте згадаємо одну з найбільших подій у сфері безпеки операційних технологій та промислових систем управління за останні десять років – вірус-шифрувальник Stuxnet.
Stuxnet вважається одним з перших спеціальних шкідливих програм, націлених на дуже специфічні умови в операційних середовищах з метою зміни запущених процесів.
Що таке DARPA? Історія секретного технологічного агентства Пентагону
Що таке Stuxnet
Stuxnet – це дуже складний комп’ютерний хробак, який став широко відомим у 2010 році. Він використовував раніше невідомі вразливості нульового дня Windows для зараження цільових систем і поширення на інші системи. Stuxnet був націлений в основному на центрифуги іранських заводів зі збагачення урану з наміром таємно зірвати ядерну програму Ірану, яка тоді тільки зароджувалася. Однак з часом Stuxnet був модифікований так, щоб він міг атакувати інші об’єкти інфраструктури, такі як газопроводи, електростанції та водоочисні споруди.
Хоча Stuxnet потрапив на шпальти світових газет у 2010 році, вважається, що його розробка розпочалася ще у 2005 році. Він вважається першою у світі кіберзброєю і саме тому привернув до себе значну увагу ЗМІ. Як повідомляється, черв’як знищив майже п’яту частину ядерних центрифуг Ірану, заразив понад 200 000 комп’ютерів і призвів до фізичної деградації 1 000 машин.
Розуміння (або, принаймні, оцінка) Stuxnet, того, як він працював і що він робив, допомагає зрозуміти нюанси і значення безпеки, а також дає уявлення про те, як нам потрібно продовжувати розвивати наш підхід до безпеки в цих середовищах.
Створено найскладніше шкідливе програмне забезпечення Stuxnet
У 2010 році дослідники виявили дуже складне шкідливе програмне забезпечення; вважається, що це була перша частина спеціального шкідливого програмного забезпечення, яке було використано для цілеспрямованої атаки на середовище операційних технологій – Stuxnet.
Навколо Stuxnet існує багато хибних уявлень і сенсацій. Насправді, те, як відбувалася атака Stuxnet, є більш захоплюючим, ніж розповіді, завдяки тому, як шкідливе програмне забезпечення переміщалося по мережах, обирало своєю ціллю ключову процедуру і змушувало механічний процес непомітно підривати і руйнувати самі себе.
На сьогоднішній день шкідливе програмне забезпечення Stuxnet вважається одним з найскладніших з коли-небудь розроблених. Цільовим об’єктом шкідливого програмного забезпечення був іранський завод з переробки урану в Натанзі, метою якого було завдати фізичної шкоди центрифугам, що є основою цього заводу.
Іранський уряд ніколи не оприлюднював жодної інформації про цю атаку. Однак експерти припускають, що шкідливе програмне забезпечення пошкодило до 1000 центрифуг і призвело до зниження операційної потужності заводу на 30%.
Що таке кібервійна: визначення, види та приклади?
Основні висновки зі Stuxnet:
Ви не можете зупинити мотивованого, добре фінансованого зловмисника – ви можете лише сповільнити його дії.
Критична національна інфраструктура більш широко пов’язана із зовнішніми мережами, ніж ви думаєте – “повітряний прошарок” не є безпекою і не існує.
Атака не повинна бути багатослівною, щоб бути ефективною. Невеликі зміни, внесені в операційне середовище, можуть мати значний вплив.
Ми надто покладаємося на роль автоматизації і не завжди знаємо, що насправді відбувається в наших операційних середовищах.
500 КБ, що змінили світ
Шкідливе програмне забезпечення Stuxnet досі вважається одним з найскладніших шкідливих програм, що мають розмір трохи більше 500 кб. Хоча точне авторство так і не було встановлено, складність шкідливого програмного забезпечення і ресурси, необхідні для його розробки, а також політичний характер цілі, змушують багатьох вважати, що ця атака була увічнена актором національної сцени.
Кінцевою метою атаки була зміна програмованих логічних контролерів, що регулюють швидкість обертання центрифуг, щоб завдати їм шкоди і вплинути на процес збагачення на об’єкті.
Проникнення
Вважається, що шкідливе програмне забезпечення потрапило в мережу об’єкту в Натанзі через заражений USB-пристрій. Для полегшення переміщення мережею, а також для уникнення виявлення, шкідливе програмне забезпечення Stuxnet містило низку вразливостей “нульового дня”, викрадені сертифікати, а також облікові дані доступу за замовчуванням. Це дозволило шкідливому програмному забезпеченню поширюватися мережею, не привертаючи до себе уваги.
Навігація мережею
Операційні середовища часто сильно відокремлені від корпоративної системи, щоб забезпечити певний рівень безпеки. Щоб обійти це, шкідливе програмне забезпечення реплікує себе на системи та знімні носії, щоб поширюватися далі в мережі підприємства. Якщо після кількох стрибків шкідливе програмне забезпечення не досягало своєї кінцевої мети, воно припиняло розповсюдження, щоб уникнути спрацьовування засобів контролю безпеки.
Унікальною особливістю шкідливого програмного забезпечення була його здатність зв’язуватися зі своїми командними та контрольними серверами навіть без прямого доступу до Інтернету. Шкідливе програмне забезпечення спілкувалося через комп’ютери, які воно вже скомпрометувало в мережі, знаходячи маршрут до інтернету і передаючи інформацію назад, дозволяючи зловмисникам модифікувати свій код навіть у межах об’єкту.
Націленість
Шкідливе програмне забезпечення було спеціально націлене на ПЛК Siemens s7-300, контролюючи певні фізичні активи, які підтримували та контролювали обертання центрифуг. Щоб переконатися, що шкідливе програмне забезпечення досягло своєї мети, але не привернуло уваги до своєї присутності в мережі, шкідливе програмне забезпечення поширювалося на три машини, перш ніж видалитися з зараженого USB або початкового комп’ютера.
Атака
Після того, як було визначено апаратне забезпечення та умови роботи, шкідливе програмне забезпечення вставляло шкідливі функціональні блоки. Метою цього функціонального блоку було збільшення швидкості обертання центрифуг у заздалегідь визначений час, що фактично призводило до виходу з ладу компонентів і руйнування центрифуг з плином часу.
Зміни, внесені цією зловмисно впровадженою функцією, були надзвичайно незначними. Зміна збільшила швидкість обертання центрифуг до Гц на 15 хвилин, після чого центрифуги були сповільнені на 50 хвилин. Після цього періоду вони повернулися до нормальної роботи, в той час як шкідливий код залишався неактивним протягом 27 днів. Така зміна протягом тривалого періоду часу могла завдати центрифугам такої фізичної шкоди, що їх довелося постійно замінювати.
Замітання слідів
Щоб не викликати підозр у операторів, шкідливе програмне забезпечення підробляло сигнали, що надходили до операторів, щоб замаскувати реальні дії центрифуг. Таким чином, коли центрифуги сповільнювалися і прискорювалися, оператори бачили на своїх дисплеях нормальну швидкість обертання. Цей метод зазвичай називають атакою “Людина посередині”. Зловмисник може змінювати дані, що надсилаються оператору, надаючи неправдиву інформацію.
Кібернетичні наслідки
До атаки Stuxnet вважалося, що операційне середовище і системи ефективно ізольовані, відключені і достатньо закриті, щоб бути захищеними від кібератак.
Хоча атака безпосередньо вплинула на роботу іранського заводу з переробки ядерного палива, Stuxnet продемонстрував здатність кібератак безпосередньо впливати на фізичні системи і процеси.
Реальний вплив атаки Stuxnet є дещо приземленим порівняно з поширеними уявленнями про неї. Stuxnet не призвів до вибухів на об’єкті і не був швидким процесом. На розробку і розгортання атаки пішло багато часу і ресурсів. Вплив полягав у повільному пошкодженні понад 1000 центрифуг на ядерному об’єкті в Натанзі шляхом незначної зміни їхньої роботи. Жодних пояснень щодо зупинки роботи не було надано, але є підозра, що це було зроблено для перевірки контролю і систем, які постраждали після виявлення шкідливого програмного забезпечення.
Шкідливе програмне забезпечення було виявлено, коли воно почало поширюватися з об’єкта, на який була спрямована атака, і дослідники виявили його. Не було надано жодних пояснень, чому в код шкідливого програмного забезпечення були внесені зміни, що призвели до такого ефекту прориву.
Чому це нас навчило?
Stuxnet показав нам, що існують організації, групи і країни, які активно розвивають можливості для підриву критично важливих національних інфраструктур. Епоха безпеки через невідомість остаточно і безповоротно закінчилася.
Після того, як Stuxnet став загальнодоступним, шкідливе програмне забезпечення було перероблене і перепрофільоване. Це забезпечило платформу для атак імітаторів, а також план для майбутніх атак і цілеспрямованих дій. Кіберзброя національної держави не потребує багато часу, щоб стати інструментом, який може отримати кожен, хто має доступ до інтернету.
Просто Stuxnet показав світові, що мережі критичної національної інфраструктури, від яких ми всі залежимо, є більш вразливими, ніж ми спочатку вважали. Незалежно від того, чи був цей інцидент спричинений неправильною конфігурацією, випадковим зараженням або цілеспрямованою атакою, він приніс відчуття невідкладності у світову спільноту і, можливо, став каталізатором розвитку подій та підходів, які ми використовуємо сьогодні для захисту цих критичних середовищ.
Джерело: https://gemserv.com/
