Robak Stuxnet miał tylko jeden cel: irańską elektrownię atomową?

Robak Stuxnet został po raz pierwszy wykryty przez specjalistów z Białorusi w czerwcu br. Szybko wzbudził duże zainteresowanie specjalistów – nie dość, że wykorzystywał do rozpowszechniania się wcześniej nieznane luki w systemie Windows, to jeszcze wydawał się brać na swój celownik przede wszystkim systemy sterowania instalacjami przemysłowymi od Siemensa. Teraz okazuje się, że Stuxnet może być pierwszą w historii ludzkości cyberbronią, przeznaczoną do zniszczenia obiektu w świecie materialnym – fabryki, elektrowni czy rafinerii.

Niektórzy badacze utrzymują, że złożoność Stuxneta dowodzi, że nie mógł powstać jako dzieło zwykłych cyberprzestępców. Coś tak skomplikowanego musiało powstawać przy wsparciu któregoś z mocarstw, mającego w tym polityczny cel. „Rzadko widać ataki, które wykorzystują jeden exploit 0-day. Tymczasem Stuxnet wykorzystuje nie jeden, nie dwa, lecz cztery exploity 0-day” – powiedział Mikko Hypponen z firmy F-Secure, podkreślając, że zwykli hakerzy cenią sobie exploity i nie zmarnowaliby ich, wykorzystując jednocześnie aż cztery (do tej pory Microsoft załatał dwie luki).

Jak nasi Czytelnicy zapewne pamiętają, Stuxnet rozpowszechnia się za pomocą pendrive'ów, często używanych do przenoszenia plików pomiędzy odciętymi od Internetu (ze względów bezpieczeństwa) komputerami. Gdy znajdzie się w sieci lokalnej przedsiębiorstwa, rozpoczyna wyszukiwanie systemów kontroli procesów przemysłowych SCADA od Siemensa. Wykorzystywane są one powszechnie w rafineriach, fabrykach chemicznych, elektrowniach i innych instalacjach przemysłowych. Gdy je znajdzie, próbuje wprowadzić do nich nowy kod sterowania. Zmieniając ustawienia programowalnych kontrolek, może włączać i wyłączać silniki, systemy chłodzenia czy zasilania. Jeśli jednak robak systemów sterowania w sieci lokalnej nie znajdzie, pozostaje w ukryciu.

Inteligentna cyberbroń?

W sierpniu badacze odkryli jednak coś gorszego. Stuxnet jest w stanie przejąć całkowicie kontrolę nad systemami zarządzania instalacjami przemysłowymi, zmusić je do wykonania dowolnej operacji, także takiej, która prowadziłaby do samozniszczenia. Ralph Langner, jeden ze specjalistów pracujących nad robakiem stwierdził wówczas, że „dowody, które zebraliśmy pokazują jasno, że Stuxnet to bezpośredni atak mający na celu przeprowadzenie sabotażu, i wykorzystujący wiedzę zebraną u samego producenta”. Zdaniem Langnera to odpowiednik inteligentnych broni – wojskowy cyberpocisk, który ma znaleźć i zniszczyć jeden strategiczny cel. Cel, który wciąż pozostaje nieznanym.

Opinię Langnera potwierdza szef były szef laboratorium cyberbezpieczeństwa amerykańskiego Departamentu Energii Michael Assante. „To pierwszy przykład uzbrojonego oprogramowania, dostosowanego do znalezienia konkretnego celu” – stwierdził w wywiadzie dla serwisu Christian Science Monitor.

Co może być tym celem? Przedstawione przez Langnera wyniki dogłębnej analizy robaka pokazują, że Stuxnet wykorzystuje formę cyfrowego „odcisku palca”, aby ustalić, czy ma do czynienia z systemem, który miałby zniszczyć. Jeśli odcisk – konfiguracja sieci i urządzeń – się nie zgadza, Stuxnet pozostaje w uśpieniu. Jeśli jednak uzyska potwierdzenie zgodności, wysyła sekwencję rozkazów, która ma zmienić określone proces przemysłowy. Jednym z ostatnich wysyłanych kodów jest „DEADF007”. Nie wiadomo co on znaczy – może dotyczyć przeciążenia turbiny, wyłączenia smarowania, czy jakiejś innej żywotnej funkcji.

«poprzednia 1 2 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

12 skomentuj »

Komentarze

#1 aaa 2010-09-23 16:20:16 0
a nie mówiłem, chociaż mosad też to mógł być

http://webhosting.pl/Robak.Stuxnet.atakuje.firmy.zdobywa.poufne.informacje.przemyslowe
IP: 78.8.103.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3
#2 dziobas^® 2010-09-24 14:27:59 0
To musieli być Żydzi. Doszło do przejęcia certyfikatów Realtek. W tej firmie pracuje wielu Żydów. Jak wiemy Żyda na terenie obcego państwa można traktować jak agenta obcego mocarstwa.

Dziobas
IP: 80.239.242.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.5.24 Version/10.53
#3 Kenjiro 2010-09-24 14:48:28 -1
Panie Dziobas, komentarz #2 ma być żartem, prowokacją czy po prostu pokazuje mocne nierówności pod sufitem?

Sprawa robaka jest dość ciekawa, bo pokazuje, że najważniejsza jest odpowiednia ochrona (w tym odpowiednie procedury) wewnątrz przedsiębiorstwa, a nie tylko firewall na styku z siecią. Pokaż komentarz
IP: 158.75.204.[...] Mozilla/5.0 (Windows NT 6.1; rv:2.0b6) Gecko/20100101 Firefox/4.0b6
#4 eimi^® 2010-09-24 15:34:16 1
Hmm, o tym że Mossad ma mocne wpływy w żydowskich diasporach na świecie to chyba wiemy nie od dzisiaj?

Cała sprawa pokazuje też, że chyba nie jest dobrze, kiedy przemysłowymi systemami steruje oprogramowanie działające na bazie spotykanych na co dzień desktopowych systemów.
IP: 178.181.11.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3
#5 romek 2010-09-26 20:40:32 0
Czy onie nie znają tam avasta :))))
IP: 91.213.255.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3
#6 romek 2010-09-26 20:44:25 0
Czy onie nie znają tam avasta :))))
IP: 91.213.255.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3
#7 este 2010-09-27 11:58:33 0
Czy zmierzamy do dnia, w którym wojnę światową wywoła... wirus komputerowy wystrzeliwujący rakiety na konkretne cele?
IP: 83.23.47.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10
#8 Uncle Demotivator 2010-09-27 14:43:51 0
@este: Zaiste prawdziwe "WarGames" nam się tu szykuje. Chociaż mam nadzieję, że do jednak ostatecznie nie będziemy musieli żyć jak w Falloucie.

--

demotivational posters
IP: 153.19.128.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.6.30 Version/10.62
#9 deephead^® 2010-09-27 16:49:03 0
Chcecie powiedziec ze te instalacje dzialaja pod Windows?

Po prostu to tak glupie ze az niewiarygodne...
IP: 77.236.26.[...] Opera/9.80 (X11; Linux i686; U; en) Presto/2.6.31 Version/10.70
#10 GoON 2010-09-28 10:25:08 0
Niekoniecznie. Być może robak miał się tylko rozpowszechniać się przez Windows by zwiększyć szansę na dotarcie do ostatecznego celu jakim miał być system sterowania elektrownią. Jeśli wiedza na temat konfiguracji sprzętowej była na tyle duża by napisać algorytm go rozpoznawający, to twórcy mogli też znać system operacyjny wykorzystywany w sterowni. Nie przeczę, że mógł to być odpowiednio spreparowany Windows, ale równie dobrze mógł być to nowo napisany, 'prosty' system, który jednak miał jakieś luki (np. dostęp do systemu możliwy byłby jedynie dzięki kluczowi, którym był pendrive, z którego pracownik mógł również korzystać jako nośnik danych)
IP: 85.89.185.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3
#11 webface^® 2010-09-28 12:34:08 0

Normal

0

21

false

false

false

PL

X-NONE

X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */

table.MsoNormalTable

{mso-style-name:Standardowy;

mso-tstyle-rowband-size:0;

mso-tstyle-colband-size:0;

mso-style-noshow:yes;

mso-style-priority:99;

mso-style-qformat:yes;

mso-style-parent:"";

mso-padding-alt:0cm 5.4pt 0cm 5.4pt;

mso-para-margin-top:0cm;

mso-para-margin-right:0cm;

mso-para-margin-bottom:10.0pt;

mso-para-margin-left:0cm;

line-height:115%;

mso-pagination:widow-orphan;

font-size:11.0pt;

font-family:"Calibri","sans-serif";

mso-ascii-font-family:Calibri;

mso-ascii-theme-font:minor-latin;

mso-fareast-font-family:"Times New Roman";

mso-fareast-theme-font:minor-fareast;

mso-hansi-font-family:Calibri;

mso-hansi-theme-font:minor-latin;}

Elektrownia atomowa sterowana spod windowsa? Budzi to u mnie lekki uśmiech

ale może, może... Wydaje mi się, że sieci - takich newralgicznych podmiotów

gospodarczych, są odcięte od świata. Dane, które się do nich wczytuje są

dogłębnie analizowane, nie wspominam o bardzo małej liczbie osób która może

takie rzeczy robić. Sam system - tak ważny system, najczęściej jest odcięty od

sieci a jego zarządzaniem zajmuje się specjalna grupa pracowników....

Wszystko to powoduje, że jakoś mi się wierzyć nie chce co tu napisano. Fakt,

faktem jest to możliwe ale ilość dziwnego rodzaju sytuacji, która musiała by

wystąpić musiałaby być ogromna.

Kolejna dziwna dla mnie sprawa; facet jest wstanie stosować weryfikacje 1:1

i tworzy robaka? Atakuje coś tak ważnego i pisze wirusa? Zwykłego robaka?!

Nieeeee... jakoś to mi się nie kle
IP: 62.129.252.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 ( .NET CLR 3.5.30729)
#12 edziu 2011-01-22 07:41:08 0
A co na to firma Siemens? Przez żydów ich produkty nie znajdą teraz nabywców.
IP: 94.75.112.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 ( .NET CLR 3.5.30729)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.