Stuxnet

Allikas: Vikipeedia

Stuxnet on ussviirus, mis avastati 2010. aasta juulis. Uss nakatab Microsoft Windowsi operatsioonisüsteeme kasutavaid arvuteid, kuid selle sihtmärgiks on Siemensi tööstustarkvara (Siemens Supervisory Control And Data Acquisition ehk SCADA), mis on seadistatud juhtima ja jälgima spetsiifilisi tööstuslikke protsesse. Stuxnet on esimene avastatud pahavara, mis sisaldab programmeeritavate loogikakontrollerite juurkratti.

Stuxneti erinevad versioonid sihtisid viit Iraani tuumajaamadega seotud organisatsiooni. Tõenäoliselt püüdis viirus rünnata uraani rikastamise infrastruktuuri. Symantec väitis 2010. aasta augustis, et 60% nakatunud arvutitest paiknesid Iraanis. Siemens väitis novembris, et uss ei ole tema klientidele kahju teinud. Kahju tekitati aga Iraani tuumaprogrammile, mis kasutab salaja hangitud Siemensi seadmeid. Kaspersky Lab tegi järelduse, et niivõrd keeruka ründe taga pidi olema mõni riik. Asjasse segatud riikideks on peetud Iisraeli ja Ameerika Ühendriike.

Stuxnet on erakordne sellegi poolest, et kasutas korraga koguni nelja niinimetatud null-päeva rünnet (seni avalikkusele ja tootjale teadmata turvaauku kasutavat rünnet) Windowsi operatsioonisüsteemidele.

Rünne[muuda | redigeeri lähteteksti]

Pahavara ülesanne oli manipuleerida Siemensi arvutisüsteeme, mis kontrollisid tsentrifuugide kiirust, eesmärgiga lõhkuda masinaid. Kuna arvutid olid välisvõrgust õhuvahega eraldatud, polnud ründajatel võimalik otse süsteemidele ligi pääseda. Seega disainiti Stuxnet levima nakatunud mälupulkade kaudu, kusjuures rünnaku ohvriks langesid viis firmat, mis arvati olevat seotud Iraani tuumaprogrammiga.

Stuxneti arvatakse olevat hakatud arendama juba aastal 2005, kusjuures esimene versioon arvatakse olevat väljastatud 2007. aastal.[1] Teine, uuendatud versioon väljastati 2009.aasta juuni lõpus. Uuendusega parendati tunduvalt viiruse levimismeetodeid. Kui Stuxneti esimene versioon levis ainult nakatades Siemensi programmeeritavaid loogikakontrollereid, siis teine versioon levis ka nakatunud mälupulkade kaudu või lokaalsete võrkude siseselt, kasutades printeri spuuleri null-päeva rünnakut (MS10-061).

Stuxneti logifailide järgi on võimalik näha, et esimene uuendatud versiooniga Stuxneti rünnaku ohver oli Iraani firma Foolad Technic. Nakatamine toimus 23. juunil 2009. Järgmine firma, Behpajooh, langes rünnaku ohvriks nädal hiljem ja kolmas firma, Neda Industrial Group, omakorda üheksa päeva hiljem. Pole teada, kui kiiresti levis Stuxnet firmasiseselt, ent augustiks oli Iraani tuumareaktorite arv langenud 328 võrra. Novembriks oli 4592 tsentrifuugist alles jäänud ainult 3936 töökorras masinat, mis tähendas peaaegu 1000 tsentrifuugi töötamise lakkamist viie kuu jooksul.

Loomine[muuda | redigeeri lähteteksti]

Stuxneti lähemal uurimisel on näha, et viirus on pahavara kohta väga keeruline. Pahavara suuruseks on pool megabaiti ning erinevate moodulite arvukus viitab suurele arendajate hulgale. Ajatemplite järgi on näha, et pahavara valmistati ette mitmeid aastaid ja koodi kirjutamises osalesid nii rünnatavate tarkvaradega professionaalselt tegelevad spetsialistid kui ka kräkkerid.[2]

Esimene pahavara draiveritest on signeeritud ajatempliga 01/01/2009, teine 25/01/2010 (signatuuri kinnitajaks mõlemal juhul Realtek Semiconductor Corp). Kolmas draiver on digitaalsignatuuriga 14/07/2010, kusjuures selle draiveri signatuuri kinnitas eelnevatest erinev firma (Jmicron Technology Corp). Mõlemad firmad asuvad Taiwanil, mis võib viidata nii signatuuride füüsilisele varastamisele kui ka väljastpoolt sisseostmisele. Üks võimalikest allikatest on Zeus, mis on üks suurematest teadaolevatest sertifikaatide varastamisega tegelevatest robotvõrkudest.

Nakatamistehnikad[muuda | redigeeri lähteteksti]

Rünne sihtmärgiks olnud süsteemidele toimus kolmes etapis: Windowsi operatsioonisüsteemi nakatamine, Siemensi tarkvara nakatamine ja Siemensi loogikakontrollerite nakatamine.

Iraani tuumakütuse rikastamisega tegelevate tehaste võrgud olid välisvõrgust õhuvahega eraldatud, mistõttu kandus viirus tehastesse nakatunud USB pulkade kaudu. Windowsi ründamisel kasutati nelja null-päeva turvaauku, mis võimaldasid viirusel sisevõrgus levida ilma interneti ühendust vajamata. Stuxnet laadis käivitamisel alla kaks kerneli draiverit, mis olid varastatud sertifikaatidega digitaalselt signeeritud, tänu millele jäid toimingud kasutajatele märkamatuks. Kerneli draiverid võimaldasid peita pahavara kasutajale kättesaamatusse operatsioonisüsteemi osasse, mis hoidis ära seadmete kasutamise käigus viiruse failidele peale sattumise.

Järgmisena ründas Stuxnet Siemensi tarkvara, tehes man-in-the-middle ründe, et lõigata ära otsene suhtlus Windowsi operatsioonisüsteemi ja programmeeritavate loogikakontrollerite vahel. Ründe tulemusena sai Stuxnet installeerida end loogikakontrolleritele ilma süsteemi tähelepanu äratamata ning samal ajal hoida Siemensi tarkvara nakatunud mäluosi lugemast.

Viimasena installeeris Stuxnet juurkrati programmeeritavatele loogikakontrolleritele, et peita pahavara kasutajate eest ning varjata viiruse poolt süsteemis tehtavaid muutusi. Tavapärane tsentrifuugide pöörlemiskiirus on 807 Hz ja 1210 Hz vahel, kuid Stuxnet modifitseeris kiiruse muutumist tsüklitena 1410 Hz’lt 2 Hz’le ja siis 1064 Hz’le, et kulutada tsentrifuuge kiiremini läbi.

Null-päeva turvaaugud[muuda | redigeeri lähteteksti]

Pahavara kasutas levitamiseks erinevaid Windowsi, programmeeritavate loogikakontrollerite ja Siemensi SIMATIC WinCC ning STEP 7 SCADA süsteemide turvaauke. Kasutatud turvaaukudest kuus olid null-päeva turvaaugud, millest üks (MS08-067) parandati enne Stuxneti levikut.

MS10-046

Turvaauk kujutas endast haavatavust Windows Shellis, mille kaudu sai ründaja anda endale lokaalse kasutajaga võrdsed õigused. Turvaaugule olid haavatavad kõik Windowsi versioonid.[3]

MS10-061

Turvaauk võimaldas jooksutada süsteemis välist koodi, kui haavatavasse süsteemi saadeti spetsiaalselt konstrueeritud printimise käsk. Haavatavad olid kõik Windowsi versioonid.[4]

MS10-073

Turvaauk võimaldas suurendada kasutaja privileege süsteemis eeldusel, et kasutaja oli autenditud ja lokaalselt sisse logitud. Haavatavad olid ainult Windows XP ja Windows 2000 süsteemid.[5]

MS10-092

Turvaauk võimaldas privileegide suurendamist eeldusel, et kasutaja oli sisse logitud ja jooksutas spetsiaalset rakendust. Haavatavad olid ainult Windows Vista ja Windows 7.[6]

CVE-2010-2772

Turvaauk võimaldas lokaalsel kasutajal saada priviligeeritud juurdepääs süsteemile ning back-end andmebaasile.[7] 

Avastamine[muuda | redigeeri lähteteksti]

2010. aasta jaanuaris märgati Natanzi uraani rikastamise tehases, et tsentrifuugide katkiminemise kiirus on erakordselt kõrge. Tehnikud ei suutnud probleemile lahendust leida ning probleemile saadi jälile alles viis kuud hiljem, kui Valgevene firma kutsuti Iraani leidma lahendust pidevalt restartivatele arvutitele. Uurijad leidsid süsteemi koodi hulgast grupi pahavara faile, mis hiljem osutusid Stuxneti pahavaraks.

Nakatumine riikide lõikes[muuda | redigeeri lähteteksti]

Enim levinud oli Stuxnet Aasias. Üldise arvamuse järgi oli pahavara suunatud Iraani vastu, kuid on võimalik, et rünnakul oli mitu erinevat sihtmärki. Pahavara leviku ulatust võisid mõjutada paljud faktorid, kaasaarvatud kohalikud tarkvara uuendamise ja paikamise tavad ning lokaalsel tasandil kasutatav turvatarkvara. [8]

Levik:

  1. Iraan – 52,2%
  2. Indoneesia – 17,4%
  3. India – 11,3%
  4. Pakistan – 3,6%
  5. Usbekistan – 2,6%
  6. Venemaa – 2,1%
  7. Kasahstan – 1,3%
  8. Valgevene – 1,1%
  9. Kõrgõzstan – 1,0%
  10. Aserbaidžaan – 0,7%
  11. Ameerika Ühendriigid – 0,6%
  12. Kuuba – 0,6%
  13. Tadžikistan – 0,5%
  14. Afganistan – 0,3%
  15. Muu maailm – 4,7%

Et Stuxneti lähtekood oli suunatud Siemensi tarkvaraga süsteemide vastu, annab parema ülevaate pahavara tööst Stuxneti levik riigiti ainult Siemensi tarkvara kasutanud nakatunud süsteemide lõikes.[9]

Levik:

  1. Iraan – 67,6%
  2. Lõuna-Korea 8,1%
  3. Ameerika Ühendriigid – 4,98%
  4. Suurbritannia – 2,18%
  5. Indoneesia – 2,18%
  6. Taiwan – 1,56%
  7. India – 1,25%
  8. Muud riigid – 12,15% 

Süüdlased[muuda | redigeeri lähteteksti]

Iraani kõrge sõjaväelane andis riiklikus uudisteagentuuris IRNA teada, et uurimine määras viiruse päritolumaadeks Iisraeli ja Ameerika Ühendriigid.[10] Kumbki riikidest pole ametlikult süüd kinnitanud. NSA vilepuhuja Edward Snowden kinnitas Der Spiegel’ile antud intervjuus, et NSA teeb tihedalt koostööd teiste riikidega ning ka Stuxnet on valminud Iisraeli ja USA koostööna.[11]

Ekspertide hinnangul loodi viirus USA ja Iisraeli koostöös ning vähesel määral brittide ja sakslaste abiga. Poliitiliselt algatati projekt Bushi administratsiooni viimasel kuul, uurimaks Natanzis asuvaid elektri- ja arvutisüsteeme.[12] Eelnevalt oli Iisrael palunud Ameerika Ühendriikidelt abi, korraldamaks rünnakut Natanzi vastu, kus arvati olevat Iraani suurimad uraani rikastamise tehased.[13] Ühendriigid keeldusid abist, kuid nõustusid ühisprojektiga, loomaks viirust, mis tekitas sama palju kahju kui füüsiline rünnak oleks põhjustanud – kolme aasta jagu tööd. Projektiga jätkati president Obama haldusajal, kui USA-Iisraeli koostööna saadi valmis esialgsed versioonid viirusest ning asuti neid levitama.

Viited[muuda | redigeeri lähteteksti]

  1. Jim Finkle (26. veebruar 2013) Researchers say Stuxnet was deployed against Iran in 2007
  2. Pierre-Marc Bureau (19. juuli 2010) Win32/Stuxnet Signed Binaries
  3. Security TechCenter (2. august 2010) Microsoft Security Bulletin MS10-046 - Critical
  4. Security TechCenter (14. september 2010) Microsoft Security Bulletin MS10-061 - Critical
  5. Security TechCenter (12. oktoober 2010) Microsoft Security Bulletin MS10-073 - Important
  6. Security TechCenter (14. detsember 2010) Microsoft Security Bulletin MS10-092 - Important
  7. US-CERT/NIST (07/22/2010) Vulnerability Summary for CVE-2010-2772
  8. Aleksandr Matrosov, Eugene Rodionov, David Harley, Juraj Malcho Stuxnet Under the Microscope
  9. Nicolas Falliere, Liam O Murchu, Eric Chien (veebruar 2011) W32.Stuxnet Dossier
  10. CBS News (16. aprill 2011) Iran blames U.S., Israel for Stuxnet malware
  11. Der Spiegel (7. juuli 2013) Als Zielobjekt markiert
  12. William J. Broad, John Markoff, David E. Sangerjan (15. jaanuar 2011) Israeli Test on Worm Called Crucial in Iran Nuclear Delay
  13. David E. Sanger (10. jaanuar 2009) U.S. Rejected Aid for Israeli Raid on Iranian Nuclear Site

Välislingid[muuda | redigeeri lähteteksti]