návrat čtvrtek: co se stalo s Stuxnet?
Co se stalo se Stuxnetem? Od té doby, co v roce 2010 zničila stovky odstředivek v zařízení na obohacování jaderných zbraní v Íránu, je červ tichý-ale ne nečinný.
ve srovnání s mnoha svými malwarovými kolegy měl červ Stuxnet mnohem víc než příslovečných 15 minut slávy.
z dobrého důvodu. Byl to precedens. Byl to jeden z nejdokonalejších kusů malwaru, jaký byl v té době vytvořen. Společnost Kaspersky Lab odhaduje, že vytvoření týmu 10 kodérů trvalo dva až tři roky.
také překročil čáru. Místo toho, aby byl používán „pouze“ k hackování počítačů a krádeži dat na nich, byl použit k fyzické destrukci.
co je Stuxnet?
v době, kdy to poprvé dostala na veřejnost v roce 2010 Stuxnet měl povoleno zničení téměř tisíc, nebo o pětinu, z odstředivky v Íránu obohacování uranu v Natanzu zařízení, nastavení zpět, že národ je jaderný program o 18 měsíců nebo více. Očividně, to se stalo mezinárodní zprávou, která trvala nejen měsíce, ale roky.
po špičkách kolem problému atribuce na chvíli se většina zpráv usadila na tom, že bylo“ široce přijímáno“, že Stuxnet je kybernetická zbraň vytvořená izraelskými a americkými zpravodajskými agenturami. Byly o tom napsány knihy, vedly se o tom četné semináře, a, samozřejmě, obvinění a hrozby mezi zúčastněnými národními státy.
Stuxnet byl také významný, protože útočníci dostali červa do Natanzu počítačích, i když byly systémy „air-gapped“—není připojen k internetu. Získali přístup pomocí USB flash disků k umístění malwaru do systémů třetích stran, které měly připojení k íránskému jadernému programu.
související: Vzduchové mezery v ICS bude … a tak je bezpečnost
Stuxnet byl vysoce cílené, navržen tak, aby skenovat pouze pro Siemens STEP 7 software na počítačích, ovládání PLC (programmable logic controller). Pokud by některý z nich chyběl, Stuxnet by zůstal spící uvnitř počítače. Ale pokud oba byli přítomni, bylo by to změnit kódy a poskytnout škodlivé příkazy PLC při návratu zpětnou vazbu, že to vypadalo jako by vše bylo normální.
tyto příkazy způsobily, že se odstředivky vymkly kontrole a zničily se dříve, než kdokoli monitorující systém věděl, že něco není v pořádku.
údajně se Stuxnet nikdy neměl šířit mimo Natanz. Malware však skončil na počítačích připojených k internetu a díky extrémně sofistikovanému a agresivnímu designu se začal šířit ve volné přírodě.
co se od té doby stalo?
Po Natanzu útok Stuxnet vybledlé od pravidelných titulky během pár let, ale to se vrátil krátce v roce 2016, kdy Microsoft Security Intelligence Report identifikoval mezi exploit-související malware rodiny zjištěn v druhé polovině roku 2015.
související: 6 let později, se Stuxnet zranitelnosti zůstává využívány
vybledlé znovu, dokud letos v listopadu, kdy Reuters, následuje řada dalších prodejen, uvádí tvrzení o Íránské civilní obrany hlavní, že národní vlády odhalil a zastavil Izraelský úsilí, aby nakazit počítačových systémů s tím, co popsal jako novou verzi Stuxnet.
Gholamreza Jalali, šéf Národní Organizace Pasivní Obrany (NPDO), řekl íránský IRNA news service, „v Poslední době jsme objevili nové generace Stuxnet, který se skládal z několika částí … a snažil se vstoupit do našich systémů.“
Mohammad-Javad Azari Jahromi, Íránský ministr telekomunikací, obvinil Izrael, že je za útokem, a řekl, že malware měl “ poškodit komunikační infrastruktury Íránu.“Řekl však, že „ostražité technické týmy“ v zemi zablokovaly útok a že Izrael se “ vrátil s prázdnou rukou.“
The Times of Israel tehdy oznámeno, že Írán úředníci připustil, oni byli čelí útoku od „více násilné, pokročilejší a sofistikovanější virus, než předtím, že zasáhla infrastruktury a strategických sítí.“
jaký je aktuální stav Stuxnetu?
jaký je nyní stav Stuxnetu? I když to bylo ve volné přírodě po celá léta, to neznamená, že jen někdo může použít ke stejnému druhu škody.
Symantec je Liam Ó’Murchu, ředitel Bezpečnostní Technologie a Reakce skupiny, řekl ČSÚ časopis v roce 2017, že to bylo nejsložitější kód tým byl přezkoumán a byl „úplně jiná liga, než co jsme nikdy předtím neviděli.“
také řekl, že nevěří webové stránky, které tvrdili, že mají Stuxnet kód k dispozici ke stažení, protože zdrojový kód pro červa nebyl propuštěn, nebo unikly a nemůže být vyjmuto z binárních souborů, které jsou k dispozici v přírodě.
zatímco kód pro jednoho řidiče—velmi malou část celkového balíčku-byl rekonstruován pomocí reverzního inženýrství, není to stejné jako mít původní kód.
přesto O ‚ Murchu řekl, že vědci by mohli hodně porozumět kódu zkoumáním binárního kódu v akci a jeho reverzním inženýrstvím. Například: „od prvního okamžiku, kdy jsme analyzovali tuto aplikaci, bylo docela zřejmé, že hledá nějaké zařízení Siemens,“ řekl.
a po třech až šesti měsících reverzního inženýrství “ jsme byli schopni určit, řekl bych, 99 procent všeho, co se děje v kódu.“
ale listopadové oznámení z Íránu potvrzuje, co se děje se Stuxnetem. Vyvíjí se, jako většina malwarových rodin. Není to tak moc, že je zpět. Je to tak, že to nikdy nezmizelo—a téměř jistě to bude opět v titulcích.
Další informace o zabezpečení ICS