Whatever happened to Stuxnet? Sen jälkeen kun se tuhosi satoja sentrifugeja ydinrikastuslaitoksella Iranissa vuonna 2010, mato on ollut hiljaa—mutta ei toimettomana.

verrattuna moniin haittaohjelmakollegoihinsa, Stuxnet-mato on ollut paljon enemmän kuin kuuluisa 15 minuuttia.

hyvällä syyllä. Se oli ennakkotapaus. Se oli yksi kehittyneimmistä haittaohjelmista, joita siihen aikaan oli luotu. Kaspersky Lab arvioi, että 10 koodarin tiimiltä kesti kahdesta kolmeen vuotta luoda se.

sekin ylitti rajan. Sen sijaan, että sitä olisi käytetty ”vain” tietokoneiden hakkerointiin ja niiden tietojen varastamiseen, sitä käytettiin fyysisen tuhon aiheuttamiseen.

mitä Stuxnet on?

kun Stuxnet tuli ensimmäisen kerran julkisuuteen vuonna 2010, se oli mahdollistanut lähes tuhannen eli noin viidesosan sentrifugien tuhoamisen Iranin Natanzin ydinlaitoksessa, mikä viivästytti maan ydinohjelmaa vähintään 18 kuukaudella. Siitä tuli selvästikin kansainvälinen uutinen, joka ei kestänyt vain kuukausia vaan vuosia.

hiiviskeltyään nimeämiskysymyksen ympärillä jonkin aikaa useimmat raportit tyytyivät sanomaan, että oli ”laajalti hyväksytty”, että Stuxnet oli Israelin ja Yhdysvaltain tiedusteluviranomaisten luoma kyberase. Siitä on kirjoitettu kirjoja, siitä on pidetty lukuisia seminaareja ja tietenkin syytöksiä ja uhkauksia mukana olevien kansallisvaltioiden keskuudessa.

Stuxnet oli merkittävä myös siksi, että hyökkääjät saivat madon Natanzin tietokoneisiin, vaikka järjestelmät olivat ”ilmatiiviitä”-Ei kytketty Internetiin. He pääsivät käsiksi USB-muistitikkujen avulla asentamaan haittaohjelman sellaisten kolmansien osapuolten järjestelmiin, joilla oli yhteys Iranin ydinohjelmaan.

liittyvät: Ilmaraot ICS going, going … ja niin on turvallisuus

Stuxnet oli erittäin kohdennettu, suunniteltu skannaamaan vain Siemens STEP 7-ohjelmisto tietokoneissa, jotka ohjaavat PLC (programmable logic controller). Jos jompikumpi puuttuisi, Stuxnet menisi lepotilaan tietokoneen sisälle. Mutta jos molemmat olisivat läsnä, se muokkaisi koodeja ja antaisi haitallisia komentoja PLC: lle palauttaen samalla palautetta, joka sai sen näyttämään siltä, että kaikki oli normaalia.

nämä komennot saivat sentrifugit pyörimään hallitsemattomasti ja tuhoamaan itsensä ennen kuin kukaan järjestelmää valvova tiesi jonkin olevan vialla.

tiettävästi Stuxnetin ei koskaan ollut tarkoitus levitä Natanzin ulkopuolelle. Haittaohjelma päätyi kuitenkin internetiin kytketyille tietokoneille ja alkoi levitä luonnossa äärimmäisen hienostuneen ja aggressiivisen muotoilun ansiosta.

mitä sen jälkeen on tapahtunut?

Natanzin hyökkäyksen jälkeen Stuxnet häipyi säännöllisistä otsikoista parissa vuodessa, mutta palasi lyhyesti vuonna 2016, kun Microsoftin Tietoturvatiedusteluraportti tunnisti sen vuoden 2015 jälkipuoliskolla Havaittujen hyväksikäyttöön liittyvien haittaohjelmien joukosta.

liittyvät: 6 vuotta myöhemmin, ”Stuxnet” haavoittuvuus on edelleen hyödynnetty

se haalistui uudelleen, kunnes viime marraskuussa, kun Reuters, jota seurasi lukuisia muita myyntipisteitä, raportoi väitteen Iranin väestönsuojelun päällikkö, että maan hallitus oli havainnut ja lopettanut Israelin yritys tartuttaa tietokonejärjestelmiin, mitä hän kuvaili uudeksi Stuxnet-versioksi.

Gholamreza Jalali, kansallisen passiivisen puolustuksen järjestön (Npdo) päällikkö, kertoi Iranin IRNA-uutistoimistolle: ”äskettäin löysimme uuden sukupolven Stuxnetin, joka koostui useista osista … ja yritti tunkeutua järjestelmiimme.”

Iranin televiestintäministeri Mohammad-Javad Azari Jahromi syytti Israelia iskun takana sanoen, että haittaohjelman tarkoituksena oli ”vahingoittaa Iranin viestintäinfrastruktuureja.”Hän kuitenkin sanoi, että maan ”valppaat TEKNISET tiimit” olivat estäneet hyökkäyksen ja että Israel oli ”palannut tyhjin käsin.”

The Times of Israel kertoi tuolloin, että Iranin viranomaiset olivat myöntäneet joutuneensa ”aiempaa väkivaltaisemman, kehittyneemmän ja kehittyneemmän viruksen hyökkäyksen kohteeksi, joka on iskenyt infrastruktuuriin ja strategisiin verkkoihin.”

mikä on Stuxnetin nykyinen tila?

mikä on Stuxnetin tilanne nyt? Vaikka se on ollut luonnossa vuosia, se ei tarkoita, että kuka tahansa voi käyttää sitä tekemään samanlaista vahinkoa.

Symantecin Liam O ’ Amurchu, tietoturvateknologian ja Reagointiryhmän johtaja, kertoi CSO Magazinelle vuonna 2017, että se oli monimutkaisin koodi, jonka tiimi oli tarkistanut, ja se oli ”täysin eri liigassa kuin mikään, mitä olimme koskaan aiemmin nähneet.”

hän sanoi myös, ettei pidä uskoa verkkosivustoja, jotka väittivät Stuxnetin koodin olevan ladattavissa, koska madon lähdekoodia ei ollut julkaistu tai vuodettu, eikä sitä voi purkaa luonnossa olevista binääreistä.

vaikka yhden kuljettajan koodi—hyvin pieni osa kokonaispaketista—oli rekonstruoitu reverse Engineeringin avulla, se ei ole sama asia kuin alkuperäinen koodi.

silti O ’ Muchu sanoi, että tutkijat voisivat ymmärtää paljon koodista tutkimalla binääriä toiminnassa ja käänteismuokkaamalla sitä. Esimerkiksi,” se oli melko selvää, Kun ensimmäisen kerran analysoimme tätä sovellusta, että se oli etsimässä joitakin Siemens laitteita”, hän sanoi.

ja kolmen-kuuden kuukauden reverse Engineeringin jälkeen ”pystyimme määrittämään, sanoisin, 99 prosenttia kaikesta, mitä koodissa tapahtuu.”

mutta Iranin marraskuinen ilmoitus vahvistaa, mitä Stuxnetille tapahtuu. Se kehittyy, kuten useimmat haittaohjelmaperheet. Ei niinkään, että se on palannut. Se, että se ei koskaan mennyt pois-ja se tulee lähes varmasti olemaan otsikoissa uudelleen.

lisätietoja ICS-tietoturvasta