Throwback joi: ce sa întâmplat cu Stuxnet?
ce s-a întâmplat cu Stuxnet? De când a distrus sute de centrifuge la o instalație de îmbogățire nucleară din Iran în 2010, viermele a fost liniștit—dar nu inactiv.
cu un motiv bun. A fost un precedent. A fost una dintre cele mai sofisticate bucăți de malware create vreodată la acea vreme. Kaspersky Lab a estimat că o echipă de 10 programatori a avut nevoie de doi-trei ani pentru a-l crea.
de asemenea, a trecut o linie. În loc să fie folosit „doar” pentru a hack computerele și a fura datele de pe ele, a fost folosit pentru a provoca distrugeri fizice.
ce este Stuxnet?
până când a devenit publică pentru prima dată în 2010, Stuxnet a permis distrugerea a aproape o mie sau aproximativ o cincime din centrifugele de la instalația iraniană de îmbogățire nucleară Natanz, stabilind programul nuclear al acelei națiuni cu 18 luni sau mai mult. Evident, aceasta a devenit o știre internațională care a durat nu doar luni, ci ani.
după o perioadă de timp în jurul problemei atribuirii, majoritatea rapoartelor s-au hotărât să spună că este „larg acceptat” că Stuxnet a fost o armă cibernetică creată de agențiile de informații israeliene și americane. S-au scris cărți despre aceasta, s-au desfășurat numeroase seminarii despre aceasta și, desigur, acuzații și amenințări în rândul statelor naționale implicate.
Stuxnet a fost, de asemenea, semnificativ, deoarece atacatorii au introdus viermele în computerele Natanz, chiar dacă sistemele erau „gapped”-nu erau conectate la internet. Ei au obținut acces prin utilizarea stick-urilor USB pentru a planta malware pe sistemele unor companii terțe care aveau o legătură cu programul nuclear Iranian.
înrudite: Lacune de aer în ICS merge, merge … și așa este de securitate
Stuxnet a fost extrem de vizate, concepute pentru a scana numai pentru Siemens Pasul 7 software-ul pe computerele care controlează un PLC (Programmable Logic controller). Dacă vreunul lipsea, Stuxnet ar fi dormit în interiorul computerului. Dar dacă ambele ar fi prezente, ar modifica codurile și ar da comenzi rău intenționate PLC-ului în timp ce returnează feedback-ul care a făcut să pară că totul era normal.
aceste comenzi au făcut ca centrifugele să scape de sub control și să se distrugă înainte ca cineva care monitorizează sistemul să știe că ceva nu este în regulă.
Se pare că Stuxnet nu a fost niciodată intenționat să se răspândească dincolo de Natanz. Cu toate acestea, malware-ul a ajuns pe computerele conectate la internet și a început să se răspândească în sălbăticie, datorită unui design extrem de sofisticat și agresiv.
ce s-a întâmplat de atunci?
după atacul de la Natanz, Stuxnet a dispărut din titlurile obișnuite în câțiva ani, dar a revenit pentru scurt timp în 2016, când un raport Microsoft Security Intelligence l-a identificat printre familiile de malware legate de exploatare detectate în a doua jumătate a anului 2015.
înrudite: 6 ani mai târziu, vulnerabilitatea’ Stuxnet ‘ rămâne exploatată
a dispărut din nou până în noiembrie trecut, când Reuters, urmată de numeroase alte puncte de vânzare, a raportat o afirmație a șefului Apărării Civile din Iran că guvernul națiunii a detectat și a oprit un efort israelian de a infecta sistemele informatice cu ceea ce el a descris ca o nouă versiune a Stuxnet.Gholamreza Jalali, șeful Organizației Naționale de apărare pasivă (NPDO), a declarat pentru IRNA news service: „recent, am descoperit o nouă generație de Stuxnet care consta din mai multe părți … și încerca să intre în sistemele noastre.Mohammad-Javad Azari Jahromi, ministrul iranian al telecomunicațiilor, a acuzat Israelul că se află în spatele atacului, spunând că malware-ul a fost destinat să „dăuneze infrastructurilor de comunicații ale Iranului.”Dar el a spus că „echipele tehnice vigilente” ale țării au blocat atacul și că Israelul „s-a întors cu mâinile goale.”The Times of Israel a raportat la momentul respectiv că oficialii iranieni au recunoscut că se confruntă cu un atac de la” un virus mai violent, mai avansat și mai sofisticat decât înainte, care a lovit infrastructura și rețelele strategice.”
care este starea curentă a Stuxnet?
care este starea Stuxnet acum? În timp ce a fost în sălbăticie de ani de zile, asta nu înseamnă că oricine îl poate folosi pentru a face același tip de daune.Liam O ‘ Murchu de la Symantec, directorul Grupului de tehnologie și răspuns la securitate, a declarat pentru revista CSO în 2017 că este cel mai complex cod pe care echipa l-a revizuit și că „se află într-o ligă complet diferită de orice am văzut vreodată.”
el a mai spus să nu credem site-urile care pretindeau că au codul Stuxnet disponibil pentru descărcare, deoarece codul sursă pentru vierme nu a fost lansat sau scurs și nu poate fi extras din binarele disponibile în sălbăticie.
în timp ce codul pentru un driver—o foarte mică parte a pachetului general—a fost reconstruit prin inginerie inversă, nu este același lucru cu a avea codul original.
totuși, o ‘ Churchu a spus că cercetătorii ar putea înțelege multe despre Cod examinând binarul în acțiune și ingineria inversă. De exemplu,” a fost destul de evident din prima dată când am analizat această aplicație că căuta niște echipamente Siemens”, a spus el.
și după trei până la șase luni de inginerie inversă, „am reușit să determinăm, aș spune, 99% din tot ceea ce se întâmplă în cod.”
dar anunțul din noiembrie al Iranului confirmă ce se întâmplă cu Stuxnet. Evoluează, la fel ca majoritatea familiilor malware. Nu este atât de mult că este înapoi. Este că nu a dispărut niciodată-și aproape sigur va fi din nou în titluri.
Aflați mai multe despre securitatea ICS