Przejdź do menu Przejdź do treści
Uniwersytet Komisji Edukacji Narodowej
w Krakowie

Wirus Stuxnet (robak Stuxnet)

działające w systemie Windows złożone złośliwe oprogramowanie, które składa się z wielu różnych komponentów i ma różne właściwości funkcjonalne. Stuxnet to wirus nietypowy, zagrożenie, które rozprzestrzenia się za pośrednictwem pamięci flasz (zainfekowanych urządzeń USB), sieci lokalnych oraz przy użyciu skradzionych certyfikatów cyfrowych i jest przeznaczone do ataku na oprogramowanie urządzeń wykorzystywanych do automatyzacji procesów produkcyjnych w przemyśle.

Stuxnet jest jedynym historycznym przypadkiem złośliwego kodu, który jako pierwszy wykorzystuje cztery 0-dniowe luki w zabezpieczeniach, zagrażając cyfrowym certyfikatom i wprowadzając kod do przemysłowych systemów kontroli i ukrywając kod od operatora. Stuxnet stał się pierwszą w historii cyberbronią ofensywną, która wykorzystuje niezałatane nieznane wcześniej luki bezpieczeństwa znalezione w systemie operacyjnym Windows.

Eksperci od zabezpieczeń komputerowych twierdzą, że Stuxnet być może jest najbardziej zaawansowanym, skomplikowanym i szkodliwym kodem w historii, przełomem w dziedzinie wirusów komputerowych, stworzonym i używanym do szpiegowania i przeprogramowywania instalacji przemysłowych oraz pierwszym udokumentowanym bojowym wykorzystaniem wirusa komputerowego. Stuxnet zyskał reputację „cyber-hiroszimy” – pierwszej w historii broni cybernetycznej.

Ostatecznym celem Stuxnetu jest takie przeprogramowanie systemu sterowania przemysłowego poprzez modyfikację kodu programowalnego sterowników logicznych, aby działały w sposób zamierzony przez intruza, a dokonane zmiany nie były widoczne dla operatora urządzenia. W rzeczywistości Stuxnet był w stanie spowodować fizyczne uszkodzenie sprzętu, zmuszając go do pracy niewidocznej dla inżynierów.

Systemy sterowania przemysłowego są wykorzystywane np. do zasilania sieci elektroenergetycznych, dystrybucji ropy i gazu oraz sterowania systemami uzdatniania i zaopatrzenia wody czy elektrowni jądrowych – wszystko to wykorzystuje programowe elementy logiczne, które okazały się podatne na nowy wirus. Robak bywa określany jako pierwsze prawdziwe zagrożenie dla ludzkości, który było w stanie przeniknąć z cyberprzestrzeni do świata fizycznego.

W czerwcu 2010 r. Stuxnet zakłócił irańską infrastrukturę wzbogacania broni jądrowej – był to pierwszy przypadek strategicznego cyberataku, który powoduje fizyczne uszkodzenia, jednocześnie pierwsza empiryczna możliwość przetestowania konwencjonalnej wiedzy na temat cyberwojny. W trakcie ataku zainfekowano aż 60% irańskich komputerów, a celem był irański program wzbogacania uranu i tym samym spowolnienie procesu uzyskania przez Iran broni jądrowej. W listopadzie 2010 r. eksperci amerykańskiej firmy Symantec stwierdzili, że Stuxnet atakuje urządzenie, za pomocą których regulowana jest prędkość wirówek, takich jak używane w zakładzie wzbogacania uranu w Natanz (Iran). Nie wiadomo, jakie duże szkody spowodował w irańskim programie nuklearnym. Według raportu Międzynarodowej Agencji Energii Atomowej (MAEA) w Natanz było zepsutych ok. 1000 wirówek, które jednak szybko zastąpiono sprawnymi urzadzeniami.

Badania wykazały, że Stuxnet działa co najmniej od czerwca 2009 r. Początkowo myślano, że wykorzystuje on pojedynczą dziurę w systemie Windows. Microsoft ją zlikwidował, jednak wkrótce okazało się, że twórcy Stuxneta wykorzystali jeszcze cztery inne luki. Robaka zaprojektowano z myślą o specyficznym systemie sterowania przemysłowego SCADA (Supervisory Control And Data Acquisition) Siemensa, nadzorującym przebieg procesu technologicznego lub produkcyjnego. Jego główne funkcje obejmują zbieranie aktualnych danych (pomiarów), ich wizualizację, sterowanie procesem, alarmowanie oraz archiwizację danych produkcji. Do ataku dochodzi tylko i wyłącznie w momencie, gdy kod jest pewny, iż ma do czynienia ze SCADA.

Specjaliści podkreślają, że infrastruktura użyta do kontrolowania Stuxneta była niezwykle prymitywna, a to może wskazywać, że twórcy robaka byli przekonani, iż osiągną swoje cele, zanim szkodliwy kod zostanie odkryty. Gdy już znajdzie się w sieci wewnętrznej, atakuje kolejne komputery, wyszukując maszyny z oprogramowaniem do zarządzania systemami SCADA. Gdy je znajdzie, dokonuje ataku za pomocą buforowania drukarki sieciowej. Następnie próbuje uzyskać uprawnienia administracyjne za pomocą fabrycznych haseł Siemensa. Gdy mu się to uda, wprowadza zmiany w oprogramowaniu PLC i zaczyna wydawać systemowi SCADA polecenia. Twórcy Stuxneta wyposażyli go nawet w co najmniej dwa autentyczne, skradzione certyfikaty cyfrowe. Poziom organizacji i skomplikowania całego pakietu wchodzącego w skład robaka jest imponujący. Ktokolwiek go stworzył, zrobił to tak, by móc atakować dowolną firmę. Kod wykorzystuje tak różne techniki, że musiały pracować nad nim osoby o bardzo różnych umiejętnościach i doświadczeniu. Kod Stuxneta zajmuje aż pół megabajta i został napisany w wielu różnych językach, w tym w C i C++.

Eksperci mówią, że chociaż pierwotna wersja Stuxneta została dobrze skonstruowana, to ktokolwiek go stworzył, chciał za jego pomocą atakować irański program atomowy, ponieważ Stuxnet zawiera mechanizm pozwalający na zastąpienie go kolejną, nową bronią do cyberataku w trakcie działania. Eksperci twierdzą, że wynalazcy Stuxnet musieli być niezwykle przebiegli, gdyż oprzyrządowanie kontrolne centryfugi, na które był skierowany atak – i które najwidoczniej ucierpiało wskutek ataku – zostało zupełnie odłączone od internetu. A zatem twórcy robaka musieli napisać nie tylko program, który może wziąć za cel urządzenie i spowodować jego dysfunkcję, ale musieli znaleźć sposób na fizyczne wprowadzenie programu do „zamkniętego systemu”.

O tym, jak olbrzymimi zasobami dysponowali twórcy Stuxneta, może świadczyć chociażby to, że musieli mieć do dyspozycji własne oprogramowanie przemysłowe i sprzęt, na którym mogli przetestować. Przypuszcza się, że za Stuxnetem stoi rząd jakiegoś kraju. Żaden cybergang nie dysponuje bowiem zasobami, które pozwoliłyby na stworzenie tak zaawansowanego kodu. Świadczy też o tym przeprogramowanie programowalnego sterownika logicznego (programmable logic controller, PLC), a zatem przestawienie urządzeń na inny sposób produkcji niż życzyliby sobie właściciele fabryki. To pokazuje, że za Stuxnetem kryje się coś więcej niż szpiegostwo przemysłowe i próba kradzieży informacji.

Nie ma pewności, kto i dlaczego napisał Stuxneta, choć istnieje wiele teorii na ten temat, w tym teorii spiskowych. W styczniu 2011 r. pojawiły się dwie przeciwstawne: „Forbes” udowadniał, że za Stuxnetem stoją Chińczycy i Finowie, natomiast „New York Times” twierdził, że Stuxnet to efekt współpracy pomiędzy wywiadem USA i Izraelem. Niemieccy informatycy badający pochodzenie Stuxnetu nie wykluczają, że został on wprowadzony do irańskiego systemu na przenośnej pamięci USB, najprawdopodobniej przez pracownika jednej z rosyjskich firm podwykonawczych zaangażowanych przy budowie elektrowni. Ta sama rosyjska firma, niewymieniona z nazwy, realizuje projekty również w Indiach i Indonezji, gdzie w komputerowych programach Siemensa sterujących produkcją przemysłową również wykryto wirusa Stuxnet.

Dokładna liczba zarażonych komputerów i systemów nie jest znana, według danych z 29 września 2010 r. zarażonych było ok. 100 tys. komputerów ze 155 krajów, najwięcej infekcji odkryto w Iranie – 58% z zarażonych komputerów, Indonezji – 18%, Indiach – 10% i Azerbejdżanie – 3,4% (pozostałe kraje poniżej 2%).

Odkrycie Stuxnet podniosło świadomość kwestii związanych z bezpieczeństwem cybernetycznym na całym świecie. Zdano sobie sprawę, że konsekwencje potencjalnych cyberataków na infrastrukturę przemysłową mogą być katastrofalne. Niektórzy opisują Stuxnet jako zwiastuna nowej formy wojny cyfrowej, które zagrażają nawet najsilniejszym siłom militarnym.

Flame, Stuxnet, Duqu i inne wirusy tworzone na tej samej platformie technologicznej (np. Gauss – wirus trojański służący kradzieży informacji wywiadowczych o charakterze finansowym, którego użyto do ataku na klientów libańskich banków) to broń cybernetyczna, stworzona wysiłkami dwóch czy więcej państw do ataku na trzecie. W 2014 r. specjaliści firmy F-Secure odkryli kolejny trojan atakujący instalacje przemysłowe. Jego twórcy – podobnie jak w przypadku poprzednika – mogli nie tylko wykradać dane, ale także wpływać na proces produkcyjny.

Olga Wasiuta

D. Albright, P. Brannan, C. Walrond, Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?, Institute for Science and International Security, 2010, http://isis-online.org/uploads/isis-reports/documents/stuxnet_FEP_22Dec2010.pdf [dostęp|: 15.04.2019]; D.E. Denning, Stuxnet: What Has Changed?, „Future Internet” 2012, no. 4; N. Falliere, L.O Murchu, E. Chien, W32. Stuxnet Dossier. Version 1.4 (February 2011), https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf [dostęp|: 15.04.2019]; J.R. Lindsay, Stuxnet and the Limits of Cyber Warfare, http://erikgartzke.com/assets/lindsay2013_stuxnet.pdf [dostęp: 15.04.2019]; A. Matrosov, E. Rodionov, D. Harley, J. Malcho, Stuxnet Under the Microscope Revision 1.31, http://daveschull.com/wp-content/uploads/2015/05/Stuxnet_Under_the_Microscope.pdf [dostęp: 15.04.2019]; P. Mueller, B. Yadegari, The Stuxnet Worm, https://www2.cs.arizona.edu/ ~collberg/Teaching/466-566/2012/Resources/presentations/topic9-final/report.pdf [dostęp: 15.04.2019]; R. Poroshyn, Stuxnet: The True Story of Hunt and Evolution, CreateSpace Independent Pub, 2014; J.C. Rebane, The Stuxnet Computer Worm and Industrial Control System Security, Nova Science Publisher’s Inc., Hauppauge 2011; K. Zetter, Countdown to Zero Day: Stuxnet and the launch of the world’s first digital weapon, Crown Publishers, New York 2014.