Stuxnet: Evolucija virusa

Nije ništa novo da neko napravi virus, tj. program koji se na jedan ili više načina replicira na svaki računar sa kojim dođe u dodir (da ne zalazimo sada u detalje šta je baš virus, šta je crv...). Daleko smo od toga da viruse pišu samo klinci koji u stvari hoće da se dokažu kao velike face. Virusi se danas prave sa željom da se ostvari materijalna korist, a za to su nam svima najbliži oni koji kradu lične podatke (Google je objavio da je bio žrtva pokušaja ovakvog napada pod imenom Aurora) i one sa platnih kartica. Nedavno se pojavila informacija da je pronađen virus koji nije pravio direktnu štetu, već je zaražene računare pretraživao u potrazi za CAD crtežima.

Virus napada elektranu

U čemu je onda velika posebnost novootkrivenog virusa nazvanog Stuxnet? U tome što ga je po svoj prilici napravila vlada neke velike države (SAD i Izrael su glavni „osumnjičeni“) i to sa namerom da napadne Bushehr nuklearnu centralu u Iranu. Kombinacija nuklearnih sila i tehnologije, špijunaže, računarskih napada i najjače države na svetu... zvuči kao bestseler ili teorija zavere. Moramo se ograditi da je vest ipak spekulacija koja najverovatnije nikada neće biti ni potvrđena ni demantovana. Međutim, sudeći po ekspertima među kojima su Brus Šajner, Symantec Security Response Supervisor Liam O'Murchu i F‑Secure sajt (www.f‑secure.com/weblog/archives/00002040.html ), stvari nisu daleko od istine. Čak i ako meta napada nije konkretna nuklearka, virus pred sobom ima vrlo jasan cilj. Ako će vam biti lakše, vaša nuklearka nije u opasnosti – svi antivirus programi sada detektuju i uklanjaju Stuxnet.

Stuxnet je crv koji napada Windows računare a prenosi se primarno preko USB drajvova, što mu omogućava da pristupi i računarima i mrežama koje nisu povezane na Internet. Kada se nađe na novoj mreži, koristi razne mehanizme da se po njoj širi, kao i da dobija privilegije na zaraženim računarima. Primenjeni mehanizmi sadrže i pečovane i zero‑day rupe, tj. slabosti koje su javnosti bile nepoznate u vreme pisanja samog virusa. Stuxnet na zaraženim računarima traži jedan model PLC (Programmable Logic Controler) koji proizvodi Siemens, i koji se često primenjuje u industrijskim sistemima za upravljanje procesima. PLC upravlja mnogim automatskim procesima u fabrikama, rafinerijama, naftovodima... i naravno nuklearnim elektranama. Oni su često povezani sa računarima, pa Stuxnet na njima traži Simens SIMATIC WinCC‑Step 7 upravljački softver.

Ako ga ne pronađe, ne radi ništa ali zarazi sam kontrolerski softver koristeći neotkrivenu i nezakrpljenu rupu. Na taj način čita i modifikuje određene delove koda u kontrolisanom PLC‑u. Predvideti efekte ove akcije je nemoguće za nekoga ko nije „dubinski“ upoznat sa načinom rada PLC‑a, njegovim programiranjem. S obzirom na specifičnost izmena koje se vrše, logično je zaključiti da Stuxnet cilja samo određeni PLC, ili određenu familiju PLC‑ova, odrađujući specifičnu funkciju na specifičnom mestu, kao i da su njegovi tvorci eksperti koji su vrlo jasno znali šta rade.

Zaražene fabrike

Procenjuje se da je zaraženo preko 50 hiljada računara, a Siemens je u septembru objavio da je otkrio 14 zaraženih fabrika, u kojima doduše, nije bilo štete ili uticaja na proizvodnju. Naravno, ne možemo znati realno počinjenu štetu, ali se odmah javljaju i spekulacije, npr. da je odgovoran za delimični otkaz indijskog INSAT‑4B komunikacionog satelita.

Stuxnet je prvi put otkriven u junu ove godine, mada postoje priče da je pušten u svet godinu dana ranije. Veoma je složen. Pored toga što koristi slabosti Windows‑a, u njega instalira i svoj drajver. Pošto drajver mora biti digitalno potpisan, Stuxnet koristi (navodno) ukraden legitimni sertifikat. Interesantno, taj sertifikat je bio opozvan 16. juna, a nova varijanta sa drugim ukradenim sertifikatom je otkrivena već 17. jula.

Stuxnet se osvežava na dva načina. Proverava svoja dva kontrolna servera, u Maleziji i Danskoj, ali koristi i P2p sistem – kada se dva Stuxnet‑a sretnu na istoj mašini, uporede verzije da bi znali koji je noviji. Takođe, ima i ugrađen datum kada će prestati da se širi – 24. jun 2012.

To košta!

Izrada ovakvog programa je mnogo koštala – procene kažu da je za to bilo potrebno osam do deset ljudi koji su radili šest meseci. Morali su da imaju i ozbiljan razvojni laboratorijski sistem, jer svaka organizacija bi – kog god da je tipa – posle velikih muka da ga napravi, Stuxnet ozbiljno testirala pre puštanja na slobodu. Korišćenje više zero‑day „rupa“, koje su same po sebi retke i izuzetno vredne, a mogu se iskoristiti samo jednom, samo dodatno govori o tome koliko je čitava operacija bila ozbiljna.

Ne zna se ko je napravio, ni zašto, ni koji je konkretan cilj, kao ni da li je postignut. Jasno je jedino zašto se govorka da ga je napravila neka država. Stuxnet se ne širi na sve, ne krade lične podatke, ne organizuje zaražene računare u botnet, već izvodi sabotažu – ne preti njome kao neka kriminalna organizacija, već je zaista izvodi. Da se neko ovog koncepta setio za film o Džemsu Bondu, to bi bila zaista odlična priča, ali ovo je surova realnost.

Ništa od svega ovoga ne ukazuje baš na Bushehr nuklearnu elektranu. Tu priču je u stvari počeo Ralf Lagner, istraživač iz Nemačke. Jasno ju je označio kao visokospekulativnu, ali ju je bazirao na činjenici da je najveći broj zaraženih sistema lociran u Iranu, kao i da je elektrana vrlo interesantan cilj. Pored toga, naveo je, u drugim zemljama sa visokim brojem zaraza (Indija, Indonezija, Pakistan) u kojima je mnoge poslove obavila ista kompanija iz Rusije. Roel Schouvenberg, istraživač iz Kaspersky laboratorije, zaključio je da je najverovatnije proizvođač vlada neke zemlje. Iz kompjuterske rubrike vest je otišla u dnevnu, a kada se teorija zavere prihvati, lakše je naći i dodatne dokaze.

U Stuxnet kodu se pojavljuje reč myrtus, koja se povezuje sa kraljicom Ester, takođe poznatom i kao Hadasah, koja je spasla persijske Jevreje od genocida u IV veku pre Hrista. A opet, možeda je to i skraćenica od MyRTUs. Stuxnet postavlja i vrednost 19790509 u registry Windows‑a, što obaveštava nove instance virusa da je kompjuter već zaražen. To je datum kada je pogubljen persijski Jevrejin Habib Elganain u Teheranu, zbog špijunaže za Izrael. E sad, ove stvari mogu ukazivati na Izrael... ili ih je neko tu podmetnuo. Nije nemoguće ni da je Izrael napravio virus, pa poturio te podatke da bi neko pomislio da nije Izrael već neko ko hoće da se tako misli. I tako bismo mogli u krug... Od „neutralnih“ tragova pronađen je string oxDEADF007, koji se može pročitati i kao dead foot, što u avio žargonu znači pokvaren motor.

Analiza koda pokazuje da su tvorci bili neobično pedantni u tome da ne ostavljaju tragove, pa je tim pre moguće da su ove stvari implantirane. Čudno je što se virus ne briše sam na računarima koji mu nisu cilj, a kada zarazi mrežu preko USB stika, predviđeno je da se širi na samo tri dodatna računara i da se obriše posle 21 dana, ali to ne radi – zaboravljena, ili funkcionalnost koja još nije omogućena? Možda su kreatori samo bili suviše sigurni u sebe pa nisu očekivali reverzni inženjering njihovog čeda, a možda ih nije ni bilo briga.

Stuxnet je očigledno veoma usmereno oružje za sabotaže. Kada ima pristup Internetu, vraća konfiguracione informacije o sistemu na kome se nalazi svojim tvorcima, koji onda mogu da odluče šta žele i da mu pošalju informaciju kako da ga reprogramira, i to sve skriva od operatera zaraženog sistema. Ovo pravi mogući problem u kome neke komande mogu ostati skrivene u Siemens‑ovom softveru čak i kada se virus ukloni sa Windows računara.

Sve ovo je prilično zastrašujuće – neko može da uradi šta hoće, ili barem nešto ključno (a loše), upravljajući tuđim sistemom. Ako malo generalizujemo ovaj događaj, bilo koji deo hardvera u kome postoji mikrokontroler ili računar se može napasti. Loše je i ako su u pitanju klinci koji će početi da maltretiraju komšiluk sa preporogramiranim šporetima u kojima zagoreva ručak, da ne pominjemo šta bi ovako nešto značilo za upravljanje avionima, ili automatizovanim raketnim sistemima, i drugim ključnim institucijama.

Možda Stuxnet i nije napravila vlada neke zemlje, već velika kompanija koja na vrlo podmukao i neočigledan način želi da uništi svoje konkurente. Ko zna koliko još Stuxnet‑a švrlja svetom i čeka da napadne svoje ciljeve...

© 1995-2024 PC Press. Sva prava zadržana.