Stuxnet - atacul asupra programului nuclear iranian

În 23 noiembrie 2010, instalaţiile de îmbogăţire a uraniului de la Natanz din Republica Islamică Iran  au avut o serie de probleme tehnice care au dus la oprirea repetată a acestora. Cel mai probabil, conform unor analize realizate de specialişti în securitate informatică, cauza acestor probleme tehnice a fost infiltrarea unui software nociv în sistemul de comandă şi control al instalaţiilor nucleare iraniene, soft ce a fost numit Stuxnet.

Stuxnet a reprezentat  o noutate în domeniul instrumentelor cibernetice sub mai multe aspecte. Este o veritabilă armă cibernetică ce este capabilă să infecteze ţinte prestabilite şi să producă daune majore sistemelor ţintă. Prin complexitatea codului, comportament şi capacitatea de a afecta instalaţii nucleare, Stuxnet trece graniţa dintre domeniul digital şi cel fizic. 

De asemenea, Stuxnet (un vierme informatic) este primul malware (soft nociv) ce culege informaţii despre sisteme industriale şi are capacitatea de a acţiona asupra acestora, afectându-le funcţionarea. În aceeaşi idee, el include pentru prima oară un rootkit  PLC (un software special care funcţionează clandestin, fără a putea fi detectat prin metode clasice şi care afectează controlere logice programabile ce permit automatizarea unor procese electromecanice, cum ar fi cele prezente într-o fabrică de asamblare).

Stuxnet a fost descoperit în iunie 2010 de către compania specializată în soluţii de securitate VirusBlokAda din Belarus. Acesta a fost creat cu rolul de a sabota programul nuclear iranian, preluând controlul şi afectând instalaţiile de îmbogăţire a uraniului de la Natanz, Iran. Stuxnet  este considerat a fi prima armă cibernetică veritabilă, depăşind prin complexitate şi ingeniozitate orice virus cunoscut până la data descoperirii acestuia.

Prima informaţie publică despre existenţa şi posibilităţile Stuxnet a apărut pe Internet la data de 15 iulie 2010. În textul articolului se menţionează, succint, identificarea unei noi vulnerabilităţi a sistemului de operare Windows (care nu era şi nu este chiar o ştire…), menţionând, pe final, opinia unui specialist IT, conform căreia este posibil ca virusul nou descoperit să vizeze sistemele SCADA  de tip WinCC produse de compania Siemens. Era însă doar începutul; pe măsură ce marile companii de securitate informatică au dezasamblat  fişierele care constituiau virusul, informaţiile privind adevăratele posibilităţi ale acestuia au evidenţiat faptul că noul virus reprezintă o veritabilă armă cibernetică.


Ajutorul german pentru programul nuclear iranian

Programul nuclear iranian a început în jurul anului 1950, vizând construirea a 23 de centrale nucleare până în anul 2000. Acest program s-a bazat pe ajutorul Statelor Unite ale Americii şi al altor state din Occident, printre care şi Germania. Ajutorul american s-a încheiat în 1979, odată cu Revoluţia Iraniană, în cursul căreia şahul Iranului a fost detronat. După terminarea revoluţiei, programul nuclear a fost abandonat pentru scurtă vreme, ayatolahul Ruhollah Khomeini opunându-se continuării, pe motiv că etica musulmană nu ar permite asemenea demersuri tehnologice. Cu toate acestea, dat fiind că în 1980 Iranul a fost atacat de Irak, cercetările nucleare au fost reluate, la un nivel minim, pentru ca după 1989, anul morţii ayatolahului, acestea să se extindă.

În 1975 compania Kraftwerk Union AG (în fapt un joint venture între companiile germane Siemens AG şi AEG) a semnat un contract de 4-6 miliarde dolari pentru construirea unei centrale nucleare bazate pe un reactor cu apă sub presiune. Aceasta urma să fie dată în folosinţă în 1981. Însă, ca urmare a Revoluţiei Iraniene, în iunie 1979 compania germană s-a retras din proiect, sub pretextul unor întârzieri în efectuarea plăţilor de către iranieni. Contextul politic şi presiunile americane asupra Germaniei nu trebuie însă ignorate în explicarea deciziei companiei Kraftwerk.

În urma acestui parteneriat cu Kraftwerk Union AG, Iranul a ajuns în posesia unei tehnologii de vârf germane, pe care o va folosi în anii de după încheierea contractului.


Modalităţi de infectare

Nu mai puţin de 14 situri industriale iraniene au fost infectate cu Stuxnet, printre care uzina de îmbogăţire a uraniului de la Natanz. Stuxnet, un software nociv de circa 500 kilobiți,  a fost programat pentru a ataca un anumit tip de sistem SCADA. Tipul SCADA ţintă, de tip S7 400 PLC, este produs de compania Siemens. Deşi Iranul, după retragerea companiei germane Kraftwerk Union AG, a continuat construirea centralei nucleare cu ajutorul specialiştilor din Federaţia Rusă, dat fiind că parte din echipamentele necesare fuseseră deja livrate de către Siemens, a decis utilizarea acestora.

Stuxnet a infectat sistemul de operare Windows folosindu-se de nu mai puţin de patru vulnerabilităţi de tip zero-day (zero-day attack – reprezintă un atac cibernetic ce se bazează pe identificarea şi utilizarea unor vulnerabilităţi ale unui software, necunoscute până la data exploatării acestora). Prima vulnerabilitate a vizat fişierele tip .LNK (reprezentând fişierele „scurtătură” din sistemele bazate pe Microsoft Windows), care a fost utilizată pentru răspândirea virusului prin intermediul stickurilor de memorie flash. Cea de-a doua vulnerabilitate a fost a unui driver de imprimantă (print spooler), care a fost utilizată pentru replicarea virusului în interiorul unei reţele, prin imprimantele partajate între utilizatori – opţiune larg utilizată în interiorul reţelelor ce conţin computere bazate pe sistemul de operare Windows. Celelalte două vulnerabilităţi privesc accesul la niveluri privilegiate (destinate administratorilor sistemelor informatice) ale sistemul de operare.

Crearea unui software nociv care să se bazeze pe existenţa a patru vulnerabilităţi de tip zero-day are mai multe conotaţii. Întâi de toate, indică faptul că programatorii viermelui Stuxnet deţin o excelentă cunoaştere a sistemului de operare Windows, care le permite să identifice vulnerabilităţi care au scăpat celorlalţi hackeri, la nivel mondial. Trebuie menţionat că nu sunt puţini cei aflaţi în continuă căutare de astfel de vulnerabilităţi. Pe de-o parte sunt hackerii care, din pasiune, identifică „bug-uri”  ale softurilor, informând apoi producătorii acestora, pentru a le remedia. Dar, pe de altă parte, s-a dezvoltat o adevărată piaţă „neagră” a vulnerabilităţilor software de tip zero-day; există site-uri unde acestea se vând pentru diverse sume.
 
Răspândirea iniţială a viermelui s-a bazat pe stickuri de memorie flash, pentru ca apoi, odată ce virusul s-a aflat în interiorul unei reţele, să se instaleze pe alte computere. Tot prin intermediul unor stickuri, viermele se transmite de pe un computer infectat pe unul neinfectat. Această manieră de transmitere a făcut ca diverse reţele din diverse state să fie infectate. De exemplu, în noiembrie 2012 compania Chevron a fost prima corporaţie americană care a admis că Stuxnet a fost identificat în interiorul reţelelor sale de computere.

Rootkitul Stuxnet amintit a reuşit să-şi camufleze prezenţa pe computere infectate, întrucât dispunea de două certificate digitale de securitate valide, unul de la compania Realtek şi altul de la JMicron, ambele certificate însuşite cumva de la Hsinchu Science Park din Taiwan. În plus, aceste certificate de securitate au permis virusului evitarea detecţiei de către eventualele programe antivirus.


Fazele atacului

Obiectivul principal al viermelui Stuxnet a fost acela de a prelua controlul unor instalaţii industriale, în speţă a instalaţiilor nucleare iraniene. Atacul a constat în trei faze distincte: faza de livrare a virusului (care consta în infectarea sistemului de operare Windows), faza de identificare a software-ului Siemens Step7 (ţinta atacului) şi, apoi, faza atacului propriu-zis, constând în compromiterea unităţilor logice de control programabile (PLC). Stuxnet dispune de abilitatea de a instala propriul cod în aceste unităţi logice (care, în fapt, sunt minicomputere). Acest cod este atât de bine camuflat, încât un programator care ar fi încercat să verifice tot codul din PLC, nu ar fi putut detecta codul inserat de Stuxnet, fiind, astfel, primul rootkit cunoscut cu abilităţi de ascundere a codului introdus într-o unitate logică de control programabilă.


Răspândirea Stuxnet la nivel global

Conform unui raport  din 13 iulie 2010 al companiei Symantec, la puţin timp după identificarea viermelui, infectarea computerelor la nivel global era următoarea:
• Iran – 58,85%;
• Indonezia – 18,22%;
• India – 8,31%;
• Azerbaidjan – 2,57%;
• SUA – 1,56%;
• Pakistan – 1,28%;
• Alte state – 9,20%.

Este necesar însă a fi menţionat că această răspândire globală nu identifică în niciun fel ţintele reale ale virusului. Aşa cum am menţionat mai sus, acţiunea nocivă a virusului s-a desfăşurat în trei faze, unde prima se referă la infectarea sistemului de operare Windows. Dar ţinta virusului Stuxnet nu a fost aceea de a deţine controlul acestor maşini pentru a acţiona în vreun fel asupra fişierelor de pe sistemele infectate, ci aceea de a sabota funcţionarea sistemelor SCADA de tip S7-400 PLC. Conform informaţiilor care se deţin, sistemele informatice infectate cu Stuxnet, în măsura în care nu îndeplineau criteriul accesului la aceste sisteme, nu au fost afectate în vreun fel. Cum s-a răspândit virusul pe o aşa largă arie geografică? Acest aspect rămâne încă un mister, dar sunt indicii suficiente pentru a considera că, odată ieşit din zona cvasi-independentă a instalaţiilor nucleare de la Natanz, Stuxnet a făcut ceea ce a fost programat, adică să se răspândească de la computer la computer, prin intermediul unor stick-uri de memorie flash. Viermele nu a fost destinat, se pare, pentru alte sisteme decât cele din cadrul instalaţiilor nucleare iraniene, dar, în urma unei posibile erori de programare ori a unei neglijenţe  privind răspândirea virusului, acesta a „evadat” pe Internet. De ce putem vorbi despre eroare ori superficialitate? Pentru că este de imaginat că cei care au creat Stuxnet şi-au dorit să se afle cât mai târziu despre iniţiativa lor privind infectarea instalaţiilor nucleare iraniene. În acest context, răspândirea virusului în afara reţelei ţintă devine un pericol major pentru identificarea acestuia – ceea ce s-a şi întâmplat până la urmă. Compania din Belarus, VirusBlokAda, nu a descoperit Stuxnet în urma unei analize a sistemului de computere iranian, ci cumva din întâmplare. În iunie 2010 compania a primit o solicitare de intervenție tehnică de la un client, care era nemulţumit de faptul că unele dintre computere se repornesc necontrolat.

Calea probabilă a răspândirii Stuxnet în afara arealului ţintă a constat în infectarea unui computer al unui inginer iranian implicat în programul nuclear, care, după conectarea sistemului informatic la instalaţiile nucleare infectate, l-a cuplat la Internet, în acest fel reuşind să ofere lumii cea mai complexă specie de software nociv văzută până la acea dată.


Efectele Stuxnet asupra instalaţiilor nucleare iraniene

Deşi Stuxnet a vizat infectarea sistemelor SCADA, ţinta acestuia a fost reprezentată de centrifugele de purificare a uraniului de la Natanz. Procesul de purificare (îmbogăţire) este necesar pentru a face materialul radioactiv utilizabil într-o centrală nucleară ori pentru o bombă nucleară. Aceste centrifuge se rotesc la viteze constante. Orice modificare a acestei viteze de rotaţie a centrifugelor, chiar şi pentru perioade scurte, poate face uraniul nefolosibil, fiind necesară o reluare a procesului.

Centrifugele din aluminiu sunt înalte de 1,8 metri şi au un diametru de 10 centimetri. Viteza de rotaţie este de aproximativ 1.000 de ori pe secundă. Procesul de purificare constă în centrifugarea gazului hexafluorurii de uraniu, permiţând acumularea de uraniu-235, izotopul fisionabil al uraniului, în centrul centrifugei.

Stuxnet a modificat viteza de rotaţie a centrifugelor, luându-şi măsuri de protecţie privind acţiunile sale. Astfel, virusul a dezactivat sistemele de protecţie ale soft-ului de control al centrifugelor, modificările frecvenţei de rotaţie rămânând neraportate. Mai mult, Stuxnet folosea date înregistrate anterior pentru a raporta informaţii corecte către sistemul de monitorizare. Prin urmare, orice verificare a inginerilor implicaţi în proiectul de la Natanz producea rezultate aşteptate, corecte.

Analizele efectuate de diverse organizaţii au concluzionat că aproximativ 1.000  de centrifuge (10 procente din cele existente) au fost afectate de infectarea cu Stuxnet. În fapt, viermele informatic a crescut (de la 1064 Hz la 1410 Hz) ori scăzut (cu câteva sute de hertzi) frecvenţa centrifugelor pentru diverse perioade de timp (minute ori zeci de minute).


Cine este creatorul Stuxnet?

Date fiind importanţa şi implicaţiile legale şi posibil militare ale unei operaţiuni cibernetice de sabotaj, cum a fost cea de utilizare a viermelui informatic Stuxnet, nu a existat nicio reacţie oficială de asumare a „paternităţii” Stuxnet. Cu toate acestea, mai multe surse indică Statele Unite ale Americii şi Israel ca fiind sursele softului nociv. Este drept, date fiind relaţiile politice dintre cele două state şi Iran, precum şi cunoscutul interes al celor două ţări menţionate de a bloca orice program de dezvoltare a armelor nucleare al Iranului, ţintele acuzaţiilor sunt cumva de la sine-înţelese. Există totuşi şi o serie de informaţii, mai mult sau mai puţin elocvente, care indică existenţa unui parteneriat strategic dintre SUA şi Israel pentru producerea şi utilizarea unei arme cibernetice care să blocheze ori măcar să întârzie programul nuclear iranian.

Într-un material video care celebra activitatea generalului izraelian Gabi Ashkenazi, şef de stat major al Ministerului Apărării, se făcea referire la virusul Stuxnet  ca la una dintre reuşitele importante ale mandatului lui Ashkenazi. În arhiva de e-mailuri din cadrul companiei Stratfor, sustrase de grupul de hackeri „Anonymous” şi făcută publică de către Wikileaks, se poate citi că experţii prestigioasei organizaţii sunt de opinie că Israelul este autorul viermelui informatic Stuxnet, fără a oferi însă argumente în aceste sens.

Au existat speculaţii inclusiv privind existenţa în codul sursă al virusului a unor numere cu anumite semnificaţii. De exemplu „19790509” ar semnifica 09 mai 1979, aceasta fiind data la care Habib Elghanian, un evreu din Iran a fost executat la Teheran. Dar astfel de speculaţii nu reprezintă neapărat dovezi, odată pentru că pot fi simple coincidenţe ori interpretări greşite, dar şi pentru că nu ar fi imposibil ca, în situaţia în care un alt stat s-ar afla la originea virusului, să includă asemenea cifre „compromiţătoare” pentru a dirija atribuirea sursei softului nociv într-o altă direcţie.

Cel mai important cotidian american, New York Times, pe baza unor surse din interiorul serviciilor de informaţii americane, menţionează  că Stuxnet este parte dintr-un program mai amplu, denumit „Olympic Games”, care are scopul de a sabota infrastructura nucleară iraniană. Acelaşi cotidian susţine că Israelul a achiziţionat centrifuge de tip P-1, cum sunt cele folosite de către Iran, şi le-a utilizat pentru a testa eficienţa Stuxnet în cadrul complexului nuclear israelian de la Dimona.

Aceste informaţii sunt însă privite cu suspiciune de către unii specialişti  în domeniul cibernetic, care consideră că, deşi complex, Stuxnet nu este un software militar, neglijenţele privitoare la răspândirea nepermis de întinsă sub aspect geografic a virusului indicând că este vorba, totuşi, despre un software creat de amatori. Cu toate acestea, reputatul analist Jeffrey Carr  susţine că o versiune mai credibilă ar fi aceea că adevăratul creator al virusului ar fi China.


Semnificaţii şi efecte pe termen lung ale virusului Stuxnet

Indiferent de adevăratul creator al viermelui informatic Stuxnet, descoperirea acestuia se consideră că reprezintă un moment de cotitură în modul în care statele utilizează spaţiul cibernetic pentru a rezolva probleme care, în mod clasic, presupuneau atacuri cinetice, implicând tehnică de luptă, armament şi muniţie. Posibilitatea de a utiliza armele cibernetice pentru a acţiona la distanţă şi în mod invizibil asupra unui alt stat constituie cu certitudine o prioritate pentru multe state. Pe de altă parte, revelaţia că orice sistem coordonat prin intermediul computerelor este vulnerabil la un atac cibernetic trebuie să fi constituit un semnal de alarmă serios pentru statele dezvoltate care au părţi din sectoarele industriale ori militare complet informatizate. Aşa cum crearea bombei nucleare a avut o serie de efecte durabile asupra relaţiilor dintre state (centrale nucleare, Războiul Rece, aducerea lumii la limita autodistrugerii), neprevăzute de creatorii acesteia, tot aşa apariţia armelor cibernetice militare (ori strategice) vor schimba configuraţia conflictelor viitoare. Deja putem spune că un domeniu ce ţine de securitatea naţională – spionajul – odată cu posibilitatea culegerii de informaţii prin intermediul unor softuri specializate în mediului cibernetic, a cunoscut  modificări substanţiale.

Stuxnet este probabil primul caz clar care arată realitatea războiului cibernetic. Dincolo de complicaţiile din punct de vedere legal  de a încadra o acţiune cibernetică de tipul celei desfăşurate prin intermediul Stuxnet ca fiind un act de război, faptul că prin intermediul computerului se poate acţiona asupra unor echipamente industriale ori militare şi, finalmente, se pot provoca victime umane – arată că spaţiul cibernetic generează efecte măsurabile în lumea reală.

Un alt aspect cu impact major asupra gândirii comune este cel privitor la capacitatea de a-şi atinge ţinta de către Stuxnet, chiar dacă echipamentele vizate nu se aflau conectate la Internet. Mulţi specialişti în securitate s-au simţit probabil liniştiţi, anterior descoperirii Stuxnet, ştiind că reţelele cu informaţii clasificate ori sistemele de importanţă strategică sunt izolate de mediul Internet, nefiind parte din spaţiul cibernetic global. Dar nici un sistem nu este complet independent, fiind necesare nenumărate interacţiuni cu sisteme informatice externe pentru verificări de rutină, mentenanţă, actualizări de softuri etc. Iar Internetul este suficient de aproape, oriunde pe glob, pentru orice sistem decuplat de la acesta pentru a furniza comenzi şi actualizări pentru software-ul nociv inserat în reţelele independente.

Surse:
* isis-online.org
* krebsonsecurity.com
* en.wikipedia.org
* spectrum.ieee.org
* www.symantec.com
* nationalinterest.org
* www.spiegel.de
* www.telegraph.co.uk
* www.nytimes.com
* www.nytimes.com
* www.forbes.com

Detalii
Scris de: Iosif A.
Twitter
Tweet
Facebook
Share
Reddit
Share in Reddit
Write comments...
symbols left.
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Be the first to comment.

Citiți și:


Citește gratuit cartea.
Clic pe imagine.

Ce citesc/ văd pe Internet:

What is life and how does it work? (video) - biologia a evoluat în ultimele zeci de ani, dar progresele din acest domeniu au rămas „ascunse” în lumea academică. În acest videoclip de circa o oră se trec în revistă o serie de concepte care au evoluat: rolul genelor în dezvoltarea unui organism, de ce există proteine „nefixe” în celule, de viața nu este ca un mecanism, de ce medicina nu va rezolva problema bolilor prin abordarea genetică șamd.

Can information escape a black hole? - un amplu interviu cu fizicianul Leonard Susskind, prieten cu Stephen Hawking, cei doi având contribuții fundamentale în teoretizarea găurilor negre. În esență, interviul trece în revistă evoluția ideilor cu privire la modul în care găurile negre procesează informația (paradoxul informației, evaporarea găurilor negre, cum principiul holografic ar putea explica nepierderea informației obiectelor intrate într-o gaură neagră șamd).

Write comments...
symbols left.
You are a guest ( Sign Up ? )
or post as a guest
Loading comment... The comment will be refreshed after 00:00.

Be the first to comment.

Citește mai departe …