It turns out there is always an idiot around who doesn’t think much about the thumb drive in their hand.

Tymi słowami, pochodzącymi z artykułu Davida Sangera z NY Times, rozpoczynam ten wpis, a które idealnie pasują mi do tego, co chcę przekazać. Jak bowiem, w sposób elektroniczny, zaatakować jakąś infrastrukturę, która kompletnie odcięta jest od świata zewnętrznego? Trzeba znaleźć pożytecznego "idiotę", który nam w tym pomoże. I prawdopodobnie było tak w przypadku Stuxnet, czyli wyjątkowego robaka komputerowego, który opóźnił program wzbogacania uranu o półtorej roku. A później wymknął się Amerykanom spod kontroli.

Geneza

Atak komputerowy na Iran, według wspomnianego już Sangera, miał wydać za swojej prezydentury Barrack Obama, ale to nie on wpadł na pomysł cyberwojny. Miał to zrobić jeszcze George W. Bush, a Obama miał jedynie projekt ten przyśpieszyć. Jego celem było opóźnienie programu nuklearnego Iranu oraz uniknięcie zbrojnego ataku Izraela na Iran i eskalacji walk w tym rejonie świata. Stuxnet miał być tylko elementem szerszego planu o nazwie Nitro Zeus, ale na szczegóły dotyczące tego przyjdzie jeszcze czas w moim tekście.

Stuxnet

Przed atakiem Stuxnet do irańskiej infrastruktury wzbogacania uranu wprowadzona miała zostać wstępna wersja robaka. Jej zadaniem było zmapowanie sieci elektrowni w Natanz. Amerykanie z tą myślą już w 2003 roku zarekwirowali w Libii wirówki do wzbogacania uranu, identyczne jak te wykorzystywane w Iranie. Mieli więc i czas i możliwości do przeprowadzania testów. Dzięki tym dwóm czynnikom udało się znaleźć słabe strony wirówek i stworzyć Stuxnet, który zaatakował w 2010 roku.

Robak ten był wyjątkowy. Przede wszystkim atakował jedynie jeden typ sprzętu, były to sterowniki PLC firmy Siemens. Dokładnie takie, jakie w 2003 zostały zarekwirowanie w Libii, a jakie wykorzystywał Iran w Natanz. Po drugie, Stuxnet wykorzystywał aż pięć exploitów, czyli błędów w oprogramowaniu, z czego aż cztery z nich nosiły status 0day.

Zero-day exploit – exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta

- źródło: wikipedia

Po trzecie Stuxnet niósł ze sobą aż dwa payloady, czyli ładunki. Pierwszy z nich uszkadzał wirówki, wskutek czego cały proces wzbogacenia nie mógł dojść do skutku. Drugi z nich natomiast fałszował wyniki z wirówek w ten sposób, żeby wyglądały na prawdziwe, co zapewniało niemały ból głowy irańskim inżynierom. Wieść gminna niesie, że niektórzy z nich, nie mogąc dojść do tego jak to wszystko jest możliwe, płakali sądząc, że są tak niekompetentni.

Prezydent Mahmud Ahmadineżad wizytuje elektrownię w Natanz. Źródło: AP

Zanim Irańczycy zorientowali się w czym rzecz upłynęło półtorej roku i wymieniono na nowe tysiące wirówek.

Coś poszło nie tak

Stuxnet wymknął się jednak spod kontroli. Jak twierdzą Amerykanie, palce maczali w tym Izraelczycy, którzy wspólnie z nimi pracowali nad robakiem. Mieli oni zmodyfikować go tak, żeby mógł się rozprzestrzenić poza elektrownią w Natanz, czego pierwotnie miał nie robić. 15 lipca 2010 roku odkryty został jednak na Białorusi i tak zaczęła się jego medialna przygoda.

O tym, że za wyciek Stuxnet mieli być odpowiedzialni Izraelczycy dowiadujemy się ponownie ze wspomnianego już na samym początku artykułu w NY Timesie.

We think there was a modification done by the Israelis,” one of the briefers told the president, “and we don’t know if we were part of that activity."

Stuxnet jako część Nitro Zeus

Stuxnet nie był, przynajmniej według dziennikarskiego śledztwa, atakiem odosobnionym i samodzielnym. Miał być częścią szerszej operacji o nazwie Nitro Zeus, która brała na cel obronę powietrzną Iranu, systemy komunikacyjne i kluczowe elementy infrastruktury energetycznej. Wszystko to na wypadek, gdyby Amerykanie musieli wkroczyć do Iranu, kiedy zawiodą wszystkie środki dyplomatyczne prowadzące do zaprzestania produkcji broni atomowej przez ten kraj. Jednoczesny i błyskawiczny atak komputerowy miał dotknąć sieci energetyczne, telekomy, zakłady zbrojeniowe i przemysłowe, co w efekcie sprawiło by, że Iran stałby się niezdolny do jakiejkolwiek zbrojnej odpowiedzi i obrony.

Przede wszystkim jednak operacja Nitro Zeus miała polegać na przygotowaniu się i pozostaniu w gotowości. Błędy, które miał popełnić Izrael w kwestii Stuxnet spowodowały jednak, że robak atakujący wirówki do wzbogacania uranu wypłynął na światło dzienne powodując jednocześnie ujawnienie całej operacji pod kryptonimem Nitro Zeus. To zniweczyło kilkuletnią pracę specjalistów amerykańskich, którzy w tym czasie mieli włamywać się do najbardziej krytycznych miejsc sieci Iranu i za pomocą luk 0day umieszczać w nich backdoory, które w przyszłości miały zostać wykorzystywane do przejęcia kontroli. Naraziło to także agentów działających fizycznie na miejscu, których zadaniem było infekowanie sieci niepodpiętych do Internetu i weryfikacja tych już zarażanych.

Ocena Stuxnet

Stuxnet ma swoich fanów, którzy twierdzą, że jest to jeden z najbardziej wyrafinowanych ataków komputerowych w historii. Ma też jednak przeciwników, którzy twierdzą, tak jak np. przedstawiciele Root Labs, że kod robaka to amatorszczyzna i wykorzystanie bazowych technik omijania oprogramowania antywirusowego. Jego fani ripostują jednak, że ktokolwiek go stworzył zrobił to z premedytacją. Nie wykorzystanie bowiem najnowszych technik zaciemnienia kodu nie pozostawiło w Stuxnet żadnego, cyfrowego odcisku palca, a biorąc pod uwagę to, co mogli tym zyskać jego autorzy, a co stracić, jest całkowicie uzasadnione.

Podsumowanie

Według różnych relacji na plan Nitro Zeus Stany Zjednoczone wydały setki milionów dolarów. Pokazuje to jak silną pozycję zdobywa obecnie coś, co zwykliśmy definiować mianem cyberwojny. Szacuje się także, że w szczytowym momencie nad programem Nitro Zeus miało pracować tysiące ludzi związanych z wojskiem i wywiadem. Wcześniej opisywałem przykład ataku na Estonię. Jest także szereg innych przykładów cyfrowych bombardowań, które wprost pokazują, że obecnie tradycyjne pociski są zupełnie zbędne, aby doszczętnie zdestabilizować i zniszczyć wrogie nam z jakiegoś powodu państwo. Szacuje się także, że już około 120 państwa na całym świecie dysponuje tzw. cyfrowymi armiami, czyli ludźmi, którzy w każdej chwili są zdolni do odpalenia podobnego do Stuxnet ataku.

Materiał powstał na bazie mojej pracy naukowej, materiałów opublikowanych w NY Times, serwisie niebezpiecznik.pl oraz książce Countdown to Zero Day, autorstwa Kim Zetter.

Follow me for more: @geekweb