Internet

Stuxnet nulti pacijent: Otkrivene prve žrtve ozloglašenog crva

Prošlo je više od četiri godine od otkrivanja jednog od najsofisticiranijih i najopasnijih zlokobnih programa – Stuxnet crva, koji se smatra prvim sajber oružjem – ali mnoge misterije sujoš uvek vezane za tu priču. Jedno od glavnih pitanja je: šta su bili tačni ciljevi cele Stuxnet operacije? Sada, nakon analize više od 2000 Stuxnet fajlova skupljenih u periodu od dve godine, istraživači kompanije Kaspersky Lab mogu da identifikuju prve žrtve crva.

Prvi istraživači bezbednosti nisu sumnjali da ceo napad ima za svoju prirodu napadanje određenih žrtava. Programski kod Stuxnet crva izgleda profesionalno i ekskluzivno; postojali su dokazi da su korišćeni izuzetno skupi sistemi koji napadaju nepoznate ranjive tačke na računaru. Međutim, još uvek nije bilo poznato koje su organizacije napadnute prve i kako je malver konačno dospeo pravo do centrifuga bogatih uranijumom u određenim, veoma tajnim, postrojenjima.

Ova nova analiza pruža uvid u odgovore na velik ibroj pitanja. Svih pet organizacija koje su prvo bile napadnute rade u ICS oblasti u Iranu, gde razvijaju ICS ili snabdevaju materijalom i delovima. Peta napadnuta organizacija je najintrigantnija jer, između ostalih proizvoda za industrijsku automatizaciju, proizvodi i uranijumom bogate centrifuge. To je upravo onaj tip opreme za koji se veruje da je glavna meta crva Stuxnet.

Naime, napadači su očekivali da ove organizacije razmene podatke sa svojim klijentima – kao što su uranijumom bogata postrojenja – i da to omogući ubacivanje malvera unutar tih postrojenja. Rezultat pokazuje da je plan zaista uspeo.

„Analiza profesionalnih aktivnosti prve organizacije koja je postala žrtva Stuxnet crva nam pruža bolje razumevanje toga kako je cela operacija bila isplanirana. Konačno, ovo je primer vektora napada na lanac snabdevača, gde se malver isporučuje ciljnoj organizaciji indirektno preko mreže partnera sa kojima bi ta organizacija mogla da sarađuje,“ kaže Aleksandar Gostev, glavni ekspert za sigurnost u kompaniji Kaspersky Lab.

Eksperti kompanije Kaspersky Lab došli su do još jednog zanimljivog otkrića: crv Stuxnet se nije proširio samo preko zaraženih USB memorija uključenih u računar. To je bila prvobitna teorija koja objašnjava kako je malver mogao da se ušunja na mesta bez direktne veze sa internetom. Međutim, podaci skupljeni u analizi prvog napada pokazuju da je prvi uzorak crva (Stuxnet.a) sastavljen samo nekoliko sati pre nego što se pojavio na kompjuteru u prvoj zaraženoj organizaciji. Ovaj kratak vremenski raspored onemogućava zamišljanje scenarija u kojem napadač sastavlja uzorak, stavlja ga na USB memoriju i donosi ga u ciljanu organizaciju za samo par sati. Razumno je pretpostaviti da su u ovom slučaju ljudi iz Stuxnet grupe koristili neku drugu tehniku, a ne zaraženi USB.

Najnovije tehnološke informacije o nekim ranije nepoznatim aspektima Stuxnet napada mogu se pročitati u blog postu na Securelist i u novoj knjizi “Countdown to Zero Day”  novinarke Kim Zeter. Knjiga uključuje prethodno neotkrivene podatke o crvu Stuxnet, a neke od informacija su zasnovane na intervjuima sa članovima tima za globalno istraživanje i analizu kompanije Kaspersky Lab.

Leave a Reply