StuxNet

StuxNet

Stuxnet yra 2010 m. atrastas labai didelės (pusės megabaito) apimties, neįprastai sudėtingas Interneto kirminas, kurio tikslas, tikėtina, buvo sukelti nežinomos pramoninės mašinos avariją ar katastrofą. Dvi iš trijų kirmino pakopų daugumoje kompiuterių buvo iš esmės neaktyvus krovinys (angl. payload) kurį pirmoji pakopa platino kol jis patekdavo į tinkamą taikinį. Neįprastai tokiems kirminams, bent dalis kodo buvo parašyta C bei C++.[1]

Pirmoji pakopa Pirmojo lygio pakopos kodas platino jį tarp Windows kompiuterių (panašiai kaip ir kitus kirminus). Šioje pakopoje kirminas buvo labai nuosaikus ir atsargus: jo plitimas buvo ribojamas, ir jis turėjo visiškai ištrinti save 2012 m. birželio 24 d. Kirminas iš pradžių plito per nešiojamuosius atminties diskus, paskui persimesdavo iš vienos mašinos į kitą per jas jungiantį kompiuterinį tinklą, naudodamas įvairias šios operacinės sistemos saugumo spragas. Naudojamų spragų skaičius buvo neįprastai didelis. Interneto saugumui skirtose svetainėse pasirodžius pirmiesiems straipsniams apie naują kirminą, iš taip ir nenustatyto šaltinio prieš šiuos serverius buvo surengta masinė DDoS ataka. Ši ataka buvo sėkminga, dalinai blokuodama saugumo ekspertams reikalingą informaciją ir taip laimėdama daugiau laiko kirminui išplisti. Kirminą palaikė du serveriai, su kuriais jis reguliariai susisiekdavo ir per juos prireikus galėjo būti atnaujintas. Kirminas naudojo padirbtus JMicron ir Realtek skaitmeninius parašus.[5].

Antroji pakopa Įsimetus į puolamą kompiuterį, pradėdavo veikti antroji kirmino pakopa. Ši pakopa specifiškai ieškodavo kompiuteryje galbūt esančios Siemens WinCC/PCS 7 SCADA programinės įrangos, kuria gali būti valdomi įvairūs su kompiuteriu sujungti pramonės įrenginiai. Kirminas perimdavo šios programos valdymą pasinaudodamas joje esančia programavimo klaida, fiksuotu programoje esančiu duomenų bazės slaptažodžiu. Perėmęs valdymą, kirminas pirmiausia patikrindavo kokie išoriniai įrenginiai prijungti prie puolamos mašinos. Stuxnet ieškojo prie kompiuterio prijungtų galingų valdomo sukimosi greičio elektros variklių. Jam tiko dviejų tipų variklių kontroleriai: Suomijoje gaminami Vacon ir Irane gaminami Fararo Paya. Toliau, tie varikliai turėjo suktis nuo 807 iki 1210 aps/min. Tokių variklių pramonėje gana daug, daugelis jų varo įvairus siurblius bei centrifugas.

Trečioji pakopa Aptikus ieškomo tipo, ieškomu greičiu besisukančius variklius, imdavo veikti trečiosios kirmino pakopos kodas, vykdomas tiesiogiai variklio kontroleryje. Šis kodas pirmiausia pasirūpindavo, jog į centrinį kompiuterį būtų siunčiami (ir jo monitoriuose rodomi) įprastiniai sukimosi greičiai, nesvarbu, kokiu iš tiesų greičiu sukosi varikliai. Kirminui įsitvirtinus kontrolerio atmintyje, kenkiančios programos pašalinimas iš pagrindinio kompiuterio jau nebebūdavo efektyvus. Įsitvirtinęs bei užsimaskavęs, trečios pakopos kodas pasiųsdavo varikliui tokias komandas: • Nustatyti sukimosi dažnį 1410 aps/min. • Po kurio laiko nustatyti sukimosi dažnį tik 2 aps/min. • Po kurio laiko pakeisti dažnį į 1064 aps/min. Iki šiol nėra vienareikšmiškai žinoma, kam ir kokios turėjo būti šių komandų pasekmės ir kodėl parinkti būtent tokie sukimosi greičiai. Gali būti, jog sukantis šiuo greičiu pasireiškia sistemą sugadinti galintis rezonansas.

Spėjamas taikinys bei kilmė Kadangi kirminui sukurti buvo skirta daug resursų, o atakuojama sistema tarp įprastinių vartotojų nepaplitusi, manoma, jog kirminą parašė vienos valstybės kariškiai ar specialiųjų tarnybų atstovai, atakuoti kokį nors svarbų objektą kitos valstybės karo, galbūt atominėje pramonėje. Tokiais kompiuteriais valdomos, panašių charakteristikų centrifugos naudojamos radioaktyvių medžiagų išskyrimui. Iš tiesų, 2010 m. Irane nepataisomai sugedo daug tokių centrifugų, jo vadovybei prasitariant, jog yra su kompiuterių virusais susijusių problemų. Gali būti, jog tokiu atveju kirminą parašė JAV arba Izraelio kariniai programuotojai. Specialistų nuomone, toks sudėtingas kirminas galėjo būti parašytas tik valstybinės tarnybos.