Stuxnet działał wcześniej niż sądzono?
- Antoni Steliński,
- 27.02.2013, godz. 14:52
Osławiony robak Stuxnet (specjalistyczne złośliwe oprogramowanie stworzone z myślą o sabotowaniu irańskiego programu atomowego) był aktywny już w roku 2007 - twierdzą specjaliści z firmy Symantec. Oznacza to, że Stuxnet działał co najmniej rok wcześniej niż sądzono do tej pory. Co więcej - był on aktywny zanim prezydent USA George Bush oficjalnie zezwolił na użycie cyberbroni przeciwko Iranowi.
Z najnowszych analiz przeprowadzonych przez specjalistów z Symantec wynika jednak, że terminarz ten wyglądał zupełnie inaczej. Twierdzą oni, że wczesne wersje tego programu były aktywne w irańskich systemach informatycznych co najmniej rok wcześniej, czyli w roku 2007.
Owo wstępne wydanie również było arcydziełem sztuki hakerskiej - z analizy dowiadujemy się, że wczesny Stuxnet potrafił infekować kontrolery PLC i za ich pomocą modyfikować ustawienia wirówek do wzbogacania uranu (tak, by uległy one uszkodzeniu). Co więcej, w czasie tych działań Stuxnet fałszował odczyty z sensorów - tak, by osobom kontrolującym cały proces wydawało się, że wszystkie parametry pracy wirówek są w normie.
Ta wersja skonfigurowana była tak, by atakowana była tylko jedna, konkretna instalacja - zlokalizowana w irańskim mieście Natanz (Stuxnet uaktywniał się tylko wtedy, gdy wykrył konkretne zespoły wirówek - tzw. kaskady - połączone ze sobą na ściśle określonych zasadach, dokładnie takich, jak w Natanz). Szkodnik potrafił też sam ocenić, które urządzenia powinny zostać zaatakowane w pierwszej kolejności, aby zmaksymalizować straty.
Symantec opisał również osiem faz działania Stuxneta w zainfekowanym systemie informatycznym:
Faza 0 - identyfikowanie celu i oczekiwanie na rozpoczęcie procesu wzbogacania materiału radioaktywnego (ten etap mógł trwać do 30 dni)
Faza 1 - rejestrowanie danych z otoczenia - zbieranie informacji o konfiguracji sprzętowej, peryferiach
Faza 2 - atak na główne zawory wirówek
Faza 3 - odczytanie danych o ciśnieniu w wirówkach i manipulowanie zaworami tak, by odczyty kontrolne wskazywały poprawne wartości
Faza 4 - oczekiwanie na zmianę ciśnienia (mogła trwać do dwóch godzin)
Faza 5 - atak na zawory pomocnicze
Faza 6 - oczekiwanie na wykonanie pełnej sekwencji ataku
Faza 7 - koniec. Reset i powrót do Fazy 0.
Jeśli wszystkie powyższe sekwencje zostały wykonane poprawnie, efektem był nawet pięciokrotny wzrost ciśnienia w wirówkach, co mogło skutecznie uszkodzić urządzenia oraz zakłócić proces wzbogacania materiału radioaktywnego.