"Niesłychane jest, ile pracy ktoś włożył w tego robaka" - komentuje Liam O Murchu, menedżer z Symantec Security Response Team. Wtóruje mu Roel Schouwenberg z firmy Kaspersky Lab: "Ten program jest przełomowy. Nigdy wcześniej nie widziałem niczego podobnego. Osławiony szkodnik Aurora, który został wykorzystany m.in. do ubiegłorocznych ataków na Google, wygląda przy Stuxnet jak dzieło dziecka".

Jeden robak, czery luki "zero-day"

Obaj panowie z pewnością wiedzą, o czym mówią - to ich firmy (niezależnie od siebie) przeanalizowały robaka i wykazały, że atakuje on system Windows przez cztery różne błędy w zabezpieczeniach. Nigdy wcześniej nie było złośliwego programu, który korzystałby z aż tylu nieznanych wcześniej luk w zabezpieczeniach.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Jak już wspomnieliśmy, o Stuxnet zrobiło się głośno przed wakacjami - robak został wtedy wykryty przez niewielką białoruską firmę VirusBlokAda. Krótko później okazało się, jak groźny jest ów program - Microsoft przyznał bowiem, że Stuxnet jest w stanie skutecznie atakować komputery PC wykorzystywane jako stacje kontrolne dla produkcyjnych systemów SCADA (Supervisory control and data acquisition). Celem takiego ataku stał się m.in. Siemens.

60% zainfekowanych pecetów

Wtedy jeszcze wydawało się, że robak jest dość typowy - z pierwszych analiz wynikało, że wykorzystuje do atakowania Windows tylko jedną lukę w systemie i rozprzestrzenia się głównie za pośrednictwem zainfekowanych pamięci USB. Potem wyszło na jaw, że Stuxnet potrafi być niezwykle skuteczny - z analiz przeprowadzonych przez Symantec wynikało np. że pewnym momencie robak zainfekował ponad 60% wszystkich komputerów w Iranie.

Krótko później Microsoft wydał poprawkę, która usuwała z Windows błąd wykorzystywany przez robaka. Teoretycznie, to powinno znacząco ograniczyć skalę ataku - problem w tym, że nic takiego nie nastąpiło. To skłoniło specjalistów ds. bezpieczeństwa do bliższego przyjrzenia się szkodnikowi. Okazało się, że załatana luka była tylko jedną z czterech dziur, przez które atakował Stuxnet.

"Robak wykorzystujący cztery różne błędy "zero-day". Czego takiego jeszcze nie było" - komentuje Murchu. Ale na tym niespodzianki się nie skończyły. Dalsze analizy wykazały, że robak był w stanie atakować komputery praktycznie niezauważalnie dla użytkownika - jego twórca (twórcy?) wykorzystał w nim dwa skradzione klucze certyfikacyjne, co sprawiało, że operacje wykonywane przez Stuxnet wydawały się bezpieczne. "Zaplanowanie i wykonanie całej procedury wprowadzenia do systemu i uruchomienia złośliwego kodu robi ogromne wrażenie. Ktoś doskonale to rozpracował i genialnie wykonał" - mówi Schouwenberg.

Programistyczne arcydzieło?

Dodajmy, że cały ten skomplikowany i wysublimowany program, zawierający w sobie cztery różne exploity dla Windows "ważył" niespełna 0,5 MB i został napisany w kilku różnych językach. Specjaliści wykryli, że jego twórca musiał doskonale znać specyfikę pracy systemów SCADA. Co więcej - wydaje się, że kod wykorzystany do atakowania systemów produkcyjnych był testowany na... sprzęcie identycznym do tego, który był celem ataku.

"To niesamowite. Ktoś usiadł i zaczął planować: chcę przejąć kontrolę nad systemem produkcyjnym fabryki X, a program, który tego dokona musi się rozprzestrzeniać błyskawicznie. Potrzebuję do tego luki w Windows, a najlepiej więcej niż jednej... A potem ten ktoś zdobył wszystkie niezbędne informacje, napisał program, gruntownie go przetestował i wprowadził do Sieci. To był niezwykły, bardzo ambitny projekt, który najwyraźniej zakończył się sukcesem" - podsumowuje Murchu.