V červenci oznámila jistá bezpečnostní společnost existenci nového červa.Trvalo však ještě skoro dva měsíce, než médiím i bezpečnostním expertům došlo, že se ve víceméně stojatých vodách síťové bezpečnosti děje něco mimořádného.
Šíření Stuxnetu v síti.
Virus, nebo chcete li přesněji červ, zaujal nejprve tím, že by navržen tak, aby si na poměry škodlivého kódu svého druhu velmi přesně vybíral své cíle. To pro červy není vůbec typické, od dob prvního škodlivého červa, jehož autorem je Robert T. Morris je zvykem naopak útočit na co možná největší množství počítačů najednou.
Na Stuxnetu je toho ale zajímavého mnohem více. V médiích bývá nejčastěji vypichována složitost jeho kódu a schopnost útočit na konkrétní fyzická IT zařízení. Mnohem zajímavější je ale již fakt, že „virus“ nevyužívá nahlášených bezpečnostních mezer, jak je tomu zvykem u červů, jejichž výrobou se baví někteří bezpečnostní experti po nahlášení zranitelnosti na bezpečnostních fórech, ale hned čtyř tzv. zero-day zranitelností.
To je malá senzace, objevit bezpečnostní chybu, na kterou nikdo nepřišel je snem snad každého bezpečnostního experta na této planetě. Použít ve svém programu čtyř takovýchto zranitelností svědčí o naprosté genialitě autora, nebo, což je mnohem pravděpodobnější – o spolupráci velmi dobře informovaného bezpečnostního týmu.
Informací druhého řádu, která z tohoto poznatku vyplývá, je prostý fakt, že někomu muselo opravdu záležet na tom, aby „virus“ během svého poslání neselhal (čtyři pojistky). Senzací je zde ale více, útočník proti všem zvyklostem nevyužil k šíření „viru“ Internet. Dokonce je do světa vysílán ve velmi malých dávkách, obojí zřejmě z důvodu dodržování pravidel konspirace – riziko rychlejšího odhalení a oproti všem zvyklostem nevyužívá červa k budování botnetu, nýbrž se z nějakého důvodu orientuje na určité typy SCADA (supervisory control and data acquisition.) systémů, čímž pole svého působení omezuje na takříkajíc chirurgicky přesně vymezený prostor.
Poslední zajímavostí je samozřejmě samotný kód, který je stále ještě analyzován, ale přesto se kolem něj objevuje velké množství senzačních spekulací. Pro nás je nejzajímavější jeho unikátnost – většina červů, se nimiž se můžeme běžně setkat jsou modifikace několika desítek kdysi úspěšných virů, které si někdo modifikoval pro své vlastní účely. O tom z pochopitelných důvodů nemůže být v daném případě vůbec řeč.
Epicentra rozšíření
Nyní již ale k jednotlivým bodům
1. Jaké jsou či byly cíle útoku
Bezpečnostní výzkumníci vystopovali činnost Stuxnetu řadu měsíců nazpátek ode dne jeho osudového odhalení. Virus si mohl nerušeně pracovat prakticky celý rok, konkrétně od července 2009.
Jeho cílem byly převážně složité kontrolní systémy (SCADA) v průmyslových elektrárnách. Jako 100% potvrzený případ možného úspěšného napadaní se nejčastěji uvádí systém Siemens WINCC.
Historická data pěkně ukazují epicentra působnosti viru. Ze 120 napadených zemí je nejvíce postižen Írán (59 %), Indonésie (18,22 %), Indie (8,31).
2. Digitální certifikáty jako vstupenka
Zajímavá je taktika, kterou Stuxnet využívá ke svému maskování v systému.
Pracuje totiž s ukradeným certifikátem čipů Realtek a JMicron, ty mu pomáhají tvářit se jako legitimní součást systému.
3. Spolupráce zero-day zranitelností
Stuxnet využívá tří úplných a jedné částečné zero-day zranitelnosti (již dříve zveřejněná chyba, kterou Microsoft neopravil), přičemž síla zranitelností je v inteligentním kombinování mezi nimi. Dvě z nich pracují se zranitelnosti přidělování uživatelských práv. Později se objevila dokonce modifikovaná verze viru, která využívá služeb staršího červa Conficker.
Nejvíce napadené oblasti v číslech
4. zranitelnost .LNK
Možnost do Windows úspěšně zavést soubory přes .LNK byla vůbec první zero-day zranitelnost ve Stuxnetu.
5. Stuxnet ze vnitř
Asi největší zajímavostí na Stuxnetu je jeho struktura. Virus tvoří balíčky kódu, který je schopný pracovat jako samostatná jednotka, jenž vykonává přesně stanoven úkoly, ale celkově se program chová jako dobře secvičený vojenský tým. Jeden modul tak komunikuje s příkazovým a kontrolním serverem, jiný zpřístupňuje soubory v systému vytvořené v předchozím kroku, další instaluje kernel-level rootkit atd. Další „subčervy“ kontrolují běh antivirového programu a zametají stopy.
6. Není tak docela pravda, že by se virus nešířil po Internetu
Ač se jako jedna z hlavních senzací uvádí rozšíření červu přes USB klíčeny, není to tak docela pravda. Zde byl pouze prvotní moment vstupu viru do světa. Později se začal stejně tak úspěšně šířit po privátních sítích lámáním slabých hesel a přes Internet dále. Co se využívání Internetu týče, je virus schopen dokonce provádět své pravidelné aktualizace pomocí peer-to-peer komunikace.
7. Obrana
Microsoft k dnešnímu dni uvolnil patche několika zranitelností, které jsou s červem spojovány. Siemens zareagoval na výskyt červa ve svých systémech volnou distribucí „jednorázové“ odčervovací aplikace, kterou vyvinula společnost Trend Micro. Boj však ještě není dobojován ani zdaleka, na druhé straně, pokud zrovna nevlastníte jadernou elektrárnu na Blízkém východě, můžete zůstat relativně bez obav.
