Supervirus Stuxnet

Ako rat predstavlja produženje politike drugim sredstvima, sajber rat je logičan nastavak

Poslednjih meseci u medijima je bilo mnogo spekulacija povezanih sa supervirusom Stuxnet. Teorije su otišle toliko daleko da je ovaj sofisticirani kompjuterski crv povezan sa katastrofalnim kvarom jednog indijskog satelita. Iako treba biti obazriv u analizi Stuxneta jer su mnoga pitanja još nerazjašnjena, rezultati istraživanja brojnih stučnjaka, među kojima je i izveštaj kompanije Symantec (www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf), zaista potvrđuju da ovaj worm nije mogao da nastane u „kućnoj režiji”.

Stuxnet je prvi crv koji je stvoren da bi napao ključnu infrastrukturu elektrana ili električnih mreža. Reč je o neverovatno sofisticiranom malwareu koji ima jasno definisanu metu. Ako se, na primer, on bude našao na vašem kompjuteru, nikakva šteta ne bi bila načinjena, osim ako vaš PC nije povezan sa specifičnim SCADA sistemom (u pitanju je platforma koja se koristi za kontrolu i nadzor industrijskih procesa – od jednostavnije komande nad mašinama na proizvodnoj traci pa sve do neverovatno složenih operacija povezanih sa sigurnim funkcionisanjem nuklearnih reaktora). Međutim, ako ne obogaćujete uranijum koristeći se Siemensovim mašinama, prosečan trojanac predstavljao bi vam veću muku od Stuxneta.

Ovaj crv je, dakle, neverovatno precizan. Njegova jedina željena meta je Siemensov sistem SCADA, još preciznije – deo njegovog koda poznatiji kao Operacioni blok 35. Ta komponenta odgovorna je za kontrolu procesa koji zahteva brzinu odgovora od 100 milisekundi. Najmanja izmena mogla bi, kako ističe jedan od vodećih stručnjaka za industrijsku sigurnost Ralf Langner, da dovede do katastrofalne eksplozije. Jasno je da Stuxnet predstavlja pravu cyber raketu, lansiranu pre otprilike godinu i po dana s namerom da pogodi jasno definisan cilj.

Stuxnet je prvi put otkriven u junu ove godine, i to od strane kompanije VirusBlokAda iz Belorusije koja se bavi bezbednošću i sigurnošću. Odmah je bilo jasno da se radi o nečem posebnom: Stuxnet je bio veći od pola megabajta, što je nezapamćeno kod malicioznog softvera. Još šokantnija bila je činjenica da je to prvi crv koji dolazi sa PLC rootkitom. PLC se odnosi na programmable logic controllers, tj. na posebne kompjutere koji se koriste za automatizovanje elektromehaničkih procesa u industriji (kontrolu robota). Ovo obuhvata širok spektar različitih uređaja koji se koriste u proizvodnji ili obezbeđivanju stabilnosti i sigurnosti rada, ali se kasnije ustanovilo da Stuxnet „gađa” specifičan Siemensov sistem.

Rootkit je dizajniran da ovom crvu omogući neometen apsolutni pristup kompjuteru tako što će ga zamaskirati kao legitiman proces. Zbog toga je za otkrivanje ove digitalne bolesti bilo potrebno više vremena nego što je to uobičajeno za ostale crve. Ubrzo pošto je VirusBlokAda obelodanila postojanje ovog virusa, Kaspersky Labs je izdao saopštenje u kojem se navodi da je reč o „funkcionalnom i zastrašujućem prototipu cyberoružja koje će dovesti do nove vrste trke za naoružanjem u svetu”. Kao jedino rešenje da se zaustavi novi digitalni rat Kaspersky Labs je, nekako ironično, predložio drastičnu meru – da se prekine sa korišćenjem Microsoftovog softvera. Istraživanje kolega iz Symanteca pokazalo je da je 60 odsto inficiranih kompjutera locirano u Iranu.

Stuxnet napada sve Windows operativne sisteme počev od verzije 2000. On za svoje delovanje koristi čak četiri različite ranjive tačke u Windowsu. To je takođe dosad neviđeno. Pretpostavlja se da je Stuxnet stigao u iranske nuklearne elektrane na USB stiku. Ovakav pristup je neophodan zato štu su kompjuteri koji se koriste za platformu SCADA deo lokalne mreže u iranskim postrojenjima i nisu povezani na Internet. Tu upravo uskače prvi zero-day attack ili iskorišćavanje ranjivih tačaka u Windowsu.

Stuxnet se infiltrira u operativni sistem tako što se njegov „trojanski deo”, koji se sastoji od dva maliciozna drajvera mrxnet.sys i mrxcls.sys, kopira u direktorijum System32\drivers. Rootkit komponenta zadužena je za „stealth” segment. Pomoću nje Stuxnet ostaje neidentifikovan. Nakon toga, nastupa drugi zero-day attack, tj. ranjivost vezana za lokalne mreže. Stuxnet se širi od kompjutera do kompjutera i na svakom proverava ima li SCADA sistema.

Kada konačno pronađe željeni Siemensov softver, Stuxnet komunicira sa svim zaraženim kompjuterima tražeći izlaz na Internet. Kada, na primer, putem fleš drajva on konačno stigne do računara sa aktivnom konekcijom, dizajneri ovog moćnog cyberoružja dobiće informaciju o tome da je meta pronađena. Sledeća dve ranjiva mesta koriste se za menjanje koda SCADA softvera kako bi se preuzela kontrola. Trenutno samo stručnjaci iz Siemensa, uz napadače, znaju tačne eventualne posledice (moguć je uticaj bukvalno na sve što SCADA kontroliše). Time je tvrdnja da je ova akcija organizovana od strane neke države i njene obaveštajne službe gotovo potvrđena: neko je, da bi napravio ovaj crv, najpre morao da dođe do poslovnih tajni proizvođača PLC hardvera i SCADA softvera. Nije dovoljno samo, na primer, kupiti odgovarajući program i mašine.

Pretpostavlja se da su iranska nuklearna postrojenja inficirana preko ruske firme koja je bila odgovorna za instalaciju ovog sistema. Poznato je da je ta kompanija još ranije bila meta hakerskih napada, a Stuxnet je toliko sofisticiran da je veoma neprimetan, naročito kada nema SCADA sistema. Na taj način moguće je jednostavno inficiranje celokupne mreže u toj kompaniji, ali i ciljanje privatnih računara zaposlenih. Kasnije, putem USB stika, jer ključni računari u nuklearnim postrojenjima nemaju pristup Internetu, ruski radnici mogli su da prenesu Stuxnet do konačne mete.

U ovom trenutku nije poznato kolika je i kakva šteta učinjena Iranu. Ova zemlja, kao što je poznato, nije naročito transparentna ni kada je reč o virusu gripa, a kamoli o sofisticiranom sajbernapadu. Ipak, BBC je saznao da je stepen bezbednosti povećan, kao i da je bilo mnogo hapšenja i ispitivanja. Te mere, kako izgleda, nisu ukazale na počinioce. Kada bi Iranske vlasti imale definitivan dokaz o izvoru Stuxneta, pretpostavlja se da bi tu informaciju i objavile iz političkih razloga. Ima indicija da je napad još u toku, jer je crv Stuxnet veoma uporan i teško je otarasiti ga se.

Postoje nagoveštaji da je štete već bilo, možda u vidu velikih kvarova ili čak manjih eksplozija u dva iranska postrojenja. Naime, poznato je koliko je Iran najavljivao početak rada nuklearne elektrane u Bušehru (Bushehr), ali su se vlasti ove države odjednom ućutale. Pretpostavlja se da je sa ruskim ugovorcima došao i Stuxnet, a s njim i brojni problemi. Zbog toga je početak rada odložen ove elektrane. Takođe, nuklearna postrojenja u Natanzu, kako izveštavaju brojni mediji, više ne rade punim kapacitetom.

Najočigledniji kandidat za napadača je, pogađate i sami, Izrael. Istorija odnosa ove dve države govori nam da su one već dugo na ivici rata. Predsednik Irana Ahmadinežad veliki je protivnik Izraela i više puta je ukazivao na to da tu zemlju treba sravniti. Obaveštajna služba jevrejske države poznata je po svojim „spektakularnim” operacijama, tako da je vrlo verovatno da ona stoji iza Stuxneta. U svakom slučaju, meta napada je poznata, a izvor je gotovo sigurno neko od neprijatelja Irana. Izrael je, naravno, najveći. Da li je imao podršku drugih, to se verovatno nikada neće znati. Ranije je bilo indicija da je Izrael planirao da bombarduje nuklearna postrojenja Irana, ali nije dobio podršku ključnog saveznika SAD. Ovaj cyber napad se, dakle, pokazao kao logičniji i sofisticiraniji.

Stuxnet je programiran od strane tima ljudi, a stručnjaci ukazuju na to da je bilo nemoguće proizvesti ga bez podrške neke obaveštajne službe. Ovaj crv nastao je korišćenjem više programskih jezika, uključujući C i C++. On nosi digitalne potpise, dva sigurnosna sertifikata kompanija JMicron (proizvode čipove za matične ploče koje koriste ASUS, Gigabyte, MSI i drugi) i Realtek. Izbor je i više nego logičan, jer je na taj način obezbeđeno da Stuxnet bude otkriven mnogo kasnije, kada je već načini štetu. Sem toga, Stuxnet se ažurira putem P2P protokola i na taj način obezbeđuje komunikaciju sa tvorcem.

Kako bi dobio kontrolu nad mašinama koje kontroliše PLC, Stuxnet se koristi Siemensovim šiframa za sistem SCADA. Pošto se kompjuteri korišćeni u ovakve svrhe ne povezuju na Internet, ovaj proizvođač, kao i ostali, ne menja šifre godinama. Ova praksa neophodna je zbog (ne)kompatibilnosti sa starijim hardverom jer mnoge mašine ne bi „umele” da sarađuju ako se šifre zamene. Siemens čak ni sada nikako ne preporučuje svojim klijentima da promene lozinke.

Hakerskih napada i visokotehnološke špijunaže bilo je i ranije. Međutim, do sada nije poznat nijedan slučaj ovakvog sistematičnog i planskog rada koji je morao da uključi različite stručnjake. Od početne vizije do realizacije imamo utisak da ništa nije krenulo naopako. Prave razmere štete najverovatnije nikada nećemo saznati. Ako vas ova tematika zanima, onda vam je priča o Stuxnetu sasvim sigurno veoma uzbudljiva, ali, objektivno, ona je i zastrašujuća. Ipak, ako zbacimo slojeve geopolitike, špijunaže i nevidljivog rata, ostaće samo stručnjaci kojima moramo da skinemo kapu.

Ivan VESIĆ