ZABÓJCZE KODY

1367049660

A A A

Najnowsze systemy walki z infrastrukturą militarną i cywilną wroga są tanie i niełatwo je zniszczyć, a skutki ataku nimi mogą być bardzo dotkliwe i trudne do usunięcia.

Wszystko zaczęło się 25 września 2010 roku w Iranie. Nagłej infekcji nieznanym robakiem internetowym uległo ponad 30 tysięcy komputerów; głównie windowsowych desktopów PC, choć atak objął też serwery. 28 września 2010 roku Mahmoud Jafari, kierujący budową zakładu elektrowni atomowej w Bushehr, przyznał w wywiadzie dla oficjalnej agencji prasowej IRNA (Islamic Republic News Agency), że „kilka komputerów należących do pracowników elektrowni nuklearnej w Bushehr zostało zainfekowanych wirusem”.

Na początku był Stuxnet

Robakiem internetowym, który zaatakował komputery i serwery zawierające systemy IT wykorzystywane w energetyce, okazał się złośliwy kod o nazwie Stuxnet, po raz pierwszy rozpoznany w czerwcu 2010 roku przez mało znaną białoruską firmę bezpieczeństwa VirusBlokAda. Od tej pory zaczęły się intensywne badania nad tym zagrożeniem. Stuxnet to pierwszy malware, który został wykonany specjalnie, żeby atakować wielkie informatyczne systemy przemysłowe, działające w przedsiębiorstwach produkcyjnych bądź usługowych. Systemów tego typu, zwanych SCADA, czyli Supervisory Control And Data Acquisition (zdalny nadzór i pozyskiwanie danych), używa się w wielu miejscach – od elektrowni po instalacje wojskowe. Są one jednymi z najbardziej rozpowszechnionych globalnie rozwiązań informatycznych wykorzystywanych do nadzoru i kontroli w przemyśle i energetyce. Uszkodzenie ich oznaczało przerwanie produkcji i milionowe straty; mogło też spowodować zniszczenie urządzeń produkcyjnych.

Malware atakuje systemy SCADA i wyszukuje w nich modułu odpowiedzialnego za komunikację i zarządzanie sterownikami PLC (Programmable Logic Controller), umożliwiającymi sterowanie wysokoobrotowymi silnikami elektrycznymi, stosowanymi w wirówkach gazowych, za pomocą których wzbogaca się uran do takiego poziomu, żeby mógł być zastosowany w bombach atomowych. W wyniku ataku zostawały uszkodzone wysokoobrotowe rotory w motorach elektrycznych lub następowało zjawisko „rozbiegania”, czyli rozkręcenia ich obrotów do nieskończoności, co skutkowało zniszczeniem motoru, a następnie wirówki.

Według analityków militarnych portalu Defense News Stuxnet unieruchomił trwale 20 procent z pięciu tysięcy wirówek irańskiego programu nuklearnego, a nie wiadomo, ile uległo czasowemu uszkodzeniu. W wyniku ataku irański program nuklearny został opóźniony co najmniej o pół roku.

Stuxnet był tylko pierwszym z całej rodziny podobnych malware’ów przeznaczonych do wykradania danych i niszczenia systemów przemysłowych. W październiku 2011 roku węgierska firma zajmująca się bezpieczeństwem Laboratory of Cryptography and Systems Security (CrySys) z Budapesztu wykryła inny podobny złośliwy kod, który służył głównie do wykradania danych. Duqu to pierwszy malware o charakterze uniwersalnym. To rodzaj „rakiety”, do której można przyczepiać różne moduły – „głowice”, także destrukcyjne. Wykorzystywany był do ataków na obiekty przemysłowe, a większość infekcji nastąpiła w Sudanie, Iranie, Syrii i Jemenie.

Złodzieje i konie trojańskie

W kwietniu 2012 roku w komputerach irańskich koncernów paliwowych, firm przemysłowych i urzędów centralnych znaleziono nowy złośliwy kod o nazwie Flame. Pojawił się on także w przedsiębiorstwach i instytucjach w Izraelu, Syrii, Sudanie, Syrii, Arabii Saudyjskiej i Libanie. Najwięcej infekcji odnotowano jednak w Iranie.

Flame to bardzo wyrafinowany program przeznaczony do rozpoznawania sieci, kradzieży danych i cyberszpiegostwa. Podobnie jak Duqu, ma „głowicę” dysponującą zarówno funkcją wykradania danych z aplikacji, jak i samozniszczenia, obejmującą poza malware’em jednak także całą partycję lub dysk, na którym się znajduje. Prawdopodobnie sygnał samokasowania jest nadawany przez kontrolujących malware, kiedy już przekaże on wszystkie istotne informacje z zaatakowanego komputera.

W 2012 roku wykryto nowe rodzaje malware’ów, mających cechy koni trojańskich: Gauss, Wiper i miniFlame. Gauss na przykład to trojan ukierunkowany na przechwytywanie haseł i loginów wprowadzanych przez przeglądarki, danych dotyczących kont bankowych oraz sposobów logowania się do nich, „ciasteczek” używanych między innymi przez instytucje finansowe. Do końca 2012 roku zainfekował około 4,5 tysiąca komputerów, głównie na Bliskim Wschodzie – ponad 2,6 tysiąca w Libanie, tysiąc w Izraelu, 500 w Palestynie, a resztę w Zjednoczonych Emiratach Arabskich (45 ataków odnotowano w USA, ale zwykle dotyczyły one firm mających kontrahentów na Bliskim Wschodzie). Większość z nich należała do banków i instytucji finansowych, takich jak Bank of Beirut, Blom Bank, Byblos Bank i Credit Libanais.

Zdalne sterowanie

Autorzy tak wyrafinowanych i kryptologicznie zaawansowanych malware’ów długo pozostawali nieznani. 1 czerwca 2012 roku „The Times” ujawnił jednak, że Flame – podobnie jak Stuxnet – został skonstruowany przez rządowych, prawdopodobnie wojskowych programistów z USA oraz Izraela i jest częścią projektu sparaliżowania programu nuklearnego Iranu noszącego kodową nazwę „Olympic Games”. Podano, że zgodę na cyberatak na Iran wydał osobiście sam prezydent USA Barack Obama. Według CNN Wiper i Gauss powstały w wyniku rozwinięcia tej operacji, mającego na celu wykrycie powiązań ugrupowań terrorystycznych między sobą i ewentualnymi irańskimi mocodawcami, zablokowanie ich finansowania oraz wywołanie chaosu poprzez „zniszczenie ich infrastruktury komunikacyjnej” i systemu planowania. Biały Dom, chociaż ogłosił ogólne dementi na ten temat, nie odniósł się szczegółowo do wiadomości przekazanych przez CNN i „The Times”.

Wiper
po wykradzeniu i przekazaniu danych na własny serwer C&C najpierw szyfruje je losowo, a potem usuwa wszystkie z dysku. Jego związki z Duqu, Flame’em i Stuxnetem są wyraźne: główna część kodu malware’a znajduje się w pliku o rozszerzeniu .pnf, tak samo jak w przypadku Flame’a czy Stuxnetu.

Flame
potrafi ekstrahować dane z baz danych, aplikacji, sieci i przesyłać je na różne serwery w postaci małych plików, aby wzrost ruchu sieciowego nie wywoływał alarmu. Ma moduł Bluetooth i może przez ten protokół penetrować łączące się z zaatakowaną siecią urządzenia mobilne, takie jak smartfony, notebooki lub tablety. Niezwykły jest sposób, w jaki infekuje: złośliwy kod wykorzystuje mechanizm uaktualniania automatycznego Microsoft Windows – Windows Update. Zdarzyło się, że udawał jedno z cyklicznie wypuszczanych przez Microsoft legalnych uaktualnienień systemu Windows.

Stuxnet
korzysta z wielu niezałatanych lub też dopiero co poznanych (tak zwane zero-day) luk w systemie Windows i kamufluje swój kod za pomocą skradzionych certyfikatów cyfrowych. Infekuje komputery poprzez załączniki do e-maili oraz sieć – wystarczy zainfekować jeden komputer i malware sam się rozprzestrzenia. Złośliwy kod może sam się uaktualniać poprzez sieć peer-to-peer, służącą zwykle do wymiany plików i muzyki między internautami. Stuxnet atakował konwertery silników elektrycznych zamontowanych w wirówkach gazowych, pracujące w częstotliwości między 807 a 1120 herców. Najpierw zmieniał częstotliwość do 1410 herców, po 27 dniach zmniejszał ją do 2 herców, a następnie nagle podnosił do 1064 herców.

Duqu
ma moduł komunikacji z centrum zarządzania i kontroli (serwer C&C) oraz keylogger, który wykrywa znaki wpisane na klawiaturze, żeby odgadnąć hasła lub loginy. Może pełnić funkcję zarówno trojana – programu wykradającego dane – jak i malware’a destrukcyjnego. Można go jednak zdalnie przekonfigurować do nowych zadań, jeśli tylko istnieje możliwość połączenia z serwerem C&C.

MiniFlame
to malware odkrywający luki w systemach operacyjnych i aplikacjach. Jest rodzajem wytrycha, umożliwiającego wejście do systemu operacyjnego czy aplikacji innym odmianom złośliwego kodu. Według ekspertów z Kaspersky Lab najpowszechniejsza jest wersja miniFlame 4.50, działająca głównie w Libanie i Palestynie.

Eksperci zajmujący się sprawami bezpieczeństwa uważają, że rodzina robaków internetowych powstała albo na zlecenie rządów USA i Izraela, albo jest samodzielnym dziełem izraelskich programistów, którym wsparcia udzielili amerykańscy informatycy wojskowi.

Według „The New York Timesa” malware najpierw miał jak najbardziej opóźnić irański program atomowy, co umożliwiłoby odłożenie decyzji o ewentualnym ataku zbrojnym na Iran, i poprzez zniszczenie kluczowych systemów branży petrochemicznej spowodować złagodzenie stanowiska tego kraju w stosunkach z Zachodem. Później pojawił się też nowy cel – osłabienie ugrupowań terrorystycznych na Bliskim Wschodzie, zwłaszcza podejrzewanych o związki z Iranem. Nie do końca udało się osiągnąć te cele, ponieważ internet ma strukturę rozproszoną i część malware’a trafiła do USA, Chin, Rosji i krajów Azji.

Tom Parker, dyrektor do spraw konsultingu bezpieczeństwa IT w agencji konsultingu informatycznego Securicon, obliczył szacunkowy koszt ataku z użyciem całej rodziny robaków (Stuxnet, Duqu, Flame, Wiper, Gauss, miniFlame) na około 15 milionów dolarów amerykańskich. W porównaniu z ewentualnymi korzyściami to niewiele. Pojawili się już jednak naśladowcy, i to po przeciwnej stronie barykady (w drugiej połowie 2012 roku odkryto malware’y „znikąd” – Shamoon i Mahdi).

Marek Mejssner

autor zdjęć: Fotolia