Stuxnet, povestea unuia dintre cele mai complexe atacuri cibernetice din istorie

FOTO: Ionuț Fantaziu
FOTO: Ionuț Fantaziu

Stuxnet este un virus care a apărut în 2010 și se spune că a stat la baza atacului cibernetic asupra rețelei de computere care gestionează programul nuclear al Iranului. Cei de Kaspersky spun că deși au trecut mai mult de patru ani de la descoperirea unuia dintre cele mai sofisticate și periculoase atacuri informatice există încă multe aspecte neclare ale întregii operațiuni. Specialiștii Kaspersky cred că întrebarea principală rămâne: care erau obiectivele exacte ale operațiunii Stuxnet? După analiza a peste 2.000 de fișiere Stuxnet colectate pe o perioadă de doi ani, experții pot identifica primele victime ale virusului informatic.

Cei de la Kaspersky nu au avut nici un dubiu că întregul atac a fost unul atent organizat. Codul viermelui Stuxnet era realizat profesionist și dedicat; dovezile indicau exploatarea unor vulnerabilități zero-day extrem de costisitoare. Totuși, încă nu se identificase tipologia organizațiilor atacate în faza inițială și nici modul în care malware-ul accesase ulterior centrifugile de îmbogățire a uraniului din locații ultra-secrete, mai spun cei de la Kaspersky.

Analizele recente au scos la iveală noi informații. Cele cinci organizații atacate inițial operau în segmentul Industrial Control Systems (ICS) din Iran, dezvoltând sisteme ICS sau furnizând materiale și componente pentru acestea. A cincea organizație atacată este și cea mai interesantă, aceasta producând inclusiv centrifugi de imbogățire a uraniului, pe lângă alte produse pentru automatizarea industrială. Conform cercetărilor Kaspersky Lab, acest tip de echipament era ținta principală a atacurilor Stuxnet.

Astfel, atacatorii se așteptau ca organizațiile să facă schimb de mesaje și date cu clienții lor – respectiv cu fabricile de îmbogățire a uraniului – fapt ce ar fi ușurat accesul malware-ului în aceste fabrici. Rezultatele atacului arată că planul a avut succes.

„Analiza activităților profesionale ale primelor organizații-victime Stuxnet ajută la o mai bună înțelegere a planificării operațiunii. În final, acesta este un exemplu de vector de atac asupra lanțului de aprovizionare, prin care malware-ul pătrunde în organizați avizată indirect, prin rețelele partenerilor organizației”, afirmă Alexander Gostev, Chief Security Expert la Kaspersky Lab.

Experții Kaspersky Lab au făcut și alte descoperiri interesante: viermele Stuxnet nu a fost distribuit doar prin stick-uri USB infectate. Aceasta era teoria inițială și explica modul în care malware-ul putea accesa dispozitive fără conexiune la internet. Totuși, datele obținute în urma analizei primului atac Stuxnet arată că prima mostră a viermelui (Stuxnet.a) fusese compilată cu câteva ore înainte de a infecta un PC al primei organizații atacate. Acest interval orar indică faptul că atacatorul nu ar fi avut suficient timp să compileze mostra, să o salveze pe un stick USB pe care să îl livreze ulterior fizic organizației vizate. Cel mai probabil, în acest caz, echipa din spatele campaniei Stuxnet a utilizat alte tehnici.

Cele mai recente informații tehnice despre unele aspecte necunoscute anterior ale atacului Stuxnet se găsesc pe Securelist și într-o nouă carte – Countdown to Zero Day, scrisă de jurnalistul Kim Zetter. Cartea include informații noi despre Stuxnet; unele dintre acestea au fost obținute în urma interviurilor cu membrii Global Research and Analysis Team din cadrul Kaspersky Lab.