Considerat prima şi una dintre cele mai faimoase arme cibernetice cunoscute, cu state vechi pe harta mondială de malware, "viermele" Stuxnet, născut în 2005, este extrem de "ambiţios. Nu s-a dat în lături de la a dezactiva centrifugele de îmbogăţire a uraniului din Iran, reuşind astfel să încetinească programul nuclear al ţării pentru mai mulţi ani. Cu ce s-a mai ocupat Stuxnet în anii săi de glorie şi ce au întreprins experţii în domeniul securităţii cibernetice pentru a-l extermina, descoperim în cele ce urmează.

Când, unde şi de ce a apărut Stuxnet?
Deşi specialiştii în securitate cibernetică au pus ochii pe Stuxnet prin anul 2010, se pare că "viermele" periculos ar fi fost activ încă din 2005. În viziunea celor de la Kaspersky, virusul Stuxnet este considerat prima armă cibernetică cunoscută şi una dintre cele mai faimoase. Pe fondul şi în perioada descoperirii acestuia, mostra de malware viza programul nuclear al Iranului cu un mecanism complex. S-a constatat la vremea respectivă că persoanele din spatele Stuxnet au reuşit să dezactiveze centrifugele de îmbogăţire a uraniului din Iran, lucru care a decalat cu câţiva ani şi în mod considerabil programul nuclear naţional.

Ţinând seama de amploarea şi ţinta vizată, Stuxnet este caracterizat drept una dintre cele mai interesante mostre de malware create vreodată, echivalentul cibernetic al atacurilor atomice asupra Nagasaki şi Hiroshima, din 1945.

Dar cum au reuşit creatorii "viermelui" să facă asemenea pagube? "Autorii au reuşit să introducă un cod infectat într-un laborator unde nu existau conexiuni directe la Internet, folosind stick-uri USB. Din cauza unor erori, Stuxnet a ajuns şi la alte organizaţii în afara celor vizate şi s-a propagat pe Internet, infectând sute de mii de computere. Nu au putut, însă, să afecteze aceste computere, pentru că fusese creat pentru un scop precis", explică, pentru AGERPRES, specialiştii Kaspersky.

La nivel internaţional, în breasla experţilor în securitate cibernetică, atacurile Stuxnet au generat numeroase controverse privind identitatea atacatorilor şi a ţintei. Astfel, conform Kaspersky, atacul a fost pregătit de către un grup de infractori cu vaste cunoştinţe despre tehnologia SCADA (Supervisory Control and Data Acquisition, n.r.) şi nu putea fi realizat decât cu sprijinul unui stat. În acest context, complexitatea atacului l-a determinat pe Eugene Kaspersky să afirme că "ne apropiem de era terorismului cibernetic, a armelor complexe şi a războaielor cibernetice'.

"Acest program periculos nu a fost creat pentru a fura bani, a trimite mesaje spam sau a fura date personale, ci pentru a sabota companii de producţie, pentru a distruge sisteme industriale. Constat că acesta este începutul unei noi ere. Anii '90 au fost marcaţi de vandalism cibernetic, anii 2000 au însemnat deceniul infracţionalităţii cibernetice, iar acum ne apropiem de terorism şi războaie cibernetice', a spus Kaspersky.

La rândul lor, cei de la Bitdefender susţineau, în toamna anului 2010, la scurt timp după descoperirea lui Stuxnet, exploatarea vulnerabilităţilor din Microsoft Windows duce la instalarea unui backdoor ce vor ascunde fişiere cu extensiile .lnk şi .tmp. "Viermele se răspândeşte exploatând o serie de vulnerabilităţi de tip "Zero-day' din sistemul Windows. Mai mult decât atât, acesta se auto-execută dintr-un dispozitiv de stocare infectat, chiar în momentul în care sistemul de operare procesează scurtăturile .lnk special concepute. Exploatarea cu succes a acestei vulnerabilităţi duce la instalarea unui backdoor (program cibernetic maliţios ce lucrează în fundal şi îi oferă atacatorului acces de la distanţă la un sistem de PC compromis, n.r.), precum şi a altor două componente rootkit (program ce reuşeşte printr-o vulnerabilitate a sistemului-gazdă să deţină drepturi depline pe un sistem, pe care îl modifică pentru a-i putea folosi resursele, nedetectat, n.r.) care vor ascunde atât fişierele cu extensiile .lnk, cât şi .tmp. Se cunoaşte faptul că ameninţările de tip "Zero-Day" sau programele malware necunoscute sunt cele care evită, de regulă, soluţiile tradiţionale de protecţie antivirus şi antimalware.

Vulnerabilităţi de tip "Zero-day" din Windows, în "meniul" lui Stuxnet
În afară de ţinta pe care îşi propuseseră să o distrugă iniţial, "părinţii" lui Stuxnet au exploatat patru vulnerabilităţi de tip "Zero-day' din Microsoft Windows. Ulterior detectării acestui virus, două dintre aceste breşe de securitate au fost raportate direct la Microsoft, experţii Kaspersky lucrând îndeaproape cu producătorul american de software pentru crearea şi lansarea patch-urilor de securitate pentru sistemul de operare.

Mai mult decât atât, Stuxnet a folosit şi două certificate digitale valide, furate de la Realtek şi JMicron, care i-au ajutat pe infractorii cibernetici să ascundă prezenţa malware-ului în sistem pentru o perioadă lungă de timp. Astfel, programul încerca accesarea şi reprogramarea de sisteme industriale de control, ţintind sistemele de tip SCADA produse de către compania Siemens: WinCC. Acestea sunt utilizate pentru monitorizarea şi administrarea infrastructurii şi a proceselor de producţie. De asemenea, sisteme similare sunt folosite la scară largă pe platformele petroliere, centrale electrice, mari platforme de comunicaţii, în aeroporturi, pe vapoare şi chiar în armată.

Din cercetările celor de la Kaspersky reiese faptul că "viermele' se manifesta doar pe computere unde existau software şi controlere Siemens, în sensul că reprograma aceste controlere, apoi seta viteza de rotaţie a centrifugelor de îmbogăţire a uraniului câteodată prea mare, câteodată prea mică. "În consola de administrare, vitezele raportate erau normale. Astfel, rata de defectare a centrifugelor era mai mare de 50%, faţă de media de sub 30% raportată în condiţii normale. Pentru că nu puteau să anunţe public că aveau un program de exploatare a uraniului, cercetătorii iranieni nu au putut sa identifice corect problemele ce apăreau", este concluzia experţilor în securitate cibernetică.

În ceea ce priveşte identitatea celor care s-au aflat în spatele Stuxnet, cunoştinţele avansate despre sistemele industriale de control, atacul sofisticat pe mai multe niveluri, folosirea de vulnerabilităţi "Zero-day' şi furtul de certificate digitale valide i-au determinat pe specialiştii de la Kaspersky să constate că virusul a fost creat de către o echipă de profesionişti foarte experimentaţi, care posedă resurse vaste şi suport financiar. "Ţinta atacului şi localizarea geografică în care a apărut (Iran) sugerează faptul că acesta nu a fost iniţiat de un grup oarecare de infractori cibernetici", precizează sursa citată.

În plus, specialiştii care au analizat programul susţin că scopul principal al lui Stuxnet nu era spionajul sistemelor infectate, ci acela de a iniţia o acţiune de sabotaj, iar toate aceste indicii arată că dezvoltarea acestuia a fost susţinută de către un stat care dispune de numeroase informaţii, având în acelaşi timp mari capabilităţi financiare.

Considerat de către experţi un prototip al unei arme cibernetice, care a condus la crearea de noi instrumente de atac foarte periculoase, Stuxnet reprezintă un soi de "pionier" al grupurilor de atacatori cibernetici, ce a deschis calea spre un alt fel de a produce pagube la nivel industrial. AGERPRES/(AS - autor: Daniel Badea, editor: Andreea Marinescu, editor online: Ady Ivaşcu)