Jak dosz艂o do globalnej epidemii - ujawniono pi臋膰 pierwszych ofiar robaka Stuxnet

Min臋艂y prawie cztery lata od wykrycia jednego z najbardziej wyrafinowanych i niebezpiecznych szkodliwych program贸w - robaka Stuxnet, kt贸ry zaatakowa艂 m.in. elektrowni臋 atomow膮 w Iranie i uznawany jest za pierwsz膮 cyberbro艅 - jednak historia ta wci膮偶 kryje wiele zagadek. Jedno z najwa偶niejszych pyta艅 brzmi: jakie by艂y dok艂adnie cele operacji Stuxnet? Teraz, po przeanalizowaniu ponad 2 000 plik贸w Stuxneta zebranych w ci膮gu dw贸ch lat, badacze z Kaspersky Lab mog膮 zidentyfikowa膰 pierwsze ofiary tego robaka.



Pocz膮tkowo eksperci ds. bezpiecze艅stwa nie mieli w膮tpliwo艣ci, 偶e ca艂y atak mia艂 charakter ukierunkowany. Kod robaka Stuxnet wskazywa艂 na prac臋 profesjonalist贸w, a ponadto istnia艂y dowody na u偶ycie przez cyberprzest臋pc贸w wyszukanych szkodliwych program贸w wykorzystuj膮cych nieza艂atane luki bezpiecze艅stwa (tzw. luki zero-day). Ci膮gle brakowa艂o jednak informacji o tym, jakie rodzaje organizacji zosta艂y zaatakowane jako pierwsze oraz w jaki spos贸b szkodliwe oprogramowanie przedosta艂o si臋 ostatecznie do wir贸wek s艂u偶膮cych do wzbogacania uranu w okre艣lonym, 艣ci艣le strze偶onym obiekcie.

Pierwsza pi膮tka

Nowa analiza pozwoli艂a na rozwianie cz臋艣ci w膮tpliwo艣ci. Pi臋膰 pierwszych cel贸w Stuxneta stanowi艂y organizacje dzia艂aj膮ce w bran偶y przemys艂owych system贸w sterowania - byli to zar贸wno producenci, jak i dostawcy materia艂贸w i cz臋艣ci. Najbardziej intryguj膮ca jest pi膮ta zaatakowana organizacja, poniewa偶 opr贸cz innych produkt贸w przeznaczonych dla automatyki przemys艂owej produkuje r贸wnie偶 wir贸wki s艂u偶膮ce do wzbogacania uranu. W艂a艣nie ten rodzaj sprz臋tu jest uwa偶any za g艂贸wny cel Stuxneta.

Najwidoczniej atakuj膮cy spodziewali si臋, 偶e organizacje te b臋d膮 wymienia艂y dane ze swoimi klientami - takimi jak obiekty wzbogacania uranu - co pozwoli艂oby "przemyci膰" szkodliwe oprogramowanie do atakowanych cel贸w. Wyniki badania sugeruj膮, 偶e plan ten rzeczywi艣cie powi贸d艂 si臋.

"Analiza dzia艂a艅 biznesowych organizacji, kt贸re jako pierwsze pad艂y ofiar膮 Stuxneta, daje lepszy obraz tego, w jaki spos贸b zaplanowano ca艂膮 operacj臋. Jest to przyk艂ad ataku za po艣rednictwem 艂a艅cucha dostaw, gdzie szkodliwe oprogramowanie jest dostarczane do atakowanej organizacji w spos贸b po艣redni, z wykorzystaniem sieci partner贸w, z kt贸rymi wsp贸艂pracuje organizacja stanowi膮ca potencjaln膮 ofiar臋" - powiedzia艂 Aleksander Gostiew, g艂贸wny ekspert ds. bezpiecze艅stwa, Kaspersky Lab.

Infekcja nie tyko przez USB

Eksperci z Kaspersky Lab dokonali kolejnego interesuj膮cego odkrycia: robak Stuxnet rozprzestrzenia艂 si臋 nie tylko za po艣rednictwem zainfekowanych urz膮dze艅 USB wpinanych do komputer贸w PC. By艂a to pierwotna teoria, kt贸ra wyja艣nia艂a, w jaki spos贸b szkodliwe oprogramowanie mog艂o przedosta膰 si臋 do miejsca, w kt贸rym nie istnieje bezpo艣rednie po艂膮czenie internetowe. Jednak dane zgromadzone podczas analizy pierwszego ataku pokaza艂y, 偶e pr贸bka pierwotnej wersji robaka (Stuxnet.a) zosta艂a skompilowana w zaledwie kilka godzin przed pojawieniem si臋 jej na komputerze w pierwszej zaatakowanej organizacji. Trudno wyobrazi膰 sobie, aby osoba atakuj膮ca mog艂a w tak kr贸tkim czasie skompilowa膰 pr贸bk臋, umie艣ci膰 j膮 na no艣niku USB i dostarczy膰 do atakowanej organizacji. Rozs膮dnie jest zatem przyj膮膰, 偶e w tym konkretnym przypadku osoby stoj膮ce za Stuxnetem wykorzysta艂y techniki inne ni偶 infekcja przy u偶yciu USB.

Najnowsze informacje techniczne dotycz膮ce nieznanych wcze艣niej aspekt贸w kampanii Stuxnet znajduj膮 si臋 w j臋zyku angielskim na stronie https://securelist.com/analysis/publications/67483/stuxnet-zero-victims.

殴ród艂o:
Kaspersky Lab