Stuxnet

Stuxnet to robak komputerowy, który został użyty do ataku na irańskie obiekty nuklearne. Dowiedz się więcej o tym znaczącym ataku cybernetycznym poniżej.

BEZPŁATNY ANTYWIRUS

Czym jest Stuxnet?

Stuxnet to złośliwy robak komputerowy, który zyskał złą sławę dzięki wykorzystaniu go do ataku na irańskie instalacje nuklearne. Atak ten trafił na pierwsze strony gazet w 2010 roku, kiedy został po raz pierwszy odkryty. Jak powiedział starszy dyrektor ds. analizy zagrożeń w Malwarebytes, Jérôme Segura, w swoim artykule Stuxnet: nowe światło przez stare windows, "bardzo niewiele złośliwych programów przyciągnęło taką samą uwagę na całym świecie jak Stuxnet".

Choć jako robak komputerowy, Stuxnet jest złośliwym oprogramowaniem, został wykorzystany do ataku na sprzęt elektromechaniczny. Podobnie jak w przypadku głównego ataku w Iranie, atakujący wykorzystali Stuxnet do wykorzystania wielu luk zero-day w Windows , przeszukiwania zainfekowanych komputerów w poszukiwaniu połączenia z oprogramowaniem kontrolującym sprzęt elektromechaniczny i wysyłania instrukcji mających na celu uszkodzenie sprzętu. Podczas gdy wiele rodzajów złośliwego oprogramowania infekuje komputery przez Internet, inną unikalną cechą ataku Stuxnet w Iranie jest to, że złośliwe oprogramowanie zostało wprowadzone do komputerów za pośrednictwem zainfekowanych napędów USB.  

Czy Stuxnet to wirus?

Wiele osób nazywa złośliwe oprogramowanie "wirusem Stuxnet", mimo że nie jest to wirus komputerowy - jest to robak komputerowy. Chociaż zarówno wirusy, jak i robaki są rodzajami złośliwego oprogramowania, które mogą uszkadzać pliki, robak komputerowy może być znacznie bardziej wyrafinowany. Po pierwsze, w przeciwieństwie do wirusa, robak nie wymaga interakcji człowieka w celu aktywacji. Zamiast tego rozprzestrzenia się samoczynnie, czasami bardzo szybko po przedostaniu się do systemu. Oprócz usuwania danych, robak komputerowy może przeciążać sieci, zużywać przepustowość, otwierać tylne drzwi, zmniejszać przestrzeń na dysku twardym i upuszczać inne niebezpieczne złośliwe oprogramowanie, takie jak rootkity, oprogramowanie szpiegujące i oprogramowanie ransomware.

Czym był atak Stuxnet w Iranie?

Według książki "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon", w 2010 roku inspektorzy Agencji Energii Atomowej byli zaskoczeni awarią wielu irańskich wirówek. Ani Irańczycy, ani inspektorzy nie mogli zrozumieć, dlaczego sprzęt wyprodukowany przez Siemensa, zaprojektowany do wzbogacania uranu zasilającego reaktory jądrowe, działał tak katastrofalnie.

Trudno było sobie wyobrazić, że za to odpowiedzialny był fragment złośliwego oprogramowania. W końcu irańskie instalacje nuklearne były odseparowane od sieci, co oznacza, że nie były połączone z żadną siecią ani Internetem. Aby atak malware mógł się wydarzyć na odseparowanej plantacji wzbogacania uranu, ktoś musiał świadomie lub podświadomie fizycznie wprowadzić malware, być może przez zakażony dysk USB.

Gdy zespół bezpieczeństwa z Białorusi przyjechał, aby zbadać nieprawidłowo działające komputery w Iranie, znalazł bardzo skomplikowane złośliwe oprogramowanie. To agresywne malware później rozprzestrzeniło się dalej, a badacze nadali mu nazwę Stuxnet, „pierwszej cyfrowej broni na świecie.”

Dlaczego Stuxnet był tak niebezpieczny?

Eksperci nazywają Stuxnet niesamowicie skomplikowanym kawałkiem kodu i pierwszą na świecie cyberbronią. Być może fizycznie uszkodził on niemal 1000 irańskich wirówek. Stuxnet działał, infekując programowalne sterowniki logiczne (PLC), które kontrolowały wirówki i sabotując je.  

Wirówki wirują z niezwykle wysoką prędkością, tworząc siłę wielokrotnie większą niż grawitacja, aby oddzielić elementy gazu uranowego. Robak manipulował prędkością pracy wirówek, tworząc wystarczająco dużo stresu, aby je uszkodzić. Stuxnet działał powoli, czekając tygodniami po przyspieszeniu wirówek, aby je spowolnić, co utrudniało wykrycie jego działań.

Stuxnet był również trudny do wykrycia, ponieważ było to całkowicie nowe malware, rozwijające się zagrożenie bez znanych sygnatur. Ponadto, Stuxnet wykorzystywał wiele luk w zero-day, które są niezałatanymi lukami bezpieczeństwa w oprogramowaniu.

Stuxnet wysyłał również fałszywe sygnały z czujników kontroli procesów przemysłowych, aby ukryć swoją obecność i złośliwą aktywność. Ponadto, Stuxnet był również w stanie upuścić rootkit. Rootkity mogą zapewnić podmiotowi stanowiącemu zagrożenie kontrolę nad systemem w jego rdzeniu. Z rootkit Stuxnet był bardziej zdolny do ukrytych działań.

Najlepsze praktyki cyberbezpieczeństwa dla sieci przemysłowych

Silne zabezpieczenia cybernetyczne są kluczowe dla każdego biznesu. Raporty o cyberatakach pojawiają się regularnie w wiadomościach i nie zawsze złośliwe oprogramowanie atakuje użyteczne oprogramowanie; jak w przypadku Stuxneta, malware może być używane do atakowania urządzeń elektromechanicznych, sprzętu i infrastruktury.

Jednym z najbardziej znaczących incydentów cyberbezpieczeństwa w 2021 r. był atak ransomware, który wyłączył największy rurociąg paliwowy w USA na prawie tydzień. Później ustalono, że atak umożliwiło jedno złamane hasło. Inne cele ataków ransomware w tym roku obejmowały największą na świecie firmę pakującą mięso i największą usługę promową w Massachusetts.

Niezależnie od tego, czy chodzi o oprogramowanie ransomware, robaki komputerowe, phishing, kompromitację biznesowej poczty e-mail (BEC), czy inne zagrożenie, które spędza Ci sen z powiek, możesz podjąć kroki w celu ochrony swojej firmy. W naszej misji zapewnienia cyberochrony każdemu, Malwarebytes oferuje rozwiązania bezpieczeństwa dla firm każdej wielkości. Twoja firma może również przyjąć najlepsze praktyki bezpieczeństwa, takie jak:

  • Stosuj ścisłą politykę Bring Your Own Device (BYOD), która zapobiega wprowadzaniu potencjalnych zagrożeń przez pracowników i kontraktorów.
  • Oddziel wszelkie komputery, które mogą mieć wpływ na bezpieczeństwo narodowe.
  • Oddziel wszystkie systemy starsze, które służą jako interfejsy ludzkie.
  • Przyjęcie zaawansowanego systemu haseł z uwierzytelnianiem dwuskładnikowym, które utrudnia ataki siłowe i zapobiega przekształcaniu skradzionych haseł w wektory zagrożeń.
  • Zabezpiecz komputery i sieci najnowszymi łatkami.
  • Korzystaj z oprogramowania cyberbezpieczeństwa opartego na sztucznej inteligencji z funkcjami uczenia maszynowego.
  • Stosuj łatwe do użycia kopie zapasowe i przywracanie na każdym możliwym poziomie, aby zminimalizować zakłócenia, szczególnie dla systemów krytycznych.
  • Nieustannie monitoruj procesory i serwery w poszukiwaniu anomalii.
  • Spróbuj strefy zdemilitaryzowanej (DMZ) dla sieci przemysłowych.
  • Zapoznaj się z listą dozwolonych aplikacji dla wzmocnienia bezpieczeństwa oprogramowania.

Powiązane artykuły z Malwarebytes Labs

Czy chcesz przeczytać więcej o cyberbezpieczeństwie i infrastrukturze? Sprawdź poniższe artykuły z Malwarebytes Labs: