Stuxnet

Stuxnet to robak komputerowy, który został użyty do ataku na irańskie obiekty nuklearne. Dowiedz się więcej o tym znaczącym ataku cybernetycznym poniżej.

BEZPŁATNY ANTYWIRUS

Czym jest Stuxnet?

Stuxnet to złośliwy robak komputerowy, który stał się osławiony ze względu na użycie do ataku na irańskie obiekty nuklearne. Ten atak trafił na globalne nagłówki wiadomości w 2010 roku, kiedy został po raz pierwszy odkryty. Jak powiedział Jérôme Segura, Starszy Dyrektor ds. Inteligencji Zagrożeń w Malwarebytes w swoim artykule Stuxnet: nowe światło przez stare okna, “Niewiele kawałków malware zyskało taką samą uwagę na całym świecie jak Stuxnet.”

Chociaż Stuxnet jako robak komputerowy to złośliwe oprogramowanie, został użyty do atakowania sprzętu elektromechanicznego. Jak w przypadku głównego ataku w Iranie, atakujący wykorzystali Stuxnet do eksploatacji wielu luk w zero-day w systemie Windows, aby szukać zakażonych komputerów PC połączonych z oprogramowaniem kontrolującym urządzenia elektromechaniczne, i wysyłać instrukcje mające na celu uszkodzenie tego sprzętu. Chociaż wiele rodzajów malware infekuje komputer przez Internet, inną unikalną cechą ataku Stuxnet w Iranie jest to, że malware został wprowadzony do komputerów PC za pomocą zakażonych dysków USB.  

Czy Stuxnet to wirus?

Wiele osób nazywa ten malware „wirusem Stuxnet”, chociaż to nie jest wirus komputerowy — to robak komputerowy. Chociaż zarówno wirusy, jak i robaki są rodzajami malware, które mogą uszkadzać pliki, robak komputerowy może być znacznie bardziej zaawansowany. Przede wszystkim, w przeciwieństwie do wirusa, robak nie wymaga interakcji człowieka do aktywacji. Zamiast tego samodzielnie się propaguje, czasami bardzo szybko po wejściu do systemu. Poza usuwaniem danych, robak komputerowy może przeciążać sieci, konsumować przepustowość, otwierać tylne drzwi, zmniejszać przestrzeń dysku twardego i instalować inne niebezpieczne malware, takie jak rootkity, spyware i ransomware.

Czym był atak Stuxnet w Iranie?

Według książki “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon”, w 2010 roku inspektorzy odwiedzający z Międzynarodowej Agencji Atomowej byli zaskoczeni widząc, że wiele irańskich wirówek nie działa poprawnie. Ani Irańczycy, ani inspektorzy nie mogli pojąć, dlaczego sprzęt Siemensa, zaprojektowany do wzbogacania uranu do reaktorów jądrowych, działał tak katastrofalnie.

Trudno było sobie wyobrazić, że za to odpowiedzialny był fragment złośliwego oprogramowania. W końcu irańskie instalacje nuklearne były odseparowane od sieci, co oznacza, że nie były połączone z żadną siecią ani Internetem. Aby atak malware mógł się wydarzyć na odseparowanej plantacji wzbogacania uranu, ktoś musiał świadomie lub podświadomie fizycznie wprowadzić malware, być może przez zakażony dysk USB.

Gdy zespół bezpieczeństwa z Białorusi przyjechał, aby zbadać nieprawidłowo działające komputery w Iranie, znalazł bardzo skomplikowane złośliwe oprogramowanie. To agresywne malware później rozprzestrzeniło się dalej, a badacze nadali mu nazwę Stuxnet, „pierwszej cyfrowej broni na świecie.”

Dlaczego Stuxnet był tak niebezpieczny?

Eksperci nazywają Stuxnet niesamowicie skomplikowanym kawałkiem kodu i pierwszą na świecie cyberbronią. Być może fizycznie uszkodził on niemal 1000 irańskich wirówek. Stuxnet działał, infekując programowalne sterowniki logiczne (PLC), które kontrolowały wirówki i sabotując je.  

Wirówki wirują z niezwykle wysoką prędkością, tworząc siłę wielokrotnie większą niż grawitacja, aby oddzielić elementy gazu uranowego. Robak manipulował prędkością pracy wirówek, tworząc wystarczająco dużo stresu, aby je uszkodzić. Stuxnet działał powoli, czekając tygodniami po przyspieszeniu wirówek, aby je spowolnić, co utrudniało wykrycie jego działań.

Stuxnet był również trudny do wykrycia, ponieważ było to całkowicie nowe malware, rozwijające się zagrożenie bez znanych sygnatur. Ponadto, Stuxnet wykorzystywał wiele luk w zero-day, które są niezałatanymi lukami bezpieczeństwa w oprogramowaniu.

Stuxnet również wysyłał fałszywe sygnały czujników sterowania procesami przemysłowymi, aby ukryć swoją obecność i złośliwą działalność. Ponadto Stuxnet był w stanie wprowadzić rootkit. Rootkity mogą dać napastnikowi kontrolę nad systemem w jego rdzeniu. Dzięki instalacji rootkita, Stuxnet miał większą zdolność do ukrytego działania.

Najlepsze praktyki cyberbezpieczeństwa dla sieci przemysłowych

Silne zabezpieczenia cybernetyczne są kluczowe dla każdego biznesu. Raporty o cyberatakach pojawiają się regularnie w wiadomościach i nie zawsze złośliwe oprogramowanie atakuje użyteczne oprogramowanie; jak w przypadku Stuxneta, malware może być używane do atakowania urządzeń elektromechanicznych, sprzętu i infrastruktury.

Jednym z najbardziej znanych incydentów cyberbezpieczeństwa w 2021 roku był atak ransomware, który zamknął największy rurociąg paliwowy w USA na prawie tydzień. Później ustalono, że pojedyncza skompromitowana hasło umożliwiła atak. Innymi celami ataków ransomware w ciągu roku były największy światowy przetwórca mięsa i największy serwis promowy w Massachusetts.

Niezależnie od tego, czy to ransomware, robaki komputerowe, phishing, oszustwa w mailach biznesowych (BEC), czy inne zagrożenie nie daje Ci spokoju w nocy, możesz podjąć kroki, aby chronić swoją firmę. W naszej misji ochrony cyberprzestrzeni dla każdego, Malwarebytes oferuje rozwiązania zabezpieczeń dla firm każdej wielkości. Twoja firma może również wdrożyć najlepsze praktyki w zakresie bezpieczeństwa, takie jak:

  • Stosuj ścisłą politykę Bring Your Own Device (BYOD), która zapobiega wprowadzaniu potencjalnych zagrożeń przez pracowników i kontraktorów.
  • Oddziel wszelkie komputery, które mogą mieć wpływ na bezpieczeństwo narodowe.
  • Oddziel wszystkie systemy starsze, które służą jako interfejsy ludzkie.
  • Wdrożone najbardziej wyrafinowane hasła i uwierzytelnianie dwuskładnikowe, które utrudniają ataki brute force i zapobiegają użyciu skradzionych haseł jako wektorów zagrożeń.
  • Zabezpiecz komputery i sieci najnowszymi łatkami.
  • Używaj oprogramowania cyberbezpieczeństwa napędzanego sztuczną inteligencją z możliwościami uczenia maszynowego.
  • Stosuj łatwe do użycia kopie zapasowe i przywracanie na każdym możliwym poziomie, aby zminimalizować zakłócenia, szczególnie dla systemów krytycznych.
  • Nieustannie monitoruj procesory i serwery w poszukiwaniu anomalii.
  • Spróbuj strefy zdemilitaryzowanej (DMZ) dla sieci przemysłowych.
  • Zapoznaj się z listą dozwolonych aplikacji dla wzmocnienia bezpieczeństwa oprogramowania.

Powiązane artykuły z Malwarebytes Labs

Czy chcesz przeczytać więcej o cyberbezpieczeństwie i infrastrukturze? Sprawdź poniższe artykuły z Malwarebytes Labs: