Stuxnet – průšvih při implementaci průmyslového systému

Stuxnet je slovo, které je hodně frekventované zejména mezi CSO a pravděpodobně se dostane, podobně jako Alexandr Veliký, do íránských bájí. Červ, který je určen pro Windows platformu, využívá zero-day zranitelnosti tohoto operačního systému (podobně jako např. prudič Conficker – známý problém s ikonkami zástupců a autorunem z USB) a šíří se právě tak pitomě – např. USB tokenem. Přesto, že jeho aktivita byla poprvé pozorována ca. někdy v polovině roku 2009 (dle společnosti F-Secure bylo analýzou zjištěno, že některé části wormu byly kompilovány již v lednu 2009), i po roce je o něm vědět, a to dokonce s mediální razancí nebývalých rozměrů. Otázkou je, zda jen média reflektují stav před rokem, nebo skutečně došlo v posledních týdnech ke kulminaci této hrozby.

Pokud by platil druhý případ, je na pováženou, jací lidé implementují systémy od Siemensu (o nich se totiž píše nejvíce – jde o tzv. SCADA systémy, tedy Supervisory Control And Data Acquisition – tedy systémy pro řízení a sledování výrobních procesů). Stuxnet totiž využívá pro svůj útok defaultní heslo. Pokud je úspěšný, modifikuje pomocí řídící aplikace PLC zařízení (to jsou takové jednoduché jednočipové počítače pro řízení výrobní linky) a chová se jako rootkit. Není tedy zjistitelný běžnými antimalware nástroji.

Autoři Stuxnetu tedy velmi dobře znali strukturu Siemens systému, stejně jako neošetřené díry ve Windows a nejspíš i notné dávky sociálního inženýrství. Vybavili ho dvěma ukradenými, ověřenými certifikáty (JMicron + Realtek) a umožnili mu aktualizace. Nebylo nikým potvrzeno, že cílem byly a jsou jaderná zařízení v Íránu. Silně pochybuji o tom, že by systémy v takovém zařízení používaly … defaultní heslo :-).

No, hlavně že bylo v létě o čem psát, nutno připomenout Írán („to zlé sémě“) a trochu té spekulace na opepření.

Další články: