Szoftvervírusokkal támad az Al-Kaida?

Már nem egyszer foglalkoztunk az iráni nukleáris létesítmények számítógépes rendszereit megtámadó és komolyan blokkoló Stuxnettel – a digitális kártevőt nyilvánvalóan kritikus infrastruktúrák ellen készítették. És habár Irán hivatalosan tagadja, hogy visszavetette volna atomprogramját a vírus, a szakértők egyértelmű véleménye az, hogy igenis károkat okozott a bushehri atomerőmű számítógépes hálózatában. Ennek ékes példája, hogy a létesítmény mindmáig nem üzemel.

^{A bushehri atomerőmű Iránban}

Mikko Hyppönen, az IT-biztonsággal foglalkozó finn F-Secure cég vezető kutatója szerint komoly kockázatok rejlenek a Stuxnethez hasonló vírusokban. „A legrosszabb szituáció az lehet, hogy az Al-Kaida vagy más szervezet hozzáférést szerez ilyen jellegű tudáshoz és információhoz, amivel támadást indíthat kritikus infrastruktúrák ellen. Például atomerőműveket robbanthatnak fel vagy az élelmiszer-előállítási láncot támadják meg.” – adott hangot aggályainak a szakértő – „A Stuxnet szerintem új jelenség, fajtájának első példája, melyre évek múltán úgy emlékszünk majd, mint egy korszak kezdetére. Hamarosan elkészülnek a Stuxnet másolatai, az eredeti és más forrásokból egyaránt új változatok jelennek majd meg.”

Stuxnet
A Windows-os féreg magánhálózatokon és USB-s eszközökön (jellemzően pendrive-okon) keresztül terjed, ugyanakkor rendelkezik egy ma már nagyon egyedinek mondható jellemzővel: egyáltalán nem szaporodik az Interneten keresztül. Napjaink malware-jeiben nincsen ilyen fék, sőt, a cyberbűnözők annál elégedettebbek, minél több számítógépet sikerül megfertőzni, függetlenül attól, hogy ezek milyen hálózatokban dolgoznak. A Stuxnet azonban kifejezetten olyan rendszereket akar elérni, melyeket fizikailag leválasztottak az Internetről, a nagyobb biztonság érdekében. A kritikus infrastruktúrák számítógépes hálózatai jellemzően ide tartoznak, ilyen például az iráni nukleáris program.

A Stuxnet ráadásul rejtőzködik. Bárki Windows-os számítógépét megfertőzheti, amennyiben vírusos USB meghajtót csatlakoztatnak hozzá – ám az esetek döntő többségében nem történik semmi. A vírus nem rombol, nem lop el adatokat, nem zsarolja meg a felhasználót. Illetve akkor nem okoz kárt, ha nem találkozik egy előre meghatározott környezettel. Amint olyan hálózatba kerül, melyre alkotói felkészítették, aktiválja magát.

Jelen esetben ez a Step 7: a Siemens fejlesztése révén lehet az úgynevezett Programmable Logic Control (PLC) eszközöket programozni. PLC-ket használnak üzemek, gyárak, és ezek vezérlést igénylő elemeinek irányítására. A dobozok saját – nem Windows alapú – operációs rendszert futtatnak, fokozandó a biztonságot. A rendszer gyenge pontja azonban pont ebben a programozásban rejlik, mely Windows-os számítógépen történik. Mielőtt kiküldenék a szükséges programot az üzemben, elő kell azt állítani – a fertőzött USB-n keresztül érkező vírus pedig azonnal lecsap, ha érzékeli a Step 7 jelenlétét.

Csendben átprogramozza a PLC-t, majd vár, abban a reményben, hogy valaki lecsatlakoztatja azt a Windows-os számítógépről, és elviszi az üzembe. Amint ez megtörténik, leellenőrzi, milyen környezetbe került a PLC doboz, ami a vezérlést végzi. Speciális környezeti jellemzőket keres, nagyfrekvenciás hálózati átalakítókat, melyeket két különböző gyártó készít. Amint felfedezi a megfelelő faját, tudja, hogy a megfelelő környezetbe kerül. A Stuxnet esetében ez az iráni dúsító üzem volt.

Azonban még ekkor sem kezdett rombolásba a vírus, két-három napig csak rögzítette a szokásos napi forgalmat. Majd ezt visszaküldte az ellenőrző számítógépeknek, így a kezelők számára jó ideig úgy tűnt, nincsen változás. Amíg így fedezte tevékenységét, nekilátott megváltoztatni az urándúsítók pörgési sebességét, ami azzal járt, hogy a centrifugák eltörtek vagy rossz minőségű urániumot állítottak elő.

Ki áll az egész mögött?
A Stuxnet kifinomultsága arra engedte következtetni a szakértőket, hogy a vírust több millió dolláros beruházással hozták létre, olyan tudás megléte mellett, melyhez állami segítség kellett. Ez Hyppönen szerint ugyanakkor ébresztőleg hathat az ilyenfajta rombolásra nyitott szervezetek számára, ami később visszaüthet a nyugati államokra a jövőben. A szakértő azt sem tartja kizártnak, hogy dzishadisták kezébe kerülhet az információ, hiszen a Stuxnet technológiájának ismertetésére egy webes kereséssel rá lehet akadni. A finn szerint nem szabad azt hinni, hogy minden terrorista a talibán szintjén áll, vannak közöttük magas végzettséggel rendelkezők is, akik képesek lehetnek újraalkotni egy, a fentihez hasonló malware-t.

George W. Bush 2008-ban megállapodást írt alá az iráni nukleáris program elleni cybertámadásról. Hyppönnen szerint ennek eredménye a Stuxnet.