Stuxnet: Kolejne triki w cyberwojnie

W tym celu trojan zapisuje swoją kopię w folderze projektu środowiska programistycznego Step7 dla sterowników PLC. Stuxnet manipuluje przy tym różnymi plikami i tworzy zainfekowane biblioteki DLL, spośród których część jest zaszyfrowana. Wygląda na to, że podobnie jak w przypadku luki w Windows związanej ze ścieżką wyszukiwania, przy ładowaniu plików DLL w momencie otwierania projektu uruchamiana jest jedna z bibliotek. Jej zadaniem jest ładowanie do pamięci, odszyfrowanie i uruchomienie właściwej biblioteki Stuxneta, w wyniku czego system po dezynfekcji znowu zostaje zainfekowany. Do zarażenia komputera mogą posłużyć także przekazane innym foldery projektów środowiska Step7.

Ponadto okazało się, że Stuxnet już od marca 2010 roku wykorzystywał lukę LNK do rozprzestrzeniania się za pomocą pamięci USB. Wcześniej używał on w tym celu spreparowanych plików autorun.inf. W połączeniu z innymi sztuczkami taki zestaw metod miał zapewne zwiększać prawdopodobieństwo infekowania systemów Windows.

Wciąż trwają spekulacje na temat tego, jakie obiekty miały być celem ataku robaka. Jedna z teorii głosi, że Stuxnet został przygotowany z myślą o irańskiej elektrowni atomowej Buszehr. Nie wiadomo jednak, jaki byłby sens niszczenia elektrowni atomowej według powszechnej opinii służącej wyłącznie do celów cywilnych. Wątpliwości co do przeznaczenia zakładu nie mają nawet władze Izraela.

Przeciwko związkowi z elektrownią w Buszehr przemawia także to, że Stuxnet - według dotychczasowych ustaleń - potrafi manipulować tylko produkowanymi przez Siemensa modułami z rodzin S7-400 i S7-300. Nie mają one odpowiednich certyfikatów (według standardów SIL 4 albo AK7), wymaganych od urządzeń wykorzystywanych w elektrowniach atomowych - wyjaśnił przedstawiciel Siemensa zapytany przez redakcję heise Security. Istnieje jednak możliwość, że Irańczycy ignorują międzynarodowe standardy i że rosyjska firma Atomstrojeksport zastosowała niedozwolone komponenty - podobno w Buszehr działają także nielicencjonowane wersje oprogramowania kontrolnego WinCC.

Jeśli chodzi o Iran, to prawdziwą solą w oku dla państw zachodnich są podziemne instalacje wzbogacania uranu w Natanz. Zdaniem Franka Riegera z grupy Chaos Computer Club robak Stuxnet poczynił tam szkody już w roku 2009, o czym można przeczytać w serwisie WikiLeaks, świadczy o tym także ograniczona skala produkcji materiałów rozszczepialnych.

Co ciekawe, szef ośrodka US Cyber Consequences Unit Scott Borg w połowie 2009 roku w wywiadzie dla izraelskiego serwisu informacyjnego Ynetnews opisał identyczny scenariusz ataku: ktoś miałby przemycić malware do zakładu zajmującego się wzbogacaniem uranu i zakłócić działanie systemów. W tym celu wystarczyłaby jedynie zainfekowana pamięć USB. Mossad już od jakiegoś czasu usiłuje przeszkadzać Iranowi w programie rozwoju broni atomowej; wcześniej w Iranie aresztowano i skazano na śmierć wielu domniemanych izraelskich szpiegów.

Nie da się także wykluczyć, że awaria instalacji w Iranie była jedynie efektem ubocznym nieudanego ataku wymierzonego w Indie. Firma Kaspersky opublikowała dane, według których to właśnie w Indiach robak Stuxnet działa najaktywniej. Rosyjskie przedsiębiorstwo Atomstrojeksport, zajmujące się budową elektrowni atomowych (które prawdopodobnie za sprawą zainfekowanego laptopa sprowadziło Stuxneta do Buszehr), pracuje teraz przy budowie elektrowni atomowej Kudankulam.

Nasuwa się więc pytanie, czy sprawcy całego zamieszania na pewno należy szukać na Zachodzie. W Azji rywalizują ze sobą Indie i Chiny; o kwalifikacjach chińskich hakerów można było przekonać się już w 2003 roku, kiedy wdarli się do niektórych części amerykańskiej sieci energetycznej - a nie był to ich jedyny wyczyn.

Chińczycy prawdopodobnie doskonale już wiedzą, jakie skutki mogą wywołać ataki na krytyczne elementy infrastruktury przemysłowej i wykorzystują tę wiedzę do ochrony własnych zakładów. Według firmy McAfee Chiny są światowym liderem w dziedzinie systemów SCADA.