Bevezető

Lehetséges, hogy egyszerűen csak öregszem. Lehetséges, hogy egyre inkább terjed az a szemléletmód, hogy amit nem tesznek azonnal a szemünk elé, az nincs, nem volt és nem is lesz. Nem tudom, hogy egyik, vagy másik verzió igaz, vagy esetleg a kettő egyszerre érvényesül, de már hangot adtam a mikroblogomban annak, hogy vannak az IT történelemben olyan események, amelyeknek soha nem szabadna feledésbe merülniük: például a WannaCry, az SQL Slammer - és a Stuxnet. Biztosan lehetne még sorolni nagyon komoly eseményeket, viszont a világ első, széles körben ismertté vált kiberfegyvere szerintem olyan mérföldkő, amire nem csak kiberbiztonsággal foglalkozó szakembereknek, de minimum rendszergazdáknak is emlékezniük kellene, bár én a sima power usereket is belevenném ebbe a körbe.

Mégis, miért gondolom ezt? A pozitívabb oka, hogy vannak, akik még nem is hallottak a Stuxnetről, miközben hosszú évek óta tagjai ennek a fórumnak - nem a "Sorozatok" topicra gondolok, hanem a szakmaibb témákra, illetve IT üzemeltetők közl is vannak jópáran, akiknek újdonság ez a malware (bár ez enyhe kifejezés). A negatívabb oka a gondolataimnak az, hogy még mindig lehet olvasni olyan hülyeségeket, hogy a "frissítés nem véd meg, de a megbízható oldalak igen". Nyilván a 0day hibáktól nem véd meg (elvégre ezért 0day), viszont a már ismert és felfedezett hibáktól természetesen megvéd. Az emberi hülyeségre meg nincs védelem a józan észen kívül.
Nyilván ebben az írásban a negatívabb elem kevésbé releváns, mert a Stuxnet 0day hibákat kihasználva terjedt, viszont engem átlökött a határon, hogy megszülessen-e ez az írás.

Nos, ennyi bevezető után jöjjön egy kis történelmi háttér, hogy jobban kontextusba helyezhessük a Stuxnet létrejöttének okait és képességeit.

Történelmi háttér

A PROHARDVER!-es regisztrációm napján történt eseményeket követően az Egyesült Államok több direktívát is kidolgozott az általuk terroristák támogatóinak tartott államokkal szembeni hadviselésre: egyrészt a forró háborút elvitte ezeknek az államoknak a területeire - Afganisztán, Irak -, másrészt egy ennél sokkal fedettebb, kibertérben zajló háborút is kezdeményezett, többek között izraeli és más szövetséges ügynökségekkel vállvetve.

Irakról talán még sok embernek megvannak az emlékei: 8 évig háborúzott a szomszédos Iránnal (1980-1988), ahol 1979-ben Khomeini ajatollah vezetésével megdöntötték a Pahlavi-dinasztia által vezetett államot és a helyén létrejött az Iráni Iszlám Köztársaság. Szaddam Husszein attól tartott, hogy az iráni forradalmi eszmék teret nyernek Irakban is, valamint át akarta venni a Perzsa-öböl vezető pozícióját is, ezért katonai támadást indított Irán ellen. Nagyon furcsa háború volt ez a két oldal támogatóit tekintve, mert míg iraki oldalon megtaláljuk a nyugati hatalmak egy részét és a Szovjetuniót is, addig iráni oldalon láthattunk segítséget Izraeltől is. Hogy ezek a támogatások miben merültek ki, nem tudom és ezen írás szempontjából irreleváns.
E háborúban Irak gazdasága teljesen tönkrement, így új, könnyebb zsákmány után néztek - 1990-ben lerohanták Kuwaitot. Mivel ez a kicsi állam jelentős olajkészletek felett gyakorolt befolyást, a hadművelet szembefordította a korábbi szövetségeseket és a nyugati hatalmak 1991 januárjában katonai hadművelettel űzték ki az iraki megszállókat. A nyugati támadás közben Irakból több SCUD rakétát is kilőttek Izraelre - az egész világ szerencséjére nem tömegpusztító robbanófejekkel.
Mindeközben Iránban a véget ért háború és az ajatollah halála után úgy tűnt, hogy az államberendezkedés tetszeni fog a nyugatnak: konstruktív diplomáciai kapcsolatok Ázsia és az EU felé, szabadpiac, külföldi befektetők támogatása. Mindez azonban véget ért 2005-ben, amikor a konzervatív-populista-nacionalista Mahmoud Ahmadinejad lett az állam elnöke, aki ellenséges érzelmekkel viseltetett Izrael, Szaúd-Arábia és a nyugati hatalmak ellen is, valamint fokozta Irán erőfeszítéseit a nukleáris programot illetően. Mivel mind az ajatollah, mind Ahmadinejad szembe ment a korábban megkötött egyezményekkel, a nyugati hatalmak szankciókat vezettek be Iránnal szemben, ami természetesen nem segített a viszony javításán.
Az sem segített, hogy Izrael a korábbi arab támadások miatt több területet is megszállás alatt tart, ahol különböző terrorszervezetek vannak jelen és természetesen nem engedheti meg magának, hogy bármelyik ellenséges szomszédja nukleáris fegyverhez jusson. Ennek egyik látványos példája volt az iraki Osirak-erőmű elleni légitámadás, ahol az iraki nukleáris kutatások zajlottak. Mindenki biztos lehetett abban, hogy Izrael nem nézi ölbe tett kézzel, hogy valamelyik ellensége nukleáris fegyverhez jusson. Noha Irán folyamatosan azt hangoztatta, hogy az ilyen jellegű kutatásaik békés és polgári célúak, a területen jártasabbak tudják, hogy ezt villámgyorsan lehet katonai célúvá alakítani, ráadásul nem engedték be a Nemzetközi Atomenergia Ügynökség megfigyelőit sem a natanzi létesítménybe.

Ennek folyományaként Izrael és az Egyesült Államok közös kiberhadműveletet indított, amelynek célja az iráni nukleáris program megfojtása, vagy lelassítása volt. Mint kiderült, a türelmetlenség meghozta a "gyümölcsét" és csak lelassítani tudták a programot, leállítani nem. Az NSA és elsősorban a Mossad közös erőfeszítéseinek eredményeképpen létrejött a Stuxnet nevű kiberfegyver, amelyről valószínűleg a mai napig nem tudnánk, ha bizonyos izraeli körök nem siettetik egy félkész állapot bevetését.

A Stuxnet

A világ első közismert kibefegyvere. Hogy az első kibefegyvere-e, arról nem vagyok meggyőződve, de mindenképpen az első azok sorában, amelyek nyilvánosságra kerültek/kerülnek. Már a mérete is "hatalmas" az addig megismert malware-ekhez képest és a Symantec elemzői szerint "a kód minden része rosszindulatú".
A fejlesztése 2005-ben kezdődhetett a jelenleg ismert információk szerint, a később Equation Groupnak nevezett csoport berkein belül. Az Equation Group egy ún. advanced persistent threat, amelyekből később megismerhettünk még néhányat, a teljesség igénye nélkül: Cozy Bear (Oroszország), Lazarus Group (Észak-Korea), Dynamite Panda (Kína). Közös jellemzőjük, hogy állami támogatás áll mögöttük, azaz gyakorlatilag végtelen erőforrásokkal rendelkeznek. A Cozy Bear felelős a Solarwinds incidensért, a Lazarus Group állhat a WannaCry mögött, a kínai csoport pedig 4.5 millió páciens adatait lopta el az Egyesült Államokban.
Mint írtam, messze nem teljes a lista, hasonlókat találunk Iránban, Pakisztánban, vagy akár Vietnamban is. A Shadow Brokers-t érdekes módon nem tartja egyelőre senki APT-nek - valószínűleg mert nem tudták még államhoz kapcsolni. Róluk azt érdemes tudni, hogy ők hackelték meg az Equation Groupot, az onnan megszerzett EternalBlue exploitot használta később a WannaCry.

Vissza a Stuxnethez. 2010-ben fedezték fel a jelenlétét és a felfedezése után hamar kiderült, hogy olyan rendszereket keres fertőzés céljából, amelyek Windows-on a Siemens Step7 szoftverét futtatják. Noha a fertőzött rendszerek nagy része Iránban volt található, a túlságosan agresszívre állított fertőzési modul más államokban is elterjesztette a fegyvert - először Belaruszban figyeltek fel rá. Érdemes tudni, hogy a felfedezett verzió már 2.0-s számot viselt, azaz nem az első volt a sorban.
A fegyver képességei messze túlmutattak az addig megszokott férgekén: átvette az urándúsításra használt centrifugák fölött az irányítást, azokat az engedélyezett fordulatszám fölé és alá gyorsította illetve lassította, így nem csak a szükséges urángáz nem jött létre, hanem fizikálisan is tönkretette a centrifugákat, anyagfáradást okozva. Egy command-and-control modulon keresztül képes volt frissítéseket fogadni, más Stuxnet instance-okkal kommunikálni, együttműködni és koordinálni a támadást. Mindezeken felül a vezérlőben visszajelzést adó műszerek és képernyők azt mutatták, hogy minden rendben van.

Mégis hogyan lehetett ennyire sikeres a Stuxnet a támadást illetően? Egyes becslések szerint 7 évvel vetette vissza az iráni nukleáris programot a malware tevékenysége, ami nem kevés. Nyilván az irániakat sem ejtették a fejükre, hogy a publikus Internetről elérhető legyen az ICS környezet, fizikailag is le volt választva az a hálózatrész.
Nos, egy air-gapped rendszert kétféleképpen lehet megfertőzni: vagy egy kiegészítő rendszeren keresztül, vagy valakit valahogyan rá kell venni, hogy dugjon be egy USB-meghajtót a leválasztott hálózat valamelyik gépébe. Az első megoldásra is felmerültek pletykák, mely szerint a natanzi erőmű vízpumpáján keresztül jutott be a Stuxnet, a legújabb hírek szerint egy holland titkosügynök fertőzte meg a centrifugákat felügyelő hálózatot. Állítólag 2008-ban szervezték be és ezután hajtotta végre a feladatot, majd 36 évesen 2009-ben motorbalesetben elhunyt...

Érdemes még azt is felidézni, hogyan tudta az Equation Group ennyire pontosan célba venni a natanzi létesítményt.
Ahmadinejad nagyon büszke volt az iráni nukleáris programra és személyesen is meglátogatta a helyszínt, természetesen saját sajtósokkal körbevéve, akik megörökítették a látogatást. Többek között azt is, hogy a kontroll monitorokon hogy néz ki a centrifugák fizikális elhelyezkedése...

A Stuxnet-család

2011 őszén a Budapesti Műszaki Egyetem CrySys Laboratóriuma felfedezett egy új férget, amely nagyon hasonlatosnak tűnt a Stuxnettel. A Symantec által lefolytatott teljes analízis szerint a Duqu-nak elnevezett malware szinte teljesen megegyezik a Stuxnettel, de a fő működési profilja elsősorban információszerzés: keystroke-ok és rendszerinformációk gyűjtése és továbbítása - akár további, Stuxnet-szerű támadásokhoz. A Kaspersky elemzése arra a következtetésre jutott, hogy a Duqu is ugyanazon a platformon készülhetett, mint a Stuxnet, valamint további három variánsra utaló jeleket is találtak.

2012 májusában találták meg a Flame nevű malware-t. A Kaspersky által végzett analízis kimutatta, hogy a Flame készítői előtt ismert volt a Stuxnet kódbázisa - tehát vagy az Equation Group készítette, vagy egy olyan társszervezet, amelyben az EG megbízott. Ezt a férget elsősorban kémkedésre fejlesztették ki. A Kaspersky megállapításai szerint körülbelül hússzor komplexebb a Stuxnetnél és a teljes elemzése legalább 10 évet vesz igénybe. Maga a malware egyébként nem nevezhető óriásinak, a maga 20 MB-os méretével inkább a gigantikus, kolosszális vagy gargantuai jelzők valamelyikével illethető. Összehasonlításképpen: az SQL Slammer 376 byte volt mindössze.

2012-ben kibertámadás érte az iráni olajügyi minisztériumot, amelynek célja csak és kizárólag az adatvagyon megsemmisítése, az operációs rendszer használhatatlanná tétele, ebből pedig közvetve az iráni olajeladásokból származó bevételek csökkentése volt. A támadók a Wiper nevű eszközt használták és bizonyos belső mechanizmusok ugyanúgy, vagy hasonlóan működtek, mint a Stuxnetnél, illetve hasonló névkonvenciókat követtek. Induláskor a malware a saját állományait titkosította először és utána minden mást. A biztonsági kutatók azóta sem tudtak megegyezni, hogy ez most elrontott programozás, vagy szándékos operáció következménye-e, hiszen a használhatatlan számítógépek tömeges megjelenése egyértelművé teszik a kibertámadás tényét. Elképzelhető, hogy a támadó annyira el akarta tüntetni a nyomokat és a célpont információkat, hogy még a művelet leleplezése sem volt túl nagy ár. A támadás következtében a minisztérium azonnal leválasztotta az Internetről az olajlétesítményeket.
Arról sincs megegyezés, hogy tényleg a Stuxnet-családba tartozik-e a Wiper, vagy csak a Stuxnet és a Duqu kódbázisának ismeretében készítette valaki.

Irán válasza

A világ nyugatibb felében sokan hajlamosak arra, hogy bizonyos népeket képtelennek tartsanak bizonyos műveletek elvégzésére. Óriási példa a második világháborús amerikai vélemény a japánokról: nem képesek önállóan létrehozni, kifejleszteni valamit, mindent csak másolnak, ami ezért soha nem lehet olyan jó, mint az eredeti, plusz állandóan hajlonganak, mindegyik japán katona szemüveges és elég elsütni egy puskát ahhoz, hogy hanyatt-homlok meneküljenek. Aztán találkoztak a Zero vadászgéppel, valamint a módszerrel, ahogy a szingapúri erődöt bevették.

Valószínűleg hasonlóan állnak hozzá sokan Iránhoz is, de óva intenék mindenkit egy ilyen véleménytől. Először is, nem véletlen, hogy az Egyesült Államok soha nem próbálta meg katonai erővel megdönteni Irán vezetését, legyen szó akár az ajatollah idejéről, akár Ahmadinejad regnálásáról, ugyanis az iráni hadsereg jól szervezett és jól felfegyverzett. Valószínűleg ugyanez elmondható a támadó jellegű kiber képességeikről is: 2012 augusztusában a Ramadan idején pusztító kibertámadás érte az állami tulajdonú Saudi Aramco rendszereit. Harmincezer számítógép merevlemezének információi semmisültek meg a támadásban, amelyet a Shamoon nevű malware-nek tulajdonítanak. Mivel a biztonsági kutatók találtak hasonlóságot a Shamoon és a Flame között, valószínűsíthető, hogy iráni szakemberek legalább részben visszafejtették a Flame kódbázisát - aligha hihető, hogy az NSA átadta nekik.

Nem sokkal később, 2012 szeptemberétől kezdődően, több hullámban kibertámadást szenvedtek el amerikai pénzügyi szervezetek az Operation Ababil keretén belül. A célpontok között megtalálhatjuk a New York-i Értéktőzsdét, a J. P. Morgan Chase-t, a decemberi hullámban szintén a J. P. Morgan Chase-t, a Bank of Americát és egyéb pénzügyi szervezeteket, a következő év márciusában indult harmadik hullámban pedig további célpontok szenvedtek el DDoS támadásokat. Kétségek merültek ugyan fel Irán részvételét illetően és először valamelyik hacktivista csoportra gyanakodtak, de a hacktivista DDoS támadások volumene általában 2 Gb/s környékén tetőzik, míg itt 65 Gb/s volt az Akamai szerint, ami sokkal jobban illik egy állami támogatású támadás profiljára. Természetesen a támadás miatt a támadott szervezetek online rendszerei akadoztak, vagy leálltak - ami a rövid távú anyagi veszteségeken túl hosszú távú reputációs veszteséget is jelentett.

Végszó

Íme hát az események láncolata, ahogy én látom. Remélem, sokan hasznosnak találják ezt a rövid összefoglalót és sikerül a fejekben tartani a Stuxnetet - nagyon sok mindent kihagytam belőle, amit egyébként szívem szerint leírtam volna, de már így is átléptem a 12K karaktert. Köszönöm, ha végigolvastad, értelmes, konstruktív disputázás természetesen a kapcsolódó fórumtémában folytatható.
Felhasznált forrásaim között megtalálható a Wikipedia, az Ars Technica, az ieee.org, a Zero Days című dokumentumfilm, valamint saját emlékeim.