Stuxnet forklarte: Hva det er, hvem som opprettet det og hvordan det fungerer

Stuxnet er blitt synonymt med nettangrep og nettkrigføring. Den dag i dag fortsetter spørsmålene om hvem som opprettet Stuxnet, hvordan fungerte Stuxnet og hvorfor Stuxnet er viktig for cybersikkerhet. Les videre for å finne svar på disse spørsmålene og mer.

Hva er Stuxnet?

Stuxnet er en svært sofistikert dataorm som ble viden kjent i 2010. Den utnyttet tidligere ukjente zero-day-sårbarheter i Windows for å infisere målsystemer og spre seg til andre systemer. Stuxnet var hovedsakelig rettet mot sentrifugene til Irans urananrikningsanlegg, med den hensikt å i det skjulte avspore Irans da fremvoksende atomprogram. Stuxnet ble imidlertid modifisert over tid for å gjøre det mulig å målrette mot annen infrastruktur som gassrør, kraftverk og vannbehandlingsanlegg.

Mens Stuxnet skapte globale overskrifter i 2010, antas det at utviklingen på det startet i 2005. Det regnes som verdens første nettvåpen og vakte av den grunn betydelig medieoppmerksomhet. Etter sigende ødela ormen nesten en femtedel av Irans atomsentrifuger, infiserte over 200.000 datamaskiner og fikk 1000 maskiner til å bryte ned fysisk.

Hvordan fungerte Stuxnet?

Stuxnet er svært kompleks skadelig programvare , som ble nøye utformet for å bare påvirke spesifikke mål og for å forårsake minst mulig skade på andre enheter.

På begynnelsen av 2000-tallet ble det antatt at Iran utvikler atomvåpen ved sitt anlegg for anrikning av uran i Natanz. Irans atomanlegg var luftgapet – noe som betyr at de med vilje ikke var koblet til andre nettverk eller Internett. (Begrepet 'luftgap' refererer til det fysiske rommet mellom en organisasjons fysiske eiendeler og omverdenen.) Det antas at Stuxnet ble overført via USB-minner som ble båret inne i disse atomfasilitetene av agenter.

Stuxnet søkte på hver enkelt infiserte PC etter tegn på Siemens Step 7-programvare, som industrielle datamaskiner som fungerer som programmerbare logiske kontrollere (PLS) bruker for å automatisere og overvåke elektromagnetisk utstyr. Når Stuxnet fant denne programvaren, begynte den å oppdatere koden for å sende destruktive instruksjoner til det elektromagnetiske utstyret som kontrolleres av PC-en. Samtidig sendte Stuxnet falsk tilbakemelding til hovedkontrolleren – noe som betydde at alle som overvåket utstyret ikke ville innse at noe var galt før utstyret begynte å selvdestruere.

I hovedsak: Stuxnet manipulerte ventilene som pumpet urangass inn i sentrifuger i reaktorene i Natanz. Det satte fart på gassvolumet og overbelastet de spinnende sentrifugene, noe som fikk dem til å overopphetes og selvødelegges. Men for de iranske forskerne som så på dataskjermene, så alt ut som normalt.

Stuxnet var svært sofistikert - det brukte fire separate zero-day-angrep for å infiltrere systemer, og var designet kun for å påføre skade på Siemens industrielle kontrollsystemer. Stuxnet besto av tre deler:

• En orm som utførte det meste av arbeidet
• En lenkefil som automatiserte kjøring av forplantede ormekopier
• Et rotsett som skjulte filer fra oppdagelse

Stuxnet kom frem i lyset i 2010 etter at inspektører ved Irans atomanlegg uttrykte overraskelse over hvor raskt sentrifugene sviktet. Ytterligere undersøkelser utført av sikkerhetseksperter avslørte at det var kraftig skadelig programvare som var årsaken. (En av sikkerhetsekspertene var Sergey Ulasen, som senere jobbet for Kaspersky.) Stuxnet var vanskelig å oppdage fordi det var en helt ny skadelig programvare uten kjente signaturer, som utnyttet flere zero-day-sårbarheter.

Stuxnet var ikke ment for å spre seg utover Irans atomanlegg. Den skadelige programvaren havnet imidlertid på Internett-tilkoblede datamaskiner og begynte å spre seg på grunn av den ekstremt sofistikerte og aggressive naturen. Den gjorde imidlertid liten skade på eksterne datamaskiner den infiserte - fordi Stuxnet ble designet spesielt for å skade bare visse mål. Virkningen av Stuxnet var mest følt i Iran.

Hvem opprettet Stuxnet?

Selv om ingen offisielt har tatt på seg ansvaret for Stuxnet, er det allment akseptert at det var en felles skapelse mellom etterretningsbyråene i USA og Israel. Etter sigende var det hemmelige programmet for å utvikle ormen kodenavnet 'Olympiske leker' som startet under president George W Bush og deretter fortsatte under president Obama. Programmets mål var å avspore eller i det minste forsinke Irans nye atomprogram.

Opprinnelig plantet agenter den skadelige Stuxnet i fire ingeniørfirmaer tilknyttet Natanz – et viktig sted i Iran for atomprogrammet sitt – og stolte på uforsiktig bruk av USB-minnestasjoner for å transportere angrepet innenfor anlegget.

Hvorfor er Stuxnet så kjent?

Stuxnet skapte stor medieinteresse og var gjenstand for dokumentarer og bøker. Den dag i dag er det fortsatt et av de mest avanserte angrepene mot skadelig programvare i historien. Stuxnet var viktig av flere årsaker:

1. Det var verdens første digitale våpen. I stedet for bare å kapre målrettede datamaskiner eller stjele informasjon fra dem, slapp Stuxnet det digitale riket for å forårsake fysisk ødeleggelse av utstyret datamaskinene kontrollerte. Det satte en presedens at angrep på et annet lands infrastruktur ved hjelp av skadelig programvare var mulig.
2. Det ble opprettet på nasjonalstatsnivå, og selv om Stuxnet ikke var det første cyberkrigsangrepet i historien , ble det ansett som det mest sofistikerte på den tiden.
3. Det var svært effektivt: Stuxnet skal ha ødelagt nesten en femtedel av Irans atomsentrifuger. Ormen rettet mot industrielle kontrollsystemer, infiserte over 200 000 datamaskiner og fikk 1000 maskiner til å bli fysisk nedbrutt.
4. Den brukte fire forskjellige zero-day-sårbarheter for å spre seg, noe som var svært uvanlig i 2010 og fortsatt er uvanlig i dag. Blant disse bedriftene var en så farlig at den bare krevde å ha et ikon synlig på skjermen - ingen interaksjon var nødvendig.
5. Stuxnet fremhevet det faktum at luftgappede nettverk kan bli brutt - i dette tilfellet via infiserte USB-stasjoner. Når Stuxnet var på et system, spredte det seg raskt, søkte opp datamaskiner med kontroll over Siemens programvare og PLS-er.

Er Stuxnet et virus?

Stuxnet blir ofte referert til som et virus, men det er faktisk en dataorm. Selv om virus og ormer er begge typer skadelig programvare, er ormer mer sofistikerte fordi de ikke krever menneskelig samhandling for å aktivere – i stedet kan de selv spre seg når de har kommet inn i et system.

I tillegg til å slette data kan en dataorm overbelaste nettverk, forbruke båndbredde, åpne en bakdør, redusere plass på harddisken og levere annen farlig skadelig programvare som rootkits, spionprogrammer og løsepengeprogrammer .

Du kan lese mer om forskjellen på virus og orm i artikkelen vår her .

Stuxnets arv

På grunn av sin beryktethet har Stuxnet gått inn i den offentlige bevisstheten. Alex Gibney, en Oscar-nominert dokumentar, regisserte Zero Days , en dokumentar fra 2016 som fortalte historien om Stuxnet og undersøkte dens innvirkning på Irans forhold til Vesten. Kim Zetter, en prisvinnende journalist, skrev en bok som heter Countdown to Zero Day , som beskrev i detalj oppdagelsen og kjølvannet av Stuxnet. Andre bøker og filmer er også utgitt.

Skaperne av Stuxnet skal ha programmert den til å utløpe i juni 2012, og i alle fall utstedte Siemens reparasjoner for PLS-programvaren sin. Imidlertid fortsatte Stuxnets arv i form av andre angrep mot skadelig programvare basert på den opprinnelige koden. Etterfølgere til Stuxnet inkluderte:

Duqu (2011)

Duqu ble designet for å logge tastetrykk og mine data fra industrianlegg, antagelig for å sette i gang et senere angrep.

Flame (2012)

Flame var et sofistikert spionprogram som blant annet tok opp Skype -samtaler, logget tastetrykk og samlet inn skjermbilder. I likhet med Stuxnet reiste Flame via USB-minne. Den var rettet mot myndigheter og utdanningsorganisasjoner og noen privatpersoner, for det meste i Iran og andre land i Midtøsten.

Havex (2013)

Havex sitt mål var å innhente informasjon fra blant annet energi-, luftfarts-, forsvars- og farmasøytiske selskaper. Den skadelige programvaren Havex var hovedsakelig rettet mot amerikanske, europeiske og kanadiske organisasjoner.

Industrier (2016)

Dette rettet mot kraftanlegg. Det skal ha forårsaket et strømbrudd i Ukraina i desember 2016.

Triton (2017)

Dette var rettet mot sikkerhetssystemene til et petrokjemisk anlegg i Midt-Østen, og vekket bekymring for skadelig programvare-skaperens intensjon om å forårsake fysisk skade på arbeidere.

Siste (2018)

Et ikke navngitt virus med egenskaper til Stuxnet skal ha rammet uspesifisert nettverksinfrastruktur i Iran i oktober 2018.

I dag er cybermidler mye brukt for innhenting av etterretning, sabotasje og informasjonsoperasjoner utført av mange stater og ikke-statlige aktører, for kriminelle aktiviteter, strategiske formål eller begge deler. Vanlige databrukere har imidlertid liten grunn til å bekymre seg for Stuxnet-baserte skadelige angrep, siden de først og fremst er rettet mot større industrier eller infrastruktur som for eksempel kraftverk eller forsvar.

Cybersikkerhet for industrielle nettverk

I den virkelige verden er avanserte nasjonalstatsangrep som Stuxnet sjeldne sammenlignet med vanlige, opportunistiske forstyrrelser forårsaket av ting som løsepengevirus. Men Stuxnet fremhever viktigheten av cybersikkerhet for enhver organisasjon. Enten det er løsepengevirus, dataormer, phishing , kompromittert e-post for bedrifter (BEC) eller andre cybertrusler, inkluderer trinnene du kan ta for å beskytte organisasjonen din:

• Bruk en streng Bring Your Own Device (BYOD)-policy som forhindrer ansatte og underleverandører i å introdusere potensielle trusler på nettverket ditt.
• Implementer en sterk og teknisk håndhevet passordpolicy med to-faktor autentisering som hindrer brute force-angrep og forhindrer stjålne passord i å bli trusselsvektorer.
• Sikre datamaskiner og nettverk med de nyeste oppdateringene. Ved å holde deg oppdatert vil du sikre at du drar nytte av de nyeste sikkerhetsreparasjonene.
• Bruk enkel sikkerhetskopiering og gjenoppretting på alle nivåer for å minimere forstyrrelser, spesielt for kritiske systemer.
• Overvåk kontinuerlig prosessorer og servere for uregelmessigheter.
• Sørg for at alle enhetene dine er beskyttet av omfattende antivirus. Et godt antivirusprogram vil fungere 24/7 for å beskytte deg mot hackere og de nyeste virusene, løsepengeprogrammer og spionprogrammer.

Relaterte produkter:

• Kaspersky Antivirus
• Kaspersky Premium Antivirus
• Last ned Kaspersky Premium Antivirus med 30-dagers gratis prøveversjon
• Kaspersky Password Manager – gratis prøveversjon
• Kaspersky VPN Secure Connection

Videre lesning:

• Hvordan Zero Trust-konseptet tar høyde for nettkriminalitet
• Hva er endepunktsikkerhet og hvordan fungerer det?
• Hva er skadeprogrammer med null klikk?
• Løsepengevirus og typer