Pacientul zero: primele victime ale virusului Stuxnet
Deși au trecut mai mult de patru ani de la descoperirea unuia dintre cele mai sofisticate și periculoase atacuri informatice – viermele Stuxnet, considerat a fi prima armă cibernetică – există încă multe aspecte neclare ale întregii operațiuni.
Întrebarea principală rămâne: care erau obiectivele exacte ale operațiunii Stuxnet? După analiza a peste 2.000 de fișiere Stuxnet colectate pe o perioadă de doi ani, experții Kaspersky Lab pot identifica primele victime ale virusului informatic.
De la bun început, experții nu au avut nici un dubiu că întregul atac a fost unul atent organizat. Codul viermelui Stuxnet era realizat profesionist și dedicat; dovezile indicau exploatarea unor vulnerabilități zero-day extrem de costisitoare. Totuși, încă nu se identificase tipologia organizațiilor atacate în faza inițială și nici modul în care malware-ul accesase ulterior centrifugile de îmbogățire a uraniului din locații ultra-secrete.
Analizele recente au scos la iveală noi informații. Cele cinci organizații atacate inițial operau în segmentul Industrial Control Systems (ICS) din Iran, dezvoltând sisteme ICS sau furnizând materiale și componente pentru acestea. A cincea organizație atacată este și cea mai interesantă, aceasta producând inclusiv centrifugi de imbogățire a uraniului, pe lângă alte produse pentru automatizarea industrială. Conform cercetărilor Kaspersky Lab, acest tip de echipament era ținta principală a atacurilor Stuxnet.
Astfel, atacatorii se așteptau ca organizațiile să facă schimb de mesaje și date cu clienții lor – respectiv cu fabricile de îmbogățire a uraniului – fapt ce ar fi ușurat accesul malware-ului în aceste fabrici. Rezultatele atacului arată că planul a avut succes.
„Analiza activităților profesionale ale primelor organizații-victime Stuxnet ajută la o mai bună înțelegere a planificării operațiunii,” afirmă Alexander Gostev, Chief Security Expert la Kaspersky Lab. „În final, acesta este un exemplu de vector de atac asupra lanțului de aprovizionare, prin care malware-ul pătrunde în organizația vizată indirect, prin rețelele pertenerilor organizației,” încheie Alexander Gostev.
Experții Kaspersky Lab au făcut și alte descoperiri interesante: viermele Stuxnet nu a fost distribuit doar prin stick-uri USB infectate. Aceasta era teoria inițială și explica modul în care malware-ul putea accesa dispozitive fără conexiune la internet. Totuși, datele obținute în urma analizei primului atac Stuxnet arată că prima mostră a viermelui (Stuxnet.a) fusese compilată cu câteva ore înainte de a infecta un PC al primei organizații atacate. Acest interval orar indică faptul că atacatorul nu ar fi avut suficient timp să compileze mostra, să o salveze pe un stick USB pe care să îl livreze ulterior fizic organizației vizate. Cel mai probabil, în acest caz, echipa din spatele campaniei Stuxnet a utilizat alte tehnici.
Cele mai recente informații tehnice despre unele aspecte necunoscute anterior ale atacului Stuxnet se găsesc pe Securelist și într-o nouă carte -Countdown to Zero Day, scrisă de jurnalistul Kim Zetter. Cartea include informații noi despre Stuxnet; unele dintre acestea au fost obținute în urma interviurilor cu membrii Global Research and Analysis Team din cadrul Kaspersky Lab.