Felfedték a kiberfegyver első áldozatait

2014. november 17. hétfő, 11:22 • www.hirado.huStuxnet, kiberfegyver, Kaspersky
Négy év után is számos krimibe illő rejtély övezi a Stuxnet féreg célját. A Kaspersky kutatói kétezer fájl elemzése után azonosították az első áldozatait. Kezdetben a biztonsági kutatóknak nem fért kétségük ahhoz, hogy az egész támadás célzott volt. A Stuxnet féreg kódja professzionálisnak és egyedinek tűnt, és biztosnak látszott, hogy nagyon drága nulladik napi sebezhetőségeket használt ki. De azt mind ez ideig nem tudták, hogy a malware milyen szervezeteket támadott meg elsőként, és azután hogyan jutott el a különösen titkos létesítményekben lévő urándúsító centrifugákig.

Twitter megosztás
Cikk nyomtatása

Ez az új elemzés fényt derít ezekre a kérdésekre. Mind az öt szervezet, amelyet a kezdetekkor ért támadás, ICS-területen tevékenykedik Iránban, ICS-fejlesztéseket végez vagy nyersanyag- és alkatrész-ellátással foglalkozik. Az ötödik megtámadott szervezet a legérdekesebb, mert – más, ipari automatizáláshoz való termékek mellett - urándúsító centrifugákat állít elő. Ez az a berendezés, amelyet Stuxnet fő célpontjának gondolnak.

Feltehetőleg a támadók úgy kalkuláltak, hogy ezek a szervezetek adatokat cserélnek az ügyfeleikkel – például az urándúsító létesítményekkel - és ezáltal a malware-t el tudják juttatni a célpontokba. Úgy tűnik, ez a terv sikeresnek bizonyult.



„Azon szervezetek tevékenységének vizsgálatával, amelyek elsőként estek a Stuxnet áldozatául, közelebb jutottunk annak megértéséhez, hogy miképpen tervezték meg a műveletet. Kiderült, hogy egy ellátási lánc elleni támadásra kifejlesztett fenyegetésről van szó, a malware-t közvetett módon, a megcélzott szervezettel együttműködő partnerek hálózatán keresztül juttatják célba” – mondta Alexander Gostev, a Kaspersky Lab vezető biztonsági szakértője.

A szakértők egy másik érdekes felfedezést is tettek: a Stuxnet féreg nem csak a PC-khez csatlakoztatott, fertőzött pendrive-okon keresztül terjedt. Azért élt kezdetben ez az elképzelés, mert magyarázatot adott arra, hogy miképpen tudott a malware eljutni közvetlen internetkapcsolattal nem rendelkező helyekre. De azok az adatok, amelyeket az első támadás vizsgálatakor gyűjtöttek, azt mutatták meg, hogy a legelső féregmintát (Stuxnet.a) alig néhány órával azelőtt kompilálták, hogy felbukkant az elsőnek megcélzott szervezett egyik számítógépén. Ilyen szoros időzítés láttán nehéz elképzelni, hogy a mintát készítő hekker átmásolta a programkártevőt egy USB-memóriára és pár órán belül elvitte a célszervezetbe. Okkal gondolhatjuk, hogy a hekkerek egészen más technikát alkalmaztak a fertőzéshez…

A Stuxnet–tel kapcsolatos friss információk a Securelist blogbejegyzésében és Kim Zetter Countdown to Zero Day című, most megjelent könyvében olvashatóak.