Stuxnet: Příběh malwaru, který narušil íránský jaderný program

Mezi lety 2007 a 2010 přestávaly v íránském jaderném zařízení v Natanzu zničehonic fungovat centrifugy, zásadní zařízení pro proces obohacování uranu. Nikdo nevěděl, co se děje. Později se ukázalo, že šlo o

Na konci roku 2008 přijel do Teheránu navštívit rodinu své ženy nizozemský občan Erik van Sabben. Jako už mnohokrát předtím. Ale hned o den později ve viditelné panice Írán opouští a vrací se do Dubaje, kde tehdy šestatřicetiletý inženýr pracoval. Při jeho povaze to bylo krajně neobvyklé. O pár týdnů později umírá při motocyklové nehodě. Nic nenasvědčuje, že by to nehoda nebyla, ale…

Na začátku letošního roku přišel nizozemský deník de Volkskrant se senzačním odhalením. Byl to právě Erik van Sabben, který v roce 2007, dva roky před svou smrtí, pronikl do přísně střeženého podzemního íránského jaderného zařízení v Natanzu, továrny na obohacování uranu 225 kilometrů jihovýchodně od Teheránu, a nainstaloval do tamního interního systému malware Stuxnet.

Ten vnitřní počítačovou síť nejprve ochromil a následně střídavě s několikadenní prodlevou výrazně zpomaloval a zrychloval činnost centrifug – odstředivek klíčových pro dělení izotopů uranu. Zároveň svoji činnost dokázal dokonale zakamufloval tak, aby se v řídícím centru nic nedozvěděli. Odhaduje se, že Stuxnet zničil zhruba 1000 centrifug (před útokem jich mělo v Natanzu být 3000), a měl tím zpomalit vývoj íránského jaderného programu o několik let.

Jak fungoval Stuxnet

1. Infekce

Stuxnet se dostal do systému pravděpodobně prostřednictvím infikované USB flashky a postupně infikuje všechny počítače se systémem Microsoft Windows. Součástí kódu viru je i digitální certifikát, který zdánlivě prokazuje, že pochází od důvěryhodné společnosti. Díky tomu je schopný se vyhnout systémům automatické detekce.

2. Vyhledávání

Stuxnet následně zjišťuje, zda je daný stroj součástí cílového průmyslového řídicího systému vyrobeného společností Siemens. Takové systémy jsou v Íránu nasazeny k provozu vysokorychlostních odstředivek, které pomáhají obohacovat jaderné palivo.

3. Aktualizace

Pokud systém není cílem, Stuxnet neudělá nic. Pokud ano, vir se pokusí získat přístup k internetu a stáhnout si novější verzi.

4. Kompromitace

Virus pak kompromituje logické řadiče cílového systému, přičemž využívá zranitelnosti "nultého dne" - slabiny softwaru, které nebyly bezpečnostními experty ještě identifikovány.

5. Ovládání

Na začátku Stuxnet špehuje provoz cílového systému. Poté využije získané informace k převzetí kontroly nad centrifugami a donutí je se roztočit na takovou rychlost, až selžou.

6. Oklamat a zničit

Mezitím poskytuje vnějším kontrolorům falešnou zpětnou vazbu, čímž zajišťuje, že se nedozvědí, co se děje špatně, dokud není příliš pozdě na to, aby s tím něco udělali.

Jak hacknout jaderné zařízení

Jaderné elektrárny a zařízení patří obecně mezi nejstřeženější objekty na světě. Je kolem nich vytvořena ochranná zóna, měly by vydržet vojenský útok i pád letadla a konkrétně Natanz viditelně střeží protiletadlová děla. Elektrárny samozřejmě nejsou připojeny k internetu, vnější rádiový signál do nich nedosáhne.

Jediná možnost útoku je sabotáž zevnitř, jako se to stalo v případě Stuxnetu. A ten, kdo do zařízení v Natanzu pronikl, byl právě Erik van Sabben. Měl prý dobrodružnou náturu a obvykle šel do všeho po hlavě. Měl íránskou ženu a byl schopný inženýr zvyklý pracovat pod tlakem. Ideální rekrut pro tajné služby.

Za útokem na íránský jaderný program stály podle de Volkskrantu tajné služby Spojených států a Izraele, CIA a Mosad, které spolupracovaly s nizozemskou AIVD, jež van Sabbena řídila už od roku 2005. Šlo tedy zřejmě o vůbec první státně organizovaný kybernetický atak.

Není nicméně jasné, zda Nizozemci věděli, na čem se podílejí, nebo zda měli jen část informací. Podle investigativců je zjevné, že politické špičky země o věci spraveny nebyly. A je dost možné, že všechny okolnosti neznal ani sám van Sabben.

Operace, která měla za úkol zastavit nebo zpomalit íránský jaderný program, měla název Olympijské hry a byla spuštěná v roce 2006 administrativou George W. Bushe. Idea Američanů byla taková, že ochromením obohacování uranu předejdou preventivnímu konvenčnímu ataku Íránu ze strany Izraelců.

První útok Stuxnetu na průmyslové systémy

Na to, že útok provedly geopolitické velmoci, ukazuje také samotný proces. Malware musel být navržen tak, aby napadl nejen vnitřní síť, ale dokázal ovládat specificky software i hardware německého Siemensu, které se v Natanzu používaly. Podrobnou dokumentaci k nim pochopitelně ve veřejných zdrojích nenajdete. Útočníci zřejmě museli hardware získat a reverzním inženýrstvím zjistit, jak přesně funguje. Pak napsat malware, odzkoušet ho, propašovat do přísně hlídaného jaderného zařízení v Natanzu, nainstalovat a spolehnout se, že bude hned fungovat. Nic samozřejmého.

Vývoj takového malwaru, který byl vůbec první se zaměřením na kontrolu průmyslových systémů, mohl podle zdrojů investigativců stát mezi jednou a dvěma miliardami dolarů. Byť někteří odborníci tuto částku následně zpochybnili jako příliš vysokou.

Hacknuté vibrátory na dálkové ovládání a kyberútoky na jaderná zařízení v Íránu

Hacknuté vibrátory na dálkové ovládání a kyberútoky na jaderná zařízení v Íránu

Zobrazit podcast

Když se o íránské kauze ještě před publikací článku de Volkskrantu bavili ve svém podcastu Místo kyberčinu experti Jan Dolejš a Pavel Matějíček, upozornili právě na fakt, že zatímco jsme už dnes zvyklí chránit před kyberútoky své počítače a telefony, u dalšího hardwaru to za samozřejmé nemáme. A nemusí jít zrovna o centrifugy v jaderném zařízení. Rizikové mohou být třeba i části chytré domácnosti napojené na internet. I jen trochu zkušenější hacker se může snadno zamknout v garáži, a ještě si na následnou krádež vašeho sejfu zachyceného na kamerách rozsvítit.

Malware využil chybu Windows

Není zcela jasné, jakým způsobem van Sabben do jaderné elektrárny malware propašoval. Dosud se spekulovalo o přenosné USB paměti. Mělo se za to, že raná verze Stuxnetu mohla být distribuována právě jen tímto způsobem. Jeden ze zdrojů de Volkskrantu ovšem zmínil vodní čerpadlo, do jehož softwaru měla CIA malware ukrýt.

Raný Stuxnet využíval do té doby neznámou chybu operačního systému Microsoft Windows při čtení souborů s příponou .lnk. Jakmile se uživatel chtěl podívat na svou USB paměť, na které se takový infikovaný soubor nacházel, došlo ke spuštění jiného programu nacházejícího se ve stejném adresáři a instalaci malwaru do systému.

Stuxnet byl neobvyklý svou velikostí i tím, že byl naprogramován v několika různých programovacích jazycích. Jakmile na infikovaném počítači nalezl řídicí software Siemensu, ze kterého byly sledované specifické programovatelné automaty s připojenými modely pro řízení frekvenčních měřičů, upravil software tak, aby výstupní frekvenci změnil. A následně pomocí vlastních DLL knihoven svou činnost zamaskoval.

Odhalena byla až druhá verze Stuxnetu

Bezprostředně po van Sabbenově smrti, nedlouho po jeho náhlém odjezdu z Teheránu, Írán oficiálně oznámil snížení počtu centrifug v Natanzu.

Západní tajné služby tehdy ztratily do íránského jaderného zařízení přístup, a nasadily proto novou verzi Stuxnetu, která se šířila sama a do Natanzu pronikla přes nakažené systémy íránských subdodavatelů a konkrétních osob. Tím se ovšem zároveň zvýšila možnost, že bude Stuxnet odhalen, což se v roce 2010 skutečně stalo.

Způsobilo to celosvětový otřes. A nejen další zvýšení ochrany klíčové státní infrastruktury, ale také bezprecedentní nárůst útoků ze strany států.

Zda van Sabben opravdu zemřel při nehodě, nebo zda za jeho skonem stály tajné služby z jedné či druhé strany, se asi nikdy nedozvíme.

Co si z článku odnést?

• Prvním malwarem, který útočil na průmyslové systémy, byl Stuxnet, poprvé použitý při kyberútoku na íránskou továrnu na obohacování uranu.
• Šlo pravděpodobně o první kyberútok organizovaný státy a jejich tajnými službami.
• První útok Stuxnet byl úspěšný. Aniž byl odhalen, vyřadil z provozu v íránském Natanzu 1000 centrifug klíčových pro dělení izotopů uranu. Tím zasadil íránskému jadernému programu tvrdou ránu.
• Stuxnet využíval tehdy ještě neodhalené chyby operačního systému Microsoft Windows při čtení souborů s příponou .lnk.
• Případ napovídá, že chránit bychom měli nejen své počítače a telefony, ale i jiný hardware, u kterého to není tak samozřejmé, třeba naše chytré domácnosti.

Petra Javornická
Marketingový specialista pro B2B