Ten wirus komputerowy zmienił świat. Skutki użycia Stuxnetu były przerażająco ciekawe

Historia świata pełna jest zdarzeń, które zmieniły bieg historii, ale i podejście do pewnych kwestii. Zamachy z 11 września całkowicie zmieniły procedury bezpieczeństwa w lotnictwie cywilnym, katastrofa w Czarnobylu odmieniła sposób, w jaki myślimy o energii atomowej, jednocześnie stając się cennym źródłem wiedzy dla naukowców.

Podobnie jest ze złośliwym oprogramowaniem, które wykrada lub blokuje dostęp do danych i poufnych informacji, jednocześnie stając się lekcją na przyszłość, tak dla poszkodowanych, jak i ekspertów cyberbezpieczeństwa. A lekcję jak żadną inną dał im wirus Stuxnet.

Stuxnet to złośliwe oprogramowanie, tzw. robak (worm), stworzony w domyśle przez amerykański i izraelski wywiad w pierwszej dekadzie XXI wieku. Choć o Stuxnecie zrobiło się głośno po raz pierwszy w 2010, gdy jego istnienie oficjalnie potwierdzono, to ustalenia dziennikarzy pokazują, że istnienie robaka można datować nawet na pięć lat wcześniej. Celem istnienia Stuxnetu było zaniechanie (a przynajmniej spowolnienie) rozwoju irańskiego programu nuklearnego.

Historia Stuxnetu zaczyna się właściwie w sierpniu 2002 roku, bowiem wtedy do informacji publicznej przedostały się wieści o pracach Iranu nad programem atomowym. Chociaż agencje wywiadowcze wiedziały o tym już od jakiegoś czasu, było ujawnienie tego faktu opinii publicznej pobudziło dyskusję - także na najwyższych szczeblach. Wkrótce potem Międzynarodowa Agencja Energii Atomowej zażądała od Iranu dostępu do elektrowni atomowej w Natanz, w której - według informacji - rozwijano program. Po raz dostęp uzyskano w lutym 2003 roku i już wtedy przedstawiciele międzynarodowej komisji przeżyli niemały szok. Podczas dokumentacji obiektu odkryto, że prace nad programem są na znacznie bardziej zaawansowanym poziomie, niż spodziewali się na podstawie zdjęć satelitarnych - że Iran jest faktycznie przygotowany do rozpoczęcia wzbogacania uranu sześciofluorkiem gazu.

Następnie kraje Zachodu i Organizacja Narodów Zjednoczonych wywarły presję na Iran, by wstrzymał program do czasu uzyskania przez jednostki międzynarodowe większej ilości informacji na temat stopnia jego zaawansowania. Iran zgodził się wstrzymać program, jednak to nie trwało długo. Kiedy w 2005 roku Mahmud Ahmadineżad został wybrany na prezydenta Iranu, strona irańska zdecydowała się przerwać współpracę i rozpocząć wzbogacanie pierwszej partii sześciofluorku uranu. Politycznie nie był to także najlepszy czas dla Stanów Zjednoczonych na wywieranie presji na Iranie, bowiem był to szczytowy okres konfliktu w Iraku i Afganistanie. Ahmadineżad wykorzystywał sytuację bardzo sprytnie, często zapraszając dziennikarzy do obiektu w Natanz i podczas osobistego oprowadzania ich po elektrowni przekonywał, iż wszystkie działania prowadzone w Natanz nie mają charakteru zbrojnego.

Dlatego w Waszyngtonie powstał relatywnie skomplikowany plan: zatrzymać lub przynajmniej spowolnić rozwój programu atomowego, lecz tak, by wyglądało to jak niefortunny zbieg okoliczności czy po prostu złośliwość rzeczy martwych.

Do realizacji planu zaangażowano laboratorium Oakridge National Lab, które oprócz szeroko zakrojonej działalności naukowej finansowanej przez Departament Energii Stanów Zjednoczonych, posiada także tajny oddział wywiadu nuklearnego. Badacze zaangażowani w działalność oddziału mają już odpowiednie możliwości i know-how. Pozostało tylko przeanalizowanie infrastruktury Natanz w oparciu o pozyskane informacje, jej sposobu działania i opracowanie sposobu, który pozwoli na zrealizowanie celu postawionego przez administrację Georga W. Busha.

Tym sposobem był Stuxnet.

Stuxnet został zaprojektowany w celu zniszczenia sprzętu i oprogramowania wykorzystywanego przez Iran do wzbogacania uranu. Większość uranu występującego w przyrodzie to izotop U-238, jednak materiał rozszczepialny wykorzystywany w elektrowniach jądrowych oraz broni jądrowej musi być wytwarzany z nieco lżejszego uranu U-235. Stuxnet był w stanie przerwać proces wzbogacania i rozdzielaniu uranu, tym samym zatrzymując postęp prac.

W dużym uproszczeniu, Stuxnet po zainfekowaniu komputera sprawdzał czy jest on podłączony do programowalnego sterownika logicznego (PLC) - lecz nie każdego, a poszczególnych modeli marki Siemens wykorzystywanych w jednostkach badawczych Iranu. Bowiem PLC (w tym przypadku) odpowiadały za kontrolę jednego z kluczowych procesów rozdzielania uranu - wirowania. Jeżeli Stuxnet wykrył połączenie, infekował je, destaibilizując pracę maszyn obrabiających uran, jednocześnie wysyłając do komputera sterującego fałszywe informacje potwierdzające prawidłowy przebieg procesu. Tak więc Stuxnet doprowadzał do problemów zarówno na poziomie oprogramowania, jak i na poziomie sprzętowym, dosłownie doprowadzając do fizycznego uszkodzenia zbyt szybko pracującej wirówki.

Oczywiście, aby w ogóle mówić o działaniu Stuxnetu, trzeba najpierw w jakiś sposób zainfekować komputer. I jest to kwestia niezwykle ciekawa, bowiem Stuxnet nie został wprowadzony do irańskiej infrastruktury za pomocą wymyślnego ataku na cyberinfrastrukturę, a... za pomocą spreparowanego nośnika danych. Prawdopodobnie za wprowadzenie do Natanz Stuxnetu odpowiedzialne jest CIA, infiltrujące łańcuch dostaw i lekko sabotujące sprzęt.

Same komputery będące częścią infrastruktury korzystały z systemów operacyjnych Microsoft Windows, wobec czego wywiad wykorzystał luki w oprogramowaniu typu zero-day, których Microsoft nie zdążył załatać. A nie była to jedna czy dwie luki, gdyż w działaniu Stuxnetu brało udział kilka luk, co jest niezwykle rzadkie w przypadku... właściwie jakiegokolwiek złośliwego oprogramowania.

Pomimo że pierwsze informacje o istnieniu i działaniu Stuxnet przedostały się do mediów w 2010 roku, pierwsze skutki działania Stuxnet amerykański wywiad odnotował już w 2006 roku. Złośliwe oprogramowanie spowodowało znaczące uszkodzenie wirówek i ostatecznie zatrzymało Iran przed kontynuowaniem procesu wzbogacania uranu do końca 2006 roku. Mniej więcej w tym samym czasie Stany Zjednoczone próbowały uzyskać szczegółową mapę tego, co znajduje się w ośrodku nuklearnym Natanz. Wytężona praca aparatu szpiegowskiego pozwoliła na dosłowne zbudowanie repliki infrastruktury w Natanz oraz pozyskanie wiedzy na temat działań irańskich naukowców, którzy zdruzgotani licznymi uszkodzeniami sprzętu zmienili jego sposób działania. Równolegle wywiad amerykański przygotowywał kolejną wersję Stuxnetu, mającą odpowiedzieć zarówno na lepsze zabezpieczenia Iranu, jak i dokonać jeszcze większych zniszczeń.

Uszkodzenia wirówki w replice infrastruktury Natanz były katastrofalne w skutkach. Mimo to całe zdarzenie wyglądało to na zwykłą awarię. Podczas jednego z testów gaz wytworzył tak duże ciśnienie, że spowodował chaotyczne drgania wirówki i jej rozpad na kawałki, pozostawiając stertę gruzu na podłodze w laboratorium. Jeden z naukowców odpowiedzialnych za projekt zebrała resztki urządzenia, włożyła je do pudełka, poleciała do Waszyngtonu i wysypała zawartość pudełka na stół konferencyjny, przed samym Bushem. To wystarczyło by prezydent dał zielone światło na drugi atak Stuxnetu.

Ponieważ ta część historii Stuxnetu działa się po stronie irańskiej, istnieją tylko szacunkowe dane dotyczące szkód wyrządzonych przez złośliwe oprogramowanie. Powszechnie mówi się o jednej piątej wszystkich irańskich wirówek - sprzętu niezbędnego przy wzbogacaniu uranu i dwudziestu tysiącach różnych urządzeń rozsianych po 14 jednostkach pracujących nad programem nuklearnym Iranu. Bowiem infrastruktura nie była połączona przez internet, lecz poprzez wewnętrzną sieć łączącą obiekty na terenie całego kraju.

Współcześnie głównym skutkiem działania Stuxnet jest rozwój cyberbroni wymierzonej w infrastrukturę energetyczną - i nie tylko. Jako spadkobierców dokonań Stuxnet można wymienić choćby Flame, wyrafinowane oprogramowanie szpiegujące, którego celem jest również Iran i inne kraje Bliskiego Wschodu. Jego celem były głównie instytucje edukacyjne i rządowe. Flame rejestrował naciśnięcia klawiszy (tzw. keylogger) i nagrywał rozmowy Skype po wprowadzeniu do komputera urządzeń za pośrednictwem nośników pamięci USB. Innym, bliższym nam spadkobiercom jest Industroyer - złośliwe oprogramowanie wykorzystane do ataku na ukraińską sieć energetyczną w 2016 roku. Owy atak pozbawił część Kijowa prądu na około godzinę, a druga inkarnacja Industroyera została wykorzystana podczas ataków w 2022 roku. Na osobne artykuły zasługują także Havex, Duqu i Triton - wszystkie trzy wirusy zorientowane na niszczenie infrastruktury, oparte na tej samej idei co Stuxnet.

Może zainteresować cię także: