Medzi rokmi 2007 a 2010 prestali v iránskom jadrovom zariadení v Natanze z ničoho nič fungovať centrifúgy, zásadné zariadenia pre proces obohacovania uránu. Nikto nevedel, čo sa deje. Neskôr sa ukázalo, že išlo o kybernetický útok malwarom Stuxnet, ktorý centrifúgy striedavo zrýchľoval a spomaľoval a zároveň dokázal svoju činnosť dokonale zamaskovať. Dodnes sa nevie, kto ho vytvoril, ale nitky vedú k americkej CIA a izraelskému Mosadu. Až teraz novinári odhalili identitu človeka, ktorý vtedy Stuxnet do prísne stráženej iránskej továrne prepašoval.
Na konci roku 2008 prišiel do Teheránu navštíviť rodinu svojej ženy holandský občan Erik van Sabben. Ako už mnohokrát predtým. Ale hneď o deň neskôr vo viditeľnej panike Irán opúšťa a vracia sa do Dubaja, kde vtedy tridsaťšesťročný inžinier pracoval. Pri jeho povahe to bolo krajne neobvyklé. O pár týždňov neskôr zomiera pri motocyklovej nehode. Nič nenasvedčuje, že by to nehoda nebola, ale...
Na začiatku tohto roka prišiel holandský denník de Volkskrant so senzačným odhalením. Bol to práve Erik van Sabben, ktorý v roku 2007, dva roky pred svojou smrťou, prenikol do prísne stráženého podzemného iránskeho jadrového zariadenia v Natanze, továrne na obohacovanie uránu 225 kilometrov juhovýchodne od Teheránu a nainštaloval do tamojšieho interného systému malware Stux.
Ten vnútornú počítačovú sieť najprv ochromil a následne striedavo s niekoľkodňovým oneskorením výrazne spomaľoval a zrýchľoval činnosť centrifúg – odstrediviek kľúčových na delenie izotopov uránu. Zároveň svoju činnosť dokázal dokonale zakamuflovať tak, aby sa v riadiacom centre nič nedozvedeli. Odhaduje sa, že Stuxnet zničil zhruba 1000 centrifúg (pred útokom ich malo v Natanze byť 3000) a mal tým spomaliť vývoj iránskeho jadrového programu o niekoľko rokov.
Ako fungoval Stuxnet
1. Infekcia
Stuxnet sa dostal do systému pravdepodobne prostredníctvom infikovanej USB flashky a postupne infikuje všetky počítače so systémom Microsoft Windows. Súčasťou kódu vírusu je aj digitálny certifikát, ktorý zdanlivo dokazuje, že pochádza od dôveryhodnej spoločnosti. Vďaka tomu je schopný sa vyhnúť systémom automatickej detekcie.
2. Vyhľadávanie
Stuxnet následne zisťuje, či je daný stroj súčasťou cieľového priemyselného riadiaceho systému vyrobeného spoločnosťou Siemens. Takéto systémy sú v Iráne nasadené na prevádzku vysokorýchlostných odstrediviek, ktoré pomáhajú obohacovať jadrové palivo.
3. Aktualizácia
Ak systém nie je cieľom, Stuxnet neurobí nič. Pokiaľ áno, virus sa pokúsi získať prístup k internetu a stiahnuť si novšiu verziu.
4. Kompromitácia
Vírus potom kompromituje logické radiče cieľového systému, pričom využíva zraniteľnosť "nultého dňa" - slabiny softvéru, ktoré neboli bezpečnostnými expertmi ešte identifikované.
5. Ovládanie
Na začiatku Stuxnet špehuje prevádzku cieľového systému. Potom využije získané informácie na prevzatie kontroly nad centrifúgami a donúti ich sa roztočiť na takú rýchlosť, až zlyhajú.
6. Oklamať a zničiť
Medzitým poskytuje vonkajším kontrolórom falošnú spätnú väzbu, čím zaisťuje, že sa nedozvedia, čo sa deje zle, kým nie je príliš neskoro na to, aby s tým niečo urobili.
Ako hacknúť jadrové zariadenie
Jadrové elektrárne a zariadenia patria všeobecne medzi najstráženejšie objekty na svete. Je okolo nich vytvorená ochranná zóna, mali by vydržať vojenský útok aj pád lietadla a konkrétne Natanz viditeľne strážia protilietadlové delá. Elektrárne samozrejme nie sú pripojené k internetu, vonkajší rádiový signál do nich nedosiahne.
Jediná možnosť útoku je sabotáž zvnútra, ako sa to stalo v prípade Stuxnetu. A ten, kto do zariadenia v Natanze prenikol, bol práve Erik van Sabben. Mal vraj dobrodružnú náturu a obvykle šiel do všetkého po hlave. Mal iránsku ženu a bol schopný inžinier zvyknutý pracovať pod tlakom. Ideálny regrút pre tajné služby.
Za útokom na iránsky jadrový program stáli podľa de Volkskrantu tajné služby Spojených štátov a Izraela, CIA a Mosad, ktoré spolupracovali s holandskou AIVD, ktorá van Sabbena riadila už od roku 2005. Išlo teda zrejme o vôbec prvý štátne organizovaný kybernetický útok.
Nie je však jasné, či Holanďania vedeli, na čom sa podieľajú, alebo či mali len časť informácií. Podľa investigatívcov je zjavné, že politické špičky krajiny o veci informované neboli. A je dosť možné, že všetky okolnosti nepoznal ani sám van Sabben.
Operácia, ktorá mala za úlohu zastaviť alebo spomaliť iránsky jadrový program, mala názov Olympijskej hry a bola spustená v roku 2006 administratívou Georgea W. Busha. Idea Američanov bola taká, že ochromením obohacovania uránu predídu preventívnemu konvenčnému ataku Iránu zo strany Izraelčanov.
Viete že...
Stuxnet je jedným z najsofistikovanejších malwarov, ktorý bol kedy vytvorený. Na svoje šírenie využíva niekoľko zero - day exploitov (zraniteľností, ktoré výrobca softvéru nepozná).
Prvý útok Stuxnetu na priemyselné systémy
Na to, že útok vykonali geopolitické veľmoci, ukazuje aj samotný proces. Malware musel byť navrhnutý tak, aby napadol nielen vnútornú sieť, ale dokázal ovládať špecifický softvér aj hardvér nemeckého Siemensu, ktorý sa v Natanze používal. Podrobnú dokumentáciu k nim pochopiteľne vo verejných zdrojoch nenájdete. Útočníci zrejme museli hardvér získať a reverzným inžinierstvom zistiť, ako presne funguje. Potom napísať malware, odskúšať ho, prepašovať do prísne stráženého jadrového zariadenia v Natanze, nainštalovať a spoľahnúť sa, že bude hneď fungovať. Nič samozrejmého.
Vývoj takého malwaru, ktorý bol vôbec prvý so zameraním na kontrolu priemyselných systémov, mohol podľa zdrojov investigatívcov stáť medzi jednou a dvoma miliardami dolárov. Hoci niektorí odborníci túto sumu následne spochybnili ako príliš vysokú.
Keď sa o iránskej kauze ešte pred publikáciou článku de Volkskrantu bavili vo svojom podcaste Miesto kyberčinu experti Jan Dolejš a Pavel Matějíček, upozornili na fakt, že zatiaľ čo sme už dnes zvyknutí chrániť pred kyberútokmi svoje počítače a telefóny, pri ďalšom hardvéri to za samozrejmé nemáme. A nemusí ísť práve o centrifúgy v jadrovom zariadení. Rizikové môžu byť aj časti smart domácnosti napojenej na internet. Aj len trochu skúsenejší hacker sa môže ľahko zamknúť v garáži a ešte si na následnú krádež vášho sejfu zachyteného na kamerách rozsvietiť.
Malware využil chybu Windows
Nie je úplne jasné, akým spôsobom van Sabben do jadrovej elektrárne malware prepašoval. Doteraz sa špekulovalo o prenosnej USB pamäti. Malo sa za to, že ranná verzia Stuxnetu mohla byť distribuovaná práve týmto spôsobom. Jeden zo zdrojov de Volkskrantu však spomenul vodné čerpadlo, do ktorého softvéru mala CIA malware ukryť.
Skorý Stuxnet využíval do tej doby neznámu chybu operačného systému Microsoft Windows pri čítaní súborov s príponou .lnk. Akonáhle sa používateľ chcel pozrieť na svoju USB pamäť, na ktorej sa taký infikovaný súbor nachádzal, došlo k spusteniu iného programu nachádzajúceho sa v rovnakom adresári a inštalácii malwaru do systému.
Stuxnet bol neobvyklý svojou veľkosťou aj tým, že bol naprogramovaný v niekoľkých rôznych programovacích jazykoch. Akonáhle na infikovanom počítači našiel riadiaci softvér Siemensu, z ktorého boli sledované špecifické programovateľné automaty s pripojenými modelmi pre riadenie frekvenčných meračov, upravil softvér tak, aby výstupnú frekvenciu zmenil. A následne pomocou vlastných DLL knižníc svoju činnosť zamaskoval.
200 000
toľko počítačov podľa odhadov infikoval vírus Stuxnet
Odhalená bola až druhá verzia Stuxnetu
Bezprostredne po van Sabbenovej smrti, krátko po jeho náhlom odchode z Teheránu, Irán oficiálne oznámil zníženie počtu centrifúg v Natanze.
Západné tajné služby vtedy stratili do iránskeho jadrového zariadenia prístup a nasadili preto novú verziu Stuxnetu, ktorá sa šírila sama a do Natanzu prenikla cez nakazené systémy iránskych subdodávateľov a konkrétnych osôb. Tým sa však zároveň zvýšila možnosť, že bude Stuxnet odhalený, čo sa v roku 2010 skutočne stalo.
Spôsobilo to celosvetový otras. A nielen ďalšie zvýšenie ochrany kľúčovej štátnej infraštruktúry, ale aj bezprecedentný nárast útokov zo strany štátov.
Či van Sabben naozaj zomrel pri nehode alebo či za jeho skonom stáli tajné služby z jednej alebo druhej strany, sa asi nikdy nedozvieme.
Čo si z článku odniesť?
Prvým malwarom, ktorý útočil na priemyselné systémy, bol Stuxnet, prvýkrát použitý pri kyberútoku na iránsku továreň na obohacovanie uránu.
Išlo pravdepodobne o prvý kyberútok organizovaný štátmi a ich tajnými službami.
Prvý útok Stuxnet bol úspešný. Bez toho, aby bol odhalený, vyradil z prevádzky v iránskom Natanze 1000 centrifúg kľúčových pre delenie izotopov uránu. Tým zasadil iránskemu jadrovému programu tvrdú ranu.
Stuxnet využíval vtedy ešte neodhalené chyby operačného systému Microsoft Windows pri čítaní súborov s príponou .lnk.
Prípad napovedá, že chrániť by sme mali nielen svoje počítače a telefóny, ale aj iný hardvér, u ktorého to nie je také samozrejmé, napríklad naše smart domácnosti.
