Praėjo daugiau nei ketveri metai, kai buvo aptikta viena sudėtingiausių ir pavojingiausių kenkėjiškų programų – kirminas „Stuxnet“. Tačiau šioje istorijoje vis dar daug paslapčių.

Iki šiol nežinoma, kas kūrė šią programą ir koks buvo operacijos tikslas. Tačiau pėdsakai rodo, iš kur buvo vykdoma ataka. „Kaspersky Lab“ ekspertai dalijasi informacija apie pirmąsias penkias aukas, per kurias „Stuxnet“ pateko į pasaulinį tinklą.

Iš pat pradžių specialistai buvo įsitikinę, kad visa operacija buvo vykdoma tikslingai. Kenkėjiškos programos kodas akivaizdžiai buvo parašytas profesionalų, be to, buvo aptikta labai brangių nulinės dienos eksploitų taikymo pėdsakų. Tačiau nebuvo žinoma, kokios bendrovės priėmė pirmąjį smūgį ir kaip kenkėjiška programa pateko į dujinių centrifugų, skirtų papildyto urano gamybai kritiškai svarbiuose objektuose, valdymo blokus.

Naujojo tyrimo metu pavyko nustatyti, kad pirmųjų penkių atakuotų bendrovių specializacija – pramonės sistemų arba atitinkamų komplektuojamų dalių kūrimas. Penktoji auka įdomiausia – be produktų automatizuoti pramonę, ji taip pat gamina centrifugas uranui papildyti – būtent į jas, kaip manoma, buvo nutaikytas „Stuxnet“.

Akivaizdu, kad apgavikai manė, jog bendrovės duomenimis keisis su savo klientais, pavyzdžiui, papildyto urano gamybos fabrikais, ir praskins kelią kenkėjiškoms programoms. Kaip parodė istorija, planas suveikė.

„Išanalizavus pirmųjų aukų sąraše atsidūrusių organizacijų veiklą paaiškėjo, kaip buvo suplanuota operacija „Stuxnet“. Tai ryškus netiesioginės atakos per tiekėjų grandines pavyzdys, kai kenkėjiškos programos nuo numatomų aukos verslo partnerių patenka į jos infrastruktūrą. Seniai žinoma, kad „Stuxnet“ – viena sudėtingiausių ir kruopščiai apgalvotų kibernetinių atakų. Iš pirmųjų tikslų pasirinkimo akivaizdu, kaip kruopščiai pasirengta atakai“, – aiškina Aleksandras Gostevas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.

Dar vienas įdomus tyrimo radinys – vienos teorijų apie pirminio apgavikų taikomo užkrėtimo būdą paneigimas. Iš pradžių incidentus tiriantys specialistai manė, kad kirminas aukas pasiekė per prie kompiuterio prijungtas USB atminties nešykles. Tačiau pirmųjų aukų atveju tai neatitinka tikrovės – anksčiausios atakos pėdsakų analizė parodė, kad pirmasis „Stuxnet“ egzempliorius buvo sukompiliuotas per kelias valandas iki užkrėtimo. Per tokį trumpą laiką labai mažai tikėtina spėti surinkti kenkėjišką programą, įrašyti ją į USB atminties nešyklę ir užtikrinti pristatymą į aukos kompiuterį. Greičiausiai apgavikai taikė kitą užkrėtimo būdą.

Išsamią pirmųjų penkų aukų „Stuxnet“ užkrėtimo pėdsakų analizę galima perskaityti Aleksandro Gostevo straipsnyje: https://securelist.com/analysis/publications/67483/stuxnet-zero-victims/.

Komentarai (1)