Stuxnet nie ograniczał się do Iranu. Rozprzestrzenił się na inne kraje, w tym Indie.
Nowe Delhi:
Jest czerwiec 2009 roku. Na ulicach Teheranu wybuchły protesty przeciwko wynikom wyborów prezydenckich. Urzędujący Mahmud Ahmadineżad zwyciężył z przytłaczającą przewagą głosów przeciwko Mir-Hosseinowi Musawiemu. Protestujący zarzucili sfałszowane zwycięstwo. Wśród nich jest kobieta o imieniu Neda Agha-Soltan, która w drodze na główne protesty zaparkowała samochód w pewnej odległości od zgromadzenia i wysiadła, ponieważ klimatyzacja pojazdu nie działała. Gdy wdychała świeże powietrze, snajper należący do milicji finansowanej przez rząd wycelował i strzelił jej prosto w klatkę piersiową. Była martwa.
Podczas gdy to działo się w Teheranie, około 300 kilometrów na południe w ośrodku nuklearnym Natanz, sercu irańskiego programu nuklearnego – działy się „dziwne” rzeczy. Zaledwie kilka dni po śmierci Nedy CIA podobno otrzymała zgodę na rozpoczęcie cyberoperacji przeciwko temu obiektowi. Operacja polegała na przesłaniu wyrafinowanego złośliwego oprogramowania, znanego jako Stuxnetbezpośrednio na irański sprzęt. To złośliwe oprogramowanie było rozwijane od lat, jako wspólny wysiłek Stanów Zjednoczonych i Izraela, i stanowiło pierwszą cyfrową broń na świecie.
Stuxnet: Geneza
Stuxnet nie był nową obecnością w irańskiej infrastrukturze nuklearnej; powodował zakłócenia od lat. Jednak ta nowa wersja została zaprojektowana, aby zadać decydujący cios.
Historia rozwoju i wdrożenia Stuxnetu rozpoczęła się wiele lat wcześniej. Początki Stuxnetu sięgają wczesnych lat 2000., okresu wzmożonego napięcia między Iranem a państwami zachodnimi w związku z ambicjami nuklearnymi Iranu. Administracja Busha, zaniepokojona potencjałem Iranu do opracowania broni nuklearnej, szukała niekonwencjonalnych metod, aby utrudnić postęp Teheranu. W ten sposób narodziła się tajna operacja o kryptonimie „Igrzyska Olimpijskie”. Ta inicjatywa, obejmująca ścisłą współpracę między CIA, NSA i izraelskim Mossadem, miała na celu stworzenie cyfrowej broni zdolnej do fizycznego zakłócenia zdolności Iranu do wzbogacania uranu.
Stuxnet nie był zwykłym złośliwym oprogramowaniem. Jego projekt odzwierciedlał poziom wyrafinowania niespotykany dotąd w dziedzinie cyberbroni. Złośliwe oprogramowanie atakowało oprogramowanie Siemens Step7, używane do kontrolowania sprzętu przemysłowego, ze szczególnym uwzględnieniem wirówek w irańskim zakładzie wzbogacania uranu w Natanz. Wirówki te, niezbędne do wzbogacania uranu, działały z dużą prędkością i wymagały precyzyjnej kontroli, aby działać prawidłowo.
Stuxnet: Wykonanie
Stany Zjednoczone zbudowały replikę irańskiego obiektu nuklearnego w swoim Obiekt Oak Ridge w stanie Tennessee, gdzie skrupulatnie badano wirówki, aby zrozumieć, jak je sabotować bez wykrycia. W 2007 r. wydano pierwszą wersję Stuxnetu, która atakowała te wirówki, uniemożliwiając uwolnienie ciśnienia przez zawory, powodując zestalenie się gazu uranu i wymykanie się wirówek spod kontroli, a ostatecznie ich samozniszczenie.
Źródło zdjęcia: Oak Ridge National Laboratory
Obiekt nuklearny Iranu był odizolowany od sieci, co oznaczało, że jego sieć była offline, więc Stuxnet musiał zostać wprowadzony za pośrednictwem wewnętrznego agenta za pomocą napędu USB. Malware działał niezauważony, używając rootkita do ukrycia swojej obecności i skradzionych certyfikatów cyfrowych, aby wyglądać jak legalne polecenia. Pomimo swojej skuteczności, początkowe wersje Stuxneta jedynie spowolniły postęp Iranu, ale nie sabotowały go całkowicie.
W odpowiedzi amerykańscy badacze opracowali bardziej agresywną wersję Stuxnetu, wykorzystując cztery exploity typu zero-day i skradzione klucze prywatne do podpisywania poleceń. Ta wersja mogła rozprzestrzeniać się szybko, nawet w sieciach odizolowanych od powietrza, i przeprogramować wirówki, aby zniszczyły się same, maskując sabotaż jako awarię sprzętu.
Stuxnet: Implikacje
Osoba z wewnątrz Natanz wprowadziła tę nową wersję Stuxnetu, która szybko rozprzestrzeniła się w całej sieci obiektu. Jednak jej agresywna natura doprowadziła do niezamierzonych konsekwencji: złośliwe oprogramowanie rozprzestrzeniło się poza Natanz, infekując komputery w całym Iranie, a ostatecznie na całym świecie. CIA, zdając sobie sprawę z niekontrolowanego rozprzestrzeniania się Stuxnetu, postanowiła kontynuować operację, mając nadzieję, że pozostanie on niewykryty w Natanz.
Źródło zdjęcia: Google Earth
Ich nadzieje zostały rozwiane, gdy firma zajmująca się cyberbezpieczeństwem Symantec odkryła Stuxnet i opublikowała szczegółowy raport na temat złośliwego oprogramowania. Iran szybko zdał sobie sprawę z rozmiarów cyberataku i podjął środki w celu ochrony swojego programu nuklearnego. Pomimo niepowodzeń spowodowanych przez Stuxnet, Iran przysiągł kontynuować swoje ambicje nuklearne.
Jedna z wcześniejszych wskazówek istnienia Stuxneta pojawiła się w czerwcu 2010 r., kiedy białoruska firma zajmująca się cyberbezpieczeństwem odkryła nietypowy fragment złośliwego oprogramowania na irańskim komputerze. Gdy eksperci ds. cyberbezpieczeństwa z całego świata zaczęli analizować kod, byli zdumieni jego złożonością i celem.
Wpływ na irański program nuklearny
Wpływ Stuxnetu na irański program nuklearny był znaczący, ale nie od razu katastrofalny. Do 2009 r. Iran zainstalował ponad 7000 wirówek w Natanz, ale Stuxnet spowodował awarię około 1000 z nich. Zakłócenia zmusiły Iran do tymczasowego wstrzymania działalności wzbogacania i wymiany uszkodzonego sprzętu, opóźniając jego ambicje nuklearne o kilka miesięcy lub lat.
Rząd Iranu, początkowo nieświadomy przyczyny awarii wirówek, ostatecznie rozpoznał cyberwtargnięcie. Publicznie Iran zbagatelizował wpływ Stuxnetu, ale wewnętrznie pobudził znaczące inwestycje w środki cyberbezpieczeństwa i rozwój ofensywnych zdolności cybernetycznych.
W kolejnych latach celowe zabójstwa kluczowych irańskich naukowców nuklearnych jeszcze bardziej sparaliżowały ich program. Zamachy samochodowe i inne ataki wyeliminowały wielu zaangażowanych liderów, w tym dyrektora ośrodka w Natanz.
Stuxnet: Globalny Fallout
Stuxnet nie ograniczał się do Iranu. Rozprzestrzenił się na inne kraje, w tym Indie, Indonezję i Pakistan, wpływając na systemy przemysłowe na całym świecie. W Indiach kilka obiektów infrastruktury krytycznej, podobno zainfekowało nawet 80 000 komputerów. Kilka elektrowni i zakładów produkcyjnych również okazało się podatnych na podobne ataki.
W 2013 roku Indie przyjęły Krajowa Polityka Cyberbezpieczeństwa który skupiał się na „ochronie infrastruktury informacyjnej i zachowaniu poufności, integralności i dostępności informacji w cyberprzestrzeni”. W następnym roku Centrum ogłosiło utworzenie Narodowe Centrum Ochrony Krytycznej Infrastruktury Informacyjnej w celu dalszego zabezpieczenia cyberbezpieczeństwa Indii.
