hu:main:blog:stuxnet_sztori

A Stuxnet sztori

Na, ez a bejegyzés most hosszú lesz. Ráadásul, sok esetben a tényeket nélkülözve, találgatásokat is beleépítek ebbe a bejegyzésbe, ami – így talán – egy kerek történetté áll össze. Tények ugyanis nincsenek, hivatalosan ennek az akciónak sem végrehajtója, sem áldozata sincs.

Csak egy kósza vírus, ami bár szanaszét fertőzte a világ hálózatait, alapvetően semmit nem csinált, csak terjedt. Ha esetleg valaki rendelkezik a teljes történettel, kérem jelentkezzen, hogy korrigálhassam a bejegyzést.

Azaz.. ne, mégse; tartsa csak meg magának.

Izrael léte a környező országok számára mindig is szálka volt, azaz annál azért több. Többször próbálták már lerohanni, megsemmisíteni; sikertelenül. Az izraeliek is árgus szemekkel vizslatják a szomszédaikat, és amikor Irán atomfegyver-fejlesztési programba kezdett, komoly fenyegetésként élték meg. A nyílt odacsapás szinte azonnali háborúval fenyeget mind a mai napig a térségben, így inkább titkosszolgálati akciókkal próbálták – és vélhetően próbálják – elszabotálni és ellehetetleníteni az efféle törekvéseket.

Az első, valóban sikeres cyber-támadást is szinte biztos, hogy ők hajtották végre egy iráni urándúsító üzemmel szemben. Emlékeztetőül; nem ez volt vélhetően az első cyber-attack, például már itt a blogon is írtam már a Trans-Szibéria vezeték 1983-as robbanásáról.

Az atombombák építéséhez szükséges uránt dúsítással lehet létrehozni. Az uránnak a természetben a 234-es, 235-ös és 238-as tömegszámú izotópjai fordulnak elő, de ezek közül csak egy, az ún. 235U használható a bombához.

Ez meglehetősen ritka a természetes környezetben, az uránérc eleve csak 0,7%-nyi 235U izotópot tartalmaz. Ezt atomfegyverek esetén ideális esetben 90%-ra kell dúsítani.

Ez tényleg valami olyasmi, mint hogy egy nagy zsák mákban keresünk egy kiskanálnyi olyan mákot, melynek a tömege egy nagyon kicsit eltér a többitől. A dúsításnak többféle módszere létezik, de a legelterjedtebb a gázcentrifugázás.

Az urándúsítás

A szobahőmérsékleten szilárd uránt melegítve és adalékolva gáz halmazállapotú vegyületté (urán-hexafluoriddá, UF6) alakítják át, s a két izotópot többnyire gázcentrifugákkal, több lépcsőben választják szét.

A centrifugák nagy fordulatszámon (kerületi sebességük a 600 m/s-ot is elérheti) a nagyobb tömegű U238-at a palást felé „préselik”, míg a könnyebb U235-ös lépésről lépésre nagyobb koncentrációban a tengelyhez közel lesz kinyerhető. Ehhez természetesen rendkívül precíz hűtés és nagyon stabil fordulatszám szükséges, ugyanis a fordulatszám változásával (lesz még ennek szerepe a későbbiekben) a rétegződés felkeveredik, mint a sunshine koktél, ha megforgatjuk a poharat vagy egy kiskanállal összekavarjuk azt.

A centrifugák vezérléséről speciális kontrollerek – nevezzük ezeket PLC-knek – gondoskodnak. Ezek veszik át a kezelőktől a SCADA nevű PC-ken keresztül a parancsokat és továbbítják oda a működési paramétereiket.

A technológia alapvetően nem boszorkányosan bonyolult, de rendkívül sok centrifugát és vezérlőegységet igényel, no meg mind az urán, mind a HF6 meglehetősen mérgező. A lenti fotó Mahmoud Ahmadinejad 2008-as látogatásakor készült. Kétoldalt a centrifugák hosszú sora látható.

Mahmoud Ahmadinejad 2008-as látogatása; fotó: president.ir

Natanz városa körülbelül 225 kilométerre, délkeletre található Teherántól, oázisai híresek az itt termelt körtéről, mellyel egész Iránt innen látják el. Az iráni kormányzat 2001-ben ide telepítette az urándúsító üzemét.

A mindösszesen 100.000 m² alapterületű csarnokokat légvédelmi okokból 8 méterrel a föld alá telepítették, majd a későbbiekben – az izraeli haditechnika fejlődésével szinkronban – még több földet hordtak rá.

2009-ben a berendezés 8000 centrifugájából 5000 működött, és egy újabb telep létesítésébe fogtak Qom közelében. A pakisztáni P–1-es centrifuga iráni változatának a kódneve az IR–1, és ennek a továbbfejlesztett változatai rendre IR–2, IR–3,.. névre hallgatnak.

A telep a Goggle.maps-on ide kattintva látható.

Egy centrifugában viszonylag kis mértékű dúsítás érhető el, ezért ezeket úgynevezett kaszkádokba szervezik. A kaszkádokban a dúsított HF6 egyik irányban való áramoltatásával szemben a csökkentett 235U koncentrációjú HF6 a másik irányban mozog. A kaszkádok párhozamos kötésekkel is rendelkeznek. Feltételezések szerint ebben az üzemben a centrifugákat 164 elemű, 15 fokozatú kaszkádokba szervezték.

Az üzem létezését nem is nagyon titkolták a külvilág elől, bőséges információt szolgáltatva az izraeliek számára, akik egy rendkívül összetett szabotázsakció végrehajtása mellett voksoltak az üzem ellen, és egy addig ismeretlen három fokozatú vírus fejlesztésébe kezdtek, mely feladatot az izraeli hadsereg high tech különítményére, a Unit8200-ra bíztak.

A tökéletes végrehajtás érdekében egy tesztberendezést is felépítettek Dimonában. Az urándúsító centrifugák technikai adatait azoknak a gyártóitól, a finn Vacon-tól és az iráni Fararo Paya-tól szerezték meg. Ez az „adatszerzés” még a szakértőket is meglepte, hiszen a Fararo Paya-t olyan szinten próbálták elrejteni az iráni hatóságok, hogy az IAEA (International Atomic Energy Agency: Nemzetközi Atomenergia-ügynökség) se tudott róla.

A fejlesztésbe rendkívül sok energiát és időt öltek, erre utal a kártevő komplexitása és fejlett hatásmechanizmusa, így szinte kizárt a magányos hacker teóriája, aki otthon, hobbiból fejlesztette volna a kódot. Itt egy komoly szakértőkből álló csoportnak kellett állnia a háttérben, a fertőzés jól irányzott volta, és az, hogy a kártevő elérte a célját, profi kivitelezőket és bőséges finanszírozást feltételez.

A fejlesztés a „Myrtus” projekt keretein belül történt, erre utal a beforgatott kód path-je:
\myrtus\src\objfre_w2k_x86\i386\guava.pdb

A „Myrtus” lehet egy hivatkozás a bibliai Eszterre, aki megmentette a perzsáktól az ókori zsidó államot, de lehet akár a „My_RTU” (remote terminal unit – távoli elérésű terminál) is.

A fejlesztéshez kiindulásként valószínűleg, egy korábbi kártevő, a Conficker kódját használták. A féreg tevékenységéről egy maláj és egy dán szerverre folyamatosan jelentéseket küldött (www.mypremierfutbol.com, www.todaysfutbom.com), majd a natanzi támadás után ezeket a szervereket lekapcsolták üzemeltetőik.

A vírus alapvetően egy (nem publikált) Windows hibát (0-day Windows exploit) kihasználva pen-drive-ról tud fertőzni, majd a fertőzést követően – további operációs rendszerhibákat kihasználva – a hálózatokon terjedni.

Stuxnet; az első fokozat

Ez a fokozat olyan jól sikerült, hogy a vírus gyakorlatilag letámadta a világot, és bár közvetlen kárt nem okozott, azért nagyon jelentős pánikot generált. A kártevő 2010 júniusában „bukott le” a fehérorosz „VirusBlokAda” cég által Iránban, a Bushehr erőmű egyik gépén, és azóta bebizonyosodott, hogy több, mint 100.000 számítógépet fertőzött meg, a Simatic WinCC SCADA-kat keresve.

Csak Iránban 45.000 felügyeleti számítógép és szerver tartalmazta a vírust.

A vírus a fertőzést követően a WinCC jelenlétét kezdte keresni a gépen. Ez egy Siemens SCADA rendszer, melyen keresztül technológiák felügyeletét lehet megvalósítani.

Stuxnet; a második fokozat

Leegyszerűsítve, ezek előtt a gépek előtt ülnek az operátorok, és unott fejjel bambulják a monitorjaikon megjelenített ábrákat, hogy éppen mi történik a rendszeren, illetve adott esetben pár kattintással itt tudnak beavatkozni a technológia működésébe. Ha a vírus rábukkant a WinCC-re, az azon keresztül elérhető PLC-ken megnézte, hogy megtalálható e ott pár speciális, csak a dúsítócentrifugákhoz köthető program. Ha igen, felülírta ezeket.

A vírus a PLC program módosításával a centrifugák sebességszabályozásába kétféle módon avatkozott be:

A kártevő a natanzi urándúsító létesítményben kb. ezer IR–1 típusú urándúsító centrifugát égetett le. Ezeknek a berendezéseknek a hajtómotorja 1007 cps-nél (cycles per second, másodpercenkénti fordulatszám) is már tönkremegy, a Stuxnet viszont rövidebb fázisokra észrevétlenül 1064 cps-es tempót diktált nekik, ezzel széthajtva őket.

A centrifugák fordulatszámát időnként szakaszosan manipulálta, először lecsökkentette azt, majd „túlhúzta”. Ezzel olyan hatást váltott ki, mint amikor vasárnap egy botmixerrel nekiugrok a szombati húslevesnek és jól összeturmixolom. (Ínyenceknek: sajtot is keverek hozzá és pirított szikkadt kenyér kockákkal tálalom ezt „sajtleves” fedőnévvel, a kölykeim imádják. Gasztroblog bejegyzés vége).

A módszerrel az urán rétegződését klasszul felkeverte a vírus, és mivel ezt észrevétlenül tette, az üzem fenntartói a program hibájára gyanakodhattak éveken keresztül – ha úgy vesszük, jogosan. Szinte biztos, hogy volt pár keresetlen szavakban bővelkedő beszélgetésük a centifugát gyártó és programozó cégekkel.

A program a SCADA felé meghamisított fordulatszám-adatokat küldött, így a visszamenőleges adatelemzések sem tárhatták fel, hogy mi történik a „mélyben”, a PLC-k szintjén. A kezelők meg unottan bámulhatták a monitorjaikat tovább.

2010. november 16-án Irán leállította az urándúsítóit, miután a centrifugák legalább 20%-a megsemmisült a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját. Egyes kutatók megkérdőjelezik, hogy az elért siker megérte-e a befektetett hatalmas összegeket, ugyanakkor a támadás új fejezetet nyitott a cyber-hadviselés történelmében.

A telep vezetőjét leváltották, és vele együtt több alkalmazott is nyomtalanul eltűnt az okokat firtató „vizsgálatokat” követően. Persze, ez nem csoda egy olyan helyen, ahol a rossz teljesítés esetén alkalmazható következmények körét kiegészítették a munkaszerződésben pár tétellel, úgymint kínzás, kényszermunka vagy éppen kivégzés.

Sokáig rejtély maradt, hogy a vírus melyik létesítmény szabotálására íródott, miután kiderült, hogy felépítése olyan speciális, hogy csak egy célzott támadásra volt alkalmas. Persze a „gyanúsítottak” között már akkor is ott volt a natanz-i berendezés, de az iráni kormányzat nem sietett a nyomozók segítségére egy beismerő nyilatkozattal – mind a mai napig. Ebben az esetben is egy sajtófotó segített leleplezni a rejtélyt, ez:

Stuxnet; bizonyítás, forrás: president.ir / Ralph Langner

A képen a zöld pontok a működő centrifugákat jelölik, ezek összesen 4, 8, 12, 16, 20, 24, 20 egységet tesznek ki, és vajon hol található meg ez a tagolás? Nos, valóban, a Stuxnet kódjában.

A két fekete pont két kihullott centrifugát jelölhet – nagyon valósínű, hogy ezeket a vírus intézte el. Egyébként is különös dolog a sajtófotó, ahol az elnök, vagy akármelyik fejes tetszeleg, és mutatja önnön nélkülözhetetlenségét a látványos berendezések háttere előtt.

A szakértőknek ezek a fotók jelentik az aranybányát, gyakorlatilag a teljes (egyébként titkos) technológiai rendszert fel tudják térképezni az elejtett részletek alapján; érdemes megnézni a források között feltüntetett Langner jelentést. Sok kérdést vetettek fel például az alábbi képeken látható amerikai gyártmányú, meglehetősen speciális MKS Baratron nyomásszenzorok, hogy ugyan már, vajon hogyan kerülhettek tömegével az embargó sújtotta Iránba:

MKS Baratron nyomásszenzorok

Egy régi barátom, mielőtt leadta volna az egyik nagy erőmű villamos áramút-terveit, mind a 15 dossziét, az egyikben elrejtett egy cetlit: „ha valaki olvassa ezt a lapot, hívjon fel ezen a számon, és meghívom egy sörre!”. 6 év múlva csörgött a telefonja. Márminthogy ezügyben.

Sajnos ezt, így nem tudom a műfaji korlátok okán eljátszani, de aki eddig elért az olvasással és van Facebook hozzáférése, kérem, dobjon egy kommentet, vagy akár csak egy akármilyen emoji-t ide, a bejegyzés alá!

Köszönöm.

A bejegyzés eredetije a passport.blogon olvasható, itt.

Sandor Vamos 2018/11/05 13:03

  • hu/main/blog/stuxnet_sztori.txt
  • 2022/04/21 15:04
  • ()