A biztonsági kutatók által Stuxnetnek keresztelt, tavaly megjelent kártevő alapjában változtatta meg a biztonságról, a kártevőkről és a kiberhadviselésről alkotott elképzeléseket. Ennek ugyanis egyetlen célja volt: az, hogy megfertőzzön a Siemens által gyártott, nagy ipari létesítményekben, így például atomerőművekben használatos vezérlőrendszereket. Kódjának vizsgálata során kiderült, hogy a Stuxnet nem akart minden üzemben problémákat okozni, kifejezetten egy létesítmény, az iráni urándúsítók vezérlőrendszerének megbénítására tervezték. Ismeretlen készítői sikerrel jártak: a megfertőzött vezérlőrendszer szándékosan rossz hatásfokkal működtette az urándúsító centrifugákat - akadályozva az iráni atomprogram zökkenőmentes végrehajtását. A centrifugák motorjai egyébként tönkre is mentek volna, ha a kártevőt fel nem fedezik.
Újból lecsapnak az iráni atomprogram hackerei
Az elmúlt hetekben egy újabb, a Stuxnethez gyanúsan hasonlító kártevőt találtak a biztonsági szoftvereket fejlesztő Symantec kiberbiztonsági kutatói. Ez Európában bukkant fel először, a kártevő fájljainak azonosítását lehetővé tevő paramétereket pedig egy Boldi álnevet használó magyar, it-biztonsággal foglalkozó blogger publikálta először, aki később törölte is bejegyzését, bár a Google gyorsítótárában az még mindig elérhető.
Az ipari rendszerekre utazott a Duqu elődje, a Stuxnet
A kártevő által létrehozott fájlok nevének elején szereplő ~DQ karaktersorról Duqunak elnevezet támadókódról először a Symantec jelentetett meg elemzést. Ezek alapján a kártevőt biztosan olyan programozók rakták össze, akik hozzáfértek az iráni atomlétesítmények ellen tervezett Stuxnet vírus, korábban ki nem szivárgott kódjához is. Így valószínűsíthető, hogy ugyanaz a csoport áll mindkét kártevő mögött.
Magyar céget támadhattak elsőként a Duquval
A kiberbiztonsággal foglalkozó orosz Kaspersky cég szakértője elképzelhetőnek tartja, hogy egy magyar tanusítványkiadó céget akartak elsőként megtámadni a Duquval. Állítását azzal támasztja alá, hogy a vírus részeit képező fájlokat először hazánkból töltötték fel a Virustotal nevű oldalra, ahol gyanús fájlok online ellenőrzését lehet elvégezni. A szakértő legalább egy olyan magyar cégről tud, amely áldozatul esett a Duqunak, ám elemzésében nem tér ki arra, mely cégről van szó.
Egy nagyszabású támadáshoz gyűjthet adatokat
Az első fontos különbség a Stuxnet és a Duqu között, hogy az új kártevőt nem egy ipari rendszer tönkretételére, hanem ipari kémkedésre programozták. A Duqu a számítógépre bejutva letölt egy billentyűleütést naplózó kódot és elkezdi összegyűjteni a gépen található információkat, ráadásul 36 nap elteltével törli saját magát, hogy ne hagyjon nyomot maga után. A Duqu alkotói nem ülnek a babérjaikon: már a negyedik, hamis aláírással rendelkező, magát szabályos meghajtóprogramnak álcázó verzió kering a kártevőből. A legutolsó variáns ráadásul még egy napos sem múlt el. Ahogy a régi Duqu fájlokat megtanulják a vírusirtók, úgy tűnnek fel az újak, amik egy pár napig el tudnak még rejtőzni a kiberbiztonsági programok elől.
Az otthoni felhasználókat nem veszélyezteti a Duqu
A begyűjtött adatokat egy gyengén titkosított fájlban tárolja, majd megpróbálja azt egyetlen csomagban kijuttatni azt a számítógépről, és a vizsgálatok szerint olyan rést is nyit a fertőzött PC-n, amelyeken keresztül illetéktelenek irányíthatják azt a világhálón keresztül. A Symantec elemzői szerint a jövőben egy újabb, fontos ipari rendszerek elleni támadáshoz fogják felhasználni a Duqu által öszegyűjtött adatokat, hálózati térképeket.
A korábbi kártevő, a Stuxnet létrehozásával több szervezetetet meggyanúsítottak a kiberbiztonsági kutatók, rábizonyítani azonban egyikre sem sikerült. Az iráni atomdúsítók lelassítása, amelyet a kártevő megcélzott, Izraelnek illetve az Egyesült Államoknak az érdeke, ám bizonyítékok hiányában nem lehet kijelenteni, hogy bármelyik államnak köze lenne a Stuxnethez. Egylőre azt sem lehet tudni, hogy a célpont ismét Irán-e vagy új ország ellen vetik be a kiberfegyvert. A tudat viszont megnyugtató, hogy az új ipari fenyegetést jóval hamarabb vették észre a kutatók, mint elődjét.
Gombás László, a Symantec internetbiztonsági szakértője az [origo]-nak elmondta, hogy a Stuxnet miatt vátozott meg a biztonsághoz való hozzáállás. A korábbi direktíva, amely szerint a "félméteres kábelszünet", azaz a kritikus rendszerek internetről való leválasztása, elég az informatikai rendszer megvédéséhez, megdőlt. A Stuxnet pedrive-okon, külső merevlemezeken jutott be azokra a számítógépekre, amelyeknek nem volt kapcsolata a világhálóval. Gombás szerint az eset másik tanulsága, hogy nagyon óvatosnak kell lenni a programok telepítésével, még azokban sem szabad bízni, amelyek digitálisan alá vannak írva, hiszen a Stuxnet telepítője is szignálva volt. |