Virus Stuxnet nepatří mezi klasický malware, zaměřuje se totiž především na systémy s monitorovacími a řídícími aplikacemi. Zneužití zranitelnosti Windows tentokrát může vyjít draho.
Postupem času jsme si zvykli na to, že útočníci nebudou bezhlavě mazat data, ale spíše v drtivé většině případů zatouží po našich penězích. Čas od času se však objeví nové pokusy, jež se od klasického scénáře odchylují, ať už způsobem šíření škodlivého kódu nebo technikou výsledného zneužití napadeného stroje. Přesně do této škatulky spadá i virus Stuxnet, jenž nedávno rozčeřil chvíli klidnější malwarové vody.
Podle původní zprávy společnost Symantec zaznamenala v uplynulých měsících výraznou aktivitu tohoto viru, který se rozšířil do více než 120 zemí světa a podle profesionální přípravy byl dílem organizované skupiny. Financial Times upozorňují, že cílem tohoto viru mohly být i průmyslové objekty v Íránu, jako jsou například jaderné elektrárny nebo plynovody. Tedy žádné vydírání koncových uživatelů nebo mazání jejich více či méně drahocenných dat, ale možný pokus o pokročilý strategický útok.
„Škodlivý kód Stuxnet představuje zcela nový a velmi nebezpečný druh hrozby. Poprvé má vir reálnou schopnost ohrozit průmyslové řídící systémy a ovlivnit procesy, které tyto systémy řídí. V průběhu analýzy chování nakažených počítačů jsme našli dva konkrétní servery, které sloužily jako řídící centra aktivity tohoto kódu. Jednalo se o malajský a dánský server (todaysfutbol.com a mypremierfutbol.com) a ve spolupráci s poskytovateli připojení těchto serverů, kteří mimochodem o nákaze na serverech neměli ani potuchy, se nám podařilo škodlivé komponenty vyřadit z činnosti a zabránit dalšímu zneužívání obětí nákazy,“ říká Jakub Jiříček, bezpečnostní konzultant společnosti Symantec.
Hlavně pro významné systémy
Stuxnet jako takový po úspěšné detekci nemusí být do budoucna nijak velkou hrozbou, nicméně ukazuje, kam se vývoj s největší pravděpodobností bude ubírat. Pokud vezmeme v úvahu schopnosti dnešních botnetů a jejich relativně snadné budování, správu a případný další pronájem, mohly by obdobně vznikat sítě ovládající strategicky významné objekty.
Ne nadarmo se říká, že třetí světová válka bude válkou informatiků, jelikož síťový svět samozřejmě nezná geografické hranice a žádná vzdálenost není dostatečně veliká. „Zcela nová schopnost a cíl kódu skutečně poškodit průmyslová zařízení je trend, který ve svých důsledcích může být mnohem více nebezpečný, než dosavadní snahy o pouhý finanční profit z obchodování s kradenými informacemi. Dobře navržená a spolehlivě provozovaná informační bezpečnost v počítači řízených průmyslových prostředích je nyní důležitější než kdykoli v minulosti.“
Celá řada odborníků považuje Stuxnet za jeden z nejpropracovanějších škodlivých kódů a podle zaměření jeho dopadu bohužel také za převratný. Jeho specializace na počítače s řídícími a monitorovacími aplikacemi v první vlně eliminuje běžné domácí stroje, hlavním cílem jsou významnější stroje.
Video: Jak vypadá správa botnetu?
Horší než běžný botnet?
Není bez zajímavosti, že Stuxnet zčásti připomíná nechvalně proslulého Confickera. Také Stuxnet je totiž znám již delší dobu a zároveň i on vznikl hlavně v reakci na dřívější zranitelnost Windows. Jakmile se však objevila dostupná záplata Microsoftu, rázem nastal problém s dalším rozšířením, a to zneužitím několika nových zranitelností.
Virus Stuxnet nepatří mezi klasický malware, zaměřuje se totiž především na systémy s monitorovacími a řídícími aplikacemi. Zneužití zranitelnosti Windows tentokrát může vyjít draho.
Pokud patříte mezi šťastlivce, kteří se s Confickerem na počítači ani mediálně příliš nesetkali, pak doplníme, že se tento červ do počítačů dostává díky zranitelnosti operačního systému Windows. Jeho autoři již vybudovali obrovský botnet, zneužitelný na libovolnou úlohu (rozesílání spamu, cílené útoky na firemní sítě atp.), jenž je ovladatelný na dálku. Některé varianty se šíří nejen přes internet, ale i vyměnitelnými médii (např. USB). Conficker dominuje statistikám nejrozšířenějších hrozeb téměř všude, včetně České republiky.
Právě budování botnetů představuje největší hrozbu také do budoucna, jelikož infiltraci na první pohled uživatelé nemusí nijak pocítit, nedojde k žádné očividné destrukci. Časem ale jednotlivé infikované počítače vytvoří síť, která tvůrcům dokáže poskytnout perfektní prostředek pro hromadné rozesílání nevyžádané pošty, šíření dalšího malwaru, DDoS útoky apod. Stuxnet byl odhalen, respektive vybrané servery, které jím byly zneužity. Pokud by se však organizované skupině podařilo vytvořit rozsáhlou síť infikovaných počítačů, může jít o mnohem vážnější ohrožení, než se stalo v případě porovnávaného Confickeru.
Prozatím jen předzvěst
Vzhledem k propracovanosti kódu Stuxnet se množí domněnky, že nepůjde jen o další z tuctových virů, které si kdekdo sesmolí svépomocí, ale plánovanou akci na objednávku. Pravdu se samozřejmě minimálně v brzké době nedozvíme, nicméně potvrzená specializace na řídící průmyslové systémy je hodně strašidelná. Doufejme, že se prozatím jedná jen o jednorázovou akci.