Nedjelja, 2. Oktobra 2022.
Tuzlanski.ba logo

Testiran na Iranu, spreman za Rusiju – šta je StuxNet?

Preuzmite sliku

Sukob u Ukrajini je, pored velikog oslanjanja na dronove i bespilotne letjelice, te na nove tipove raketnih sistema, i prvi svetski sukob gdje se sajber napadi koriste u istoj mjeri kao i konvencionalno naoružanje.

Nove vrste računarskih virusa, česti ‘DDoS’ napadi na servere i centralne računare, te akcije hakera-aktivista u obaranju državnih web sajtova od početka godine su postali ‘de facto’ krupni faktori u situaciji na rusko-ukrajinskom frontu.

Činjenica da se ovakvi sajber napadi mogu izvršiti iz bilo koje zemlje svijeta, te da su mete često i dijelovi računarske infrastrukture u Evropi i SAD, govori da je oružani sukob lokalnog karaktera, ali je sajber sukob postao – globalni.

Virusi koji se ne mogu detektovati

Sredinom 2009. godine inženjeri i zaposleni u iranskoj fabrici na jugu zemlje počeli su da prijavljuju česte kvarove na svojim računarima i mrežnoj opremi. Računarski sistem je bio vitalan za proizvodni proces, i kontrolisao je razne faze prerade materijala, te je bilo ključno da svi računari, kao i softver na njima budu uvijek sto posto u funkciji.

Inženjeri su nekoliko mjeseci pokušavali da osposobe relativno nove računare, stare samo par godina, te mrežne uređaje od kojih su većina bili potpuno novi. Da sve bude još komplikovanije, greške u softveru i kvarovi na mreži nisu bili stalni, već bi se nasumično aktivirali – prošlo bi i nekoliko mjeseci gdje je sve radilo savršeno, da bi sljedećih dana većina računarske opreme odbijala poslušnost. Mrežni uređaji, te CAM kontroleri (Computer Aided Manufacturig, kompjuterski kontrolisan proizvodni proces) instalirani prije samo mjesec dana, bili bi potpuno neupotrebljivi. Ovaj problem se uvećavao kako je godina odmicala, i početkom 2010, gotovo polovina kapaciteta fabrike je bila van funkcije.

Iz Teherana su tada stigli i inženjeri iz Ministarstva energetike Irana, ali i vojni stručnjaci. Naime, postrojenje blizu malog grada Natanz, sa nešto preko deset hiljada stanovnika, nije zaista bilo ‘fabrika za izradu elektro-transformatora’, već ključno iransko postrojenje za obogaćivanje uranijuma, od koga je zavisio i kompletan nuklearni program države. Iran je u to vrijeme imao preko pet hiljada centrifuga, u kojima bi se ruda uranijuma prečišćavala – postupak koji se zove obogaćivanje, kako bi se on dalje mogao koristiti u nuklearnim reaktorima za proizvodnju električne energije.

Sa druge strane, isti postupak je neophodan i za dobijanje uranijuma-235 i njegovih izotopa, koji se koriste u raznim vrstama nuklearnog oružja. Krajem 2010, broj ovih centrifuga je neobjašnjivo pao gotovo na polovinu, sa nekih 3500 centrifuga u funkciji. Kada je tadašnja vlada u Teheranu smenila direktora Iranske nuklearne organizacije (AEOI), na Zapadu je bilo jasno da nešto definitivno ‘ne štima’ u Iranskom nuklearnom programu. A ‘nije štimalo’, pored nekoliko hiljada nuklearnih centrifuga, ni na stotine drugih sistema, hiljade računara i mrežnih servera, te raznih mašina koje su se koristile za proizvodnju dijelova za same nuklearne reaktore.

Američki obaveštajni izvori su početkom 2011. izvijestili tadašnjeg predsednika Baracka Obamu da Iran ‘pokušava da sakrije razmjere usporavanja svog nuklearnog programa, te da masovno proizvodi i instalira nove centrifuge’. Međunarodni stručnjaci i Ujedinjene nacije su ovo pripisivali neiskustvu iranskih naučnika, te vjerovatnoj velikoj havariji u nekom od postrojenja unutar Irana.

Američki mediji su, istražujući uzroke za ovakav iznenadni prestanak iranskih nuklearnih aktivnosti, došli do naučnog rada Ralpha Langera, stručnjaka za sajber bezbjednost. On je na nekoliko svojih predavanja tvrdio da je Iran zapravo napadnut izuzetno sofisticiranim sajber-oružjem, iza koga najvjerovatnije stoji Izrael. Langer je kasnije došao do saznanja da je Izrael bio samo dio ovog napada, ali je da je sam računarski virus razvijen ‘od strane velike svjetske sile’. Ta sila, pretpostavlja se, jedino može biti SAD, budući da je Iran decenijama pod sankcijama SAD i njegovih saveznika, te da Rusija i Kina, i djelimično Indija, održavaju bliske odnose sa režimom u Teheranu.

Početkom 2012, kompanija za računarsku bezbjednost ‘Symantec’ je ovaj virus nazvala ‘StuxNet’, (igra reči – eng. prikriveno zlo), te saopštila da se radi o najsofisticiranijem računarskom kodu ikada viđenom.

‘StuxNet’ se na iranskim računarima nalazio barem još od 2007. ili 2008. godine, te je mjesecima ‘čekao’ da bude aktiviran. Virus je tako napisan da ‘lovi’ tačno određene SAM industrijske kontrolore, koji su posredstvom računara kontrolisali broj obrtaja centrifuga za obogaćivanje uranijuma. Kada bi virus pronašao takav uređaj, naredio bi da ubrza, a onda i neznatno uspori samu centrifugu. Budući da centrifuge nisu dizajnirane za ovakve ‘nasumične’ promjene broja obrtaja, te da su radile i po 18 sati svakog dana, nakon više mjeseci bi se jednostavno pokvarile pa bi morale biti zamjenjene.

Kada bi ‘StuxNet’ odradio svoj posao, bio je tako programiran da obriše sve tragove sa računarske opreme. Dok bi nadzirao rad centrifuga, ‘StuxNet’ bi kopirao drugi softver na samu računarsku mrežu u postrojenju ‘Natanz’. Nazvan ‘DipSon’ (takođe igra riječi, eng. – loš sin), ovaj softver bi ‘zavaravao’ kontrolne sisteme i prijavljivao normalan broj obrtaja centrifuga. Također, on bi brisao i upravljački softver sa mrežnih uređaja, dovodeći do stalnih padova mreže.

Iako Iran nikada nije zvanično priznao ovaj napad, procenjuje se da je uništeno najmanje 4000 računara i servera, 3500 centrifuga, te preko hiljadu mrežnih uređaja. ‘StuxNet’ napad je, po procjenama CIA, usporio Iranski nuklearni program za najmanje pet godina, te je, u kombinaciji sa međunarodnim sankcijama, primorao Iran da se vrati za pregovarački sto 2017. godine. I stručnjaci IAEA (Međunarodna agencija za atomsku energiju) su kasnije potvrdili da je Iran zaista zamijenio više hiljada centrifuga, a nakon toga je ova međunarodna organizacija instalirala kamere za nadzor u svim postrojenjima (dio njih su iranske vlasti kasnije uklonile). Nakon ovog incidenta, Iran je u svim svojim postrojenjima iz nuklearnog programa uveo sistem ‘Air Gapped’, što znači da računari nisu priključeni na mrežu, a unutar samih fabrika svi kontrolni računari se ručno provjeravaju.

Nova mladost za StuxNet

Iako nikada nije zvanično potvrđeno, većina stručnjaka vjeruje da je ‘StuxNet’ zajednički projekat američkih službi, pre svega NSA i CIA, te računarskih stručnjaka izraelskog Mossada. Iran je inače decenijama u vrhu liste neprijateljskih zemalja i u Sjedinjenim Američkim Državama i u Izraelu. Tek je 2014. godine u javnost procurila izjava tadašnjeg iranskog predsednika Mahmouda Ahmadinejada, koji je na sastanku sa državnim vrhom ‘priznao do tada najveći sajber napad na Iran’.

Zanimljivo je i da tadašnji američki predsednik Barack Obama nije bio direktno informisan o programu ‘StuxNet’ pre nego što je on izvršio svoju misiju. Obama je bio naročito iznerviran i činjenicom da je program inicijalno pokrenut od strane njegovog prethodnika u Bijeloj kući, George W. Busha. Denis McDonough, blizak saradnik Obame i šef Vijeća za nacionalnu sigurnost je znao za ‘StuxNet’ još početkom 2009, ali ga o tome nije obavijestio.

Početkom jula ove godine, na forumima za sajber bezbjednost širom interneta pojavio se veliki enkriptovani (šifrovani) fajl. Kada su stručnjaci ‘otključali’ ovu bazu podataka ispostavilo se da se radi o ‘platnom spisku’ ruskog ministarstva odbrane. Baza podataka je sadržala činove, rasporede, privatne adrese, brojeve telefona, pa čak i email adrese i njihove šifre. Hakeri koji su objavili ovu bazu su se potpisivali kao ‘N3w F0rc3’, te naveli da je u pitanju ‘osveta za rusku agresiju na Ukrajinu’.

Ipak, mnogi stručnjaci su u bazi primijetili ‘digitalne otiske’ drugog računarskog virusa – ‘DipSon’, već poznatog iz napada na Natanz u Iranu. Takođe, mnogi od podataka iz baze ruskog ministarstva odbrane su bili zastarjeli, što je sugerisalo da je virus radio godinama. Postoji i velika vjerovatnoća da je u pitanju ‘podmlađena’ verzija ‘StuxNet’ virusa, te to, ako se ispostavi kao tačno, znači da virus trenutno ‘radi’ i u drugim ruskim državnim računarskim sistemima.

Inače, od samog početka ruske agresije na Ukrajinu, više stotina ‘državnih hakera’ vrši svakodnevne sajber napade na ruske sisteme. Većina napada dolazi iz Ukrajine, ali i iz Poljske, Letonije i Estonije. Najaktivnija je grupa ‘UcG’ – ‘Ukrajinska sajber gerila’ , koja na internetu tvrdi da je do sada oborila više hiljada web sajtova i baza podataka ruskih federalnih službi. (Al Jazeera)

Tuzlanski.ba možete pratiti i putem aplikacija za Android i iPhone mobilne uređaje

   
Ključne riječi: , , ,