DuQu og Stuxnet - elektroniske atombomber?

DuQu og Stuxnet - elektroniske atombomber?

KOMMENTAR: Vi som jobber i datasikkerhetsbransjen har hatt mye å le av når det gjelder hacking på film. Men da Stuxnet-ormen ble funnet i et kjernekraftverk, fikk vi en øyeåpner.

KOMMENTAR: Da Stuxnet ble oppdaget i Siemens-styringssystemene til Bushehr Kjernekrafterk og Natanz Urananrikningsanlegg i Iran i juni 2010, ble plutselig Hollywood-hacking en realitet.

Dette var et scenario vi tidligere bare har sett på film med masse blinkende skjermer med fancy grønn tekst og store røde bannere med skriften “Access to Nuclear Systems Denied”. Vi som jobber i datasikkerhetsbransjen, har hatt mye å le av når det gjelder hacking på film. Men så kom det en aldri så liten “reality check”.

Angrep Siemens-systemer

Plutselig hadde vi en orm som ikke var designet med de tradisjonelle kriminelle hensiktene, men som faktisk hadde ett enkelt formål: kopiere seg til så mange Windows XP maskiner som mulig ved hjelp av Zero Day Exploit, for så å lete etter en spesifikk PLC (Programmable Logic Controller), laget av Siemens.

Denne benyttes av systemer som styrer alle slags automatiserte prosesser på for eksempel oljeplattformer, fabrikker og kjernekraftverk.

Hvis Stuxnet ikke fant denne kontrollerprogramvaren på en maskin, gjorde den ingenting. At Stuxnet fant veien til styringssystemene i Bushehr og Natanz, er ingen tilfeldighet. Det har den gjort via en usb-lagringsenhet som først har vært plugget inn i en WinXP-maskin infinisert med Stuxnet.

Den har så blitt satt inn i produksjonssystemene, som ikke står tilkoblet internett.

Hvem står bak?

Det har blitt skrevet mye om hvem som har laget Stuxnet, og jeg tviler på om vi noen gang vil kunne få svaret. Det har versert mange forskjellige teorier rundt hvem som kan ha stått bak:

  • Cyberkrig-øvelse (USA) som gikk ut av kontroll.
  • En advarsel, og en “se hva vi kan” fra USA og Israel.
  • Et iscenesatt skrekkscenario for å øke bevilgninger (klassisk konspirasjonsteori).
  • Israel som vil stoppe utviklingen av kjernekraftverk i Iran.

Det ligger litt i Internetts natur at slike konspirasjonsteorier vil oppstå, og selv om de fleste er på bærtur, har de én ting til felles: Ingen mistenker at enkeltpersoner eller private organisasjoner står bak.

Stuxnet er så avansert og har krevd så mye spesialkompetanse innfor så mange ulike felt, at det er utenkelig at dette er laget av “the usual suspects” i Russland, tidligere østblokk-land, etc.

Og så kom DuQu...

Men uansett hvem de er, har de tydeligvis ikke ligget på latsiden, for nå har DuQu “duquet” opp og den virker mistenkelig lik Stuxnet. Nå har jo Stuxnet vært kjent en god stund, men ikke kildekoden. Kun de som skrev Stuxnet, kunne ha skrevet DuQu, som igjen betyr at Stuxnet hverken var en Cyberkrig-øvelse eller en tilfeldighet.

DuQu er så lik Stuxnet at F-Secure sine back-end systemer faktisk klassifiserte den som Stuxnet. Men i motsetning til Stuxnet er ikke målet å ta kontroll over PLC-systemer fra Siemens, men å hente inn informasjon som kan brukes til et fremtidig Stuxnet-lignende angrep.

DuQu er en Remote Access Trojaner som ikke replikerer seg selv, men heller forsøker å installere “infostealer”, et program som igjen innhenter informasjon om tastetrykk og systemer. Informasjonen som hentes ut, blir da sent over HTTPS gjemt i tilsynelatende blanke jpeg bildefiler. Serveren som DuQu kommuniserer med, er faktisk fremdeles oppe, og den siste versjonen som er funnet av DuQu, ble kompilert 17. oktober 2011, fire dager før dette ble skrevet.

Både Stuxnet og DuQu er dramatiske, men faktum er jo at de har blitt oppdaget, og deres mål har stort sett blitt kartlagte. Men hva hvis dette bare er begynnelsen på noe?

Avansert, men primitiv samtidig

Flere sikkerhetsforskere, blant annet Nate Lawson fra Root Labs, mener at Stuxnet var amatørmessig laget. Dette er et bombastisk utsagn som ikke er helt nøyaktig, men det stemmer på ett punkt: Når man først lager sofistikerte angrep som Stuxnet og DuQu, hvorfor legges det ikke mer innsats i å skjule seg selv, og hva den er ute etter?

For eksempel bruker Stuxnet standardmetoder som "XOR masking" for å skjule seg for antivirusverktøy, i likhet med all annen malware som produseres i verden.

Det virker litt merkelig, med tanke på hvor mye ressurser og tid skaperne har hatt til rådighet, at det ikke har blitt benyttet mer avanserte "obfuscation"-metoder. I tillegg til dette finner man bevis på at Stuxnet skulle fjerne seg selv, men gjorde det ikke. Den samme selvdestrueringsmetoden har DuQu; etter 36 dager vil den automatisk fjerne seg selv fra systemet.

Reiser mange spørsmål

Spørsmålene vi sitter igjen med er: Ville skaperne at de skulle bli funnet, eller har de gjort feil?

Muligens er det en kombinasjon av tidspress og flere team som jobber parallelt.

Det vi alle burde håpe på, er at dette ble gjort med vilje, det gir i alle fall en viss indikasjon på hensiktene. Symantec har i sin ferske rapport anaylsert DuQu, men det som burde vekke bekymring er hvis vi begynner å se varianter av Stuxnet og DuQu som bruker avanserte teknikker som Homomorphic Encryption eller hash-and-decrypt for å skjule seg selv, og ikke minst målet sitt.

Hvor lang tid tar det før vi ser lignende angrep fra forskjellige kilder? USA hadde atombomben for seg selv i fire år før Sovjetunionen hadde sin første prøvesprenging. Hva slags forsvarsmekanismer har vi mot dette? Og er sikkerhetsprodusentene klare for det?

Behovet for datasikkerhet har aldri vært så stort som nå, og med tanke på hvordan Stuxnet faktisk fikk tilgang til systemer via en usb-enhet, er det tydelig at brukeropplæring kommer til å spille en større rolle innenfor datasikkerhet fremover.

Vi må heller ikke glemme det faktum at ved å holde alle maskiner oppdatert, unngår man utnyttelse av kjente sårbarheter i OS og programvare. Dette gjelder dessverre ikke for et Zero-day attack som Stuxnet, som kunne blitt stoppet med blant annet software-whitelisting og IPS-systemer.

For alt vi vet, er en ny Stuxnet i “produksjon” i dette øyeblikk, og benytter informasjon som DuQu har hentet ut. For alt vi vet, er Stuxnet og DuQu for prøvesprengninger å regne. Kanskje vi kan kalle dem betaversjoner eller alfaversjoner. Jeg kan ikke si jeg gleder meg til Release Candidate 1...

Les om: