Stuxnet, Flame, Gauss, μια σύντομη ιστορία του σύγχρονου κυβερνοπολέμου

Ο κυβερνοπόλεμος δεν ανήκει στην σφαίρα της φαντασίας: είναι κάτι που ήδη συμβαίνει

The Future of Security, The Economist KAL’s Cartoon

Το 2010 η εταιρεία VirusBlockA ανακάλυψε ένα καινούργιο κακόβουλο λογισμικό, το οποίο και ονόμασε  Rootkit.Tmphider. Το περίεργο με αυτό το λογισμικό, το οποίο έγινε στην συνέχεια γνωστό με το όνομα Stuxnet, ήταν ότι ενώ χρησιμοποιούσε τους υπολογιστές για να διαδοθεί, δεν προξενούσε καμία βλάβη σε αυτούς. Ο στόχος του Stuxnet ήταν κάπως περίεργος: προσπαθούσε να μολύνει συστήματα αυτοματοποιημένου ελέγχου (PLC), τα οποία είχαν παραχθεί από την Siemens, και χρησιμοποιούσαν ένα συγκεκριμένο υποσύστημα, το supervisory control and data acquisition (SCADA). Το γεγονός ότι το συγκεκριμένο υποσύστημα χρησιμοποιείται από τα Ιρανικά πυρηνικά εργοστάσια, αμέσως προκάλεσε σκέψεις για την εμπλοκή κυβερνήσεων πίσω από την δημιουργία του Stuxnet. Στην σελίδα που διατηρεί η Symantec με πληροφορίες για το εν λόγω κακόβουλο λογισμικό¹, αναφέρεται ότι περίπου το 60% των υπολογιστών που μολύνθηκαν από το Stuxnet βρίσκεται στο Ιράν, ενώ ο ίδιος ο πρόεδρος του Ιράν ανέφερε πως ορισμένα πυρηνικά εργοστάσια προσβλήθηκαν από το Stuxnet². To 2012 η εφημερίδα The New York Times αποκάλυψε πως το Stuxnet ήταν μέρος ενός σχεδίου κυβερνοπόλεμου ενάντια στο πυρηνικό πρόγραμμα του Ιράν, το οποίο ξεκίνησε το 2010, από τον πρόεδρο Bush, με την κωδική ονομασία Olympic Games, σε συνεργασία με τις μυστικές υπηρεσίες του Ισραήλ³. Στο ίδιο άρθρο η εφημερίδα αναφέρει πως το λογισμικό είχε ως στόχο συγκεκριμένες εγκαταστάσεις του Ιράν, όμως από προγραμματιστικό λάθος εξαπλώθηκε και σε άλλους υπολογιστές ανά τον κόσμο.

Ο ερευνητής Mikko Hypponen από την F-Secure μιλάει για το Stuxnet

To 2012 ο διεθνής οργανισμός τηλεπικοινωνιών (ITU) ζήτησε βοήθεια από την Kaspersky Lab για τον εντοπισμό ενός άγνωστου λογισμικού το οποίο "εξαφάνιζε" ευαίσθητες πληροφορίες από πληροφοριακά συστήματα στην Μέση Ανατολή. Η Karspersky Lab σύντομα οδηγήθηκε στην ανακάλυψη του Flame: ενός περίπλοκου κακόβουλου λογισμικόυ με εντυπωσιακές ικανότητες. Η 6μηνη ανάλυση του μεγέθους 20MB κώδικα του Flame έδειξε πως το λογισμικό αυτό μπορούσε να υποκλέψει ακόμη και ήχους από το μικρόφωνο του υπολογιστή αλλά και να εντοπίσει συσκευές που βρίσκονταν κοντά στον μολυσμένο υπολογιστή με την χρήση bluetooth.  Επικαλούμενη την Karspersky, η εφημερίδα The Telegraph, αποκάλυψε πως το κακόβουλο αυτό λογισμικό ήταν ήδη 5 χρονών και είχε μολύνει υπολογιστές σε Ιράν, Σουδάν, Συρία, Λίβανο, Σαουδική Αραβία και Αίγυπτο⁴. Το Flame, λάμβανε εντολές από κέντρα διαχείρισης. Το σετ εντολών περιλάμβανε και μια εντολή "αυτοκτονίας" η οποία καθάριζε τον μολυσμένο υπολογιστή από κάθε ίχνος του Flame. Αυτή η εντολή στάλθηκε σε όλους τους μολυσμένους υπολογιστές λίγες μέρες αφότου το Flame είδε το φως της δημοσιότητας⁵. Τον Ιούνιο του 2012 η The Washington Post αποκάλυψε πως και αυτό το κακόβουλο λογισμικό ήταν προϊόν συνεργασίας των αμερικάνικων και των ισραηλινών μυστικών υπηρεσιών⁶.

Τον Αύγουστο του 2012 η  Karspersky Lab ανακοίνωσε τον εντοπισμό ενός παρόμοιου κακόβουλου λογισμικού, του Gauss⁷. Το κυρίως πρόγραμμα είχε την ονομασία του γνωστού μαθηματικού Johann Carl Friedrich Gauss ενώ άλλες υπορουτίνες είχαν ονόματα μαθηματικών όπως   Joseph-Louis Lagrange και Kurt Gödel. Το λογισμικό συνέλεγε μεγάλη ποσότητα πληροφοριών για τους υπολογιστές που μόλυνε, ενώ προσπαθούσε να κλέψει και κωδικούς πελατών Λιβανέζικων τραπεζών. Το Gauss είναι πιο εξελιγμένο από το Flame και το Stuxnet, ενώ την ανακάλυψη του συνόδευσαν 3 άλυτα μέχρι τώρα μυστήρια⁷. Το πρώτο αφορά τον τρόπο με τον οποίο το λογισμικό επικοινωνεί με τα μηχανήματα που το ελέγχουν. Φαίνεται πως το Gauss χρησιμοποιεί μια εξελιγμένη τεχνική ισορρόπησης του φόρτου (load balancing) που όμως δεν δικαιολογείται από τον μικρό αριθμό μηχανημάτων που έχουν μολυνθεί. Το γεγονός αυτό κάνει τους ερευνητές να πιστεύουν πως το Gauss έχει καταφέρει και έχει κρυφτεί σε πολύ περισσότερα μηχανήματα και περιμένει την κατάλληλη στιγμή για να εκδηλωθεί. Το δεύτερο μυστήριο αφορά το γεγονός ότι το Gauss εγκαθιστά μια συγκεκριμένη γραμματοσειρά στα μολυσμένα μηχανήματα. Οι ερευνητές πιστεύουν πως το κάνει αυτό για να "σημαδεύει" τα έγγραφα που παράγονται από αυτά τα μηχανήματα με την μέθοδο της στεγανογραφίας. Το 3ο και μεγαλύτερο μυστήριο του Gauss είναι μια κρυπτογραφημένη ρουτίνα με το όνομα Gödel. Κάθε φορά που το Gauss μολύνει ένα μηχάνημα, μαζεύει πληροφορίες για αυτό το μηχάνημα και από αυτές τις πληροφορίες φτιάχνει ένα κλειδί με το οποίο προσπαθεί να αποκρυπτογραφήσει την εν λόγω ρουτίνα. Δηλαδή αυτή η ρουτίνα εκτελείται μόνο όταν το Gauss εγκατασταθεί σε έναν υπολογιστή με συγκεκριμένες ρυθμίσεις. Δυστυχώς έως τώρα, και παρά την παγκόσμια κινητοποίηση, οι ερευνητές δεν έχουν καταφέρει να βρουν το κλειδί που ξεκλειδώνει την ρουτίνα μυστήριο και έτσι παραμένει άγνωστο και ποιος είναι ο στόχος της αλλά και ποιες οι ενέργειες που θα πραγματοποιήσει όταν μολύνει αυτό τον στόχο.

Παραπομπές:

1. Symantec, "W32.Stuxnet", 26 Φεβ. 2013 [Online], τελευταία πρόσβαση 18 Νοεμ. 2013
2. CBSNews, "Iran Confirms Stuxnet Worm Halted Centrifuges", 29 Νοεμ. 2010 [Online], τελευταία πρόσβαση 18 Νοεμ. 2013
3. D. Sanger, "Obama Order Sped Up Wave of Cyberattacks Against Iran", The New York Times, 1 Ιουν. 2012 [Online], τελευταία πρόσβαση 18 Νοεμ. 2013
4. D. McElroy, "Flame: world's most complex computer virus exposed", The Telegraph, 28 Μαϊου 2012, [Online], τελευταία πρόσβαση 18 Νοεμ. 2013
5. BBC, "Flame malware makers send 'suicide' code", 8 Ιουν. 2012 [Online], τελευταία πρόσβαση 18 Νοεμ. 2013
6. E. Nakashima, G. Miller και J. Tate, "U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say", The Washington Post, 19 Ιουν 2012[Online], τελευταία πρόσβαση 18 Νοεμ. 2013
7. D. Goodin, "Puzzle box: The quest to crack the world’s most mysterious malware warhead", arstechnica, 14 Μαϊου 2013, [Online], τελευταία πρόσβαση 18 Νοεμ. 2013