2011. október 21., péntek

A Stuxnet leszármazottja? A kutatók újabb kibertámadásra figyelmeztetnek

A ma már szuperfegyverként emlegetett Stuxnet számítógép vírussal „szinte megegyező” elemeket tartalmazó új vírust észleltek több európai számítógépes rendszerben, ami a Stuxnethez hasonló támadás előjele is lehet, figyelmeztetett az egyik vezető amerikai kiberbiztonsági cég.
A tavaly felfedezett Stuxnet egy rendkívül kifinomult számítógépes vírus, ami sikeres támadást hajtott végre egy iráni atomerőmű számítógépes rendszere ellen. Amerikai kormánytisztviselők szerint a Stuxnet féregvírus példanélküli összetettsége és az a tény, hogy képes fizikailag szabotálni komoly ipari irányítórendszereket, beleértve víz- vagy elektromos művek hálózatait szerte a világon, a kiberháború új korszakát nyitotta meg a világon.
Bár egyetlen csoport sem vállalta magára a támadást, több kiberbiztonsági szakértő szerint a Stuxnet vírust csak egy nemzetállam hozhatta létre és a lehetséges jelöltek igen rövid listáján az Egyesült Államok és Izrael előkelő helyet foglaltak el.
Akárki volt is az akkori támadó, úgy tűnik ismét munkához látott, mivel az új vírus írójának hozzáférése volt az eredeti Stuxnet vírus kódjához, amit soha nem hoztak nyilvánosságra.
Az európai bázisú kutatólaboratórium által felfedezett és „Duqu” névre keresztelt új vírus nem jelent olyan fizikai veszélyt, mint a Stuxnet, mivel az inkább adatokat gyűjt a potenciális célpontokról, amit valószínűleg jövőbeli kibertámadáshoz használnának fel, írja a Symantec kiberbiztonsági óriás friss jelentése.
„A Duqu és a Stuxnet kódja nagyon hasonlít egymáshoz, de a hasznos adatállomány nagyban eltér,” áll a Symantec blogbejegyzésében.
A Duqu a billentyűzeten lenyomott karaktereket rögzíti és rendszeradatokat gyűjt az ipari irányítórendszerekkel foglalkozó cégekről, majd ezeket továbbítja a vírusgazdának, írja a Symantec.
Sikeres akció esetén az összegyűjtött adatokat egy jövőbeli, ipari létesítmények elleni kibertámadáshoz tudják felhasználni, ahol a támadott szoftvert használják, legyen az egy európai villamos művek, vagy Mexikói-öbölbeli olajfúrótorony.
„Mondhatjuk, hogy a vírus a felderítési szakaszban jár,” nyilatkozta Gerry Egan, a Symantec biztonságtechnikai igazgatója az ABC News-nak. „Az egyértelműen látszik, hogy megtervezett támadásról van szó.”
A Duqu nem terjed magától, így a kutatók úgy gondolják, hogy azok a rendszerek voltak a célpontok, amelyekbe a vírus már bejutott.
Az amerikai nemzetbiztonsági hivatal már kedden valamennyi „kritikus infrastruktúra tulajdonost és üzemeltetőt” riadóztatott, hogy tegyen meg minden lehetséges biztonsági óvintézkedést.
Egy másik kiberbiztonsági cég, az F-Secure Security Labs szintén megvizsgálta a Duqu vírust és weboldalán leírja, hogy a kód olyannyira hasonlít a Stuxnet kódjára, hogy vírusirtó rendszerük azt gondolta az eredeti Stuxnet vírussal áll szemben.
A McAfee Labs is megkapta az új vírus kódját és alapos elemzés után weboldalukon reagálva leírták: „Egy biztos: a Stuxnet csapat még mindig aktív…”


A Stuxnet vírus és a cyber-háború: Mi jön még?

Azok kedvéért, akik most hallanak először a Stuxnet vírusról, íme, egy rövid összefoglaló:
A Stuxnet féregvírus egy kifinomult, saját magát sokszorosítani képes, rosszindulatú kód, ami a Siemens által gyártott Supervisory Control and Data Acquisition (SCADA – Felügyeleti Irányító és Adatszerzés) rendszert támadja. A vírus képes felismerni és tönkretenni egy létesítmény irányítóhálózatát.
A mai napig 45 ezer rendszert támadott meg a világon, melyek 60%-a Iránban található. Irán nyilvánosan kijelentette, hogy a vírus nem károsította atomprogramját, de hatalmas informatikai káoszt okozott nemcsak Iránban, de Indonéziában és számos egyéb helyszínen is.
Nagyon komoly támadásról van szó, amire a világnak oda kell figyelnie. Íme, néhány elsődleges észrevétel:
1. Egyértelműen cyber-háborúval állunk szemben. A Stuxnet összefüggésben áll a 2009-es Amerika és Dél-Korea elleni támadásokkal, a szíriai légvédelmi rendszer elleni támadással és a Dél-Oszétia és Észtország elleni politikai támadásokkal.
2. Könnyű azt állítani, hogy egy konkrét állam által finanszírozott és Izraelből vagy Amerikából eredő támadásról van szó, de ugyan ezzel az erővel a támadás jöhetett egy tőkeerős és technikai szakértelemhez hozzáférő magáncsoporttól is. A Symantec becslése szerint a Stuxnet vírust egy tíz főből álló csoport fejlesztette ki. Egy ilyen projekt finanszírozásához nem kell túl sok tőke.
Ez egy fontos tényező, hiszen egy kis tőkével és néhány jól képzett informatikussal egy egész nemzet infrastruktúráját tönkre lehet tenni.
3. Kínát és Oroszországot sem hagynám ki a képből. Lehet szó kemény figyelmeztetésről is, melyben tudatják Iránnal, hogy mire számíthatnak. Van egy másik lehetőség is: cyber-felderítés. Tegyük fel, hogy valaki cyber-támadást indít Irán ellen, amit nagy valószínűséggel Amerikára vagy Izraelre kennek majd. A támadónak nincs más dolga, mint hátradőlni és várni a fejleményeket.
4.  A Stuxnet egy önsokszorosító vírus, tehát lehetséges, hogy a Siemens rendszereket az Interneten keresztül fertőzte meg, de az is elképzelhető, hogy valahol az ellátási láncon keresztül jutott rendszerbe. Talán egy beépített rendszerintegrátor telepítette fel a számítástechnikai eszközök szállítása során. Így vagy úgy, egy dolog biztos, informatikai berendezéseink rendkívül sebezhetőek az ilyen támadásokkal szemben, a rendszer telepítése előtt is.
A kérdés egyértelmű: Mi jön még? Az én meglátásom szerint a Stuxnet tovább mutálódik és erődemonstrációként további rendszereket fog megfertőzni. Közben előfordulhatnak ellentámadások Irán vagy támogatói részéről. Akárhogy is lesz, a cyber-hadviselés potenciális fokozódásával állunk szemben.
Itt az idő, hogy Washington odafigyeljen, hiszen a cyber-háború veszélyes, szabályok nélküli játék és az USA sebezhetőbb, mind bármely másik nemzet a földön.
Eljött a nemzetközi diplomácia ideje.

A cyber-háború ismeretlen ösvényei törvénytelenséghez vezetnek

Forrás: Networkworld.com

Nincsenek megjegyzések:

Megjegyzés küldése