Azon, hogy melyik a történelem legkomplexebb programja, amelyet programozó valaha írt, sokat lehetne vitatkozni. Ám létezik köztük egy olyan, amelynek keletkezési körülményeit ma sem ismerjük pontosan, mégis számos szakember a mai napig emlegeti. Ezt a szoftvert nem a Google, nem a Facebook és nem is a Microsoft gyártotta, hanem embereknek egy máig nem ismert csoportja.

Amikor fontos ipari létesítményekre gondolunk, könnyen azt hihetjük, hogy ezek a világ legjobban biztosított területei, ahova tényleg nem juthat be még a legjobb betörő, kém, létező vagy kitalált személy (legyen az James Bond vagy Chuck Norris) sem. Sajnos előfordul, hogy az ilyen létesítmények vezetői szintén így gondolják, illetve az is, hogy egy olyan intelligens betolakodóval akad dolguk, hogy a legjobb eszközök birtokában sem lehet felvenni vele a versenyt.

A következő példa nem újdonság – nagyon sok cikk születik róla még napjainkban is. Mindenesetre tökéletesen megmutatja, hogy miért lényeges fokozottan odafigyelni a kiberbiztonságra, függetlenül attól, hogy valaki egy atomreaktorban vagy a saját ipari cégében dolgozik, hiszen a támadás minden esetben igen kellemetlen következményekkel járhat.

Hirdetés

A szóban forgó féregvírus annyira bonyolult, hogy e cikk keretei között csak felületes áttekintés nyújtható róla, de így is rendkívül izgalmas a története. Keletkezési ideje 2005 és 2010 közé tehető. Ebben az öt évben kerülhetett rá egy pendrive-ra vagy más USB-eszközre, ahonnan aztán megkezdte hosszú, éveken át tartó útját, lassan lépdelve végső célja felé.

Amikor valaki a fertőzött eszközök egyikét egy Windows-os PC-n alkalmazta, a vírus csendben átmásolta magát rá, majd legalább háromféle módszerrel megpróbálta futtatni magát azon. Ebből kettő teljesen újnak számított, és két nem ismert biztonsági kiskaput használt ki. Ezekről a biztonsági résekről senki nem tudott egészen addig, amíg évekkel később a vírus léte napvilágra nem került. Miután a féreg elindult, hozzá tudott férni az adminisztrátori beállításokhoz, és gyorsan eltüntette maga után az összes nyomot. Olyan ügyesen kapcsolta hozzá magát a Windowshoz, hogy ha valaki belenézett abba a mappába, ahol lennie kellett volna, nem talált ott semmit. Sem a vírusirtó programok, sem a Windows védelmi rendszere nem vette észre, sőt, az interneten is képes volt egy évig anélkül terjeszkedni, hogy a világ legismertebb biztonságtechnikai cégei tudomást szereztek volna a létezéséről.

Amikor elhelyezkedett egy számítógépen, a következő lépés mindig az volt, hogy az interneten keresztül megnyitotta a http://www.mypremierfutbol.com vagy a http://www.todaysfutbol.com linkeken található oldalt. Akkoriban a domainek egy maláj és egy dán szerverre mutattak, melyeket elérve a vírus jelezte, ha sikerült kisajátítania egy újabb gépet, majd frissítette magát az ott található legújabb verzióra.

Ekkor a vírus másolatot készített magáról minden egyes USB-eszközre, amelyet az áldozat bedugott a fertőzött gépbe. Ezt úgy sikerült megtennie, hogy eltakarta a saját nyomait egy hamis, de lenyűgözően igazinak tűnő illesztőprogrammal, melyet valódi Realtek digitális aláírással igazolt. (Ez arra enged következtetni, hogy a vírus tervezői valahogy képesek voltak betörni a hatalmas tajvani cég legbiztonságosabbnak hitt részébe, és ellopni egy szupertitkos kulcsot anélkül, hogy a vállalat ezt észrevette volna.) Mielőtt még valaki a Realteket gyanúsítaná, meg kell jegyeznünk, hogy a későbbiekben a tervezők a JMicron, egy másik nagy cég digitális aláírására váltottak, ami azt jelenti, hogy ugyanezt a folyamatot újra le tudták bonyolítani.

A történet legérdekesebb része azonban nem ez – még csak ekkor kezdett el igazán aktívvá válni a féreg:  két nemrégiben felfedezett Windows-hibát használt fel a tevékenységéhez. Az egyik hiba a hálózati nyomtatókra, a másik a hálózati fájlokra vonatkozik. A két bug lehetővé tette számára, hogy helyi hálózatokon is elterjedhessen, azaz ha egy vállalat valamelyik dolgozója a céges laptopjába dugta saját fertőzött pendrive-ját, a féreg máris átterjedt egy sor másik belső eszközre is.

Miután számtalan vállalat belső rendszerében elterjedt, a következő feladata az volt, hogy megtaláljon egy speciális, az ipari gépek automatizálására használt vezérlőszoftvert, melyet a Siemens tervezett. Amint megtalálta, észrevétlenül befészkelte magát a vezérlőlogikába, és várt. Semmilyen diagnosztikai eszköz vagy víruskereső nem férhetett hozzá, mert – mint korábban – egy mindenki más számára ismeretlen hiba révén képes volt teljesen észrevétlen maradni.

A féreg a rendszerhez csatlakoztatott elektromos motorokat keres két meghatározott társaságtól: az egyik Iránban, a másik Finnországban található. A keresett motorok változó frekvenciájú meghajtók (VFD), melyeket ipari centrifugák futtatására használnak.

És hogy mire való egy ipari centrifuga? Különböző anyagok, példának okáért urán tisztítására.

Mire idáig eljut, minden a féreg rendelkezésére áll ahhoz, hogy tönkretegye, elpusztítsa ezeket a centrifugákat, hiszen belenyúlhat a vezérlőrendszerükbe, és csupán a felgyorsításukkal szétrobbanthatja őket, akár egy bombát.

De nem ez történt, a tervezőknek más céljaik voltak. Ezért a féreg, miután ellenőrizte az összes centrifugát, nyugovóra tért, és inaktiválta magát. Napok, hetek, hónapok teltek el így.

Amikor végül eljött a megfelelő pillanat, csendben felébredt. Kiválasztott néhány centrifugát, majd lezárta ezeket, így ha bárki észrevett volna valami rendellenességet, akkor sem tudott volna közbelépni. Ezt követően elkezdte a normálistól eltérően irányítani a gépeket – csak alig észrevehetően; egy leheletnyit lassabban, egy kicsit gyorsabban a szükségesnél. Ugyanakkor csekély mértékben elkezdte növelni a nyomást a centrifugákban, éppen csak annyira, hogy a bennük található gáznak, amit UF6-nak hívnak, nagyobb, de még mindig elhanyagolható mértékű esélye legyen rá, hogy kőzetté alakuljon a forgás közben.

Egy laikus is könnyen beláthatja, hogy egy turbinának nem tesz jót sem az, ha a kelleténél lassabban vagy gyorsabban forgatják, sem az, ha kavicsokat raknak beléjük. De a féregnek volt még egy trükkje. Még mielőtt az egész manővert végrehajtotta, rögzített egy 21 másodperces felvételt a turbinák normál működésének adatairól, és valahogyan elérte, hogy ezt a felvételt jelenítsék meg a vezérlőegységek képernyői – újra és újra ismételve azt.

Elképzelhetjük, milyen érzés lehet ilyen esetben a létesítmény vezérléséért felelni: a turbinák hangja talán kissé eltér a megszokottól, de mindegyik számítógép a helyes értékeket mutatja – így senkiben még csak fel sem merül a gyanú, hogy valami rossz dolog történik a színfalak mögött.

Ezután a turbinák szépen csendben elkezdenek amortizálódni, az uránhozam pedig egyre csökken. Hiába ellenőrzik a folyamatot újra és újra, a probléma valódi okát lehetetlen kideríteni. Miután ezer centrifuga ment tönkre mindenféle hibaelhárítási kísérlet ellenére, még mindig lehetetlen feltárni, mi okozza a bajt – hiszen senki nem gondolná, hogy egy titkos csoport (melynek tagjai korlátlanul rendelkeznek pénzzel és befolyással) átjutott a legbiztonságosabbnak hitt rendszereken azzal a céllal, hogy feltűnés nélkül tönkretegye egy ország atomprogramját.

A Stuxnet vírusnak – 2010-es napvilágra kerülése után – több utóda is született, melyeket más-más (kevésbé drámai) célokra használtak fel. Ilyenek a Duqu (2011), a Flame (2012), a Havex (2013), az Industroyer (2016) és a Triton (2017), illetve egy még ismeretlen nevű, 2018-ban tetten ért vírus a McAfee alapján. Több elmélet is létezik arról, hogy pontosan ki volt a megbízó, de mint a legtöbb hasonló esetben, biztos kijelentést nem lehet tenni az ügyben, különösen a konkrét személyeket illetően nem.

Bár ez a történet teljesen hihetetlennek hangzik, mégis valóságos, és tökéletes példája annak, hogy soha nem szabad alábecsülni a kártékony szoftverek erejét. Ugyan egy kisebb vállalkozás nemzetközi szempontból nem olyan fontos, hogy bárki ennyi időt, pénzt és energiát áldozzon a betörésre, ugyanakkor nincs is szükség ennyire mesterien összerakott programra ahhoz, hogy megtörténjen a baj. Ugyanis a legtöbb tudás megtalálható az interneten, és csak a források szabnak határt a lehetséges pusztítás mértékének, amit egy rosszakaró okozhat.

A cikk John Byrdnek (CEO – Gigantic Software; igazgató – Sega; menedzser – Electronic Arts) a Quora.comra írt fórumbejegyzésén alapul:

https://www.quora.com/What-is-the-most-sophisticated-piece-of-software-ever-written-1?share=1

Hegyi Heni, NEW technology magazin

Hirdetés