Stuxnet: อาวุธดิจิทัลสุดสยองขวัญตัวแรกของโลก

Stuxnet คือเวิร์มคอมพิวเตอร์อันตรายที่ถูกค้นพบครั้งแรกในเดือนมิถุนายน พ.ศ. 2553 หลังจากที่มันทำให้โรงงานนิวเคลียร์ของอิหร่านต้องหยุดทำงาน และจนถึงทุกวันนี้ Stuxnet ยังคงเป็นภัยคุกคามที่น่ากลัวต่ออินเทอร์เน็ตทั่วโลก

แฮกเกอร์มักใช้ Stuxnet เพื่อแสวงหาประโยชน์จากช่องโหว่แบบ zero-day ในระบบปฏิบัติการ Windows แต่ Stuxnet ไม่ได้แค่เข้ายึดครองคอมพิวเตอร์เป้าหมายหรือขโมยข้อมูลจากพวกมันเท่านั้น เวิร์มที่เป็นอันตรายยังหลบหนีจากโลกดิจิทัลเพื่อทำลายอุปกรณ์ที่มันควบคุมทางกายภาพอีกด้วย

Stuxnet โจมตีโรงงานนิวเคลียร์ของอิหร่านได้อย่างไร?

Stuxnet ถูกค้นพบครั้งแรกในปี 2010 เมื่อผู้ตรวจสอบจากสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) ค้นพบว่าเครื่องเหวี่ยงหลายเครื่องที่โรงงานนาตันซ์ (อิหร่าน) ซึ่งผลิตโดยซีเมนส์เพื่อเสริมสมรรถนะยูเรเนียมเพื่อใช้กับเครื่องปฏิกรณ์นิวเคลียร์ ทำงานผิดปกติ

ที่น่าสังเกตคือ โรงงานนิวเคลียร์ของอิหร่านถูกแยกออกไปอย่างสิ้นเชิง ไม่ได้เชื่อมต่อกับเครือข่ายภายในหรืออินเทอร์เน็ต

ทีมรักษาความปลอดภัยจากประเทศเบลารุสได้ค้นพบว่าสาเหตุของการทำงานผิดปกติของเครื่องเหวี่ยงนั้นมาจากคอมพิวเตอร์ที่ใช้งานระบบ และเบื้องหลังนั้นก็คือมัลแวร์ที่ซับซ้อนอย่างมาก มัลแวร์แพร่กระจายผ่านพอร์ต USB และแพร่กระจายไปยังตัวควบคุมลอจิกแบบตั้งโปรแกรมได้ (PLC) ที่ควบคุมเครื่องเหวี่ยงอย่างรวดเร็ว จากนั้นจึงทำลายระบบดังกล่าว

เครื่องเหวี่ยงที่โรงงานนิวเคลียร์ของอิหร่านถูกกำหนดให้หมุนด้วยความเร็วสูงมาก ส่งผลให้เกิดแรงที่มากกว่าแรงโน้มถ่วงหลายเท่าเพื่อแยกธาตุออกจากยูเรเนียม

หลังจาก Stuxnet เข้าสู่ระบบแล้ว มันจะปิดวาล์วระบายของเครื่องเหวี่ยงจำนวนหนึ่งแบบสุ่ม ทำให้แก๊สเข้าไปได้แต่ไม่สามารถระบายออกได้ ส่งผลให้แรงดันภายในเครื่องเหวี่ยงเพิ่มขึ้น ส่งผลให้เสียเวลาและแก๊สไปโดยเปล่าประโยชน์

สิ่งที่เป็นอันตรายก็คือ Stuxnet อยู่ในระบบมาเป็นเวลาหลายสัปดาห์แล้ว หลังจากเพิ่มความเร็วของเครื่องเหวี่ยงชั่วคราว ก็จะทำให้เครื่องช้าลงเหลือตามอัตรามาตรฐาน ซึ่งทำให้การดำเนินการของมันยากต่อการตรวจจับ

นอกจากนี้ เพื่อปกปิดการปรากฏตัวและกิจกรรมบนระบบ Stuxnet ยังส่งสัญญาณเซ็นเซอร์เพื่อควบคุมกระบวนการทางอุตสาหกรรมอีกด้วย

ต่างจากมัลแวร์ทั่วไป Stuxnet ยังคงแพร่กระจายอย่างต่อเนื่องแม้ว่าจะถูกค้นพบแล้วก็ตาม นักวิจัยจึงเรียกมันว่า “อาวุธดิจิทัล”

เหตุใด Stuxnet จึงเป็นอันตราย?

บริษัทด้านความปลอดภัยทางไซเบอร์เรียก Stuxnet ว่าเวิร์มคอมพิวเตอร์ ซึ่งมีความซับซ้อนมากกว่าไวรัสคอมพิวเตอร์ทั่วไปมาก

ไม่เหมือนกับไวรัส เวิร์มคอมพิวเตอร์ไม่จำเป็นต้องมีปฏิสัมพันธ์กับมนุษย์จึงจะเปิดใช้งานได้ แต่จะแพร่กระจายโดยอัตโนมัติ บางครั้งแพร่กระจายได้อย่างรวดเร็วมากหลังจากเข้าสู่ระบบไปแล้ว

นอกเหนือจากการลบข้อมูลแล้ว เวิร์มคอมพิวเตอร์ยังสามารถก่อให้เกิดผลเสียหายอื่น ๆ เช่น การโหลดเครือข่ายมากเกินไป เปิด "ประตูหลัง" กินแบนด์วิดท์ ลดพื้นที่ฮาร์ดไดรฟ์ และปล่อยมัลแวร์อันตรายอื่น ๆ เช่น รูทคิท สปายแวร์ และแรนซัมแวร์

Stuxnet ทำให้เครื่องหมุนเหวี่ยงของอิหร่านเกือบ 1,000 เครื่องอ่อนแอลงในปี 2010 ผู้เชี่ยวชาญมองว่าเวิร์มนี้เป็นโค้ดที่ซับซ้อนมาก และจะเป็นอันตรายอย่างยิ่งหากไม่ใส่ใจต่อผลกระทบที่เกิดขึ้น

ก่อนอื่นผู้โจมตีสามารถแพร่เชื้อให้กับคอมพิวเตอร์ของบริษัทภายนอก 5 แห่ง ซึ่งเชื่อว่ามีส่วนเกี่ยวข้องกับโครงการนิวเคลียร์ โดยมัลแวร์จะแพร่กระจายและขนส่งอาวุธภายในแฟลชไดรฟ์ USB ไปยังสถานที่ที่ได้รับการป้องกันและคอมพิวเตอร์ของซีเมนส์

ในเวลานั้นยังไม่มีระบบความปลอดภัยใดที่สามารถ "สแกน" หาการมีอยู่ของ Stuxnet ได้ ตามที่ผู้เชี่ยวชาญกล่าวไว้ วิธีการแพร่กระจายหลักของ Stuxnet คือ USB

หลังจากที่ Stuxnet โจมตีโรงงานนิวเคลียร์ของอิหร่านแล้ว ไวรัสดังกล่าวก็ถูกปล่อยออกสู่โลกภายนอกโดยไม่ได้ตั้งใจ ต่อมามีการตรวจพบ Stuxnet ในเยอรมนี ฝรั่งเศส อินเดีย และอินโดนีเซีย

วิธีการดำเนินงานของ Stuxnet ยังช่วยปูทางให้เกิดการโจมตีอันตรายอื่นๆ ตามมาอีกด้วย ในปี 2015 นักวิจัยชาวเยอรมันได้สร้างเวิร์มคอมพิวเตอร์อีกตัวหนึ่งเรียกว่า PLC Blaster พวกเขาใช้ส่วนหนึ่งของวิธีการดำเนินงานของ Stuxnet ซึ่งอาจมุ่งเป้าไปที่ PLC ซีรีส์ Siemens S7

Stormshield องค์กรด้านความปลอดภัยทางไซเบอร์กล่าวว่าสถานการณ์คล้าย Stuxnet ยังคงสามารถเกิดขึ้นได้ในปี 2024 เนื่องจากจะมีช่องโหว่ Zero-Day อยู่เสมอ ซึ่งจะทำให้ผู้ก่ออาชญากรรมทางไซเบอร์ได้เปรียบในการโจมตี