Stuxnet: Domande e risposte
D: Cosa è Stuxnet?
R: Stuxnet è un worm di Windows, la diffusione avviene tramite chiavette USB. Una volta all’interno di un’organizzazione, può anche diffondersi copiandosi nei dispositivi collegati in rete.
D: Può diffondersi tramite altri dispositivi usb?
R: Certo, si può diffondere in tutto ciò che può fungere da disco. Come un disco rigido USB, i cellulari di ultima generazione, le cornici digitali e così via.
D: Dunque,dopo essersi diffuso cosa fa?
R: Infetta il sistema, si nasconde con un rootkit e vede se il computer infettato è collegato a un sistema Simatic Siemens (Step7).
D: Cosa provoca ad un Simatic?
R: Modifica i comandi inviati dal computer al PLC. Una volta in esecuzione sul PLC, cerca un sistema specifico della fabbrica. Se non lo trova il virus rimane inattivo.
D: Quali fabbriche colpisce?
R: Non lo sappiamo
D: Ha individuato i complessi industriali da colpire?
R: Non lo sappiamo
D: In teoria cosa potrebbe fare?
R: Si potrebbe adeguare ai motori, ai nastri trasportatori, alle pompe. Potrebbe fermare una fabbrica. Con le modifiche giuste, potrebbe far esplodere degli impianti.
D: Perchè Stuxnet è considerato molto complesso?
R: Perchè utilizza molteplici vulnerabilità e installa i propri driver nel sistema.
D: Come fa ad installare i propri drivers? In questo caso dovrebbe avere dei driver firmati per poter lavorare in windows
R: I driver di Stuxnet sono firmati con un certificato rubato alla Realtek Semiconductor Corp
D: Sono stati revocati i drivers rubati?
R: Si. Verisign gli ha revocati il 16 luglio. Il 17 luglio ne è stata trovata una versione modificata con i drivers rubati alla Jmicron Technology Corporation.
D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?
R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.
D: Che vulnerabilità vengono sfruttate da Stuxnet?
R: Nel complesso Stuxnet sfrutta 5 diverse vulnerabilità:
LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler
D: Sono state patchate da Microsoft?
R: Le ultime due della lista sopra no!
D: Perchè è così difficile analizzare Stuxnet?
R: E’ incredibilmente complesso e grande. Stuxnet “pesa” 1,5 mb.
D: Quando ha iniziato a diffondersi Stuxnet?
R: Nel giugno del 2009, o forse addirittura prima. Uno dei componenti risulta compilato in data Gennaio 2009
D: Come è possibile tutto ciò?
R: Bella domanda
D: Stuxnet è stato scritto sotto commissione governativa
R: A quanto sembra….si!
D: E’ stato Israele?
R: Non lo sappiamo (ma è molto probabile)
D: Il target è l’Iran?
R: Non lo sappiamo (tuttavia è stato il paese più colpito)
D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?
R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). Tuttavia, ciò non è nascosto nel codice. Si tratta di una “firma” o “artifatto” lasciato lì, durante la compilazione del programma. Fondamentalmente questo ci dice dove l’autore ha memorizzato il codice sorgente nel suo sistema. Il percorso specifico di Stuxnet è: \ Myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. Gli autori probabilmente non volevano farci sapere che il loro progetto si chiamava “Myrtus”, ma grazie a questo artefatto lo sappiamo. Non è la prima volta che vediamo tali artefatti. L’attacco contro Google denominato Operazione Aurora è stato chiamato così proprio per il codice nascosto nei suoi file binari: \ Aurora_Src \ AuroraVNC \ Avc \ Release \ AVC.pdb.
D: Quindi in cosa consiste il riferimento bibilico?
R: Non lo sappiamo
D: Potrebbe significare anche qualcos’altro?
R: Certo: Potrebbe significare “My RTUs”, no myrtus. RTU è un abbreviazione di Remote Terminal Units, usate nei sistemi delle fabbriche.
D: Come fa, Stuxnet a sapere che ha già infettato una macchina?
R: Imposta una chiave di registro con un valore “19790509” come segno dell’infezione.
D: Quale è il significato di “19790509”?
R: E’ una data: il 09/05/1979
D: Cosa successe il 09/05/1979?
R: Potrebbe essere la data di nascita dell’autore? Ancora, in quella data un uomo d’affari Israeliano/Iraniano di nome Habib Elghanian fù ucciso in Iran. Fù accusato di essere una spia di Israele.
D: C’è un collegamento tra Stuxnet e Conflicker?
R: E’ possibile. Delle varianti di Conflicker furono trovate tra il novembre 2008 e l’aprile 2009. Le prime varianti di Stuxnet sarebbero state trovate da lì a poco. Entrambi sfruttano la stessa vulnerabilità la MS08-067. Entrambi usano chiavette Usb per diffondersi. Entrambi sfruttano le password deboli per penetrare nelle reti. Entrambi sono estremamente complessi.
D: Disabilitando l’autorun in Windows si fermeranno anche i worm da usb?
R: Assolutamente no. Il worm può sfruttare altre vulnerabilità come la LNK, facendo risultare senza senso disabilitare l’autorun.
D: Stuxnet si diffonderà all’infinito?
R: No. La versione corrente ha come “data di morte” il 24 giugno 2012
D: Quanti computer infetterà?
R: Centinaia di migliaia.
D: Ma la Siemens ha detto che solo 15 fabbriche sono state infettate!
R: Bisogna tener conto anche dei danni collaterali. Ci saranno moltissime vittime anche tra i computer di casa e quelli degli uffici.
D: Potrebbe fare altre cose?
R: La siemens ha annunciato l’anno scorso che il sitema Simatic può controllare anche i sistemi di allarmi, i controlli di accesso e le porte. Queste possibilità in teoria potrebbero essere utilizzate per penetrare dentro installazioni top secrets. Pensate un pò a Mission Impossible 2:
D: E’ stato Stuxnet a far affondare la DeepWater Horizon e causare il disastro del Golfo del messico?
R: No non lo crediamo. In ogni caso anche la DeepWater Horizon stessa montava dei sistemi PLC della Siemens.
D: F-Secure riesce ad individuare Stuxnet?
R: Si.
Le informazioni riportate sono il risultato di ricerche condotte da esperti di Microsoft, Kaspersky e Symatec e altri.
Pubblicato il 4 ottobre 2010 su Iran, Stuxnet. Aggiungi ai preferiti il collegamento . 2 commenti.
Pingback: Fukushima: Si trattò di sabotaggio? « Neovitruvian's Blog
Pingback: Tutto Ciò Che Si Immagina è Reale……..