Stuxnet: Domande e risposte

D: Cosa è Stuxnet?

R: Stuxnet è un worm di Windows, la diffusione avviene tramite chiavette USB. Una volta all’interno di un’organizzazione, può anche diffondersi copiandosi nei dispositivi collegati in rete.

D: Può diffondersi tramite altri dispositivi usb?

R: Certo, si può diffondere in tutto ciò che può fungere da disco. Come un disco rigido USB, i cellulari di ultima generazione, le cornici digitali e così via.

D: Dunque,dopo essersi diffuso cosa fa?

R: Infetta il sistema, si nasconde con un rootkit e vede se il computer infettato è collegato a un sistema Simatic Siemens (Step7).

D: Cosa provoca ad un Simatic?

R: Modifica i comandi inviati dal computer al PLC. Una volta in esecuzione sul PLC, cerca un sistema specifico della fabbrica. Se non lo trova il virus rimane inattivo.

D: Quali fabbriche colpisce?

R: Non lo sappiamo

D: Ha individuato i complessi industriali da colpire?

R: Non lo sappiamo

D: In teoria cosa potrebbe fare?

R: Si potrebbe adeguare ai motori, ai nastri trasportatori, alle pompe. Potrebbe fermare una fabbrica. Con le modifiche giuste, potrebbe far esplodere degli impianti.

D: Perchè Stuxnet è considerato molto complesso?

R: Perchè utilizza molteplici vulnerabilità e installa i propri driver nel sistema.

D: Come fa ad installare i propri drivers? In questo caso dovrebbe avere dei driver firmati per poter lavorare in windows

R: I driver di Stuxnet sono firmati con un certificato rubato alla Realtek Semiconductor Corp

D: Sono stati revocati i drivers rubati?

R: Si. Verisign gli ha revocati il 16 luglio. Il 17 luglio ne è stata trovata una versione modificata con i drivers rubati alla Jmicron Technology Corporation.

D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?

R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.

D: Che vulnerabilità vengono sfruttate da Stuxnet?

R: Nel complesso Stuxnet sfrutta 5 diverse vulnerabilità:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

D: Sono state patchate da Microsoft?

R: Le ultime due della lista sopra no!

D: Perchè è così difficile analizzare Stuxnet?

R: E’ incredibilmente complesso e grande. Stuxnet “pesa” 1,5 mb.

D: Quando ha iniziato a diffondersi Stuxnet?

R: Nel giugno del 2009, o forse addirittura prima. Uno dei componenti risulta compilato in data Gennaio 2009

D: Come è possibile tutto ciò?

R: Bella domanda

D: Stuxnet è stato scritto sotto commissione governativa

R: A quanto sembra….si!

D: E’ stato Israele?

R: Non lo sappiamo (ma è molto probabile)

D: Il target è l’Iran?

R: Non lo sappiamo (tuttavia è stato il paese più colpito)

D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?

R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). Tuttavia, ciò non è nascosto nel codice. Si tratta di una “firma” o “artifatto” lasciato lì, durante la compilazione del programma. Fondamentalmente questo ci dice dove l’autore ha memorizzato il codice sorgente nel suo sistema. Il percorso specifico di Stuxnet è: \ Myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. Gli autori probabilmente non volevano farci sapere che il loro progetto si chiamava “Myrtus”, ma grazie a questo artefatto lo sappiamo. Non è la prima volta che vediamo tali artefatti. L’attacco contro Google denominato Operazione Aurora è stato chiamato così proprio per il codice nascosto nei suoi file binari: \ Aurora_Src \ AuroraVNC \ Avc \ Release \ AVC.pdb.

D: Quindi in cosa consiste il riferimento bibilico?

R: Non lo sappiamo

D: Potrebbe significare anche qualcos’altro?

R: Certo: Potrebbe significare “My RTUs”, no myrtus. RTU è un abbreviazione di Remote Terminal Units, usate nei sistemi delle fabbriche.

D: Come fa, Stuxnet a sapere che ha già infettato una macchina?

R: Imposta una chiave di registro con un valore “19790509” come segno dell’infezione.

D: Quale è il significato di “19790509”?

R: E’ una data: il 09/05/1979

D: Cosa successe il 09/05/1979?

R: Potrebbe essere la data di nascita dell’autore? Ancora, in quella data un uomo d’affari Israeliano/Iraniano di nome Habib Elghanian fù ucciso in Iran. Fù accusato di essere una spia di Israele.

D: C’è un collegamento tra Stuxnet e Conflicker?

R: E’ possibile. Delle varianti di Conflicker furono trovate tra il novembre 2008 e l’aprile 2009. Le prime varianti di Stuxnet sarebbero state trovate da lì a poco. Entrambi sfruttano la stessa vulnerabilità la MS08-067. Entrambi usano chiavette Usb per diffondersi. Entrambi sfruttano le password deboli per penetrare nelle reti. Entrambi sono estremamente complessi.

D: Disabilitando l’autorun in Windows si fermeranno anche i worm da usb?

R: Assolutamente no. Il worm può sfruttare altre vulnerabilità come la LNK, facendo risultare senza senso disabilitare l’autorun.

D: Stuxnet si diffonderà all’infinito?

R: No. La versione corrente ha come “data di morte” il 24 giugno 2012

D: Quanti computer infetterà?

R: Centinaia di migliaia.

D: Ma la Siemens ha detto che solo 15 fabbriche sono state infettate!

R: Bisogna tener conto anche dei danni collaterali. Ci saranno moltissime vittime anche tra i computer di casa e quelli degli uffici.

D: Potrebbe fare altre cose?

R: La siemens ha annunciato l’anno scorso che il sitema Simatic può controllare anche i sistemi di allarmi, i controlli di accesso e le porte. Queste possibilità in teoria potrebbero essere utilizzate per penetrare dentro installazioni top secrets. Pensate un pò a Mission Impossible 2:

D: E’ stato Stuxnet a far affondare la DeepWater Horizon e causare il disastro del Golfo del messico?

R: No non lo crediamo. In ogni caso anche la DeepWater Horizon stessa montava dei sistemi PLC della Siemens.

D: F-Secure riesce ad individuare Stuxnet?

R: Si.

Le informazioni riportate sono il risultato di ricerche condotte da esperti di Microsoft, Kaspersky e Symatec e altri.

 

Advertisements

Informazioni su neovitruvian

Non fidatevi dei vostri occhi, sono facilmente ingannabili, ricercate in voi stessi quella forza che vi permette di distinguere il vero dal falso. Il mondo così come è non va. Mi basta questo.

Pubblicato il 4 ottobre 2010 su Iran, Stuxnet. Aggiungi ai preferiti il collegamento . 2 commenti.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: