Stuxnet

Stuxnet è un worm scoperto nel 2010 che è stato progettato dalla National Security Agency (NSA) in collaborazione con l' unità israeliana 8200 per affrontare le centrifughe per l'arricchimento dell'uranio in Iran . Il programma è iniziato sotto la presidenza di George W. Bush ed è proseguito sotto la presidenza di Barack Obama . Fa parte dell'Operazione Olympic Games e le sue caratteristiche lo classificano come APT .

Specifico per il sistema Windows , è stato scoperto ingiugno 2010da VirusBlokAda, una società di sicurezza IT con sede in Bielorussia . La complessità del worm è molto insolita per il malware . È stato descritto da vari esperti come un'arma cibernetica , progettata per attaccare uno specifico obiettivo industriale. Sarebbe il primo nella storia.

È il primo worm scoperto che spia e riprogramma i sistemi industriali, il che comporta un rischio elevato. Si rivolge in particolare ai sistemi SCADA utilizzati per il comando di controllo dei processi industriali. Stuxnet ha la capacità di riprogrammare i controllori logici programmabili industriali ( PLC ) prodotti da Siemens e camuffare le sue modifiche. I controllori a logica programmabile Siemens sono utilizzati sia da alcune centrali idroelettriche o nucleari che per la distribuzione di acqua potabile o condotte .

Il worm ha colpito 45.000 sistemi informatici, di cui 30.000 situati in Iran , compresi i PC appartenenti ai dipendenti della centrale nucleare di Bushehr . Gli altri 15.000 sistemi informatici sono computer e centrali elettriche situate in Germania , Francia , India e Indonesia , utenti delle tecnologie Siemens.

Modalità di attacco

È stato segnalato per la prima volta dalla società di sicurezza VirusBlokAda a metàgiugno 2010, e una storia è stata fatta risalire a giugno 2009.

Il virus attacca i sistemi Windows utilizzando quattro attacchi "  zero day  " (tra cui la vulnerabilità CPLINK  (in) e la vulnerabilità sfruttata dal worm Conficker ) e punta i sistemi utilizzando il software SCADA WinCC / PCS 7 di Siemens .

Il virus è stato probabilmente inoculato aggiornando un virus già installato sui computer di destinazione; infetta quindi altri computer WinCC nella rete con altri exploit . Una volta nel sistema, utilizza le password predefinite per interrogare il software. Siemens sconsiglia però di modificare le password di default, in quanto “potrebbe pregiudicare il corretto funzionamento dell'impianto” .

La complessità del worm è insolita per un malware  : l'attacco richiede la conoscenza dei processi industriali e delle vulnerabilità di Windows in un dato momento, e segna il desiderio di sconvolgere le infrastrutture industriali. Anche il numero di exploit di Windows "  zero day  " utilizzati è insolito: questi exploit rari e preziosi non scoperti normalmente non vengono sprecati dagli hacker al punto da mobilitarne quattro nello stesso worm. Stuxnet ha una dimensione di mezzo megabyte ed è scritto in diversi linguaggi di programmazione (inclusi C e C++ ), cosa non comune anche per i malware .

Iran, obiettivo di un cyber attacco israeliano?

Un portavoce di Siemens ha detto che il worm è stato trovato su 15 sistemi, 5 dei quali si trovano in Germania in fabbriche che ospitano sistemi di controllo dei processi industriali. Siemens afferma che non è stata trovata alcuna infezione attiva e che non sono stati segnalati danni causati dal worm. Symantec afferma che la maggior parte dei sistemi infetti si trova in Iran (quasi 30.000 su 45.000 computer infetti), il che ha portato a credere che possa aver deliberatamente preso di mira "infrastrutture di alto valore" in Iran , presumibilmente legate al programma. . Ralph Langner, un ricercatore tedesco sulla sicurezza informatica, afferma che l'obiettivo previsto è stato probabilmente raggiunto.

L' Iran ha accusato uno stato o un'organizzazione straniera di aver deliberatamente preso di mira. L'analista Bruce Schneier ha definito interessante l'ipotesi che la centrale nucleare di Bushehr fosse stata presa di mira, sebbene la considerasse priva di prove. L'Iran ha detto che come i computer dei lavoratori dell'impianto sono stati colpiti, così è stato l'impianto. Inizioottobre 2010, in occasione di un articolo sull'Unità 8200 , a sua volta una sezione di Aman , il servizio di intelligence militare israeliano , Le Figaro scriveva:

“Indizi scoperti negli algoritmi del programma Stuxnet, avendo infettato, tra l'altro, i sistemi informatici iraniani, farebbero riferimento all'eroina biblica Esther . I possibili collegamenti tra questa offensiva virtuale e Israele probabilmente non saranno mai provati, ma il sospetto nei circoli di intelligence è alto. "

Nel novembre 2010i ricercatori di Symantec e Langner Communications hanno affermato che il worm ha preso di mira i sistemi di controllo delle turbine a vapore come quelli utilizzati nella centrale nucleare di Bushehr e nei componenti chiave della centrifuga . Il virus, infatti, avrebbe modificato all'insaputa degli operatori della centrale le velocità di rotazione delle centrifughe portando al loro degrado ed esplosioni. I ricercatori di Symantec avevano anche precedentemente indicato che Stuxnet aveva fissato una data di "distruzione".24 giugno 2012.

Il generale israeliano Gabi Ashkenazi al momento del suo ritiro ha affermato di essere responsabile dell'attacco del worm Stuxnet.

La Russia ha denunciato la cooperazione tra Stati Uniti e Israele per la creazione di questo worm e ha affermato che questo progetto avrebbe potuto provocare un disastro maggiore di Chernobyl . Ha chiesto alla NATO di indagare sulla questione. Un'approfondita inchiesta del New York Times conferma anche questa ipotesi di cooperazione israelo-americana.

Analisi Stuxnet

Nel febbraio 2011, Symantec pubblica una recensione completa di Stuxnet. Gli specialisti stimano che ci siano voluti sei mesi di sviluppo e un team di cinque-dieci persone per scrivere il programma, incluso almeno un ingegnere con una perfetta conoscenza delle apparecchiature industriali mirate. Microsoft, nel frattempo, stima che il tempo necessario per creare Stuxnet sia stato di "10.000 giorni uomo" , escludendo il team che ha rubato i certificati Verisign da Realtek Semiconductor Corps e JMicron Technology Corp a Taiwan , nonché un team in Iran che probabilmente ha fornito le informazioni necessarie per questa operazione.

Il programma è molto complesso ed estremamente ben scritto, che mostra uno straordinario desiderio di raggiungere l'obiettivo desiderato, ed esclude il lavoro di un gruppo privato.

L'architettura del programma è molto completa per un worm informatico, comprende diverse parti:

Protezione

Il worm è in grado di funzionare ingannando un processo principale di Windows (Ntdll.dll) e ingannando gli antivirus più famosi. Dispone inoltre di porzioni crittografate che vietano qualsiasi lettura del virus non caricato in memoria. Una caratteristica interessante è che non attacca i computer dotati di antivirus ETrust v5 e v6.

Propagazione

Originariamente, Stuxnet si è diffuso dal PC portatile di uno degli ingegneri collegati a un computer infetto nella fabbrica di Natanz. Una volta che il computer è stato connesso a Internet, il worm si è diffuso su Internet, colpendo i sistemi informatici in molti paesi.

Secondo Eugene Kaspersky , il worm ha anche infettato il sistema di una centrale nucleare in Russia. La tenuta della rete di fabbrica, tuttavia, ha risparmiato l'infezione della rete pubblica russa.

Installazione

Il worm, una volta eseguito con successo su un computer sano, si installerà da solo. Per fare ciò, utilizza altri due difetti, ancora sconosciuti a Microsoft quando è stato creato Stuxnet, per ottenere i diritti di amministratore.

Questi due difetti consentono l'esecuzione di un codice arbitrario con diritti di amministratore. Una volta ottenuti i diritti, il worm installa i seguenti componenti:

Strumento di rimozione

Il 15 luglio 2010, Siemens fornisce ai propri clienti uno strumento in grado di rilevare e rimuovere il worm.

Il 2 agosto 2010, Microsoft annuncia il Bollettino sulla sicurezza MS10-046.

Il 19 agosto 2010, uno strumento di rimozione è messo a disposizione da FSB Security Labs in Francia.

Il 8 ottobre 2010, BitDefender fornisce uno strumento di rimozione .

Bibliografia

Note e riferimenti

  1. (in) David E. Sanger , "  Obama ha ordinato un'ondata di attacchi informatici contro l'Iran  " , The New York Times ,1 ° giugno 2012( leggi in linea ).
  2. (in) James Bamford , "  Snooping della NSA era solo l'inizio. Incontra il capo della spia che ci guida nella guerra informatica  " , Wired ,6 dicembre 2013( leggi in linea ).
  3. (in) David E. Sanger, "L'  ordine di Obama ha accelerato l'ondata di attacchi informatici contro l'Iran  " , The New York Times ,1 ° giugno 2012(consultato il 5 giugno 2012 ) .
  4. (in) Questo è il primo esempio dal vivo di software armato, altamente personalizzato e progettato per trovare un obiettivo particolare.  » , Il malware Stuxnet è "un'arma" per distruggere... la centrale nucleare iraniana di Bushehr?
  5. (in) " I  ricercatori di Symantec [...] dicono che è il primo worm costruito non solo per spiare un sistema industriale, con l'obiettivo aussi di riprogrammarlo.  " , "  Siemens: Stuxnet worm ha colpito i sistemi industriali  " ( ArchivioWikiwixArchive.isGoogle • Cosa fare? ) (Accesso al 3 settembre 2014 )
  6. (en) Robert McMillan, “  Siemens: Stuxnet worm hit industrial systems  ” ( ArchivioWikiwixArchive.isGoogle • Cosa fare? ) , Computerworld ,16 settembre 2010(consultato il 16 settembre 2010 ) .
  7. Gregg Keizer, “  Stuxnet è il 'migliore' malware di sempre?  " [ Archivio di5 dicembre 2012] , Infomondo ,16 settembre 2010(consultato il 16 settembre 2010 )
  8. Steven Cherry, con Ralph Langner, "  Come Stuxnet sta riscrivendo il Cyberterrorism Playbook  " , IEEE Spectrum ,13 ottobre 2010
  9. (en) Thomas Erdbrink e Ellen Nakashima, Iran che lottano per contenere il worm informatico "fatto all'estero" , The Washington Post ,28 settembre 2010
  10. (in) Tom Espiner, Siemens Warns Stuxnet bersagli del rischio password  " , cnet ,20 luglio 2010(consultato il 17 settembre 2010 ) .
  11. (in) Jonathan Fildes , Stuxnet worm' ha preso di mira beni iraniani di alto valore'  " , BBC News ,23 settembre 2010(consultato il 23 settembre 2010 ) .
  12. (in) CRVE, Stuxnet aussi trovato negli impianti industriali in Germania  " , The H  (in) ,17 settembre 2010(consultato il 18 settembre 2010 ) .
  13. (in) Robert McMillan, "L'  Iran era il primo obiettivo del worm SCADA  " , Computerworld ,23 luglio 2010(consultato il 17 settembre 2010 ) .
  14. (in) Ellen Nakashima, centrali elettriche statunitensi a rischio di attacco da parte di worm come Stuxnet , The Washington Post ,1 ° mese di ottobre 2010
  15. (in) Mark Clayton, "Il  malware Stuxnet è un'"arma" per distruggere ... la centrale nucleare iraniana di Bushehr?  " , The Christian Science Monitor ,21 settembre 2010(consultato il 23 settembre 2010 ) .
  16. (in) Bruce Schneier , Schneier on Security: The Stuxnet Worm  " ,22 settembre 2010(consultato il 23 settembre 2010 ) .
  17. Adrien Jaulmes, "  Attacchi informatici in Iran: una sospetta unità israeliana  " , Le Figaro ,5 ottobre 2010(consultato il 10 giugno 2012 )
  18. (in) Glenn Kesler Computer Worm potrebbe aver preso di mira il programma nucleare iraniano , The Washington Post ,15 novembre 2010
  19. "I  nostri spettacoli  " , su Public Senat (consultato il 31 agosto 2020 ) .
  20. Yves Eudes, "  Fiamma, un virus spia di stato  ", Le Monde ,20 giugno 2012( leggi in linea ).
  21. Olivier Robillart, "  Un generale israeliano sostiene di essere il 'padre' di Stuxnet  " , su www.clubic.com ,17 febbraio 2011(consultato il 10 giugno 2012 ) .
  22. http://nanojv.wordpress.com/2011/01/28/stuxnet-rosatom-bushehr-123/ .
  23. (in) David E. Sanger, "L'  ordine di Obama ha accelerato l'ondata di attacchi informatici contro l'Iran  " , The New York Times ,1 ° giugno 2012(consultato il 10 giugno 2012 ) .
  24. Analisi completa di Stuxnet pubblicato da Symantec (en) [PDF] [1]
  25. Qual è il file ntdll.dll? ComputerHope.com
  26. (in) David Shamah, "  Stuxnet, impazzito, ha colpito l'impianto nucleare russo, la stazione spaziale  " , The Times of Israel ,11 novembre 2013( leggi in linea )
  27. [2]
  28. [3]
  29. [4]

Vedi anche

Fonte originale parziale

Articoli Correlati

link esterno