Stuxnet: Domande e risposte

http://neovitruvian.wordpress.com/2010/10/04/stuxnet-domande-e-risposte/

Stuxnet: Domande e risposte

Posted: 4 ottobre 2010 by neovitruvian

D: Cosa è Stuxnet?

R: Stuxnet è un worm di Windows, la diffusione avviene tramite chiavette USB. Una volta all’interno di un’organizzazione, può anche diffondersi copiandosi nei dispositivi collegati in rete.

D: Può diffondersi tramite altri dispositivi usb?

R: Certo, si può diffondere in tutto ciò che può fungere da disco. Come un disco rigido USB, i cellulari di ultima generazione, le cornici digitali e così via.

D: Dunque,dopo essersi diffuso cosa fa?

R: Infetta il sistema, si nasconde con un rootkit e vede se il computer infettato è collegato a un sistema Simatic Siemens (Step7).

D: Cosa provoca ad un Simatic?

R: Modifica i comandi inviati dal computer al PLC. Una volta in esecuzione sul PLC, cerca un sistema specifico della fabbrica. Se non lo trova il virus rimane inattivo.

D: Quali fabbriche colpisce?

R: Non lo sappiamo

D: Ha individuato i complessi industriali da colpire?

R: Non lo sappiamo

D: In teoria cosa potrebbe fare?

R: Si potrebbe adeguare ai motori, ai nastri trasportatori, alle pompe. Potrebbe fermare una fabbrica. Con le modifiche giuste, potrebbe far esplodere degli impianti.

D: Perchè Stuxnet è considerato molto complesso?

R: Perchè utilizza molteplici vulnerabilità e installa i propri driver nel sistema.

D: Come fa ad installare i propri drivers? In questo caso dovrebbe avere dei driver firmati per poter lavorare in windows

R: I driver di Stuxnet sono firmati con un certificato rubato alla Realtek Semiconductor Corp

D: Sono stati revocati i drivers rubati?

R: Si. Verisign gli ha revocati il 16 luglio. Il 17 luglio ne è stata trovata una versione modificata con i drivers rubati alla Jmicron Technology Corporation.

D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?

R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.

D: Che vulnerabilità vengono sfruttate da Stuxnet?

R: Nel complesso Stuxnet sfrutta 5 diverse vulnerabilità:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

D: Sono state patchate da Microsoft?

R: Le ultime due della lista sopra no!

D: Perchè è così difficile analizzare Stuxnet?

R: E’ incredibilmente complesso e grande. Stuxnet “pesa” 1,5 mb.

D: Quando ha iniziato a diffondersi Stuxnet?

R: Nel giugno del 2009, o forse addirittura prima. Uno dei componenti risulta compilato in data Gennaio 2009

D: Come è possibile tutto ciò?

R: Bella domanda

D: Stuxnet è stato scritto sotto commissione governativa

R: A quanto sembra….si!

D: E’ stato Israele?

R: Non lo sappiamo (ma è molto probabile)

D: Il target è l’Iran?

R: Non lo sappiamo (tuttavia è stato il paese più colpito)

D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?

R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). Tuttavia, ciò non è nascosto nel codice. Si tratta di una “firma” o “artifatto” lasciato lì, durante la compilazione del programma. Fondamentalmente questo ci dice dove l’autore ha memorizzato il codice sorgente nel suo sistema. Il percorso specifico di Stuxnet è: \ Myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. Gli autori probabilmente non volevano farci sapere che il loro progetto si chiamava “Myrtus”, ma grazie a questo artefatto lo sappiamo. Non è la prima volta che vediamo tali artefatti. L’attacco contro Google denominato Operazione Aurora è stato chiamato così proprio per il codice nascosto nei suoi file binari: \ Aurora_Src \ AuroraVNC \ Avc \ Release \ AVC.pdb.

D: Quindi in cosa consiste il riferimento bibilico?

R: Non lo sappiamo

D: Potrebbe significare anche qualcos’altro?

R: Certo: Potrebbe significare “My RTUs”, no myrtus. RTU è un abbreviazione di Remote Terminal Units, usate nei sistemi delle fabbriche.

D: Come fa, Stuxnet a sapere che ha già infettato una macchina?

R: Imposta una chiave di registro con un valore “19790509″ come segno dell’infezione.

D: Quale è il significato di “19790509″?

R: E’ una data: il 09/05/1979

D: Cosa successe il 09/05/1979?

R: Potrebbe essere la data di nascita dell’autore? Ancora, in quella data un uomo d’affari Israeliano/Iraniano di nome Habib Elghanian fù ucciso in Iran. Fù accusato di essere una spia di Israele.

D: C’è un collegamento tra Stuxnet e Conflicker?

R: E’ possibile. Delle varianti di Conflicker furono trovate tra il novembre 2008 e l’aprile 2009. Le prime varianti di Stuxnet sarebbero state trovate da lì a poco. Entrambi sfruttano la stessa vulnerabilità la MS08-067. Entrambi usano chiavette Usb per diffondersi. Entrambi sfruttano le password deboli per penetrare nelle reti. Entrambi sono estremamente complessi.

D: Disabilitando l’autorun in Windows si fermeranno anche i worm da usb?

R: Assolutamente no. Il worm può sfruttare altre vulnerabilità come la LNK, facendo risultare senza senso disabilitare l’autorun.

D: Stuxnet si diffonderà all’infinito?

R: No. La versione corrente ha come “data di morte” il 24 giugno 2012

D: Quanti computer infetterà?

R: Centinaia di migliaia.

D: Ma la Siemens ha detto che solo 15 fabbriche sono state infettate!

R: Bisogna tener conto anche dei danni collaterali. Ci saranno moltissime vittime anche tra i computer di casa e quelli degli uffici.

D: Potrebbe fare altre cose?

R: La siemens ha annunciato l’anno scorso che il sitema Simatic può controllare anche i sistemi di allarmi, i controlli di accesso e le porte. Queste possibilità in teoria potrebbero essere utilizzate per penetrare dentro installazioni top secrets. Pensate un pò a Mission Impossible 2:

D: E’ stato Stuxnet a far affondare la DeepWater Horizon e causare il disastro del Golfo del messico?

R: No non lo crediamo. In ogni caso anche la DeepWater Horizon stessa montava dei sistemi PLC della Siemens.

D: F-Secure riesce ad individuare Stuxnet?

R: Si.

Le informazioni riportate sono il risultato di ricerche condotte da esperti di Microsoft, Kaspersky e Symatec e altri.