STUXNET
LA PRIMA ARMA INFORMATICA DELLA STORIA
GIACOMO RE ROBERTO MARIA
ROSATI
Stuxnet:
first digital weapon
Venne definito «la prima arma informatica»,
in quanto non si limita a danneggiare i calcolatori, ma i processi fisici da essi
controllati.
Contesto
geopolitico:
•
Crescente attività di produzione di energia nucleare da parte dello stato iraniano.
•
Preoccupazione dei servizi segreti USA che l’Iran potesse divenire in grado di costruire una bomba atomica nel giro di 1-2 anni.
•
Concomitanza dell’attacco con le elezioni presidenziali
iraniane del 2009.
Soluzione:
Sabotare le
centrali nucleari iraniane!
Contesto
geopolitico:
Storia dell’attacco (1)
•
2006: Inizio dell’operazione “Giochi Olimpici”, in
collaborazione tra USA e Governo Israeliano, consistente in una serie di attacchi digitali contro l’Iran.
•
2008-2009: sviluppo del Virus Stuxnet.
•
12 Giugno 2009: elezioni presidenziali (Mahmoud
Ahmadinejad vs Mir-Hossein Mousavi)
• Stracciante vittoria di Ahmadinejad (63% contro 34%)
• Iran incredulo in rivolta.
• Più grande protesta dalla cacciata dello Scià di Persia (1979).
• Le proteste ebbero luogo fino al 22 giugno, con morti nella repressione.
• 22 giugno 2009, h 16.30… una nuova versione di Stuxnet è rilasciata.
Storia dell’attacco (2)
•
Situazione a Natanz: Crescente numero di centrifughe presenti nella centrale. Cresciute da 5400 a 7054 in quattro mesi, da febbraio a giugno.
•
Nel giro di uno o due anni, l’Iran sarebbe stato in grado di arricchire abbastanza uranio da costruire un’arma
atomica.
Storia dell’attacco (3)
Ma nessuno ancora sospettava dell’imminente minaccia che
incombeva su Natanz e sull’Iran…
Storia dell’attacco (4)
• Giovedì 23 Giugno: Una compagnia chiamata Foolad Technic è la prima vittima di Stuxnet. Fu infettata alle 4.40 del mattino.
• Martedì 28 giugno:
• la mattina, per le strade di Theran un corteo pacifico composto da 5000 persone marcia in memoria delle vittime delle proteste delle settimane precedenti.
• Alle 23.20 Stuxnet miete la sua seconda vittima: i computer di una compagnia chiamata Behpajooh.
• 7 luglio: Il virus miete la sua terza vittima, la compagnia Neda Industrial Group, occupatasi dell’installazione di sistemi di controllo,
strumentazione di precisione e di PLC Siemens.
Storia dell’attacco (5)
•
22 luglio: un ingegnere di Neda nota l’anomalo comportamento dei computer dell’azienda,
comportamento che veniva diffuso ad altri computer quando venivano trasferiti dati via USB key, ma non quando venivano trasferiti dati via CD o DVD.
•
Centrifughe di Natanz funzionanti nell’arricchimento dell’Uranio:
• 4920 a giugno
• 4592 ad agosto
• 3936 a novembre
Storia dell’attacco (6)
• Giugno 2010: VirusBlokAda identifica il virus Stuxnet per la prima volta.
• Il contagio di Stuxnet si era esteso, oltre che a 14 siti industriali iraniani, a un numero elevato di computer in tutto il mondo.
• Agosto-settembre 2010: Microsoft rende disponibili le patch per le zero- days vulnerabilities sfruttate da
Stuxnet.
Storia dell’attacco (7)
Computer infetti al 6 ago 2010
PAESE COMPUTER INFETTI
Iran 62 867
Indonesia 13 336
India 6 552
Stati Uniti 2 913
Australia 2 436
Regno Unito 1 038
Malesia 1 013
Pakistan 993
Finlandia 7
Germania 5
La tragedia sventata
18 gennaio 2011: il quotidiano tedesco «Der Spiegel» parla di una imminente nuova
Chernobyl iraniana: la situazione ancora non è
tornata nella normalità…
Cos’è stuxnet ?
Stuxnet è un virus (in windows) che attacca i sistemi di controllo industriali e ne modifica il codice per consentire agli aggressori di assumere il controllo di tali sistemi senza che ciò sia rilevato dagli operatori.
Nel caso in questione i sistemi
bersaglio dell’attacco furono i PLC S7 della Siemens, gestiti dal software
WinCC.
Le 6 fasi dell’infezione
Cos’è stuxnet ?
Stuxnet è costituito da 3 componenti :
1. WORM_STUXNET : è la componente responsabile dell’accesso al controllo dei sistemi di Siemens simatic WinCC e PCS 7 .
2. LNK_STUXNET: esegue automaticamente le copie di WORM_STUXNET.
3. RTKT_STUXNET: mantiene al sicuro l'infezione per non essere rintracciata.
Come agisce
WORM_STUXNET ?
• Cerca il file S7OTBXDX.DLL utilizzato da sistemi di Siemens WinCC nella cartella di sistema di Windows.
• Rinomina il file originale in S7OTBXSX.DLL e lo sostituisce con un proprio file con funzionalità modificate ( queste funzionalità sono
utilizzate per accedere, leggere, scrivere e cancellare i blocchi di codice sul PLC ).
• In un sistema infetto, quando queste funzioni sono chiamate, Stuxnet esegue codici supplementari, prima di richiamare la vera funzionalità posta in S7OTBXSX.DLL.
• Vengono così modificati i dati inviati da o verso il PLC.
Vulnerabi lità
sfruttate?
1.
(CVE-2010-2568) Scelta rapida, ha permesso il
diffondersi attraverso le unità rimovibili, anche con Autorun disabilitato. Bollettino MS10-046.
2.
(CVE-2008-4250) Diffusione tramite la rete - stesso
modalità di DOWNAD / Conficker . Bollettino MS08-067.
3.
(CVE-2010-2729) Printer Spooler, diffusione attraverso le reti, tra sistemi che condividono una stampante in rete. Bollettino MS10-061.
4.
(CVE-2010-2772) Siemens SIMATIC WinCC Default
Password Security Bypass.
Consideraz ioni su
Stuxnet
•
L’utilizzo di così tante vulnerabilità senza patch in una sola famiglia di malware è fuori dal comune.
•
Chi ha scritto Stuxnet ha una notevole esperienza con la programmazione del PLC Siemens.
•
