Quest-ce que Stuxnet ?

En matière de cybersécurité, ce sont normalement les violations de données qui font l'actualité. Ces incidents affectent de nombreuses personnes et représentent une terrible nouvelle pour l'entreprise à l'origine de la violation de données. Beaucoup moins régulièrement, vous entendez parler d'un nouvel exploit zero-day qui annonce souvent une vague de violations de données d'entreprises qui ne peuvent pas se protéger. Ce n'est pas très souvent que vous entendez parler de cyberincidents qui n'affectent pas directement les utilisateurs. Stuxnet est l'une de ces rares exceptions.

Se faufiler dans

Stuxnet est le nom d'une souche de logiciels malveillants. Plus précisément, c'est un ver. Un ver est un terme utilisé pour désigner tout logiciel malveillant qui peut se propager automatiquement d'un appareil infecté à un autre. Cela lui permet de se propager rapidement, car une seule infection peut entraîner une infection à beaucoup plus grande échelle. Ce n'est même pas ce qui a rendu Stuxnet célèbre. Il ne s'agissait pas non plus de l'étendue de sa propagation, car il n'a pas causé autant d'infections. Ce qui distingue Stuxnet, ce sont ses cibles et ses techniques.

Stuxnet a été découvert pour la première fois dans une installation de recherche nucléaire en Iran. Plus précisément, l'installation de Natanz. Quelques éléments à ce sujet ressortent. Tout d'abord, Natanz était une installation atomique travaillant sur l'enrichissement de l'uranium. Deuxièmement, l'installation n'était pas connectée à Internet. Ce deuxième point rend difficile l'infection du système avec des logiciels malveillants et est généralement connu sous le nom d'"air gap". Un espace d'air est généralement utilisé pour les systèmes sensibles qui n'ont pas activement besoin d'une connexion Internet. Cela rend l'installation des mises à jour plus difficile, mais cela réduit également le paysage des menaces.

Dans ce cas, Stuxnet a pu "sauter" l'entrefer grâce à l'utilisation de clés USB. L'histoire précise est inconnue, avec deux options populaires. L'histoire la plus ancienne était que les clés USB avaient été déposées subrepticement dans le parking de l'établissement et qu'un employé trop curieux les avait branchées. Une histoire récente allègue qu'une taupe néerlandaise travaillant dans l'établissement a soit branché la clé USB, soit demandé à quelqu'un donc. Le logiciel malveillant sur la clé USB comprenait le premier des quatre exploits zero-day utilisés dans Stuxnet. Ce zero-day a automatiquement lancé le logiciel malveillant lorsque la clé USB a été branchée sur un ordinateur Windows.

Cibles de Stuxnet

La cible principale de Stuxnet semble être l'installation nucléaire de Natanz. D'autres installations ont également été touchées, l'Iran enregistrant près de 60 % de toutes les infections dans le monde. Natanz est passionnante car l'une de ses principales fonctions en tant qu'installation nucléaire est d'enrichir l'uranium. Alors que l'uranium légèrement enrichi est nécessaire pour les centrales nucléaires, l'uranium hautement enrichi est nécessaire pour construire une bombe nucléaire à base d'uranium. Alors que l'Iran déclare qu'il enrichit de l'uranium pour l'utiliser dans les centrales nucléaires, la communauté internationale s'inquiète de la quantité d'enrichissement qui se produit et du fait que l'Iran pourrait tenter de construire une arme nucléaire.

Pour enrichir l'uranium, il faut séparer trois isotopes : U234, U235 et U238. U238 est de loin le plus abondant naturellement, mais ne convient pas à l'énergie nucléaire ou à l'utilisation d'armes nucléaires. La méthode actuelle utilise une centrifugeuse où la rotation provoque la séparation des différents isotopes en poids. Le processus est lent pour plusieurs raisons et prend beaucoup de temps. Surtout, les centrifugeuses utilisées sont très sensibles. Les centrifugeuses de Natanz tournaient à 1064 Hz. Stuxnet a fait tourner les centrifugeuses plus rapidement, puis plus lentement, jusqu'à 1410 Hz et jusqu'à 2 Hz. Cela a provoqué une contrainte physique sur la centrifugeuse, entraînant une défaillance mécanique catastrophique.

Cette panne mécanique était le résultat escompté, dans le but présumé de ralentir ou d'arrêter le processus d'enrichissement d'uranium de l'Iran. Cela fait de Stuxnet le premier exemple connu d'arme cybernétique utilisée pour dégrader les capacités d'un État-nation. Il s'agissait également de la première utilisation de toute forme de logiciel malveillant entraînant la destruction physique du matériel dans le monde réel.

Le processus réel de Stuxnet – Infection

Stuxnet a été introduit dans un ordinateur via l'utilisation d'une clé USB. Il a utilisé un exploit zero-day pour s'exécuter automatiquement lorsqu'il est connecté à un ordinateur Windows. Une clé USB a été utilisée car la principale cible de l'installation nucléaire de Natanz était isolée et non connectée à Internet. La clé USB a été soit "lâchée" près de l'installation et insérée par un employé involontaire, soit introduite par une taupe néerlandaise dans l'installation ; les détails de ceci sont basés sur des rapports non confirmés.

Le logiciel malveillant infectait les ordinateurs Windows lorsque la clé USB était insérée via une vulnérabilité zero-day. Cette vulnérabilité ciblait le processus qui rendait les icônes et permettait l'exécution de code à distance. Surtout, cette étape n'a pas nécessité d'interaction de l'utilisateur au-delà de l'insertion de la clé USB. Le malware comprenait un rootkit lui permettant d'infecter profondément le système d'exploitation et de tout manipuler, y compris des outils comme l'antivirus, pour masquer sa présence. Il a pu s'installer à l'aide d'une paire de clés de signature de pilote volées.

Astuce : les rootkits sont des virus particulièrement dangereux qui sont très difficiles à détecter et à supprimer. Ils se mettent dans une position où ils peuvent modifier l'ensemble du système, y compris le logiciel antivirus, pour détecter sa présence.

Le logiciel malveillant a ensuite tenté de se propager à d'autres appareils connectés via des protocoles de réseau local. Certaines méthodes utilisaient des exploits déjà connus. Cependant, l'un d'entre eux utilisait une vulnérabilité zero-day dans le pilote de partage d'imprimante Windows.

Fait intéressant, le logiciel malveillant comprenait une vérification pour désactiver l'infection d'autres appareils une fois que l'appareil avait infecté trois appareils différents. Cependant, ces appareils étaient eux-mêmes libres d'infecter trois autres appareils chacun, et ainsi de suite. Il comprenait également une vérification qui supprimait automatiquement le logiciel malveillant le 24 juin 2012.

Le processus réel de Stuxnet - Exploitation

Une fois qu'il s'est propagé, Stuxnet a vérifié si l'appareil infecté pouvait contrôler ses cibles, les centrifugeuses. Des automates Siemens S7 ou des contrôleurs logiques programmables contrôlaient les centrifugeuses. Les API ont été à leur tour programmés par les logiciels Siemens PCS 7, WinCC et STEP7 Industrial Control System (ICS). Pour minimiser le risque que le logiciel malveillant soit trouvé là où il ne pourrait pas affecter sa cible s'il ne pouvait trouver aucun des trois logiciels installés, il reste inactif, ne faisant rien d'autre.

Si des applications ICS sont installées, elles infectent un fichier DLL. Cela lui permet de contrôler les données que le logiciel envoie à l'automate. Dans le même temps, une troisième vulnérabilité zero-day, sous la forme d'un mot de passe de base de données codé en dur, est utilisée pour contrôler l'application localement. Ensemble, cela permet au logiciel malveillant d'ajuster la programmation de l'automate et de masquer le fait qu'il l'a fait au logiciel ICS. Il génère de fausses lectures indiquant que tout va bien. Il le fait lors de l'analyse de la programmation, du masquage des logiciels malveillants et du rapport de la vitesse de rotation, masquant ainsi l'effet réel.

L'ICS n'infecte alors que les automates Siemens S7-300, et même dans ce cas, uniquement si l'automate est connecté à un variateur de fréquence de l'un des deux fournisseurs. L'automate infecté n'attaque alors réellement que les systèmes dont la fréquence de pilotage est comprise entre 807Hz et 1210Hz. C'est beaucoup plus rapide que les centrifugeuses traditionnelles mais typique des centrifugeuses à gaz utilisées pour l'enrichissement de l'uranium. L'automate reçoit également un rootkit indépendant pour empêcher les appareils non infectés de voir les vraies vitesses de rotation.

Résultat

Dans l'installation de Natanz, toutes ces exigences ont été satisfaites car les centrifugeuses fonctionnent à 1064 Hz. Une fois infecté, le PLC a étendu la centrifugeuse jusqu'à 1410 Hz pendant 15 minutes, puis est tombé à 2 Hz, puis est revenu à 1064 Hz. Effectué à plusieurs reprises pendant un mois, cela a provoqué la panne d'environ un millier de centrifugeuses de l'installation de Natanz. Cela s'est produit parce que les changements de vitesse de rotation ont exercé une contrainte mécanique sur la centrifugeuse en aluminium, de sorte que les pièces se sont dilatées, sont entrées en contact les unes avec les autres et ont mécaniquement échoué.

Bien qu'il y ait des rapports d'environ 1000 centrifugeuses éliminées à cette époque, il y a peu ou pas de preuves de la gravité de l'échec. La perte est mécanique, en partie induite par les contraintes et les vibrations de résonance. L'échec est également dans un appareil énorme et lourd tournant très vite et était probablement dramatique. De plus, la centrifugeuse aurait contenu du gaz hexafluorure d'uranium, qui est toxique, corrosif et radioactif.

Les archives montrent que même si le ver était efficace dans sa tâche, il n'était pas efficace à 100 %. Le nombre de centrifugeuses fonctionnelles possédées par l'Iran est passé de 4700 à environ 3900. De plus, elles ont toutes été remplacées assez rapidement. L'installation de Natanz a enrichi plus d'uranium en 2010, l'année de l'infection, que l'année précédente.

Le ver n'était pas non plus aussi subtil qu'espéré. Les premiers rapports de pannes mécaniques aléatoires de centrifugeuses se sont avérés peu suspects, même si un précurseur les a provoqués sur Stuxnet. Stuxnet était plus actif et a été identifié par une société de sécurité appelée parce que les ordinateurs Windows plantaient occasionnellement. Un tel comportement se produit lorsque les exploits de mémoire ne fonctionnent pas comme prévu. Cela a finalement conduit à la découverte de Stuxnet, et non des centrifugeuses défaillantes.

Attribution

L'attribution de Stuxnet est entourée d'un déni plausible. Les coupables, cependant, sont largement supposés être à la fois les États-Unis et Israël. Les deux pays ont de fortes divergences politiques avec l'Iran et s'opposent profondément à ses programmes nucléaires, craignant qu'il ne tente de développer une arme nucléaire.

Le premier indice de cette attribution vient de la nature de Stuxnet. Les experts ont estimé qu'il aurait fallu à une équipe de 5 à 30 programmeurs au moins six mois pour écrire. De plus, Stuxnet a utilisé quatre vulnérabilités zero-day, un nombre inouï en une seule fois. Le code lui-même était modulaire et facile à étendre. Il visait un système de contrôle industriel, puis un système peu courant.

Il était incroyablement spécifiquement ciblé pour minimiser le risque de détection. De plus, il utilisait des certificats de conducteur volés qui auraient été très difficiles d'accès. Ces facteurs pointent vers une source extrêmement compétente, motivée et bien financée, ce qui signifie presque certainement un APT d'État-nation.

Des indices spécifiques sur l'implication des États-Unis incluent l'utilisation de vulnérabilités de type « jour zéro » précédemment attribuées au groupe Equation, largement considéré comme faisant partie de la NSA. La participation israélienne est légèrement moins bien attribuée, mais les différences de style de codage dans différents modules suggèrent fortement l'existence d'au moins deux parties contributrices. De plus, il y a au moins deux chiffres qui, s'ils étaient convertis en dates, seraient politiquement significatifs pour Israël. Israël a également ajusté son calendrier estimé pour une arme nucléaire iranienne peu de temps avant le déploiement de Stuxnet, indiquant qu'il était conscient d'un impact imminent sur le programme présumé.

Conclusion

Stuxnet était un ver auto-propagé. Il s'agissait de la première utilisation d'une cyber-arme et du premier cas de malware provoquant une destruction dans le monde réel. Stuxnet a été principalement déployé contre l'installation nucléaire iranienne de Natanz pour dégrader sa capacité d'enrichissement d'uranium. Il utilisait quatre vulnérabilités zero-day et était très complexe. Tous les signes indiquent qu'il est développé par un État-nation APT, les soupçons tombant sur les États-Unis et Israël.

Bien que Stuxnet ait réussi, il n'a pas eu d'impact significatif sur le processus d'enrichissement d'uranium de l'Iran. Cela a également ouvert la porte à l'utilisation future des cyberarmes pour causer des dommages physiques, même en temps de paix. Bien qu'il y ait eu de nombreux autres facteurs, cela a également contribué à accroître la sensibilisation des politiques, du public et des entreprises à la cybersécurité. Stuxnet a été déployé dans la période 2009-2010