Che cosè Stuxnet?

Quando si tratta di sicurezza informatica, normalmente sono le violazioni dei dati a fare notizia. Questi incidenti colpiscono molte persone e rappresentano una terribile notizia per l'azienda che riceve la violazione dei dati. Molto meno regolarmente, si sente parlare di un nuovo exploit zero-day che spesso preannuncia un'ondata di violazioni dei dati di aziende che non possono proteggersi. Non capita molto spesso di sentire parlare di incidenti informatici che non interessano direttamente gli utenti. Stuxnet è una di quelle rare eccezioni.

Worming la sua strada

Stuxnet è il nome di un ceppo di malware. In particolare, è un verme. Un worm è un termine utilizzato per indicare qualsiasi malware in grado di propagarsi automaticamente da un dispositivo infetto a un altro. Ciò gli consente di diffondersi rapidamente, poiché una singola infezione può provocare un'infezione su scala molto più ampia. Questo non era nemmeno ciò che ha reso Stuxnet famoso. Né era quanto si diffondesse, poiché non causava così tante infezioni. Ciò che distingueva Stuxnet erano i suoi obiettivi e le sue tecniche.

Stuxnet è stato trovato per la prima volta in una struttura di ricerca nucleare in Iran. Nello specifico, l'impianto di Natanz. Alcune cose su questo risaltano. In primo luogo, Natanz era una struttura atomica che lavorava all'arricchimento dell'uranio. In secondo luogo, la struttura non era connessa a Internet. Questo secondo punto rende difficile infettare il sistema con malware ed è generalmente noto come "air gap". Un air gap viene generalmente utilizzato per i sistemi suscettibili che non necessitano attivamente di una connessione Internet. Rende più difficile l'installazione degli aggiornamenti, ma riduce anche il panorama delle minacce.

In questo caso, Stuxnet è riuscito a "saltare" il vuoto d'aria attraverso l'uso di chiavette USB. La storia precisa è sconosciuta, con due opzioni popolari. La storia più vecchia era che le chiavette USB fossero state lasciate cadere di nascosto nel parcheggio della struttura e che un dipendente eccessivamente curioso le avesse inserite. COSÌ. Il malware sulla chiavetta USB includeva il primo dei quattro exploit zero-day utilizzati in Stuxnet. Questo zero-day ha lanciato automaticamente il malware quando la chiavetta USB è stata collegata a un computer Windows.

Obiettivi di Stuxnet

L'obiettivo principale di Stuxnet sembra essere l'impianto nucleare di Natanz. Anche altre strutture sono state colpite, con l'Iran che ha registrato quasi il 60% di tutte le infezioni mondiali. Natanz è entusiasmante perché una delle sue funzioni principali come impianto nucleare è l'arricchimento dell'uranio. Mentre l'uranio leggermente arricchito è necessario per le centrali nucleari, l'uranio altamente arricchito è necessario per costruire una bomba nucleare a base di uranio. Mentre l'Iran afferma che sta arricchendo l'uranio per l'uso nelle centrali nucleari, c'è stata preoccupazione internazionale per la quantità di arricchimento in corso e che l'Iran potrebbe tentare di costruire un'arma nucleare.

Per arricchire l'uranio, è necessario separare tre isotopi: U234, U235 e U238. L'U238 è di gran lunga il più abbondante in natura, ma non è adatto per l'uso di energia nucleare o armi nucleari. Il metodo attuale utilizza una centrifuga in cui la rotazione fa sì che i diversi isotopi si separino in base al peso. Il processo è lento per diversi motivi e richiede molto tempo. Fondamentalmente, le centrifughe utilizzate sono molto sensibili. Le centrifughe a Natanz giravano a 1064Hz. Stuxnet ha fatto girare le centrifughe più velocemente e poi più lentamente, fino a 1410Hz e fino a 2Hz. Ciò ha causato uno stress fisico sulla centrifuga, con conseguenti guasti meccanici catastrofici.

Questo guasto meccanico era il risultato previsto, con il presunto scopo di rallentare o arrestare il processo di arricchimento dell'uranio dell'Iran. Questo rende Stuxnet il primo esempio noto di un'arma informatica utilizzata per degradare le capacità di uno stato-nazione. È stato anche il primo utilizzo di qualsiasi forma di malware che ha provocato la distruzione fisica dell'hardware nel mondo reale.

L'effettivo processo di Stuxnet – Infezione

Stuxnet è stato introdotto in un computer tramite l'uso di una chiavetta USB. Ha utilizzato un exploit zero-day per eseguire se stesso quando è stato collegato automaticamente a un computer Windows. Una chiavetta USB è stata utilizzata come obiettivo principale L'impianto nucleare di Natanz era in air gap e non era connesso a Internet. La chiavetta USB è stata "lasciata cadere" vicino alla struttura e inserita da un dipendente inconsapevole oppure è stata introdotta da una talpa olandese presso la struttura; le specifiche di questo si basano su rapporti non confermati.

Il malware ha infettato i computer Windows quando la chiavetta USB è stata inserita attraverso una vulnerabilità zero-day. Questa vulnerabilità ha preso di mira il processo che rendeva le icone e consentiva l'esecuzione di codice in modalità remota. Fondamentalmente, questo passaggio non richiedeva l'interazione dell'utente oltre all'inserimento della chiavetta USB. Il malware includeva un rootkit che gli permetteva di infettare profondamente il sistema operativo e manipolare tutto, inclusi strumenti come l'antivirus, per nascondere la sua presenza. È stato in grado di installarsi da solo utilizzando un paio di chiavi di firma del driver rubate.

Suggerimento: i rootkit sono virus particolarmente pericolosi che sono molto difficili da rilevare e rimuovere. Si mettono in una posizione in cui possono modificare l'intero sistema, incluso il software antivirus, per rilevarne la presenza.

Il malware ha quindi tentato di diffondersi ad altri dispositivi collegati tramite protocolli di rete locali. Alcuni metodi facevano uso di exploit precedentemente noti. Tuttavia, uno ha utilizzato una vulnerabilità zero-day nel driver di condivisione della stampante di Windows.

È interessante notare che il malware includeva un controllo per disabilitare l'infezione di altri dispositivi una volta che il dispositivo aveva infettato tre diversi dispositivi. Tuttavia, quei dispositivi erano essi stessi liberi di infettare altri tre dispositivi ciascuno e così via. Includeva anche un controllo che eliminava automaticamente il malware il 24 giugno 2012.

Il processo effettivo di Stuxnet: sfruttamento

Una volta che si è diffuso, Stuxnet ha verificato se il dispositivo infetto potesse controllare i suoi bersagli, le centrifughe. PLC Siemens S7 o controllori logici programmabili controllavano le centrifughe. I PLC sono stati, a loro volta, programmati dal software Siemens PCS 7, WinCC e STEP7 Industrial Control System (ICS). Per ridurre al minimo il rischio che il malware venga trovato dove non potrebbe colpire il suo obiettivo se non riuscisse a trovare nessuno dei tre software installati, rimane inattivo, senza fare nient'altro.

Se sono installate applicazioni ICS, infetta un file DLL. Ciò consente di controllare quali dati il ​​software invia al PLC. Allo stesso tempo, una terza vulnerabilità zero-day, sotto forma di una password del database codificata, viene utilizzata per controllare l'applicazione localmente. Combinato, questo consente al malware di regolare la programmazione del PLC e di nascondere il fatto che lo ha fatto al software ICS. Genera false letture che indicano che va tutto bene. Lo fa durante l'analisi della programmazione, nascondendo il malware e segnalando la velocità di rotazione, nascondendo l'effetto reale.

L'ICS quindi infetta solo i PLC Siemens S7-300 e, anche in questo caso, solo se il PLC è collegato a un convertitore di frequenza di uno dei due fornitori. Il PLC infetto quindi attacca effettivamente solo i sistemi in cui la frequenza di azionamento è compresa tra 807Hz e 1210Hz. Questo è molto più veloce delle centrifughe tradizionali ma tipico delle centrifughe a gas utilizzate per l'arricchimento dell'uranio. Il PLC ottiene anche un rootkit indipendente per impedire ai dispositivi non infetti di vedere le reali velocità di rotazione.

Risultato

Nello stabilimento di Natanz, tutti questi requisiti sono stati soddisfatti poiché le centrifughe operano a 1064Hz. Una volta infettato, il PLC ha esteso la centrifuga fino a 1410 Hz per 15 minuti, quindi è sceso a 2 Hz e quindi è tornato a 1064 Hz. Fatto ripetutamente per più di un mese, ciò ha causato il guasto di circa un migliaio di centrifughe presso l'impianto di Natanz. Ciò è accaduto perché i cambiamenti nella velocità di rotazione esercitavano uno stress meccanico sulla centrifuga in alluminio in modo che le parti si espandessero, entrassero in contatto l'una con l'altra e si guastassero meccanicamente.

Sebbene ci siano segnalazioni di circa 1000 centrifughe smaltite in questo periodo, non ci sono prove di quanto catastrofico sarebbe il fallimento. La perdita è meccanica, in parte indotta da sollecitazioni e vibrazioni risonanti. Il guasto è anche in un dispositivo enorme e pesante che gira molto velocemente ed è stato probabilmente drammatico. Inoltre, la centrifuga avrebbe contenuto gas esafluoruro di uranio, che è tossico, corrosivo e radioattivo.

I registri mostrano che mentre il worm era efficace nel suo compito, non era efficace al 100%. Il numero di centrifughe funzionanti di proprietà dell'Iran è sceso da 4700 a circa 3900. Inoltre, sono state tutte sostituite in tempi relativamente brevi. L'impianto di Natanz ha arricchito più uranio nel 2010, l'anno dell'infezione, rispetto all'anno precedente.

Inoltre, il worm non era così sottile come sperato. I primi rapporti di guasti meccanici casuali delle centrifughe si sono rivelati non sospetti anche se un precursore li ha causati a Stuxnet. Stuxnet era più attivo ed è stato identificato da una società di sicurezza chiamata perché i computer Windows si bloccavano occasionalmente. Tale comportamento si verifica quando gli exploit della memoria non funzionano come previsto. Ciò alla fine ha portato alla scoperta di Stuxnet, non delle centrifughe fallite.

Attribuzione

L'attribuzione di Stuxnet è avvolta da plausibile negabilità. Tuttavia, è opinione diffusa che i colpevoli siano sia gli Stati Uniti che Israele. Entrambi i paesi hanno forti differenze politiche con l'Iran e si oppongono profondamente ai suoi programmi nucleari, temendo che stia tentando di sviluppare un'arma nucleare.

Il primo indizio per questa attribuzione viene dalla natura di Stuxnet. Gli esperti hanno stimato che un team di 5-30 programmatori avrebbe impiegato almeno sei mesi per scrivere. Inoltre, Stuxnet ha utilizzato quattro vulnerabilità zero-day, un numero inaudito in una volta sola. Il codice stesso era modulare e facile da espandere. Ha preso di mira un sistema di controllo industriale e quindi non particolarmente diffuso.

È stato mirato in modo incredibilmente specifico per ridurre al minimo il rischio di rilevamento. Inoltre, utilizzava certificati di guida rubati a cui sarebbe stato molto difficile accedere. Questi fattori indicano una fonte estremamente capace, motivata e ben finanziata, che quasi certamente significa un APT stato-nazione.

Suggerimenti specifici al coinvolgimento degli Stati Uniti includono l'utilizzo di vulnerabilità zero-day precedentemente attribuite al gruppo Equation, ampiamente ritenuto parte della NSA. La partecipazione israeliana è attribuita leggermente meno bene, ma le differenze nello stile di codifica nei diversi moduli suggeriscono fortemente l'esistenza di almeno due parti che contribuiscono. Inoltre, ci sono almeno due numeri che, se convertiti in date, sarebbero politicamente significativi per Israele. Israele ha anche modificato la sua tempistica stimata per un'arma nucleare iraniana poco prima che Stuxnet fosse dispiegato, indicando che erano a conoscenza di un impatto imminente sul presunto programma.

Conclusione

Stuxnet era un worm autopropagante. È stato il primo utilizzo di un'arma informatica e la prima istanza di malware che ha causato la distruzione del mondo reale. Stuxnet è stato schierato principalmente contro l'impianto nucleare iraniano di Natanz per degradare la sua capacità di arricchimento dell'uranio. Faceva uso di quattro vulnerabilità zero-day ed era molto complesso. Tutti i segnali indicano che è stato sviluppato da un APT stato-nazione, con sospetti che ricadono su Stati Uniti e Israele.

Sebbene Stuxnet abbia avuto successo, non ha avuto un impatto significativo sul processo di arricchimento dell'uranio in Iran. Ha anche aperto la porta al futuro utilizzo delle armi informatiche per causare danni fisici, anche in tempo di pace. Sebbene ci fossero molti altri fattori, ha anche contribuito ad aumentare la consapevolezza politica, pubblica e aziendale della sicurezza informatica. Stuxnet è stato implementato nel periodo 2009-2010