Stuxnet é um worm de computador descobriu em 2010 que foi projetado pela Agência de Segurança Nacional (NSA) em colaboração com a unidade israelense 8200 para tratar das centrífugas o Irã 's de enriquecimento de urânio . O programa começou sob a presidência de George W. Bush e continuou sob a presidência de Barack Obama . Faz parte da Operação Jogos Olímpicos e suas características o classificam como APT .
Específico para o sistema Windows , foi descoberto emjunho de 2010pela VirusBlokAda, uma empresa de segurança de TI com sede na Bielo - Rússia . A complexidade do worm é muito incomum para malware . Ele foi descrito por vários especialistas como uma arma cibernética , projetada para atacar um alvo industrial específico. Seria a primeira vez na história.
É o primeiro worm descoberto que espia e reprograma sistemas industriais, o que acarreta um alto risco. Ele visa especificamente os sistemas SCADA usados para o comando de controle de processos industriais. O Stuxnet tem a capacidade de reprogramar controladores lógicos programáveis industriais ( PLCs ) produzidos pela Siemens e camuflar suas modificações. Os controladores lógicos programáveis da Siemens são usados por algumas usinas hidrelétricas ou nucleares e para a distribuição de água potável ou dutos .
O worm afetou 45.000 sistemas de computador, incluindo 30.000 localizados no Irã , incluindo PCs pertencentes a funcionários da usina nuclear de Bushehr . Os outros 15.000 sistemas de computação são computadores e usinas de energia localizadas na Alemanha , França , Índia e Indonésia , usuários das tecnologias da Siemens.
Foi relatado pela primeira vez pela empresa de segurança VirusBlokAda mid-junho de 2010, e uma história foi traçada até Junho de 2009.
O vírus ataca os sistemas Windows utilizando quatro ataques “ dia zero ” (incluindo a vulnerabilidade CPLINK (in) e a vulnerabilidade explorada pelo worm Conficker ) e visa sistemas utilizando o software SCADA WinCC / PCS 7 da Siemens .
O vírus provavelmente é inoculado atualizando um vírus já instalado nos computadores de destino; em seguida, ele infecta outros computadores WinCC na rede com outros exploits . Uma vez no sistema, ele usa as senhas padrão para consultar o software. A Siemens desaconselha a alteração das senhas padrão, pois “isso pode afetar o funcionamento adequado da planta” .
A complexidade do worm é incomum para um malware : o ataque requer conhecimento dos processos industriais e das vulnerabilidades do Windows em um determinado momento, e marca o desejo de interromper as infraestruturas industriais. O número de exploits de " dia zero " usados no Windows também é incomum: esses exploits não descobertos, raros e valiosos, normalmente não são desperdiçados por hackers a ponto de mobilizar quatro no mesmo worm. O Stuxnet tem meio megabyte de tamanho e é escrito em diferentes linguagens de programação (incluindo C e C ++ ), o que também é incomum para malware .
Um porta-voz da Siemens disse que o worm foi encontrado em 15 sistemas, 5 dos quais estão localizados na Alemanha, em fábricas que abrigam sistemas de controle de processos industriais. A Siemens diz que nenhuma infecção ativa foi encontrada e nenhum dano causado pelo worm foi relatado. A Symantec diz que a maioria dos sistemas infectados está no Irã (quase 30.000 de 45.000 computadores infectados), o que leva a crer que pode ter sido deliberadamente visando "infraestrutura de alto valor" no Irã , presumivelmente ligada ao programa. Pesquisa nuclear. . Ralph Langner, um pesquisador alemão de segurança cibernética, diz que o alvo pretendido provavelmente foi atingido.
O Irã acusou um estado ou organização estrangeira de ter alvejado deliberadamente. O analista Bruce Schneier chamou a hipótese de que a usina nuclear de Bushehr foi apontada como interessante, embora a considere carente de evidências. O Irã disse que, assim como os computadores dos trabalhadores da fábrica foram afetados, a fábrica também foi. Começaroutubro de 2010, por ocasião de um artigo sobre a Unidade 8200 , ela própria uma seção da Aman , o serviço de inteligência militar israelense , Le Figaro escreveu:
“Pistas descobertas nos algoritmos do programa Stuxnet, tendo infectado, entre outras coisas, sistemas de computador iranianos, remetiam à heroína bíblica Esther . As possíveis ligações entre esta ofensiva virtual e Israel provavelmente nunca serão provadas, mas a suspeita nos círculos de inteligência é alta. "
Dentro novembro de 2010pesquisadores da Symantec e Langner Communications afirmaram que o worm tinha como alvo os sistemas de controle de turbinas a vapor, como os usados na usina nuclear Bushehr e os principais componentes da centrífuga . Na verdade, o vírus teria modificado, sem o conhecimento dos operadores da usina, as velocidades de rotação das centrífugas, levando à sua degradação e explosões. Os pesquisadores da Symantec também indicaram que o Stuxnet tinha uma data de "destruição" definida como.24 de junho de 2012.
O general israelense Gabi Ashkenazi afirmou, após sua aposentadoria, ser o responsável pelo ataque do worm Stuxnet.
A Rússia denunciou a cooperação entre os Estados Unidos e Israel para a criação deste worm e disse que este projeto poderia ter resultado em um desastre maior do que Chernobyl . Ela pediu à OTAN que investigasse este assunto. Uma investigação aprofundada do New York Times também confirma esta hipótese de cooperação israelo-americana.
Dentro fevereiro de 2011, A Symantec publica uma revisão completa do Stuxnet. Especialistas estimam que foram necessários seis meses de desenvolvimento e uma equipe de cinco a dez pessoas para escrever o programa, incluindo pelo menos um engenheiro com um conhecimento perfeito do equipamento industrial pretendido. A Microsoft, por sua vez, estima que o tempo necessário para criar o Stuxnet foi de "10.000 homens-dia" , sem incluir a equipe que roubou os certificados da Verisign da Realtek Semiconductor Corps e da JMicron Technology Corp em Taiwan , bem como uma equipe no Irã que provavelmente forneceu as informações necessárias para esta operação.
O programa é muito complexo e extremamente bem escrito, o que mostra uma vontade extraordinária de atingir o objetivo desejado, e exclui o trabalho de um grupo privado.
A arquitetura do programa é muito completa para um worm de computador, é composta por diferentes partes:
O worm pode ser executado enganando um processo central do Windows (Ntdll.dll) e enganando os antivírus mais famosos. Ele também possui partes criptografadas que proíbem qualquer leitura do vírus não carregado na memória. Uma característica interessante é que ele não ataca computadores com antivírus ETrust v5 e v6.
Originalmente, o Stuxnet se espalhou do laptop de um dos engenheiros conectado a um computador infectado na fábrica de Natanz. Depois que o computador foi conectado à Internet, o worm se espalhou pela Internet, afetando os sistemas de computador em muitos países.
De acordo com Eugene Kaspersky , o worm também infectou o sistema de uma usina nuclear na Rússia. A rigidez da rede da fábrica, no entanto, poupou a infecção da rede pública russa.
O worm, depois de executado com êxito em um computador saudável, se instala. Para fazer isso, ele usa duas outras falhas, ainda desconhecidas pela Microsoft quando o Stuxnet foi criado, para obter direitos de administrador.
Essas duas falhas permitem a execução de um código arbitrário com direitos de administrador. Assim que os direitos forem obtidos, o worm instala os seguintes componentes:
O 15 de julho de 2010, A Siemens oferece a seus clientes uma ferramenta capaz de detectar e remover o worm.
O 2 de agosto de 2010, A Microsoft anuncia o Boletim de segurança MS10-046.
O 19 de agosto de 2010, uma ferramenta de remoção é disponibilizada pelo FSB Security Labs na França.
O 8 de outubro de 2010, uma ferramenta de remoção é fornecida pelo BitDefender .