Stuxnet

Stuxnet é um worm de computador descobriu em 2010 que foi projetado pela Agência de Segurança Nacional (NSA) em colaboração com a unidade israelense 8200 para tratar das centrífugas o Irã 's de enriquecimento de urânio . O programa começou sob a presidência de George W. Bush e continuou sob a presidência de Barack Obama . Faz parte da Operação Jogos Olímpicos e suas características o classificam como APT .

Específico para o sistema Windows , foi descoberto emjunho de 2010pela VirusBlokAda, uma empresa de segurança de TI com sede na Bielo - Rússia . A complexidade do worm é muito incomum para malware . Ele foi descrito por vários especialistas como uma arma cibernética , projetada para atacar um alvo industrial específico. Seria a primeira vez na história.

É o primeiro worm descoberto que espia e reprograma sistemas industriais, o que acarreta um alto risco. Ele visa especificamente os sistemas SCADA usados ​​para o comando de controle de processos industriais. O Stuxnet tem a capacidade de reprogramar controladores lógicos programáveis ​​industriais ( PLCs ) produzidos pela Siemens e camuflar suas modificações. Os controladores lógicos programáveis ​​da Siemens são usados ​​por algumas usinas hidrelétricas ou nucleares e para a distribuição de água potável ou dutos .

O worm afetou 45.000 sistemas de computador, incluindo 30.000 localizados no Irã , incluindo PCs pertencentes a funcionários da usina nuclear de Bushehr . Os outros 15.000 sistemas de computação são computadores e usinas de energia localizadas na Alemanha , França , Índia e Indonésia , usuários das tecnologias da Siemens.

Modo de ataque

Foi relatado pela primeira vez pela empresa de segurança VirusBlokAda mid-junho de 2010, e uma história foi traçada até Junho de 2009.

O vírus ataca os sistemas Windows utilizando quatro ataques “  dia zero  ” (incluindo a vulnerabilidade CPLINK  (in) e a vulnerabilidade explorada pelo worm Conficker ) e visa sistemas utilizando o software SCADA WinCC / PCS 7 da Siemens .

O vírus provavelmente é inoculado atualizando um vírus já instalado nos computadores de destino; em seguida, ele infecta outros computadores WinCC na rede com outros exploits . Uma vez no sistema, ele usa as senhas padrão para consultar o software. A Siemens desaconselha a alteração das senhas padrão, pois “isso pode afetar o funcionamento adequado da planta” .

A complexidade do worm é incomum para um malware  : o ataque requer conhecimento dos processos industriais e das vulnerabilidades do Windows em um determinado momento, e marca o desejo de interromper as infraestruturas industriais. O número de exploits de " dia zero  " usados ​​no Windows  também é incomum: esses exploits não descobertos, raros e valiosos, normalmente não são desperdiçados por hackers a ponto de mobilizar quatro no mesmo worm. O Stuxnet tem meio megabyte de tamanho e é escrito em diferentes linguagens de programação (incluindo C e C ++ ), o que também é incomum para malware .

Irã, alvo de um ataque cibernético israelense?

Um porta-voz da Siemens disse que o worm foi encontrado em 15 sistemas, 5 dos quais estão localizados na Alemanha, em fábricas que abrigam sistemas de controle de processos industriais. A Siemens diz que nenhuma infecção ativa foi encontrada e nenhum dano causado pelo worm foi relatado. A Symantec diz que a maioria dos sistemas infectados está no Irã (quase 30.000 de 45.000 computadores infectados), o que leva a crer que pode ter sido deliberadamente visando "infraestrutura de alto valor" no Irã , presumivelmente ligada ao programa. Pesquisa nuclear. . Ralph Langner, um pesquisador alemão de segurança cibernética, diz que o alvo pretendido provavelmente foi atingido.

O Irã acusou um estado ou organização estrangeira de ter alvejado deliberadamente. O analista Bruce Schneier chamou a hipótese de que a usina nuclear de Bushehr foi apontada como interessante, embora a considere carente de evidências. O Irã disse que, assim como os computadores dos trabalhadores da fábrica foram afetados, a fábrica também foi. Começaroutubro de 2010, por ocasião de um artigo sobre a Unidade 8200 , ela própria uma seção da Aman , o serviço de inteligência militar israelense , Le Figaro escreveu:

“Pistas descobertas nos algoritmos do programa Stuxnet, tendo infectado, entre outras coisas, sistemas de computador iranianos, remetiam à heroína bíblica Esther . As possíveis ligações entre esta ofensiva virtual e Israel provavelmente nunca serão provadas, mas a suspeita nos círculos de inteligência é alta. "

Dentro novembro de 2010pesquisadores da Symantec e Langner Communications afirmaram que o worm tinha como alvo os sistemas de controle de turbinas a vapor, como os usados ​​na usina nuclear Bushehr e os principais componentes da centrífuga . Na verdade, o vírus teria modificado, sem o conhecimento dos operadores da usina, as velocidades de rotação das centrífugas, levando à sua degradação e explosões. Os pesquisadores da Symantec também indicaram que o Stuxnet tinha uma data de "destruição" definida como.24 de junho de 2012.

O general israelense Gabi Ashkenazi afirmou, após sua aposentadoria, ser o responsável pelo ataque do worm Stuxnet.

A Rússia denunciou a cooperação entre os Estados Unidos e Israel para a criação deste worm e disse que este projeto poderia ter resultado em um desastre maior do que Chernobyl . Ela pediu à OTAN que investigasse este assunto. Uma investigação aprofundada do New York Times também confirma esta hipótese de cooperação israelo-americana.

Análise Stuxnet

Dentro fevereiro de 2011, A Symantec publica uma revisão completa do Stuxnet. Especialistas estimam que foram necessários seis meses de desenvolvimento e uma equipe de cinco a dez pessoas para escrever o programa, incluindo pelo menos um engenheiro com um conhecimento perfeito do equipamento industrial pretendido. A Microsoft, por sua vez, estima que o tempo necessário para criar o Stuxnet foi de "10.000 homens-dia" , sem incluir a equipe que roubou os certificados da Verisign da Realtek Semiconductor Corps e da JMicron Technology Corp em Taiwan , bem como uma equipe no Irã que provavelmente forneceu as informações necessárias para esta operação.

O programa é muito complexo e extremamente bem escrito, o que mostra uma vontade extraordinária de atingir o objetivo desejado, e exclui o trabalho de um grupo privado.

A arquitetura do programa é muito completa para um worm de computador, é composta por diferentes partes:

Proteção

O worm pode ser executado enganando um processo central do Windows (Ntdll.dll) e enganando os antivírus mais famosos. Ele também possui partes criptografadas que proíbem qualquer leitura do vírus não carregado na memória. Uma característica interessante é que ele não ataca computadores com antivírus ETrust v5 e v6.

Espalhar

Originalmente, o Stuxnet se espalhou do laptop de um dos engenheiros conectado a um computador infectado na fábrica de Natanz. Depois que o computador foi conectado à Internet, o worm se espalhou pela Internet, afetando os sistemas de computador em muitos países.

De acordo com Eugene Kaspersky , o worm também infectou o sistema de uma usina nuclear na Rússia. A rigidez da rede da fábrica, no entanto, poupou a infecção da rede pública russa.

Instalação

O worm, depois de executado com êxito em um computador saudável, se instala. Para fazer isso, ele usa duas outras falhas, ainda desconhecidas pela Microsoft quando o Stuxnet foi criado, para obter direitos de administrador.

Essas duas falhas permitem a execução de um código arbitrário com direitos de administrador. Assim que os direitos forem obtidos, o worm instala os seguintes componentes:

Ferramenta de remoção

O 15 de julho de 2010, A Siemens oferece a seus clientes uma ferramenta capaz de detectar e remover o worm.

O 2 de agosto de 2010, A Microsoft anuncia o Boletim de segurança MS10-046.

O 19 de agosto de 2010, uma ferramenta de remoção é disponibilizada pelo FSB Security Labs na França.

O 8 de outubro de 2010, uma ferramenta de remoção é fornecida pelo BitDefender .

Bibliografia

Notas e referências

  1. (em) David E. Sanger , "  Obama Ordered Wave of cyberattacks Against Iran  " , The New York Times ,1 ° de junho de 2012( leia online ).
  2. (em) James Bamford , "  NSA Snooping Was Only the Beginning. Conheça o chefe da espionagem que nos leva à guerra cibernética  ” , com fio ,6 de dezembro de 2013( leia online ).
  3. (em) David E. Sanger, "  Obama Order Sped Up Wave of cyberattacks Against Iran  " , The New York Times ,1 ° de junho de 2012(acessado em 5 de junho de 2012 ) .
  4. (em) Este é o primeiro exemplo ao vivo de software transformado em arma, altamente customizado e projetado para encontrar um alvo específico.  » , O malware Stuxnet é uma 'arma' pronta para destruir… a usina nuclear Bushehr do Irã?
  5. (in) Pesquisadores da Symantec [...] dizem que é o primeiro worm construído não apenas para espionar sistemas industriais, mas também para reprogramá-los.  " , "  Siemens: Stuxnet worm atingiu sistemas industriais  " ( ArquivoWikiwixArchive.isGoogle • O que fazer? ) (Acessado em 3 de setembro de 2014 )
  6. (en) Robert McMillan, “  Siemens: worm Stuxnet atingiu sistemas industriais  ” ( ArquivoWikiwixArchive.isGoogle • O que fazer? ) , Computerworld ,16 de setembro de 2010(acessado em 16 de setembro de 2010 ) .
  7. Gregg Keizer, “  O Stuxnet é o 'melhor' malware de todos os tempos?  " [ Arquivo de5 de dezembro de 2012] , Mundo da informação ,16 de setembro de 2010(acessado em 16 de setembro de 2010 )
  8. Steven Cherry, com Ralph Langner, "  How Stuxnet Is Rewriting the Cyberterrorism Playbook  " , IEEE Spectrum ,13 de outubro de 2010
  9. (en) Thomas Erdbrink e Ellen Nakashima, Irã lutando para conter o worm de computador "feito no exterior" , The Washington Post ,28 de setembro de 2010
  10. (em) Tom Espiner, Siemens Warns Stuxnet targets of password risk  " , cnet ,20 de julho de 2010(acessado em 17 de setembro de 2010 ) .
  11. (em) Jonathan Fildes , Stuxnet worm' Targeted high-value Iranian assets '  " , BBC News ,23 de setembro de 2010(acessado em 23 de setembro de 2010 ) .
  12. (in) CRVE, Stuxnet aussi found at industrial plants in Germany  " , The H  (in) ,17 de setembro de 2010(acessado em 18 de setembro de 2010 ) .
  13. (em) Robert McMillan, Iran was prime target of SCADA worm  " , Computerworld ,23 de julho de 2010(acessado em 17 de setembro de 2010 ) .
  14. (em) Ellen Nakashima, usinas de energia dos EUA sob risco de ataque por worm de computador como Stuxnet , The Washington Post ,1 st de Outubro de 2010
  15. (em) Mark Clayton, "O  malware Stuxnet é uma 'arma' pronta para destruir ... a usina nuclear Bushehr do Irã?  " , The Christian Science Monitor ,21 de setembro de 2010(acessado em 23 de setembro de 2010 ) .
  16. (in) Bruce Schneier , Schneier on Security: The Stuxnet Worm  " ,22 de setembro de 2010(acessado em 23 de setembro de 2010 ) .
  17. Adrien Jaulmes, "  Ataques cibernéticos no Irã: uma suspeita unidade israelense  " , Le Figaro ,5 de outubro de 2010(acessado em 10 de junho de 2012 )
  18. (em) Glenn Kesler Computer Worm pode ter visado o programa nuclear do Irã , The Washington Post ,15 de novembro de 2010
  19. "  Nossos shows  " , no Public Senat (acessado em 31 de agosto de 2020 ) .
  20. Yves Eudes, "  Flame, a state spy virus  ", Le Monde ,20 de junho de 2012( leia online ).
  21. Olivier Robillart, "  Um general israelense afirma ser o 'pai' do Stuxnet  " , em www.clubic.com ,17 de fevereiro de 2011(acessado em 10 de junho de 2012 ) .
  22. http://nanojv.wordpress.com/2011/01/28/stuxnet-rosatom-bushehr-123/ .
  23. (em) David E. Sanger, "  Obama Order Sped Up Wave of cyberattacks Against Iran  " , The New York Times ,1 ° de junho de 2012(acessado em 10 de junho de 2012 ) .
  24. análise completa das Stuxnet publicado pela Symantec (en) [PDF] [1]
  25. O que é o arquivo ntdll.dll? ComputerHope.com
  26. (in) David Shamah, "  Stuxnet, perdido, atingiu a usina nuclear russa, estação espacial  " , The Times of Israel ,11 de novembro de 2013( leia online )
  27. [2]
  28. [3]
  29. [4]

Veja também

Fonte original parcial

Artigos relacionados

links externos