STUXNET LA PRIMA ARMA INFORMATICA DELLA STORIA GIACOMO

STUXNET LA PRIMA ARMA INFORMATICA DELLA STORIA GIACOMO RE ROBERTO MARIA ROSATI

Stuxnet: first digital weapon Venne definito «la prima arma informatica» , in quanto non si limita a danneggiare i calcolatori, ma i processi fisici da essi controllati.

Contesto geopolitico: • Crescente attività di produzione di energia nucleare da parte dello stato iraniano. • Preoccupazione dei servizi segreti USA che l’Iran potesse divenire in grado di costruire una bomba atomica nel giro di 1 -2 anni. • Concomitanza dell’attacco con le elezioni presidenziali iraniane del 2009.

Contesto geopolitico: Soluzione: Sabotare le centrali nucleari iraniane!

Storia dell’attacco (1) • 2006: Inizio dell’operazione “Giochi Olimpici”, in collaborazione tra USA e Governo Israeliano, consistente in una serie di attacchi digitali contro l’Iran. • 2008 -2009: sviluppo del Virus Stuxnet. • 12 Giugno 2009: elezioni presidenziali (Mahmoud Ahmadinejad vs Mir. Hossein Mousavi)

Storia dell’attacco (2) • Stracciante vittoria di Ahmadinejad (63% contro 34%) • • Iran incredulo in rivolta. Più grande protesta dalla cacciata dello Scià di Persia (1979). • Le proteste ebbero luogo fino al 22 giugno, con morti nella repressione. • 22 giugno 2009, h 16. 30… una nuova versione di Stuxnet è rilasciata.

Storia dell’attacco (3) • • Situazione a Natanz: Crescente numero di centrifughe presenti nella centrale. Cresciute da 5400 a 7054 in quattro mesi, da febbraio a giugno. Nel giro di uno o due anni, l’Iran sarebbe stato in grado di arricchire abbastanza uranio da costruire un’arma atomica.

Storia dell’attacco (4) Ma nessuno ancora sospettava dell’imminente minaccia che incombeva su Natanz e sull’Iran…

Storia dell’attacco (5) • Giovedì 23 Giugno: Una compagnia chiamata Foolad Technic è la prima vittima di Stuxnet. Fu infettata alle 4. 40 del mattino. • Martedì 28 giugno: • • • la mattina, per le strade di Theran un corteo pacifico composto da 5000 persone marcia in memoria delle vittime delle proteste delle settimane precedenti. Alle 23. 20 Stuxnet miete la sua seconda vittima: i computer di una compagnia chiamata Behpajooh. 7 luglio: Il virus miete la sua terza vittima, la compagnia Neda Industrial Group, occupatasi dell’installazione di sistemi di controllo, strumentazione di precisione e di PLC Siemens.

Storia dell’attacco (6) • 22 luglio: un ingegnere di Neda nota l’anomalo comportamento dei computer dell’azienda, comportamento che veniva diffuso ad altri computer quando venivano trasferiti dati via USB key, ma non quando venivano trasferiti dati via CD o DVD. • Centrifughe di Natanz funzionanti nell’arricchimento dell’Uranio: • • • 4920 a giugno 4592 ad agosto 3936 a novembre

Storia dell’attacco (7) • Giugno 2010: Virus. Blok. Ada identifica il virus Stuxnet per la prima volta. • Il contagio di Stuxnet si era esteso, oltre che a 14 siti industriali iraniani, a un numero elevato di computer in tutto il mondo. • Agosto-settembre 2010: Microsoft rende disponibili le patch per le zero-days vulnerabilities sfruttate da Stuxnet.

Computer infetti al 6 ago 2010 PAESE COMPUTER INFETTI Iran 62 867 Indonesia 13 336 India 6 552 Stati Uniti 2 913 Australia 2 436 Regno Unito 1 038 Malesia 1 013 Pakistan 993 Finlandia 7 Germania 5

La tragedia sventata 18 gennaio 2011: il quotidiano tedesco «Der Spiegel» parla di una imminente nuova Chernobyl iraniana: la situazione ancora non è tornata nella normalità…

Cos’è stuxnet ? Stuxnet è un virus (in windows) che attacca i sistemi di controllo industriali e ne modifica il codice per consentire agli aggressori di assumere il controllo di tali sistemi senza che ciò sia rilevato dagli operatori. Nel caso in questione i sistemi bersaglio dell’attacco furono i PLC S 7 della Siemens, gestiti dal software Win. CC.

Le 6 fasi dell’infezione

Cos’è stuxnet ? Stuxnet è costituito da 3 componenti : 1. WORM_STUXNET : è la componente responsabile dell’accesso al controllo dei sistemi di Siemens simatic Win. CC e PCS 7. 2. LNK_STUXNET: esegue automaticamente le copie di WORM_STUXNET. 3. RTKT_STUXNET: mantiene al sicuro l'infezione per non essere rintracciata.

Come agisce WORM_STUXNET ? • Cerca il file S 7 OTBXDX. DLL utilizzato da sistemi di Siemens Win. CC nella cartella di sistema di Windows. • Rinomina il file originale in S 7 OTBXSX. DLL e lo sostituisce con un proprio file con funzionalità modificate ( queste funzionalità sono utilizzate per accedere, leggere, scrivere e cancellare i blocchi di codice sul PLC ). • In un sistema infetto, quando queste funzioni sono chiamate, Stuxnet esegue codici supplementari, prima di richiamare la vera funzionalità posta in S 7 OTBXSX. DLL. • Vengono così modificati i dati inviati da o verso il PLC.

Vulnerabilità sfruttate? (CVE-2010 -2568) Scelta rapida, ha permesso il diffondersi attraverso le unità rimovibili, anche con Autorun disabilitato. Bollettino MS 10 -046. 2. (CVE-2008 -4250) Diffusione tramite la rete - stesso modalità di DOWNAD / Conficker. Bollettino MS 08067. 3. (CVE-2010 -2729) Printer Spooler, diffusione attraverso le reti, tra sistemi che condividono una stampante in rete. Bollettino MS 10 -061. 4. (CVE-2010 -2772) Siemens SIMATIC Win. CC Default Password Security Bypass. 1.

Considerazioni su Stuxnet • L’utilizzo di così tante vulnerabilità senza patch in una sola famiglia di malware è fuori dal comune. • Chi ha scritto Stuxnet ha una notevole esperienza con la programmazione del PLC Siemens. • La sua natura conferma che non è stato fin dall’inizio progettato per sistemi comuni; si suppone quindi che gli autori erano fortemente consapevoli del loro obiettivo.