LA PRIMA ARMA INFORMATICA DELLA STORIA
Venne definito «la prima arma informatica»,
in quanto non si limita a danneggiare i calcolatori,
ma i processi fisici da essi controllati.
•
Crescente attività di produzione di energia nucleare da parte dello stato
iraniano.
•
Preoccupazione dei servizi segreti USA che l’Iran potesse divenire in
grado di costruire una bomba atomica nel giro di 1-2 anni.
•
Concomitanza dell’attacco con le elezioni presidenziali iraniane del
2009.
Soluzione:
Sabotare le centrali
nucleari iraniane!
•
2006: Inizio dell’operazione “Giochi Olimpici”, in collaborazione tra USA
e Governo Israeliano, consistente in una serie di attacchi digitali contro
l’Iran.
•
2008-2009: sviluppo del Virus Stuxnet.
•
12 Giugno 2009: elezioni presidenziali (Mahmoud Ahmadinejad vs MirHossein Mousavi)
•
Stracciante vittoria di Ahmadinejad (63% contro 34%)
•
•
 Iran incredulo in rivolta.
 Più grande protesta dalla cacciata dello Scià di
Persia (1979).
•
Le proteste ebbero luogo fino al 22 giugno, con morti
nella repressione.
•
22 giugno 2009, h 16.30… una nuova versione di
Stuxnet è rilasciata.
•
•
Situazione a Natanz: Crescente numero di centrifughe presenti nella
centrale. Cresciute da 5400 a 7054 in quattro mesi, da febbraio a
giugno.
Nel giro di uno o due anni, l’Iran sarebbe stato in grado di arricchire
abbastanza uranio da costruire un’arma atomica.
Ma nessuno ancora sospettava
dell’imminente minaccia che incombeva
su Natanz e sull’Iran…
•
Giovedì 23 Giugno: Una compagnia chiamata Foolad Technic è la prima
vittima di Stuxnet. Fu infettata alle 4.40 del mattino.
•
Martedì 28 giugno:
•
•
•
la mattina, per le strade di Theran un corteo pacifico composto da 5000
persone marcia in memoria delle vittime delle proteste delle settimane
precedenti.
Alle 23.20 Stuxnet miete la sua seconda vittima: i computer di una
compagnia chiamata Behpajooh.
7 luglio: Il virus miete la sua terza vittima, la compagnia Neda Industrial Group,
occupatasi dell’installazione di sistemi di controllo, strumentazione di
precisione e di PLC Siemens.
•
22 luglio: un ingegnere di Neda nota l’anomalo comportamento dei
computer dell’azienda, comportamento che veniva diffuso ad altri
computer quando venivano trasferiti dati via USB key, ma non quando
venivano trasferiti dati via CD o DVD.
•
Centrifughe di Natanz funzionanti nell’arricchimento dell’Uranio:
•
•
•
4920 a giugno
4592 ad agosto
3936 a novembre
•
Giugno 2010: VirusBlokAda identifica il
virus Stuxnet per la prima volta.
•
Il contagio di Stuxnet si era esteso, oltre
che a 14 siti industriali iraniani, a un
numero elevato di computer in tutto il
mondo.
•
Agosto-settembre 2010: Microsoft rende
disponibili le patch per le zero-days
vulnerabilities sfruttate da Stuxnet.
PAESE
COMPUTER INFETTI
Iran
62 867
Indonesia
13 336
India
6 552
Stati Uniti
2 913
Australia
2 436
Regno Unito
1 038
Malesia
1 013
Pakistan
993
Finlandia
7
Germania
5
18 gennaio 2011: il quotidiano tedesco «Der Spiegel»
parla di una imminente nuova Chernobyl iraniana: la
situazione ancora non è tornata nella normalità…
Stuxnet è un virus (in windows) che attacca i sistemi di controllo industriali
e ne modifica il codice per consentire agli aggressori di assumere il
controllo di tali sistemi senza che ciò sia rilevato dagli operatori.
Nel caso in questione i sistemi bersaglio
dell’attacco furono i PLC S7 della Siemens,
gestiti dal software WinCC.
Stuxnet è costituito da 3 componenti :
1.
WORM_STUXNET : è la componente responsabile dell’accesso al controllo
dei sistemi di Siemens simatic WinCC e PCS 7 .
2.
LNK_STUXNET: esegue automaticamente le copie di WORM_STUXNET.
3.
RTKT_STUXNET: mantiene al sicuro l'infezione per non essere rintracciata.
•
Cerca il file S7OTBXDX.DLL utilizzato da sistemi di Siemens WinCC nella cartella
di sistema di Windows.
•
Rinomina il file originale in S7OTBXSX.DLL e lo sostituisce con un proprio file
con funzionalità modificate ( queste funzionalità sono utilizzate per accedere,
leggere, scrivere e cancellare i blocchi di codice sul PLC ).
•
In un sistema infetto, quando queste funzioni sono chiamate, Stuxnet esegue
codici supplementari, prima di richiamare la vera funzionalità posta in
S7OTBXSX.DLL.
•
Vengono così modificati i dati inviati da o verso il PLC.
1.
2.
3.
4.
(CVE-2010-2568) Scelta rapida, ha permesso il
diffondersi attraverso le unità rimovibili, anche con
Autorun disabilitato. Bollettino MS10-046.
(CVE-2008-4250) Diffusione tramite la rete - stesso
modalità di DOWNAD / Conficker . Bollettino MS08067.
(CVE-2010-2729) Printer Spooler, diffusione attraverso
le reti, tra sistemi che condividono una stampante in
rete. Bollettino MS10-061.
(CVE-2010-2772) Siemens SIMATIC WinCC Default
Password Security Bypass.
•
L’utilizzo di così tante vulnerabilità senza patch in una sola famiglia di
malware è fuori dal comune.
•
Chi ha scritto Stuxnet ha una notevole esperienza con la programmazione
del PLC Siemens.
•
La sua natura conferma che non è stato fin dall’inizio progettato per sistemi
comuni; si suppone quindi che gli autori erano fortemente consapevoli del
loro obiettivo.