LA PRIMA ARMA INFORMATICA DELLA STORIA Venne definito «la prima arma informatica», in quanto non si limita a danneggiare i calcolatori, ma i processi fisici da essi controllati. • Crescente attività di produzione di energia nucleare da parte dello stato iraniano. • Preoccupazione dei servizi segreti USA che l’Iran potesse divenire in grado di costruire una bomba atomica nel giro di 1-2 anni. • Concomitanza dell’attacco con le elezioni presidenziali iraniane del 2009. Soluzione: Sabotare le centrali nucleari iraniane! • 2006: Inizio dell’operazione “Giochi Olimpici”, in collaborazione tra USA e Governo Israeliano, consistente in una serie di attacchi digitali contro l’Iran. • 2008-2009: sviluppo del Virus Stuxnet. • 12 Giugno 2009: elezioni presidenziali (Mahmoud Ahmadinejad vs MirHossein Mousavi) • Stracciante vittoria di Ahmadinejad (63% contro 34%) • • Iran incredulo in rivolta. Più grande protesta dalla cacciata dello Scià di Persia (1979). • Le proteste ebbero luogo fino al 22 giugno, con morti nella repressione. • 22 giugno 2009, h 16.30… una nuova versione di Stuxnet è rilasciata. • • Situazione a Natanz: Crescente numero di centrifughe presenti nella centrale. Cresciute da 5400 a 7054 in quattro mesi, da febbraio a giugno. Nel giro di uno o due anni, l’Iran sarebbe stato in grado di arricchire abbastanza uranio da costruire un’arma atomica. Ma nessuno ancora sospettava dell’imminente minaccia che incombeva su Natanz e sull’Iran… • Giovedì 23 Giugno: Una compagnia chiamata Foolad Technic è la prima vittima di Stuxnet. Fu infettata alle 4.40 del mattino. • Martedì 28 giugno: • • • la mattina, per le strade di Theran un corteo pacifico composto da 5000 persone marcia in memoria delle vittime delle proteste delle settimane precedenti. Alle 23.20 Stuxnet miete la sua seconda vittima: i computer di una compagnia chiamata Behpajooh. 7 luglio: Il virus miete la sua terza vittima, la compagnia Neda Industrial Group, occupatasi dell’installazione di sistemi di controllo, strumentazione di precisione e di PLC Siemens. • 22 luglio: un ingegnere di Neda nota l’anomalo comportamento dei computer dell’azienda, comportamento che veniva diffuso ad altri computer quando venivano trasferiti dati via USB key, ma non quando venivano trasferiti dati via CD o DVD. • Centrifughe di Natanz funzionanti nell’arricchimento dell’Uranio: • • • 4920 a giugno 4592 ad agosto 3936 a novembre • Giugno 2010: VirusBlokAda identifica il virus Stuxnet per la prima volta. • Il contagio di Stuxnet si era esteso, oltre che a 14 siti industriali iraniani, a un numero elevato di computer in tutto il mondo. • Agosto-settembre 2010: Microsoft rende disponibili le patch per le zero-days vulnerabilities sfruttate da Stuxnet. PAESE COMPUTER INFETTI Iran 62 867 Indonesia 13 336 India 6 552 Stati Uniti 2 913 Australia 2 436 Regno Unito 1 038 Malesia 1 013 Pakistan 993 Finlandia 7 Germania 5 18 gennaio 2011: il quotidiano tedesco «Der Spiegel» parla di una imminente nuova Chernobyl iraniana: la situazione ancora non è tornata nella normalità… Stuxnet è un virus (in windows) che attacca i sistemi di controllo industriali e ne modifica il codice per consentire agli aggressori di assumere il controllo di tali sistemi senza che ciò sia rilevato dagli operatori. Nel caso in questione i sistemi bersaglio dell’attacco furono i PLC S7 della Siemens, gestiti dal software WinCC. Stuxnet è costituito da 3 componenti : 1. WORM_STUXNET : è la componente responsabile dell’accesso al controllo dei sistemi di Siemens simatic WinCC e PCS 7 . 2. LNK_STUXNET: esegue automaticamente le copie di WORM_STUXNET. 3. RTKT_STUXNET: mantiene al sicuro l'infezione per non essere rintracciata. • Cerca il file S7OTBXDX.DLL utilizzato da sistemi di Siemens WinCC nella cartella di sistema di Windows. • Rinomina il file originale in S7OTBXSX.DLL e lo sostituisce con un proprio file con funzionalità modificate ( queste funzionalità sono utilizzate per accedere, leggere, scrivere e cancellare i blocchi di codice sul PLC ). • In un sistema infetto, quando queste funzioni sono chiamate, Stuxnet esegue codici supplementari, prima di richiamare la vera funzionalità posta in S7OTBXSX.DLL. • Vengono così modificati i dati inviati da o verso il PLC. 1. 2. 3. 4. (CVE-2010-2568) Scelta rapida, ha permesso il diffondersi attraverso le unità rimovibili, anche con Autorun disabilitato. Bollettino MS10-046. (CVE-2008-4250) Diffusione tramite la rete - stesso modalità di DOWNAD / Conficker . Bollettino MS08067. (CVE-2010-2729) Printer Spooler, diffusione attraverso le reti, tra sistemi che condividono una stampante in rete. Bollettino MS10-061. (CVE-2010-2772) Siemens SIMATIC WinCC Default Password Security Bypass. • L’utilizzo di così tante vulnerabilità senza patch in una sola famiglia di malware è fuori dal comune. • Chi ha scritto Stuxnet ha una notevole esperienza con la programmazione del PLC Siemens. • La sua natura conferma che non è stato fin dall’inizio progettato per sistemi comuni; si suppone quindi che gli autori erano fortemente consapevoli del loro obiettivo.