Stuxnet

Stuxnet este un vierme de computer care a fost descoperit în iunie 2010 și descris pentru prima dată sub numele RootkitTmphider . Programul malware a fost special dezvoltat pentru a ataca un sistem de monitorizare și control ( sistem SCADA ) de la Siemens - Simatic S7 . Controlul de convertoare de frecvență de la Constructorilor Vacon din Finlanda și Fararo Paya de la Teheran au fost intervenit. Convertizoarele de frecvență sunt utilizate, de exemplu, pentru a controla viteza motoarelor .

Astfel de controale sunt utilizate pe scară largă, de exemplu în instalațiile industriale, cum ar fi instalațiile de apă , aerul condiționat sau conductele .

Din moment ce Iranul deținut cea mai mare proporție de infectate calculatoare până la sfârșitul lunii septembrie 2010 și au existat întreruperi extraordinare în programul nuclear iranian , era evident că Stuxnet a fost creat în principal pentru a perturba tehnologia de control al instalației de îmbogățire a uraniului din Natanz sau nuclear Buschehr centrală electrică .

Grupul și clientul de programatori cu înaltă calificare sunt necunoscuți. Cu toate acestea, Departamentul de Justiție al SUA a anunțat în iunie 2013 că inițiază o anchetă asupra fostului al doilea cel mai înalt ofițer din SUA și mai târziu pe managerul de proiect Stuxnet, generalul James E. Cartwright . Agenția suspectează că Cartwright a dezvăluit detalii despre Stuxnet către New York Times în 2010 , ceea ce ar fi dus la expunerea programului de sabotaj de 50 de milioane de dolari.

Proprietăți și caracteristici speciale

Datorită complexității sale și a scopului de sabotare a sistemelor de control ale instalațiilor industriale, Stuxnet este considerat unic până în prezent. Constatările disponibile publicului se bazează pe declarațiile profesioniștilor IT care au analizat fișierele executabile ale malware-ului. Judecățile se bazează parțial pe interpretări, deoarece textul sursă al autorului nu este publicat.

Datorită complexității Stuxnet, se presupune un efort de dezvoltare extraordinar de mare pentru malware. Cu un mediu de testare existent pentru hardware și software, timpul necesar este estimat la cel puțin șase luni, necesarul de personal la cel puțin cinci până la zece dezvoltatori principali și personal suplimentar pentru asigurarea și gestionarea calității. În plus față de cunoștințele de specialitate pentru dezvoltarea software-ului, trebuiau să fie disponibile cunoștințe despre lacunele de securitate necunoscute și accesul la semnăturile secrete ale două companii. Companiile cu cele mai vechi semne de infecție Stuxnet au fost furnizori. Prin urmare, programul rău intenționat a fost introdus indirect prin intermediul rețelei partenere.

Unicitatea Stuxnet în momentul descoperirii sale este evidentă în mod deosebit în modul în care este distribuit

1. Exploatarea mai multor lacune de securitate necunoscute anterior în sistemele de operare Microsoft de la Windows 2000 la Windows 7 sau Windows Server 2008 R2 ,
2. Instalarea unui rootkit în aceste sisteme de operare cu ajutorul semnăturilor digitale furate de la producătorii taiwanezi de hardware Realtek și JMicron Technology ,
3. cunoștințe precise despre sistemul de vizualizare a procesului WinCC pentru monitorizarea și controlul proceselor tehnice cu Simatic S7 (ICS: Industrial Control System), precum și
4. Instalarea altui rootkit în sistemul de control ( PLC , engl PLC. Programmable Logic Controller) al unui astfel de sistem PCS-7 .

Calea infecției

Viermele Stuxnet a fost pus în circulație până cel târziu la 15 noiembrie 2007; serverele de comandă și control asociate au fost înregistrate la 3 noiembrie 2005. Stuxnet a fost identificat pentru prima dată în iunie 2010 de Sergej Ulasen de la compania din Belarus VirusBlokAda în urma unui sfat de la un client iranian. Blocări ale sistemului și alte defecțiuni au apărut într-unul dintre sistemele de acolo. De atunci, funcționalitatea malware-ului a fost discutată de producătorii de software de securitate . La Conferința Virus Bulletin 2010 , Symantec a rezumat starea actuală a cunoștințelor în dosarul W32.Stuxnet , care este actualizat atunci când sunt disponibile noi descoperiri. În consecință, Stuxnet atacă sistemele Simatic S7 a căror configurație are anumite proprietăți.

În general, sistemele Simatic sunt configurate , puse în funcțiune și întreținute cu un notebook special , „SIMATIC Field PG” . În plus față de sistemul de operare, software-ul pentru programarea cu STEP 7 și pentru vizualizarea proceselor cu WinCC este preinstalat pe un astfel de dispozitiv de programare (PG) . Mai mult, dispozitivul cu Ethernet - USB și PROFIBUS - interfață este montat.

Planificarea proiectului și dezvoltarea software-ului HMI ( Human Machine Interface ) are loc în cadrul unei rețele interne ( LAN ), al cărei acces la Internet este protejat de un firewall . Există cel puțin un folder de proiect STEP 7 pe un Field PG . Cuplarea cu un PLC este stabilită pe partea de software de către biblioteca de software a WinCC-DLL ( Dynamic Link Library ). Field PG este conectat la sistemul de control propriu-zis pentru punere în funcțiune, diagnostic și întreținere. De regulă, acest lucru este rar conectat la o rețea LAN sau chiar direct la internet.

Un posibil scenariu de atac apare pe baza proprietăților tehnice ale Stuxnet: După infecția inițială într-o companie, Stuxnet încearcă să se răspândească în LAN pentru a localiza câmpurile PG. Toate folderele de proiect STEP7 și biblioteca WinCC sunt infectate pe acestea. De îndată ce un PG afectat este conectat la un sistem de control adecvat, Stuxnet încearcă să-și schimbe programarea. Acest lucru se face ascuns de operatori: Stuxnet este, de asemenea, un rootkit PLC. Programul malware este neobișnuit de mare pentru un vierme de computer. Purtă tot codul de care are nevoie pentru a se actualiza cu un mecanism peer-to-peer fără a fi nevoie de o conexiune permanentă la internet. În plus, există funcții pentru a putea oferi feedback unui server de comandă și control , cum ar fi într-o botnet .

Nivelul sistemului de operare

Pentru a-și atinge obiectivul, Stuxnet trebuie să ajungă la computere care sunt (probabil) conectate la sistemul de control vizat. În acest scop, patru lacune de securitate Windows ( exploatări zero-day ) care au fost nepublicate în timpul utilizării au fost utilizate în mod greșit. Acest lucru afectează sistemele de operare pe 32 de biți Windows 2000 , Windows XP , Windows Server 2003 , Windows Vista , Windows Server 2008 , Windows 7 . Stuxnet încearcă să se instaleze pe unul dintre sistemele menționate imediat ce este conectat un mediu de stocare USB . Pentru aceasta, tolerantul la erori analizează cele autorun.infexploatate de Windows. Acest fișier conține codul rău intenționat, precum și informații valide de autorun la sfârșit , conform cărora fișierul este un fișier EXE executabil . Chiar dacă opțiunea de pornire automată a fost dezactivată, în meniul contextual este disponibilă o funcție deschisă care permite executarea manuală a codului rău intenționat.

La începutul infecției, Stuxnet verifică mai întâi dacă computerul este deja infectat și, dacă da, dacă datele sale de configurare salvate sunt actualizate. Apoi verifică dacă există un sistem adecvat pe 32 de biți. În funcție de versiunea sistemului de operare, el își dă drepturi extinse prin două exploatări diferite de zero zile folosind escaladarea privilegiilor . Până la versiunea Windows XP SP2 , Stuxnet folosește o eroare în driverul modului kernel în acest scop , cu versiuni mai noi utilizează o gaură în planificatorul de sarcini . Stuxnet încearcă apoi să-și injecteze codul rău intenționat în antivirusul instalat și în serviciile de sistem Windows . Instalarea efectivă conduce Stuxnet apoi într-un sistem separat, de sistemul compromis ca proces clasificat de încredere din. În plus față de alte fișiere, viermele folosește și certificatele semnate pentru a instala două fișiere de driver și în sistem, care sunt menite să asigure că Stuxnet continuă să se răspândească chiar și după o repornire . win32k.sys mrxcls.sysmrxnet.sys

După instalarea rootkit-ului Windows, Stuxnet are la dispoziție mai multe opțiuni pentru a se răspândi într-o rețea LAN în care este posibil doar accesul la internet limitat sau deloc: sunt instalate programe client și server RPC care acceptă peer Permiteți comunicarea pe -peer între mai multe computere infectate . Diferitele instanțe Stuxnet sunt astfel capabile să se actualizeze la o versiune mai nouă existentă . Stuxnet încearcă, de asemenea, să se instaleze pe alte computere prin distribuirea directoarelor tuturor utilizatorilor unui computer și a domeniului .

Viermele computerului folosește o gaură de securitate în gestionarea spoolerului de tipărire ("Vulnerabilitate de tip zero pentru Spooler de imprimare") pentru a scrie fișiere în %System%director. Între timp, s-a constatat că această vulnerabilitate a fost deja descrisă de revista Hakin9 în aprilie 2009, dar a fost exploatată pentru prima dată de Stuxnet în sălbăticie . Această lacună este exploatată numai dacă data sistemului este înainte de 1 iunie 2011.

O depășire a bufferului în Windows Server Service (WSS) a fost deja exploatată de viermele Downadup aliasului Conficker . Stuxnet folosește, de asemenea, această eroare pentru a se instala pe alte computere prin SMB . Cu toate acestea, anumite termene trebuie respectate pentru aceasta:

1. Data actuală este înainte de 1 ianuarie 2030.
2. Fișierele de definire a virusului au fost actualizate ultima dată înainte de 1 ianuarie 2009.
3. Ștampilele de timp de la 28 octombrie 2008 ( Windows Patch Day ) kernel32.dllși care netapi32.dllvor fi ulterior .

Într-o versiune a Stuxnet care a fost dovedită din martie 2010, este utilizată o vulnerabilitate în manipularea fișierelor LNK pentru a putea răspândi viermele prin intermediul unităților USB recent conectate fără a fi nevoie să vă bazați pe o conexiune de rețea. Pentru a face acest lucru, este suficient să afișați conținutul directorului unității. Înainte de o instalare, Stuxnet verifică dacă trei computere au fost deja infectate de unitate. În acest caz, fișierele vor fi șterse de pe unitate. În plus, nu va mai exista o diseminare ulterioară după 24 iunie 2012. Prin interferența cu kernel32.dllși netapi32.dll, aceste procese rămân ascunse utilizatorului.

Software-ul WinCC

Cuplarea unui program Step7 cu un PLC prin WinCC

Stuxnet împiedică afișarea propriului IL

Următorul pas important pentru Stuxnet este blocarea în fișierele de proiect STEP7 (fișiere S7P). Pe de o parte, el folosește serverul care furnizează software-ul bazei de date WinCC. Cu ajutorul parolei programate în software, Stuxnet folosește comenzile SQL pentru a scrie o copie a sa în baza de date. De îndată ce computerul local este infectat, intrarea este eliminată din nou, dar în același timp este scris un fișier CAB care poate genera o nouă DLL Stuxnet . Acest DLL modificat este apoi încărcat, decriptat și instalat prin căutări la încărcarea bibliotecilor de sistem. Acest lucru are ca rezultat o nouă infecție, care compensează și o ștergere anterioară a fișierelor Stuxnet. Pe de altă parte, instalează două cârlige în Simatic Manager pentru PCS 7 . Fiecare proiect care a fost utilizat sau modificat în ultimii 3,5 ani și care conține un folder wincprojcu un fișier MCP valid (acesta este de obicei generat chiar de WinCC) este infectat . Proiectele care sunt denumite conform schemei \Step7\Examples\*sunt excluse de la infecție .

Fișierul s7otbxdx.dlleste biblioteca centrală cu care are loc cuplarea unui PLC cu o aplicație Step7 sau un câmp PG. Fișierul original este redenumit de Stuxnet și completat cu propriul său, astfel încât accesul de citire și scriere la PLC să poată fi monitorizat. În special, această procedură vă permite să includeți propriul cod rău intenționat ca listă de instrucțiuni (STL, Statementlist STL) în PLC și să protejați acest cod de modificări. În cele din urmă, ca un rootkit PLC, Stuxnet DLL controlează ce programe sunt executate cu ce parametri din PLC conectat.s7otbxsx.dlls7otbxdx.dll

Intervenție în controlerul logic programabil

Un sistem din familia SIMATIC S7-300

Programele pentru un controler Simatic S7 sunt împărțite în diferite module cu sarcini specifice:

• Blocurile de organizare (OB) sunt procesate ciclic de CPU PLC pentru a executa programe. OB1 ca punct central de intrare pentru fiecare program și OB35 ca temporizator standard pentru câine de pază sunt deosebit de importante .
• Blocurile de date de sistem (SDB) stochează structura specifică a unui control de sistem specific. Configurarea, de exemplu numărul și tipul dispozitivelor conectate este stocată aici.
• Structurile de date ale programelor respective sunt stocate în blocurile de date (DB) .
• Blocurile funcționale (FB) conțin codul actual al programului.

Înainte de o infecție, Stuxnet verifică PLC-ul pentru diferite proprietăți și se comportă în mod diferit în consecință. Au fost identificate trei rutine diferite de infecție A, B și C. Variantele A și B sunt proiectate pentru S7-300 cu CPU de tip 315-2 și anumite valori definite în SDB-uri. Aceste două variante au fost de atunci examinate mai atent. Se știau puține despre varianta mult mai complexă C pentru S7-400 cu CPU de tip 417 până în noiembrie 2010, deoarece codul programului este aparent dezactivat sau doar „parțial terminat”.

Cu ajutorul unui expert olandez Profibus , funcționalitatea variantelor A și B ar putea fi explicată mai detaliat. O infecție apare numai dacă blocul de program FB1869 este definit și cel puțin un modul de comunicație Profibus CP-342-5 este introdus în SDB. Fiecare până la șase dintre aceste module controlează fiecare 31 de convertoare de frecvență care reglează viteza de rotație a motoarelor electrice. Prin implementarea unei mașini finite cu șase stări, Stuxnet modifică frecvența care trebuie setată de convertoare la intervale neregulate de 13 zile la trei luni. Folosind numărul de identificare stocat în SDS, convertizoarele de frecvență varianta A Stuxnet au fost atribuite companiei Vacon din Finlanda , iar varianta B producătorului Fararo Paya din Teheran .

Actualizări și recuperarea datelor

Cu fiecare instalare, Stuxnet colectează informații despre computerul infectat și le salvează într-un fișier de configurare deghizat . Printre altele, se salvează următoarele:

• timpul infecției,
• la numerele de versiune a sistemului de operare și service pack ,
• la adresele IP ale celor interfețe de rețea ,
• numele computerului și ale grupului de lucru sau domeniului Windows ,
• și numele proiectelor Step7 infectate.

Cu o solicitare de primire prin portul 80 către www.windowsupdate.com și www.msn.com, Stuxnet verifică dacă este posibilă o conexiune la Internet sau dacă este împiedicată de un firewall . Dacă va avea succes, datele colectate vor fi trimise la adresele www.mypremierfutbol.com și www.todaysfutbol.com de către Get index.php?data=[DATA]. Serverele pentru aceste domenii au avut sediul în Danemarca și Malaezia. Este posibil ca Stuxnet să se actualizeze utilizând aceste mecanisme într-un mod similar cu un botnet , dar acest lucru nu a fost încă observat.

distribuție

Răspândirea Stuxnet pe PC-uri este semnificativ mai mare decât în sistemul de control . În primul caz, disponibilitatea sistemului de operare corect este suficientă; în celălalt caz, blocul funcțional FB1869 și controlul convertorului de frecvență trebuie să fie disponibile. Stuxnet a fost detectabil pe un număr mare de PC-uri, în timp ce cu alte sisteme de control perturbările au fost probabil neintenționate. De atunci, viermele a fost analizat de diverși specialiști în antivirus. Dacă nu se specifică altfel, următoarele informații din capitolul sunt cronologie a fișierului W32.Stuxnet de la Symantec.

Ipoteze despre inițiator și obiective

Experți și ingineri

Specialiștii în securitate IT presupun că Stuxnet a fost programat special pentru a sabota instalațiile nucleare iraniene. Munca implicată în vierme a fost enormă și costisitoare și provoacă doar daune în anumite sisteme, în timp ce altele aparent sunt infectate doar fără daune. Exportul de energie nucleară din Rusia va intra în discuție ca distribuitor .

Potrivit Wieland Simon ( Siemens ), experți și ingineri din domenii foarte diferite trebuie să fi fost implicați în dezvoltarea viermelui - pe lângă programatorii Windows, experți în tehnologie de automatizare și mari fabrici industriale. Doar o astfel de echipă ar putea programa un malware care depășește succesiv mai multe obstacole din punct de vedere tehnic foarte diferite.

Datorită cantității mari de programare implicate, Evgeni Kasperski , Liam O Murchu ( Symantec ) și alți experți presupun că viermele nu provine de la persoane private, ci probabil de la o organizație guvernamentală. Costurile ridicate de dezvoltare pentru vierme, care sunt estimate la o sumă de 7 cifre în dolari, susțin acest lucru.

Clientului Israel

Câteva echipe de experți au găsit fragmente de text în codul vierme care sugerează că atacatorii și-au numit proiectul „Myrtus”. Specialistul german în securitate IT Langner a fost primul care a subliniat posibila aluzie la numele original ebraic al personajului biblic Esther . Carol Newsom, profesor al Vechiului Testament la Universitatea Emory , a confirmat contextul lingvistic al cuvintelor ebraice pentru „Myrtus” și „Esther” (ebraică Hadassah ). Cartea Estera din Vechiul Testament spune povestea unui genocid planificat de persi împotriva evreilor, pe care acestea din urmă au fost în măsură să prevină la inițiativa lui Esther prin distrugerea inamicului pentru partea lor.

În mass-media, această speculație a fost luată ca o indicație a unei posibile autorii a Israelului . Conform Süddeutsche Zeitung , totuși, majoritatea experților consideră că această teză este o teorie a conspirației . Ar putea fi, de asemenea, o pistă înșelătoare. Shai Blitzblau, director tehnic și șef al Maglan, o companie israeliană de securitate IT, este convins că Israelul nu are nicio legătură cu Stuxnet. El suspectează spionajul industrial împotriva Siemens sau un fel de „experiment academic”.

Yossi Melman , jurnalist pentru cotidianul israelian Haaretz , credea că Israelul a fost probabil inițiatorul în 2010. El a declarat că contractul directorului serviciului de informații străin israelian Mossad , Meir Dagan, a fost prelungit în 2009, deoarece era implicat în proiecte importante. În plus, Israelul a amânat în mod surprinzător data estimată până la care Iranul ar trebui să aibă o bombă atomică până în 2014.

Potrivit unui articol din 30 septembrie 2010 din New York Times , un fost membru al Comunității de Informații a Statelor Unite a susținut că agenția israeliană de informații Unitatea 8200 , comparabilă cu NSA , a efectuat atacul folosind Stuxnet. Potrivit unui articol ulterior din 15 ianuarie 2011, Departamentul pentru Securitate Internă al Statelor Unite și Laboratorul Național Idaho au examinat sistemul de control Siemens PCS-7 afectat de vulnerabilități în 2008. Ulterior, viermele dezvoltat pe baza acestor descoperiri se spune că a fost testat în centrul de cercetare nucleară israeliană din Negev ; au fost construite centrifuge cu gaz de origine pakistaneză, care sunt utilizate și în Iran. Conform raportului New York Times din 15 ianuarie 2011, există centrifuge „ Dimona ” în centrul de arme nucleare din Israel , care sunt identice cu cele iraniene și, prin urmare, ar fi putut fi folosite ca test pentru vierme.

Cotidianul israelian Haaretz a raportat pe 14 februarie 2011 într-un videoclip în care șeful de stat major israelian al IDF Gabi Ashkenazi s-a lăudat că este responsabil pentru atacul de succes Stuxnet pe lângă atacurile israeliene asupra unui reactor nuclear sirian.

În iulie 2013, fostul angajat al serviciului secret și denunțător Edward Snowden a confirmat suspiciunea că Stuxnet este o dezvoltare a NSA în cooperare cu Israel.

Pentru clientul Statele Unite

New York Times a publicat un fragment timpurie din Confront și Conceal: Obama războaie secrete și utilizarea Surprinzator de American Power de David E. Sanger la o iunie 2012 . El se bazează pe interviuri cu cei implicați și concluzionează că un atac cibernetic cu Stuxnet a început în zilele președintelui american George W. Bush . Barack Obama a accelerat operațiunea secretă numită în cod „Operațiunea Jocurilor Olimpice” (Jocurile Olimpice), iar experții americani și israelieni în calculatoare nu s-au ocupat de viermele complex până când nu a fost în funcție. Obama a supravegheat programul și a autorizat personal fiecare pas suplimentar, scrie Sanger.

Generalul american James E. Cartwright , care a fost al doilea cel mai înalt ofițer din forțele armate americane din 2007 până în 2011, a fost probabil inițiatorul și șeful proiectului . Departamentul de Justiție al SUA a anunțat în iunie 2013 a anunțat că a început investigațiile împotriva Cartwright acum pensionat, în calitate de autoritate suspectat că el a fost ca un proiect în sine, 2010 Informații cu privire la existența Stuxnets anul New York Times au trecut , care în cele din urmă a condus la expunerea programului.

Un efort comun al mai multor state

Agenția de știri iraniană Press TV s-a referit într-un articol din 16 ianuarie 2011 la același articol din New York Times din 15 ianuarie 2011. Se spune că un expert american a declarat că Stuxnet este un produs fabricat de americani, israelieni și britanici Cooperarea germană. Această poziție este reprezentată și într-un articol din cotidianul israelian Haaretz , în care se vorbește despre un rol activ al Siemens în programarea Stuxnet. Oficialii iranieni sunt citați spunând că Stuxnet nu a reprezentat o amenințare majoră pentru Iran, deoarece virusul a fost observat devreme și a devenit inofensiv.

obiective

Un articol din perioada din 26 noiembrie 2010 îl suspecta pe Sandro Gaycken că, din cauza prevalenței ridicate a viermelui (inclusiv Germania și China) și a costului ridicat de distribuție (ruta principală este introducerea țintită a unui disc USB) Obiectivele viermelui merg dincolo de deteriorarea facilităților iraniene. Mai degrabă, el presupune că Stuxnet ar putea fi conceput ca „un test pentru actele de sabotaj viitoare în uzinele industriale”, inclusiv în „infrastructuri precum electricitatea, apa sau gazul”. Unul dintre motivele pe care le dă pentru această presupunere este că distribuția pe scară largă a viermelui și capacitatea sa de a contacta atacatorul au crescut drastic probabilitatea ca viermele să fie descoperit. Cu toate acestea, în cazul unei utilizări țintite pentru a perturba planta de îmbogățire a uraniului iranian, ar fi fost mai avantajos să rămână nedetectat pentru o lungă perioadă de timp, pentru a putea menține perturbarea cât mai mult timp posibil.

Potrivit rapoartelor media, facilitatea iraniană de îmbogățire a uraniului din Natanz ar fi putut fi ținta atacului. Potrivit documentelor secrete care au fost aduse la cunoștința publicului prin intermediul platformei de internet WikiLeaks , în 2009 a avut loc un incident nuclear la Natanz, care a redus capacitatea de producție a centralei cu 15%. Se presupune că centrifugele centralei sunt controlate de sistemele WinCC.

La sfârșitul lunii noiembrie 2010, președintele iranian Mahmoud Ahmadinejad a recunoscut că viermele a provocat probleme cu centrifugele de uraniu. Stuxnet manipulase viteza centrifugelor, care trebuie să fie foarte precis 1064 rotații pe secundă. Acest lucru i-a deteriorat. În același timp, Stuxnet a deghizat acest lucru. Potrivit Institutului pentru Știință și Securitate Internațională (ISIS), aceasta și cunoștințele exacte ale sistemului vorbesc despre autoritatea serviciilor de informații occidentale . Atacul Stuxnet asupra centralelor nucleare și industriale iraniene ar fi infectat aproximativ 16.000 de computere, potrivit unui angajat de rang înalt al serviciului secret iranian.

Succesor al lui Duqu

În octombrie 2011, Laboratorul de criptografie și securitate a sistemelor (CrySyS) de la Universitatea de Tehnologie și Economie din Budapesta din Ungaria a găsit un nou malware. Oamenii de știință au scris un raport de 60 de pagini despre aceasta și au numit-o Duqu după prefixul „~ DQ” pe care l-a adăugat la numele fișierelor pe care le-a creat. Symantec și-a publicat raportul împreună cu raportul CrySyS. Potrivit Symantec, Duqu a fost fie dezvoltat de aceiași autori, fie autorii au avut acces la codul sursă al Stuxnet. Mai presus de toate, Duqu are proprietăți de spionaj. Symantec suspectează că acest lucru va fi folosit pentru a colecta informații în pregătirea pentru viitoarele atacuri.

Trivia

Oscar- câștigătoare regizorul Alex Gibney filmat istoria Stuxnet și a distribuției sale și utilizarea cu său documentar Zero zile .

literatură

• David E. Sanger : confruntă și ascunde. Războaiele secrete ale lui Obama și utilizarea surprinzătoare a puterii americane . Random House, 2013, ISBN 0-307-71803-4
• Kim Zetter: Countdown to Zero Day. Stuxnet și lansarea primei arme digitale din lume . Coroana, 2014, ISBN 0-7704-3617-X
• Lars Reppesgaard: Asalt asupra liniei de asamblare . În: Die Zeit , nr. 34/2010
• Israelul testează viermele numit crucial în întârzierea nucleară a Iranului . În: The New York Times , 15 ianuarie 2011

Link-uri web

• Matthias Kremp: Portul din Golful Persic: Iranul confirmă atacul cibernetic asupra industriei sale petroliere. Spiegel Online , 23 aprilie 2012, accesat pe 23 aprilie 2012 ( consultați forumul Spyware, viruși și securitate: New Deadly Virus / Worm descoperit aseară ). 
• Matthias Kremp: Analiza spectaculoasă a virusului: Stuxnet ar trebui să perturbe îmbogățirea Iranului cu uraniu. Spiegel Online , 16 noiembrie 2010, accesat la 17 noiembrie 2010 . 
• Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. (PDF; 4,1 MB) Versiunea 1.4. Symantec , 11 februarie 2011, accesat la 4 iulie 2011 . 
• Ralph Langner: To Kill a Centrifuge. (PDF; 3,4 MB) O analiză tehnică a ceea ce au încercat să realizeze creatorii Stuxnet. Grupul Langner , noiembrie 2013, accesat pe 20 ianuarie 2014 . 
• Frank Rieger: A avut loc prima grevă digitală. FAZ.NET , 22 septembrie 2010, accesat la 10 noiembrie 2010 . 
• Frank Rieger: stuxnet: țintirea centrifugelor iraniene de îmbogățire din Natanz? 22 septembrie 2010, accesat la 28 decembrie 2010 . 
• Pagina subiectului Stuxnet heise online
• Atac asupra programului nuclear al Iranului: Stuxnet ar fi putut distruge o mie de centrifuge de uraniu . Spiegel Online , 26 decembrie 2010
• Stuxnet: Se spune că Israelul a recreat o instalație nucleară iraniană . Spiegel Online , 16 ianuarie 2011

Observații

Descrieri tehnice

W32.Stuxnet Dosarul lui Nicolas Falliere, Liam O Murchu și Eric Chien până acum a fost publicat la Symantec în următoarele versiuni:

• Versiunea 1.0 pe 30 septembrie 2010
• Versiunea 1.1 pe 12 octombrie 2010
• Versiunea 1.2 pe 3 noiembrie 2010
• Versiunea 1.3 pe 12 noiembrie 2010
• Versiunea 1.4 pe 11 februarie 2011

1. ↑ ^{a b c} W32.Stuxnet Dossier, capitolul Cronologie
2. ↑ ^{a b c d e f} W32.Stuxnet Dossier, capitolul Modificarea PLC-urilor
3. ↑ ^{a b} Dosarul W32.Stuxnet, capitolul Statistici de infecție
4. ↑ W32.Stuxnet Dossier, Rezumatul executiv al capitolului
5. ↑ ^{a b c} W32.Stuxnet Dossier, Capitolul Instalare
6. ↑ Costin Raiu: Stuxnet și certificate furate. În: Securelist. Kaspersky Lab, 20 iulie 2010, accesat la 14 octombrie 2010 . 
7. ↑ W32.Stuxnet Dossier, Rezumatul capitolului
8. ↑ Caiet industrial SIMATIC Field PG. Siemens AG , accesat la 9 noiembrie 2010 . 
9. ↑ Fotografii de la CNE Bushehr:
   • Mohammad Kheirkhah: Centrală nucleară Bushehr din Iran. UPI-Photo , 25 februarie 2009, accesat la 14 noiembrie 2010 (Fotografia ilustrează modul în care un Field-PG (laptopul din prim-plan) este conectat practic la un sistem de control. O conexiune cu articolul Stuxnet este pur întâmplătoare.) : "Tehnicienii ruși lucrează la centrala nucleară Bushehr din portul Bushehr din Golful Persic, la 1.000 km sud de Teheran, Iran, la 25 februarie 2009. Oficialii iranieni au declarat că mult așteptatul proiect ar trebui să devină operațional toamna trecută, dar construcția sa a fost afectat de mai multe eșecuri, inclusiv dificultăți în procurarea echipamentului rămas și a combustibilului necesar pentru uraniu. " 
   • Mohammad Kheirkhah: centrala nucleară iraniană Bushehr din portul Bushehr. UPI-Photo , 25 februarie 2009, accesat pe 14 noiembrie 2010 (Acesta este mesajul de eroare „WinCC Runtime License: Licența dvs. de software a expirat! Vă rugăm să obțineți o licență valabilă.” O conexiune cu articolul Stuxnet este pur întâmplătoare.) : "O eroare este văzută pe ecranul unui computer al hărții centralei nucleare Bushehr din portul Bushehr din Golful Persic, la 1.000 km sud de Teheran, Iran, la 25 februarie 2009 ..." 
10. ↑ ^{a b} Dosarul W32.Stuxnet, scenariu de atac capitol
11. ↑ W32.Stuxnet Dossier, capitolul Arhitectură Stuxnet
12. ↑ Liam O. Murchu: Stuxnet Before the .lnk File Vulnerability. În: symantec.connect. Symantec Corporation, 24 septembrie 2010, accesat la 10 noiembrie 2010 .  
13. ↑ Drivere în modul kernel Windows ar putea permite creșterea privilegiului. Buletin de securitate Microsoft MS10-073, 12 octombrie 2010, accesat la 18 noiembrie 2010 . 
14. ↑ În Injectarea tehnică, numele de dosar Kaspersky KAV , McAfee , Avira AntiVir , Bitdefender , eTrust , F-Secure , doua produse Symantec , ESET , PC-Cillin de la Trend Micro , precum și lsass.exe, winlogon.exeși Svchost.exe.
15. ↑ În dosarul W32.Stuxnet, instalarea este listată:
    • oem7a.pnf programul malware real (sarcina utilă principală)
    • %SystemDrive%\inf\mdmeric3.PNF (fișier de date)
    • %SystemDrive%\inf\mdmcpq3.PNF (date de configurare)
    • %SystemDrive%\inf\oem6C.PNF (fișier jurnal)
16. ↑ ^{a b c d e} W32, Dosarul Stuxnet , Capitolul Metode de propagare Stuxnet
17. ↑ * CVE-2010-2729: Vulnerabilitate la executarea codului la distanță al serviciului Microsoft Windows Print Spooler. Symantec Connect, 27 septembrie 2010; accesat 19 noiembrie 2010 . 
    • MS10-061: Vulnerabilitatea în serviciul de imprimare spooler ar putea permite executarea codului la distanță. Buletin de securitate Microsoft, 29 septembrie 2010; accesat la 19 noiembrie 2010 . 
18. ↑ * CVE-2008-4250: Vulnerabilitate de execuție a codului la distanță de gestionare RPC a serviciului Microsoft Windows Server. Symantec Connect, 9 februarie 2009, accesat la 19 noiembrie 2010 . 
    • MS08-067: Vulnerabilitatea în serviciul server ar putea permite executarea codului la distanță. Buletin de securitate Microsoft, 23 octombrie 2008, accesat la 19 noiembrie 2010 . 
19. ↑ * CVE-2010-2568: Comandă rapidă Microsoft Windows „LNK / PIF” Vulnerabilitate de execuție automată a fișierelor. Symantec Connect, 11 august 2010; accesat la 19 noiembrie 2010 . 
    • Vulnerabilitatea în Windows Shell ar putea permite executarea automată a fișierelor. Multi-State Information Sharing and Analysis Center (MS-ISAC), 17 iulie 2010, accesat la 19 noiembrie 2010 . 
    • MS10-046: Vulnerabilitatea în Windows Shell ar putea permite executarea codului la distanță (2286198). Buletin de securitate Microsoft, 2 august 2010, accesat la 3 decembrie 2010 . 
20. ↑ Dosarul listează în Windows Rootkit Functionality, printre altele. următoarele fișiere:
    • %DriveLetter%\~WTR4132.tmp (DLL-ul principal al Stuxnet, aproximativ 500kB)
    • %DriveLetter%\~WTR4141.tmp (Se încarcă programul pentru ~ WTR4132.tmp, aprox. 25kB)
    • %DriveLetter%\Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
21. ↑ Sistem de inginerie. Siemens AG, accesat la 20 noiembrie 2010 . 
22. ↑ CPU S7-300. (Nu mai este disponibil online.) Siemens AG, 24 iunie 2009, arhivat din original la 24 decembrie 2010 ; Adus la 1 decembrie 2010 . Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / www.automation.siemens.com 
23. ↑ CPU S7-400. (Nu mai este disponibil online.) Siemens AG, arhivat din original la 18 octombrie 2010 ; Adus la 1 decembrie 2010 . Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / www.automation.siemens.com 
24. ^ Stuxnet: O descoperire. Symantec Connect, 12 noiembrie 2010; accesat la 1 decembrie 2010 .  
25. ↑ a se vedea numerele de identificare: ce sunt acestea și cum să obțineți unul. Profibus & Profinet International , accesat la 1 decembrie 2010 . 
26. ↑ W32.Stuxnet Dossier, Capitolul Comandă și control
27. ↑ W32.Stuxnet Dossier, capitolul Funcționalitate Rootkit Windows

Dovezi individuale

1. ↑ ^{a b} Atac asupra programului nuclear al Iranului - Stuxnet ar fi putut distruge o mie de centrifuge de uraniu . Spiegel Online , 26 decembrie 2010
2. ↑ Iranul raportează un obstacol major la o centrală nucleară . nytimes.com, 25 februarie 2011
3. ↑ ^{a b} Investigații ale justiției americane: se spune că generalul de patru stele a trădat programul Stuxnet. spiegel.de, 28 iunie 2013, accesat 28 iunie 2013 . 
4. ↑ ^{a b} Andreas Wilkens: Stuxnet: Rapoarte despre un alt caz de trădare a secretului în SUA. heise.de, 28 iunie 2013, accesat la 28 iunie 2013 . 
5. ↑ Friedhelm Greis: Kaspersky identifică primele cinci victime ale Stuxnet. În: golem.de. Kaspersky Lab, 11 noiembrie 2014, accesat 22 noiembrie 2014 . 
6. ↑ ^{a b} Paul Anton Krüger și colab.: Viermele și balonul . În: Süddeutsche Zeitung . 2 octombrie 2010. 
7. ↑ Virus Bulletin în limba engleză Wikipedia
8. ^ Vacon în limba engleză Wikipedia. Vacon este un furnizor important de unități de curent alternativ cu viteză variabilă. Vacon Plc, accesat la 1 decembrie 2010 . 
9. ↑ FararoPaya. Adus la 1 decembrie 2010 . 
10. ↑ Troian Zlob în Wikipedia în limba engleză
11. ^ Robert McMillan: Siemens: viermele Stuxnet a lovit sistemele industriale. (Nu mai este disponibil online.) În: Computerworld. 14 septembrie 2010, arhivat din original la 21 decembrie 2013 ; accesat la 16 septembrie 2010 (engleză). Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / www.computerworld.com 
12. ↑ Iranul confirmă atacul cibernetic de către Stuxnet. În: Heise online . 9 decembrie 2010, accesat la 26 septembrie 2010 . 
13. ↑ Iranul acuză vestul de propagandă cibernetică. Spiegel Online, 28 septembrie 2010, accesat pe 9 decembrie 2010 . 
14. ↑ ^{a b} Atacuri Stuxnet în China. (Nu mai este disponibil online.) În: Kurier.at. 1 octombrie 2010, arhivat din original la 4 octombrie 2010 ; Adus pe 9 decembrie 2010 . 
15. ↑ ^{a b} malware periculos: virusul computerului Stuxnet ajunge în industria germană. În: sueddeutsche.de. 2 octombrie 2010, accesat la 18 octombrie 2010 . 
16. ↑ SIMATIC WinCC / SIMATIC PCS 7: Informații despre malware / viruși / troieni. Siemens AG , 1 aprilie 2011, accesat la 4 iulie 2011 (asistență Siemens Stuxnet, ID intrare: 43876783). 
17. ↑ Johannes Kuhn: virusul sabotajului Stuxnet - „Cutia Pandorei este deschisă”. În: sueddeutsche.de. 1 octombrie 2010, accesat la 14 octombrie 2010 . 
18. ↑ Andreas Hirstein: „A lucrat aici o echipă de experți” - Stuxnet, un vierme periculos al computerului. NZZ, 26 septembrie 2010, accesat la 15 octombrie 2010 . 
19. ↑ „Hackul secolului”. Virusul „Stuxnet” paralizează Iranul. În: ORF.at. Österreichischer Rundfunk, 26 septembrie 2010, accesat la 30 septembrie 2010 . 
20. ^ Frank Rieger: troian "stuxnet" - a avut loc prima grevă digitală. În: FAZ.NET . 22 septembrie 2010, accesat la 30 septembrie 2010 . 
21. ↑ ^{a b c} Yvan Côté: Cyberguerre: les armes de demain. În: Télévision de Radio-Canada . 21 februarie 2012. Adus 22 februarie 2012 . 
22. ↑ ^{a b c} Ethan Bronner, William J. Broad: Într-un computer Worm, un posibil indiciu biblic. În: NYTimes. 29 septembrie 2010, accesat la 2 octombrie 2010 . 
23. ^ John Markoff, Kevin O'Brien: Un atac tăcut, dar nu unul subtil. În: New York Times online. 30 septembrie 2010, accesat la 15 octombrie 2010 . 
24. ^ John Markoff, Kevin O'Brien: Un atac tăcut, dar nu unul subtil. (Nu mai este disponibil online.) 30 septembrie 2010, arhivat din original la 26 aprilie 2014 ; accesat la 15 octombrie 2010 . Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / stirling-westrup-tt.blogspot.com 
25. ^ ^{A b} William J. Broad, John Markoff, David E. Sanger: Testele Israelului asupra viermelui numit crucial în întârzierea nucleară din Iran. În: New York Times online. 15 ianuarie 2011, accesat la 4 octombrie 2015 . 
26. ↑ hairetz.co.il ( memento al originalului din 17 februarie 2011 în Internet Archive ) Info: Arhiva link - ul a fost introdus în mod automat și nu a fost încă verificată. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. Haaretz, 14 ianuarie 2011 @ 1@ 2Șablon: Webachiv / IABot / www.haaretz.co.il
27. ^ Richard Silverstein: Video Ashkenazi admite un reactor nuclear sirian bombardat de către IDF și a creat Stuxnet . 14 februarie 2011
28. ^ Thomas Peter: Snowden confirmă că NSA a creat Stuxnet cu ajutorul israelianului. 9 iulie 2013, accesat la 10 iulie 2013 .  rt.com, Reuters
29. ↑ David E. Sanger: Ordinul Obama a accelerat valul de atacuri cibernetice împotriva Iranului. The New York Times, 1 iunie 2012, accesat pe 19 iunie 2012 . 
30. ^ Yossi Melman: Israelul trece în cele din urmă la definirea politicii naționale cu privire la Iran. 10 martie 2011, accesat pe 5 martie 2012 . 
31. ↑ SF / HRF / MB: Stuxnet, licitație SUA-Israel împotriva Iranului. (Nu mai este disponibil online.) În: Apăsați TV. 16 ianuarie 2011, arhivat din original la 12 februarie 2015 ; accesat la 16 ianuarie 2011 . Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / edition.presstv.ir 
32. ↑ Sandro Gaycken: Cine a fost? Și pentru ce? În: Die Zeit , nr. 48/2010
33. ↑ ^{a b} Mark Clayton: misterul viermelui Stuxnet: Care este arma cibernetică după? Yahoo News, 25 februarie 2009, accesat la 28 septembrie 2010 . 
34. ^ Accident nuclear grav ar putea sta în spatele demisiei misterului șefului nuclear nuclear iranian. (Nu mai este disponibil online.) Arhivat din original la 29 decembrie 2010 ; Adus pe 3 octombrie 2010 . Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. @ 1@ 2Șablon: Webachiv / IABot / mirror.wikileaks.info 
35. ↑ Iran Report , 03/2012 (PDF; 398 kB) accesat la 4 martie 2012
36. ^ Laborator de criptografie și securitate a sistemului (CrySyS) . Adus la 4 noiembrie 2011.
37. ↑ Duqu: Un malware de tip Stuxnet găsit în natură, raport tehnic (PDF; 1,5 MB) Laborator de criptografie a securității sistemelor (CrySyS) 14 octombrie 2011. Adus la 31 mai 2012.
38. ^ Declarație privind analiza inițială a lui Duqu . Laboratorul de criptografie a securității sistemelor (CrySyS). 21 octombrie 2011. Arhivat din original la 3 octombrie 2012. Informații: linkul arhivei a fost inserat automat și nu a fost încă verificat. Vă rugăm să verificați linkul original și arhivă conform instrucțiunilor și apoi eliminați această notificare. Adus la 25 octombrie 2011. @ 1@ 2Șablon: Webachiv / IABot / www.crysys.hu
39. ↑ W32.Duqu - Precursorul următorului Stuxnet (PDF; 4,1 MB)
40. ↑ Virus Duqu avertizează experții în securitate IT. În: Zeit Online . 19 octombrie 2011, accesat 19 octombrie 2011 . 
41. ↑ Zero Zile - Stuxnet a fost doar începutul unui război cibernetic. În: 4You2Connect.com. Adus la 1 septembrie 2016 .