[ Update 26: 2014-11-12 ]
[ Update 25: 2013-11-23 ]
Atualizando um dos posts mais extensos do blog com informações interessantes publicadas pelas Kaspersky sobre as primeiras vítimas do Stuxnet:
Mais detalhes em:
[ Update 25: 2013-11-23 ]
Ralph Langner - já citado inúmeras vezes neste post (abaixo) - acaba de divulgar sua análise final do Stuxnet e seu efeito 3 anos depois do famoso ataque às centrífugas de enriquecimento de Urânio de Natanz, no Irã.
A análise do ataque executado dentro da operação "Olympic Games", mostra que os responsáveis tomaram a decisão de passar da postura "complexa e indetectável" para "simples e cru" - aceitando assim o risco de serem descobertos - como de fato aconteceu.
O documento provê uma visão interessante de como o ataque afetou os sistemas que controlam sensores, válvulas e o funcionamento das centrífugas que enriquecem urânio em Natanz.
Leia mais:
- To Kill a Centrifuge - A Technical Analysis of What Stuxnet’s Creators Tried to Achieve (Langner.com) - http://www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdf (PDF, 36 páginas)
- Stuxnet's Secret Twin (FP.com) - http://www.foreignpolicy.com/articles/2013/11/19/stuxnets_secret_twin_iran_nukes_cyber_attack (Requer registro gratuito)
O Departamento de Justiça norteamericano está investigando um alto oficial do setor de defesa pelo vazamento de dados secretos para o New York Times, incluindo informações acerca da autoria do Stuxnet pelos governos israelense e estadunidense.
Source: Justice Department investigates ex-vice chairman of Joint Chiefs of Staff
[ Update 23: 2013-04-17 ]
Stuxnet vira história em quadrinhos..
fonte: http://www.wired.com/magazine/2013/04/stuxnet/
[ Update 22: 2013-02-26 ]
A Symantec publicou hoje um relatório entitulado "Stuxnet 0.5: The Missing Link" - indicando que o projeto que desenvolveu o malware já estava em desenvolvimento em 2005.
Principais achados:
- Stuxnet 0.5 is the oldest known Stuxnet version to be analyzed, in the wild as early as November 2007 and in development as early as November 2005.
- Stuxnet 0.5 was less aggressive than Stuxnet versions 1.x and only spread through infected Step 7 projects.
- Stuxnet 0.5 contains an alternative attack strategy, closing valves within the uranium enrichment facility at Natanz, Iran, which would have caused serious damage to the centrifuges and uranium enrichment system as a whole."
Mais informações: http://www.wired.com/threatlevel/2013/02/new-stuxnet-variant-found/
O New York Times publicou hoje um artigo interessante, reforçando com dados ainda mais concretos (mas sem citar fontes) que o StuxNet foi desenvolvido pelos EUA, com apoio de Israel. Vale a leitura!
[ Update 20: 2012-03-04 ]
O Programa 60 minutos abordou o assunto Stuxnet hoje - é um bom resumo da ópera, assim como a apresentação feita pelo Ralph Langner no TED - ideal para introduzir o assunto para audiências novas.
Artigo: "Stuxnet: Computer worm opens new era of warfare" / Vídeo (15 min)
[ Update 19: 2012-01-31 ]
Apresentação técnica de uma hora do Ralph Langer sobre o StuxNet (vídeo), detalhando a parte do ataque que envolve PLC - incluindo detalhes como rotinas de criptografia, provas da necessidade de um ambiente de teste realista detalhes técnicos do porque a usina de Natanz no Irã é o alvo do StuxNet.
http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video/
via http://www.schneier.com/blog/archives/2012/02/another_piece_o.html
[ Update 18: 2011-07-30 ]
Ralph Langner publicou ontem em seu blog o email que enviou a um congressista norte-americano sobre a ameaça de ataques à infra-estrutura crítica inspirados pelo Stuxnet.
Ele divulgou este email depois de ler o material publicado sobre o evento ocorrido no último dia 26, no congresso norte-americano (.pdf) - o trecho relacionado ao Stuxnet é o seguinte:
"Malicious code, dubbed Stuxnet, was detected in July 2010. DHS analysis concluded that this highly complex computer worm was the first of its kind, written to specifically target mission-critical control systems running a specific combination of software and hardware.
ICS-CERT analyzed the code and coordinated actions with critical infrastructure asset owners and operators, federal partners, and Information Sharing and Analysis Centers. Our analysis quickly uncovered that sophisticated malware of this type potentially has the ability to gain access to, steal detailed proprietary information from, and manipulate the systems that operate mission-critical processes within the nation’s infrastructure. In other words, this code can automatically enter a system, steal the formula for the product being manufactured, alter the ingredients being mixed in the product, and indicate to the operator and the operator’s anti-virus software that everything is functioning normally.
To combat this threat, ICS-CERT has been actively analyzing and reporting on Stuxnet since it was first detected in July 2010. To date, ICS-CERT has briefed dozens of government and industry organizations and released multiple advisories and updates to the industrial control systems community describing steps for detecting an infection and mitigating the threat. As always, our goal is to balance the need for public information sharing while protecting the information that malicious actors may exploit. DHS provided the alerts in accordance with its responsible disclosure processes."
[ Update 17: 2011-07-29 ]
O efeito físico de ataques em PLCs (Programmable logic controllers) é uma preocupação real em infraestruturas críticas (Petróleo, Energia, Água, Transportes, etc..) mas a abrangência desta ameaça é bem maior... Que tal o seguinte cenário: exploração de PLCs para abrir remotamente as celas de presídios - isto será o assunto de uma palestra de Jonh Strauchs na próxima DefCon.
[ Update 16: 2011-07-22 ]
Ontem, Ralph Langner publicou detalhes inéditos em um post chamado "A time bomb with fourteen bytes" - no qual ele mostra como copycats do Stuxnet podem se aproveitar de funcionalidades básicas de funcionamento do código (para injeção, execução e controle de código - no início do OB1 [organization block 1] de controladores Siemens). Isto é suficiente para a construção de payloads que desabilitam o controle das PLCs enquanto os operadores não tem conhecimento que bombas, válvulas, comportas, etc agora não estão mais sob seu controle..
A Wired lançou um timeline interativo muito interessante e completo, incluindo os eventos relacionados ao StuxNet - confira: http://www.wired.com/threatlevel/2011/07/stuxnet-timeline/
[ Update 14: 2011-06-13 ]
Uma rápida atualização para linkar um vídeo excelente, produzido na Austrália e divulgado pelo finlandês Mikko Hypponen - que consegue explicar de forma bastante acessível (e com belos gráficos) o que afinal é o StuxNet:
Para maior rigidez no detalhamento técnico, veja o vídeo do Langner no TED - linkado a 3 updates abaixo..
[ Update 13: 2011-06-03 ]
Foi publicada uma completa análise do footprint do StuxNet em memória utilizando o framework volatility 2.0.
[ Update 12: 2011-04-18 ]
O chefe da Defesa Civil Iraniana acusou hoje a empresa alemã Siemens de ter ajudado Israel e os EUA no desenvolvimento do StuxNet, especialmente no que tange à vulnerabilidades exploradas no software WinCC, utilizado nos centrífugas de enriquecimento de urânio em Natanz (mais provável) e nos reatores de Bushehr (menos provável).
Analisando este fato de forma mais abstrata - independente do real envolvimento da Siemens e envolvimento de Israel e EUA, a dependência de software importado no controle de Infraestruturas críticas deve ser acompanhado de perto e auditado com escrutínio por todos os países - com ou sem auxílio do país fabricante.
Pois sabemos (e temos exemplos) de que o conhecimento adiantado de falhas, '0-days' e mesmo conhecimento de configurações comuns destes sistemas são uma grande vantagem competitiva aos países fabricantes de tais tecnologias - e automaticamente uma vulnerabilidade associada a um impacto gigantesco para os países dependentes desta tecnologia.
Recebi alguns emails e DMs mostrando interesse em Segurança de sistemas SCADA - como documento inicial, recomendo a leitura do publicação SP800-82 do NIST - "Guide to Industrial Control Systems (ICS) Security" (pdf).
O Brasil - através do DSIC/GSI/PR (Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República), tem feito um bom trabalho de normalização nos últimos anos, incluindo grupos de trabalho na área de Infraestruturas críticas. Um documento público de referência é o "Guia de referencia para a Segurança de Infraestruturas Críticas da Informação" (pdf)
[ Update 11: 2011-03-30 ]
Mark Rusinovich divulgou uma análise de uma infecção do StuxNet utilizando apenas ferramentas da Sysinternals (Microsoft)
[ Update 10: 2011-03-29 ]
Finalmente o vídeo do evento TED com o maior especialista em Stuxnet (Ralph Langner) está online.
[ Update 9: 2011-01-16 ]
Muitos discutiam que possivelmente o StuxNet - que com toda a sua complexidade, vários 0-days e conhecimento profundo de sistemas SCADA atrasou significativamente a produção nuclear iraniana - teria sido obra de um país - os mais cotados eram Israel e os Estados Unidos.
Pois bem, quando eu já pensava que não iria fazer mais updates neste post, uma bomba: O New York Times (requer registro) divulgou uma reportagem que inclui fontes do governo americano e o maior especialista em StuxNet - já citado várias vezes aqui no blog - Ralph Langner (que continua divulgando artigos técnicos e sumários sobre o status de suas investigações).
Nesta reportagem estão várias novidades, incluindo o envolvimento conjunto, não somente de Israel e dos Estados Unidos, mas também cooperação da Inglaterra e Alemanha (além da ajuda da própria Siemens - fabricante do software de controle industrial que é afetado pelo Stuxnet).
Isto, senhores - sem sombra de dúvidas - é CyberWar!
Mais informações:
- um bom resumo rápido (alto-nível) sobre o assunto, da F-Secure - contendo as últimas informações: http://www.f-secure.com/weblog/archives/00002083.html
- também da F-Secure, um vídeo resumindo o assunto: Wrap-up on Case Stuxnet
- o maior especialista no assunto - Ralph Langner, fazendo uma abordagem de alto-nível: http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/
- explicação técnica resumida de Ralph Langner de como o StuxNet controla os equipamentos afetados: http://www.controlglobal.com/articles/2011/IndustrialControllers1101.html
- resumo das novidades: http://threatpost.com/en_us/blogs/new-york-times-stuxnet-joint-us-israeli-operation-011611
- reportagem do NYTimes contendo as novas informações sobre o caso (registro gratuito): http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html
- Did a U.S. Government Lab Help Israel Develop Stuxnet? - Wired.
[ Update 8: 2010-11-29 ]
É oficial, o Irã (Ahmadinejad) confirma que o "virus" Stuxnet afetou as centrifugas de enriquecimento de Urânio e aponta Israel como possível responsável.
E não pára por aí, um dos cientistas mortos nos ataques ocorridos hoje era responsável pela "resposta a incidente" do StuxNet na infra-estrutura crítica do Irã. Trata-se do maior especialista iraniano em cyber war, professor Shahriari.
Mais informações: http://www.debka.com/article/20406/
Caso queira ter uma idéia de como funciona o Stuxnet, veja este vídeo da Symantec com uma demonstração de código similar ao stuxnet, alterando o funcionamento de PLCs (Controladores Lógicos Programáveis de plantas industriais).
[ Update 7: 2010-11-23 ]
Na última semana eu estava em Washington DC - pela Techbiz Forense - para reuniões e treinamento com fornecedores de soluções de CyberSecurity e na quarta-feira a movimentação foi grande em relação à audiência "SECURING CRITICAL INFRASTRUCTURE IN THE AGE OF STUXNET" ocorrida no Senado norte-americano (United States Senate Homeland Security and Governmental Affairs Committee)
Mais informações: http://hsgac.senate.gov/
Vários documentos podem ser baixados desta URL, incluindo PDFs contendo as declarações e testemunhos dos participantes - leitura recomendada!
Member Statements
- Senator Joseph I. Lieberman [view statement]
- Senator Susan M. Collins [view statement]
Witnesses
Panel 1
- Sean McGurk [view testimony]
Acting Director, National Cybersecurity and Communications Integration Center
U.S. Department of Homeland Security- Michael J. Assante [view testimony]
President and Chief Executive Officer
National Board of Information Security Examiners- Dean Turner [view testimony]
Director, Global Intelligence Network
Symantec Corporation- Mark W. Gandy [view testimony]
Global Manager, IT Security and Information Asset Management
Dow Corning Corporation
O governo americano também divulgou nos últimos dias o imperdível documento "Preventing and Defending Against Cyber Attacks - November 2010" (pdf) em que destaca ações importantes de CyberSegurança, como:
- National Cyber Incident Response Plan
- National Cybersecurity and Communications Integration Center
- U.S. Computer Emergency Readiness Team
- The EINSTEIN Program (1,2,3)
- Trusted Internet Connections Initiative
- Public-Private Partnerships and Information Sharing
- Cyber Storm III (Response Exercise)
- Stop. Think. Connect. National Cybersecurity Awareness Campaign
- Cybersecurity Workforce Development
- Privacy and Civil Liberties
[ Update 6: 2010-11-19 ]
Robert Langner é o especialista que mais divulgou informações relevantes sobre a análise do StuxNet, e mais uma vez surpreende ao publicar hoje informações bastante conclusivas em relação ao alvo do malware. Langner escreveu neste post: "One weapon, two warheads, different targets".
Em resumo, os dois mais prováveis alvos são:
1) instalações de enriquecimento de urânio iranianas [ equipados com controlador Siemens S7-315 ]
2) usina nuclear iraniana de Bushehr [ equipados com controlador Siemens S7-417 ].
Langner informa que a diferença na construção dos dois payloads é bastante grande e indica diferentes grupos responsáveis pelo desenvolvimento de cada "warhead".
Esta frase serve de munição para quem ainda acha que o StuxNet é "FUD" ou duvida de seu ineditismo e importância: "Manipulating this controller by malware as we see it in Stuxnet can destroy the turbine as effectively as an air strike."
[ Update 5: 2010-11-13 ]
Muito já havia sido falado sobre os possíveis alvos e objetivo do Stuxnet. Mas hoje a Symantec divulgou resultados interessantes depois de pedir ajuda a especialistas em sistemas SCADA (Profibus) que são alvo do StuxNet.
Segundo um post no blog da empresa o StuxNet requer drivers de conversão de frequência de dois possíveis fabricantes: um iraniano e outro finlandês. E mais, o malware detecta em que frequência os motores operados pelo sistema estão operando antes de sabotá-los, alterando sua frequência e impedindo o funcionamento normal do sistema. E - adivinhe - a frequência é altíssima (807 a 1210 Hz) , típica de reatores nucleares...
Trocando em miúdos, tudo indica que a teoria que indicava que o objetivo do StuxNet era a sabotagem dos reatores nucleares iranianos estava certa.
A Symantec modificou seu paper sobre o Stuxnet com estas novas informações, caso tenha interesse, baixe-o aqui (pdf).
[ Update 4: 2010-11-04 ]
Três novidades que surgiram nos últimos dias sobre o assunto merecem destaque:
- advisories do US-CERT sobre Control Systems Security - especialmente a divulgação da facilidade de se achar sistemas com o software Simatic (pdf)- e outros de sistemas SCADA - usando o mecanismo de busca de computadores "Shodan"
- um exploit 0day de um sistema Scada (RealWin da Realflex) foi publicado no repositório público do MetaSploit (info via ZDNet - leitura recomendada!).
- um pdf interno da Siemens contendo os slides apresentados durante uma "comunicação oficial" da empresa onde são listadasas ações tomadas em resposta ao incidente "StuxNet".
- How will it affect a plant or system?
- Why is Siemens target of this malware?
- How are my SIMATIC S7 controllers affected?
- What has Siemens done to reduce the risk to plants?
- What has Siemens done against Stuxnet
- Will this happen again in the future?
[ Update 3: 2010-10-01 ]
Depois das apresentações relacionadas a análise do StuxNet durante a conferência VB2100, Mikko Hypponen, da F-Secure divulgou um excelente e atualizado FAQ sobre o assunto.
Dentre as novidades, está a divulgação de uma entrada de registro nas máquinas windows infectadas - que é utilizada para verificar se a máquina já foi infectada.
Esta chave tem um valor sugestivo aos países indicados por analistas como possíveis fonte e destino principal de ataque: 19790509 - nesta data (1979-05-09), um proeminente iraniano judaico (Habib Elghanian) foi executado no Irã.
Além disto, já se sabe que a ameaça irá parar de se propagar em 12 de junho de 2012.
Para mais informações atualizadas, recomendo a leitura do FAQ da F-SECURE.
[ Update 2: 2010-09-28/29 ]
Um artigo na Forbes, escrito por Jeffrey Carr (autor do livro Inside Cyber Warfare) aponta uma possível relação entre o StuxNet e a falha de um satélite indiano (INSAT-4B).
O Lenny Seltzer divulgou links para 5 papers sobre o assunto:
- Exploring Stuxnet’s PLC Infection Process by Symantec’s Nicolas Falliere
- Stuxnet Memory Analysis and IOC Creation by Mandiant’s Peter Silberman
- Stuxnet Under the Microscope (PDF) by ESET’s Aleksandr Matrosov, Eugene Rodionov, David Harley and Juraj Malcho
- Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target by Kim Zetter
- Stuxnet: The First Weaponized Software? by Steven M. Bellovin
[ Update 1: 2010-09-23 ]
Três meses se passaram desde o nosso post original sobre a Stuxnet (abaixo) e algumas novidades e polêmicas surgiram envolvendo este que está sendo considerado como um evento altamente significativo e exemplo de CyberWare por muitos analistas. Abaixo segue uma lista de alguns tópicos importantes deste assunto - com links de referência.
- É consenso que para atingir a complexidade e efetividade da StuxNet, um time composto por vários especialistas experientes, bem treinados (e financiados) foi necessário.
- O StuxNet não explora apenas uma vulnerabilidade 0-day (.lnk/MS10-46) - como antes reportado, mas sim 4 (quatro!), incluindo a recentemente corrigida MS10-61 (Print Spooler Impersonation) e duas vulnerabilidades de elevação de privilégios ainda não corrigidas pela Microsoft.
- A Symantec divulgou alguns detalhes técnicos interessantes da análise de partes do incidente, incluindo a análise do código responsável pela infecção de Programmable Logic Controllers de ICS's (Industrial control systems).
- Analistas respeitados consideram a StuxNet como uma "Cyber Weapon", devido ao grau de ineditismo, complexidade (4 zero-days!) e alvo definido (infra-estruturas de controle industrial)
- Possíveis alvos primários da Stuxnet são as centrífugas de enriquecimento de urânio do Irã (Natanz) e/ou reatores nucleares iranianos (Bushehr) Se sabe que 60% dos sistemas afetados pelo StuxNet estão no Irã..
- Algumas análises apontam Israel como uma das nações possivelmente responsáveis pelo cyberwarfare envolvendo o StuxNet - e indicam fontes israelenses comentando em 07/07/2009 que "um pendrive infectado seria o suficiente".. para atingir os sistemas SCADA do país inimigo"
[ Post Original: 2010-07-20 ]
LNK vuln + Infocon Amarelo + Senha default BD SCADA + StuxNet
- Os handlers do Internet Storm Center, depois de muito tempo de calmaria (verde) mudaram hoje o InfoCon para amarelo;
- Isto porque já está disponível e em plena atividade de exploração um módulo para o metasploit que explora a vulnerabilidade LNK do Windows;
- No domingo, o exploit-db - antigo milw0rm - já havia divulgado código para explorar a vulnerabilidade;
- Para empresas: enquanto a Microsoft não lança um patch (deve demorar) - e também para os órfãos usuários de XP SP2) - uma boa alternativa é utilizar o utilitário Ariad do Didlier Stevens (só funciona em máquinas 32bit por enquanto);
- Outra alternativa é desabilitar via GPO a execução de qualquer drive que não seja o C: ;
- Alguns workarounds sugeridos pela Microsoft vão desde desabilitar o WebDav até editar o registro do Windows para impedir a exibição de ícones em arquivos de atalho (.LNK) - impedindo assim que a exploração tenha sucesso (existe agora uma versão "Fix It" no site da Microsoft)
- Tudo começou a ficar claro quando uma série de posts de um analista da Kaspersky trouxeram a tona um malware relativamente avançado - chamado StuxNet - que usa em seus executáveis uma assinatura digital válida da empresa Realtek (já revogada pela Verisign) e se prolifera via uma técnica diferente da comumente utilizada por malwares que infectam dispositivos USB;
- Depois da revogação do certificado da Realtek, o StuxNet passou a usar assinatura digital válida, agora da empresa Jmicron (também revogada depois de algumas horas).
- O uso dos certificados digitais da Realtek e da Jmicron podem indicar uma infecção com um trojan como o Zeus nestas empresas (ele rouba certificados digitais). Além disto o fato de revogar os certificados não ajudar muito, já que não impede que as atuais variantes do malware funcionem.
- Pra complicar um pouco mais, o Stuxnet possui funcionalidades de rootkit e esconde arquivos .lnk e ~WTRxxxx.tmp da raiz de mídias removíveis;
- Para piorar a situação, o "StuxNet" deixou claro que sistemas de controle de infra-estruturas críticas "SCADA" também tem problemas de segurança básicos (como senhas default de bancos de dados hardcoded que vazam inevitavelmente - neste caso há dois anos atrás);
- Sistemas SCADA que rodam o software WinCC da Siemens para Windows são os alvos do worm StuxNet (estes sistemas só executam programas assinados digitalmente - por isto o uso de certificados da RealTek e da Jmicron) e já há vários reportes de ataques à sistemas de infra-estrutura crítica da Índia e do Irã, Alemanha e Estados Unidos, além de industrias e grides de energia, por exemplo;
- A alemã Siemens se pronunciou dizendo que não vai mudar a senha default do software =( mas confirmou infecção de clientes do software produzido por ela; A empresa disponibilizou uma página de suporte unificada com todas as informações sobre o StuxNet.
- O US-CERT publicou um boletim (pdf) completo sobre o assunto e a Symantec também publicou detalhes da instalação e funcionamento do trojan - incluindo funcionalidades de roubo de informações (arquivos .sav, .ldf, .mcp, s7p do sistema SCADA da Siemens.. );
- Como a Microsoft está demorando para corrigir a falha envolvendo arquivos LNK, a Sophos lançou uma correção para a vulnerabilidade (video) para todos os Windows (menos o 2000).
