21.11.2014 | 06:39

Adam Haertle

Polski akcent w Stuxnecie, jednym z najciekawszych wirusów w historii

Odkryty w 2010 Stuxnet, wirus atakujący instalacje wzbogacania uranu w Iranie, wykorzystywał aż 5 błędów typu 0day. Mało kto wie, że tylko 3 z nich były wcześniej niepublikowane, a jeden z nich został rok wcześniej opisany w polskim czasopiśmie.

Gdy badacze analizowali kod wirusa odkrytego w Iranie natrafiali co chwilę na kolejne sensacyjne odkrycia. Oprócz tego, że jako pierwszy wirus w historii atakował on sterowniki przemysłowe, do rozmnażania się i uzyskiwania uprawnień w zaatakowanych systemach wykorzystywał aż 5 różnych, wówczas niezałatanych błędów. Dopiero głębsza analiza wykazała, że 2 z nich były publicznie znane w momencie ataku, lecz pozostawały z niewiadomych powodów niezałatane przez Microsoft.

Błędy znane, lecz nieznane

Podstawową bronią Stuxnetu był błąd w przetwarzaniu plików .LNK (СVE-2010-2568), który pozwalał infekować każdy komputer, do którego został podłączony zarażony napęd USB. Komputery irańskich naukowców, które stanowiły ostateczny cel ataku, nie były podłączone do internetu, zatem możliwość ich zainfekowania przez napędy USB była główną nadzieją twórców wirusa. Okazuje się jednak, że błąd ten został pierwszy raz użyty w listopadzie 2008 przez konia trojańskiego Zlob. Z bliżej niesprecyzowanych powodów nikt – oprócz najwyraźniej twórców Stuxnetu – nie zwrócił wtedy uwagi na fakt używania przez Zloba błędu typu 0day i został on załatany dopiero kilka tygodni po odkryciu Stuxnetu.

Drugi błąd znany w momencie tworzenia Stuxnetu to CVE-2010-2729, czyli błąd wykorzystujący konfigurację usługi udostępniania drukarek i sposobu instalowania sterowników do zdalnego ataku i podniesienia uprawnień użytkownika. Stuxnet korzystał z niego, by rozmnażać się w sieci lokalnej. Błąd ten został po raz pierwszy publicznie opisany nigdzie indziej jak tylko w… słynnym magazynie Hakin9 już w kwietniu 2009.

https://twitter.com/VUPEN/status/25157588972

W wydawanym w Polsce czasopiśmie autor Carsten Kohler opisał w bardzo szczegółowy sposób, jak można dzięki udostępnionej drukarce uzyskać zdalny dostęp administracyjny do innej stacji w sieci lokalnej. Do swojego artykułu dołączył także kod źródłowy, umożliwiający przeprowadzenie ataku. Czemu nikt z Microsoftu nie zwrócił na ten błąd uwagi – to pytanie pozostaje bez odpowiedzi.

Początek artykułu z Hakin9

Początek artykułu z Hakin9

Broń uzbrojona po zęby

Oprócz dwóch powyższych błędów Stuxnet używał także trzech błędów nieznanych publicznie w momencie jego tworzenia (MS09-025 wykorzystywany przez jedną z wczesnych wersji, CVE-2010-3338 oraz CVE-2010-2743) a także kilku błędów, na które istniały łaty, ale nie były one zainstalowane na wszystkich komputerach. Choć w wielu aspektach wirus nie był doskonały (banalna komunikacja z C&C, brak zaciemnienia kodu, trywialne szyfrowanie z kluczami zawartymi w kodzie), to trzeba przyznać, że arsenał wykorzystywanych błędów miał naprawdę na poziomie. Jego wyniku do tej pory nie powtórzył żaden z jego następców – a przynajmniej nic nam o tym nie wiadomo.

Źródło: Do artykułu zainspirowała nas lektura świetnej książki Kim Zetter Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon.

Powrót

Komentarze

  • 2014.11.21 08:09 A

    Moze dlatego, ze nikt go nie czyta? :)

    Odpowiedz
  • 2014.11.21 13:06 Duży Pies

    Nie zdziwię się, gdy ktoś znajdzie złośliwy kod w tak mało „podejrzanym” miejscu jak firmware napędu optycznego (DVD/BlueRay) lub dysku twardego.
    .
    Dlaczego jeszcze nikt nie pisze o umieszczeniu złośliwego kodu w sterownikach PLC i mikrokontrolerach przemysłowych?
    .
    A sama aparatura kontrolno-pomiarowa automatyki (AKPiA), której pełno w obiektach takich jak instalacja wzbogacania uranu w Iranie? Rozebrałem kiedyś przemysłowy czujnik przepływu wody Turcka montowany na instalacjach wodnych, a w środku sensor + układ do komunikacji. Takich czujników są setki i jest w nich miejsce na szkodliwy kod.
    .
    Internet przedmiotów (Internet rzeczy, ang. Internet of Things – IoT) to kolejne tysiące możliwości na składowanie szkodliwego kodu. To wektor ataku który dopiero się rozwinie za lat kilka.
    .
    Wracając do automatyki.
    Ktoś zrobił audyt sieci Profibus lub Modbus? To „stare” sieci, ale często jeszcze używane w automatyce przemysłowej. Ktoś zrobił audyt Simatica Siemensa, tak chętnie używanego w automatyce przemysłowej, nawet tej o znaczeniu strategicznym czyli elektroenergetyka (także jądrowa) i przemysł petrochemiczny? Takich miejsc gdzie można zagnieździć szkodliwy kod, jest prawdopodobnie od groma. Dla kogoś kto posiada fundusze, zaplecze techniczne i zasoby ludzkie, napisanie i umieszczenie wyrafinowanego złośliwego kodu, jest do wykonania. Stuxnet właśnie to pokazał – prawdopodobnie techniczne skrzydło Mossadu brało w nim udział.
    .
    Zresztą Mossad rekrutuje w Sieci: https://www.mossad.gov.il/eng/Pages/encontactus.aspx
    Jak ktoś zna angielski i np. dobrze programuje i/lub zna sieci, to praca i dobra pensja czeka.
    Ale pamiętaj: stamtąd (ze służb, szczególnie izraelskich) się nie odchodzi ;)

    Odpowiedz
    • 2014.11.21 20:10 steppe

      Akurat dzisiaj Siemens opublikował aktualizację bezpieczeństwa dla SIMATICa ;)

      Odpowiedz
      • 2014.11.21 20:17 Duży Pies

        No to fajnie że zrobili aktualizację.
        A robił ktoś testy penetracyjne takich systemów automatyki przemysłowej?
        Co ze SCADA, bardzo atrakcyjnym miejscem do ataków?

        Odpowiedz
        • 2014.11.21 20:33 steppe

          Powiem tak samo jak przy Modbusie – nie zawsze można sobie pozwolić na testy działającego systemu. Poza tym systemy technologiczne bywają dość stare i nawet nie ma sensu im robić testów. Po prostu zakładasz, że są do złamania i koncentrujesz się na innych warstwach ochrony. Natomiast równolegle wypada myśleć o wymianie na nowsze i przetestowane… Teraz wychodzi coraz więcej ciekawych dokumentów – szczególnie w USA – nt. systemów przemysłowych i bezpieczeństwa.
          Tak przy okazji.
          Rozejrzałem się po Twitterze w związku z publikacją raportu o infrastrukturze krytycznej i widzę, że autorzy teraz w różnych mediach niemal alarmują o grożących nam atakach. Czyżby tydzień temu (przed publikacją) było lepiej? Czy teraz wszyscy zginiemy? Może trzeba było najpierw alarmować, potem podeprzeć to raportem ;)
          Nie lubię wybujałego marketingu :)

          Odpowiedz
        • 2014.11.21 20:35 steppe

          A w ogóle to stawiasz dobre pytania, nie ma wątpliwości. Ale na szczęście są ludzie, którzy o tym myślą ;)
          Trudno tu się śledzi komentarze. Lepiej na FB lub Twitterze…

          Odpowiedz
          • 2014.11.21 22:24 Duży Pies

            Pytania się łatwo stawia, odpowiedzi przychodzą znacznie trudniej.
            Ale tu na forum mogę swoimi pytaniami rozkręcić dyskusję, zasiać ferment ;)
            Lubię potem czytać to co ludzie piszą, pod warunkiem że to nie trolling ;)
            Miałem kiedyś kontakt z energetyką i automatyką, więc coś tam jeszcze pamiętam.
            .
            Na koniec:
            Miniaturyzacja postępuje w tempie wykładniczym. Z jednej strony to fascynujące, z drugiej, już teraz widać ile będzie z tym problemów, jeśli chodzi o bezpieczeństwo. Wspominałem „Internet rzeczy”. Przykład „żarówka z własnym adresem IP”: http://www.benchmark.pl/aktualnosci/Zarowka_z_wlasnym_adresem_IP-35131.html Idą naprawdę ciekawe czasy ;)

    • 2014.11.21 20:13 steppe

      Aha, jeszcze jedno. Chodzi o audyt konkretnych, działających Profibusów lub Modbusów? Tak na żywca? To nie jest to samo, co zwykłe IT…

      Odpowiedz
  • 2014.11.21 13:15 Dev0

    „… lecz pozostawały z niewiadomych powodów niezałatane przez Microsoft.”

    A dziad wiedział, nie powiedział, a to było tak …

    Odpowiedz
    • 2014.11.21 13:23 Duży Pies

      Ta firma bardzo często arogancko podchodzi do zgłaszanych zagrożeń, zawsze tak robiła. Łatają kiedy im pasuje, nie wtedy gdy się pali.
      Nie wiem jak jest teraz, ale kilka lat temu około 30% programistów tej firmy pracowało na jakieś dziwne umowy śmieciowe. Nic dziwnego że nie mają czasu na wszystko, a apetyt korporacji ciągnie rośnie, no i popełniają masę błędów: przegapili srajfony, porzucili XP i 2003 Server które można było ciągle jeszcze utrzymać, zresztą „porzucanie” softu i zmuszanie do kupna nowych wersji, to ich specjalność; można tak wymieniać do bólu…

      Odpowiedz
      • 2014.11.21 22:32 qj0n

        Porzucenie XP akurat jest przemyślanym ruchem, a nie błędem. Po pierwsze, użytkownicy muszą kupić nowszy system (choć to raczej niewielki procent). Po drugie XP już nikt nie sprzedaje, a koszt utrzymania go jest duży.
        Do tego coraz więcej firm nie wspierało swoich produktów na XP. Więc nawet jak MS załata wszystkie dziury w XP to ostatnie wersje działające na XP i tak się zapychają…

        Odpowiedz
        • 2014.11.21 22:54 Duży Pies

          I tak, i nie.
          Pogadaj z działami IT w wielkich korpach, które miały pisane systemy informatyczne i programy, które idealnie działały na XP, a teraz na 7 lub 8 nie działają poprawnie, o Viście litościwie nie wspomnę.
          Pogadaj z ludźmi których nie stać na zmianę kompa lub systemu, szczególnie w budżetówce jest to zauważalne.
          Owszem, XP się postarzał, ale gdyby powstał 4 i 5 Service Pack do niego, to prawdopodobnie mógłby jeszcze pociągnąć jakiś czas.
          Windows Server 2003 dla małego biznesu lub w ogóle do małej sieci, wystarczał idealnie. Ktoś kto kiedyś się wykosztował i kupił licencję, teraz albo musi przejść na Linuxa lub BSD, albo znów się wykosztować na Server 2012/ Server 2012 R2. Znów chodzi o pieniądze których ciągle jest mało. Polska to nie UK, gdzie można zmieniać sprzęt komputerowy co 3-5 lat.

          Odpowiedz
      • 2014.11.21 22:34 qj0n

        Porzucenie XP akurat jest przemyślanym ruchem, a nie błędem. Po pierwsze, użytkownicy muszą kupić nowszy system (choć to raczej niewielki procent). Po drugie XP już nikt nie sprzedaje, a koszt utrzymania go jest duży.
        Do tego coraz więcej firm nie wspierało swoich produktów na XP. Więc nawet jak MS załata wszystkie dziury w XP to ostatnie wersje działające na XP i tak mogą mieć błędy

        Odpowiedz

Zostaw odpowiedź do steppe

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polski akcent w Stuxnecie, jednym z najciekawszych wirusów w historii

Komentarze