Az előzményekről már ezen a blogon is írtam (A Stuxnet és hatásai (első rész - második rész), ezeket most röviden összefoglalom. A Stuxnet vírus egy sebészi pontossággal megvalósított támadás eszköze, melynek célja az iráni urániumdúsító program megfékezése volt, és ezt a célt el is érte.

Egy olyan behatolót sikerült fejlesztőinek létrehoznia, mely az internet nélkül (ezek a létesítmények úgyis szeparálva vannak a világhálótól), USB-pendrive-on terjed. A Stuxnet támadása legtöbb esetben csak egyfázisú, gyakorlatilag trójaiként terjed. Amennyiben viszont észleli, hogy az adott gép S7 PLC kommunikációra is alkalmas, a második fázist is elindítja.

Ennek a mechanizmusának a megértéséhez tegyünk egy kisebb kitérőt az ipari irányítástechnika világába (ha esetleg ön ismeri ezeknek a működését, kérem lapozzon, mert önnek fáldalmasan laikus leírás következik).

PLC-k

Ábra: Ob121.com

A fenti ábrán egy ipari felügyeleti rendszer sémája látható. Jobb oldalon a felügyelt technológiai rendszerek (robotok, motorok) míg bal oldalt a felügyeleti eszközök találhatók. A “SCADA kliens”-ek találhatók a vezénylőkben, ezekről lehet a rendszer működését követni illetve irányítani.

A fenti S7-400 pár irányítja a rendszer működését. Ez egy speciális nyelvrendszerrel programozható egység (PLC – programmable logic controller), ami automatizálási célokra került kifejlesztésre. Ez egy - számítógépes szemmel nézve - rendkívül buta berendezés, mert rendkívül korlátozott lehetőségeibe a képernyő, billentyűzet, egér meg bármiféle kezelői felület már (többnyire) nem fér be, viszont a letöltött programot gyorsan és megbízhatóan futtatja.

Ez a program biztosítja a részrendszerek, berendezések együttes és összehangolt működését, meghibásodás, kezelői beavatkozás esetén ez változtatja meg a teljes rendszer „összhangját”, és ez adja a jelentéseket a felügyeleti egységeknek a rendszer működéséről (státusz, diagnózis, hibaüzenetek).

Bővebben a PLC-rendszerekről itt olvashat)

 Ha egy behatoló „ütni” akar, a fenti ábra alapján egyértelmű ennek a módja: Meg kell változtatni a PLC-n (PLC-ken) futó programot, úgy, hogy az irányított rendszer működését káros módon befolyásolja, emellett viszont hamisított jelentéseket kell küldenie a felügyelet felé „minden rendben” tartalommal. A Stuxnet ezt tudja végrehajtani:

- első fokozata gond nélküli terjedést tesz lehetővé számára a TCP/IP protokollal elérhető egységek között (a fenti ábrán a zöld színű vonalak). Amennyiben megtalálja a programozói gépet, életbe lép a következő szint:

- második fokozata rövid időre a programozói gépen keresztül hozzáfér a vezérlőhöz (a felnti ábrán a kékes színű „mpi” vezetéken keresztül az „S7-400h pár”-hoz), és annak megváltoztatja a programját azáltal, hogy annak néhány modulját felülírja.

Az első fokozattal nincs nagy gond, hiszen az egységes Windows rendszerrel a korábbi behatolók is gond nélkül boldogultak (és sajnos, tegyük hozzá rögtön, a speciális PLC fejlesztő rendszerek nagy része csak Windows-on hajlandó futni).

A második fokozat érdekes kérdéseket vet fel: - honnan tudja egy behatoló program, hogy az adott programot hogyan kell átírnia úgy, hogy a fenti eseménysort kiválthassa?

A válasz meghökkentő a Stuxnet esetén : a behatoló program nagyon pontosan tudta, hogy mit és hogyan kell manipulálnia – egy adott rendszer esetében. A többi megtámadott rendszer esetén a Stuxnet (elméletileg) nem okozhat károkat, mert az adott modulokat az előre leprogramozott tartalommal nem találja, a károkozót csak egy célpontra fejlesztették.

Stuxnet (2009)

Az urániumdúsítás egy rendkívül összetett, de a felügyelet szempontjából egy dög unalmas munka. 5000, az álló embernél magasabb csőben pörögnek a centrifugák, melyek kívülről nem láthatók, mert hűtőrendszer burkolja ezeket.

(Bővebben az urániumdúsítás folyamatáról itt olvashat)

Főnöki szemle a nantanzi urániumdúsítóban - a kép  Mahmoud Ahmadinejad 2008-as látogatásakor készült. Háttérben az ominózus centrifugák, fotó: Getty Images.

Ezek a centrifugák nagyon nagy és egyenletes sebességgel (~ 1000 fordulat per másodperc, ~60.000 rpm) működnek, és rendkívül kis súlykülönbség alapján szeparálják az urániumot.

A centrifugák sebességének a változtatása két dolgot eredményez:

- a sebesség csökkentése majd növelése a szeparáció összeomlását

- a sebesség túlfutása a centrifugák élettartamának csökkenését, vagy azoknak a tönkremenetekét.

Ez volt a célja a Stuxnet kifejlesztőinek, a támadás célpontja pedig az iráni Nantanz város melleti urániumdúsító volt. A támadáshoz ismerni kellett a centrifugák paramétereit és programozását, illetve a program szerkezetét is, de mindez a fejlesztők számára nem jelentett akadályt.

A centrifugák manipulációjából a rendszert felügyelő technikusok nem láttak – nem láthattak semmit, mert a vírus a PLC-k által kiadott státuszjelentéseket is felülírta.

2010. november 16.-án Irán leállította az urándúsítóit, miután a centrifugák több, mint 20%-a megsemmisült a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját.

 Az előző – Stuxnetről szóló – bejegyzésemben már írtam, hogy a Stuxnet az első a sorban, és szinte biztosak lehetünk abban, hogy nem az utolsó. Ralph Langner, hamburgi hálózatbiztonsági szakértő, a Stuxnet egyik leleplezője nyilatkozta a júliusban , Tallinban megtartott NATO-Konferencián: “Ez a fajta hadviselés változásokat fog hozni. Több, hasonló támadást is fogunk a jövőben látni”.

Nos, a saga folytatódik, itt a követő behatoló.

DuQu (2011)

A magyar CrySyS Adat- és Rendszerbiztonság Laboratórium azonosított egy dropper fájlt, mely egy MS 0-day kernel hibát használ fel. A behatóló a “~DQ” prefix-szel egy fájlt generál, nevét innen kapta (DuQu).

A Symantec megállapította, hogy a DuQu terjedési mechanizmusa gyakorlatilag megegyezik a Stuxnet-tel, de annak egészen specifikus céljával szemben a DuQu – a Symantec feltevése szerint – egy Stuxnet-szerű támadás előfutára – kódját az előd fejlesztői írták, vagy annak kódjából fejtették vissza. A behatoló Kevin Haley, a Symantec Security Response igazgatója szerint Word-fájllal terjed.

A DuQu a potenciálisan megtámadható rendszerekről, és a rendszerek fejlesztőiről / gyártóiról gyűjt adatokat. Az elsősorban távoli hozzáférésű trójai (remote access Trojan - RAT) nem tartalmaz ipari kódot (elődjével szemben).

A viszonylag ártalmatlan szerkezete nem zárja ki olyan – egyelőre fel nem tárt - variánsainak a létezését, melyek például Stuxnet-szerű támadásra alkalmasak. A támadók a DuQu-n keresztül a fertőzőtt gépre telepítenek egy infostealer-t, mely rögzíti a billentyűleütéseket.

A behatólónak két variánsa ismert, az egyik 2011 szeptember 1-jén keletkezett. A trójai egy tajvani cég digitális tanúsítványát használja, mely 2012 augusztus 2.-ig érvényes, de 2011 október 14.-én visszavonásra került.

A DuQu HTTP és HTTPS protokolokon keresztül képes kommunikálni a command-and-control (C&C) szerverrel, a begyűjtött információkat egy enyhén titkosított és tömörített helyi fájlba tárolja.

A behatoló saját protokollt alkalmaz az átvitelhez, melyet valószínűleg .JPG fájloknak álcázva valósít meg. A kód 36 napig marad aktív a fertőzött gépen, ezután törli magát.

Elterjedtség

 

Kép: Symantec

A Symantec Franciaországban, Hollandiában, Svájcban, Ukrajnában, Iránban, Szudánban, Vietnamban és Indiában bukkant a DuQu által fertőzött gépekre, de a fertőzés feltételezhetően elérte Nagy-Britániát, Indonéziát, Ausztriát és Magyarországot is.

Védekezés

Jerry Bryant, a Microsoft szóvivője szerint cége tisztában van a DuQu kockázataival: "Partnereinkkel azon dolgozunk, hogy kijavítsuk a biztonsági rést, melyet a DuQu kihasznál."

Mindenesetre amíg nem sikerül a fenyegetést elhárítani, senki ne nyisson ki e-mail-ben érkező és ismeretlen forrásból származó Word-dokumentumot.

Jelenleg (2011. nov. 4) itt tartok az események követésében, amennyiben újabb információk kerülnek napvilágra, ezt a bejegyzést is bővíteni fogom.

További fejlemények

 

2011. nov. 4: Gyorsjavítás érkezett a Windowsokhoz

A Microsoft tegnapi tájékoztatója ismerteti, hogy a mindeddig feltáratlan hiba a win32k.sys beágyazottbetűkészlet-feldolgozó alrendszerében található, és ez lehetővé teszi, hogy közvetlenül rendszer szintű kódfuttatást történjék a Wordből. A hiba az összes Windows-verziót érinti.

A gyorsjavítás telepítője letölthető a Microsoft terméktámogatási oldaláról. A végleges javítás kiadásának időpontja még ismeretlen, de annyi bizonyos, hogy leghamarabb a jövő héten, a szokásos havi frissítéskor érkezhet. (Forrás: IT café)

2011. nov. 4: CC szerver Belgiumban

egy új command-and-control irányító szervert fedeztek fel Belgiumban (77.241.93.160), amelyet le is állítottak (Forrás: IT café)

Források, előzmények

 

OB121 cikk
Stuxnet, első rész (blogbejegyzés, ob121.blog.hu)
Stuxnet, második rész (blogbejegyzés, ob121.blog.hu)
Crysys
Symantec bejegyzés a DuQu-ról
FAZ cikk a DuQu-ról
ZDNet cikk
IT café - Gyorsjavítás érkezett a Windowsokhoz

A bejegyzés trackback címe:

http://ob121.blog.hu/api/trackback/id/tr993356952

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.