Stories 09/2024 – Stuxnet

Pillole di Bit Stories è un podcast speciale, che esce il primo giorno del mese, come ringraziamento, quando le donazioni superano una certa soglia. Oggi è il primo di settembre 2024 ed esce perché a luglio siete stati davvero molto generosi e ho pensato che fosse dovuto un ringraziamento speciale. E come ringraziarvi, se non con una puntata speciale, diversa dal solito, al di fuori della consueta scaletta?
Grazie, davvero, e buon ascolto di questa puntata dedicata ad una storia dell’informatica.

Nel 2010, in una centrale Iraniana per l’arricchimento dell’uranio, le centrifughe si guastavano con una frequenza superiore alla media, al punto da creare un problema non indifferente nel progetto che avrebbe portato alla possibile creazione della bomba atomica.
Non capivano però il perché di tutti questi guasti.
Ingaggiarono allora un team di esperti dalla Bielorussia che, dopo attente indagini sui loro computer, scoprirono essere infettati da un worm mai visto prima.
Anche se le loro reti erano tutte air-gapped, non connesse ad Internet, o almeno così sarebbe dovuto essere, pare che invece qualcosa fosse connesso.

Esiste un tipo di guerra, che conosciamo tutti. Quella delle armi con la polvere da sparo, con le bombe, gli aerei e i morti, che siano soldati o meno.
La vediamo tutti i giorni.
Ogni giorno è peggio, ogni giorno si supera quella soglia di tollerabilità, di quel “dai, non può essere peggio di così”
E poi ne esiste un’altra, che corre sui cavi delle reti, è silenziosa e sembra che non mieta vittime.
Qualcuno è morto per effetto secondario degli attacchi con ransomware agli ospedali di mezzo mondo, i morti ci sono anche lì. Immaginate di essere in gravi condizioni, andate in un Pronto Soccorso, ma questo è chiuso per un attacco, e per voi è troppo tardi.
Questo tipo di guerra ha avuto un punto di svolta nel 2010, quando è stato scoperto, analizzato e studiato un worm che non era altro che un’arma potentissima e molto precisa. Con un unico obiettivo.
E arrivava via chiavetta USB.
Prima di partire, si parlerà spesso di vulnerabilità 0-day, per chi non conoscesse la definizione, è un tipo di problema al sistema operativo, che, se sfruttato, permette accessi che normalmente non sarebbero permessi, è conosciuta, utilizzabile e non ancora corretta dal produttore del sistema operativo. Sono le vulnerabilità più pericolose.
C’è un mercato di queste vulnerabilità, perché, come vedremo, permette alle agenzie di intelligence, di fare attacchi informatici, senza farsi scoprire. Se il produttore non è informato non le tappa e loro le possono usare.
Nelle note vi lascio la lista completa delle vulnerabilità che sono state usate da questo malware
Torniamo a noi
Le informazioni non sono tutte confermate, quello che si sa è frutto dello studio del worm pescato da computer infetti e nessuno ha confermato chi lo ha realizzato quando e come. Il perché invece è chiarissimo.
Quando è stato sviluppato?
Nessuno lo sa.
Si ritiene che sia stato sviluppato da un team di una decina di sviluppatori in circa 2 o 3 anni. Questo lo dicono i Kaspersky Labs.
Il periodo di sviluppo è ormai accettato da tutti che sia stato a cavallo della presidenza Bush e Obama, indicativamente tra il 2005 e il 2010, e il nome in codice di questa missione di guerra cibernetica è “Operation Olympics Games”, perché pare fossero coinvolti più Paesi oltre agli Stati Uniti, si dice alcuni paesi europei e Israele.
L’obiettivo qual era?
Come detto in apertura, le centrali di arricchimento dell’uranio in Iran, uranio che, una volta arricchito, sarebbe diventato la materia prima per creare armi nucleari.
Un attacco di questo tipo evitava il bombardamento diretto in Iran o l’infiltrazione di persone per andare a distruggerle, cosa un po’ complessa.
Ma anche realizzare questo worm pare non sia stato un lavoro così facile, lo vedremo più avanti.
Per arricchire l’uranio vengono usate delle centrifughe che sono controllate da degli apparati elettronici industriali chiamati PLC, acronimo che sta per Programmable Logic Controller.
Per chi mi segue da un po’, sono le versioni industriali e commerciali di arduino, in termini facili. I PLC sono usati in tutto il mondo per gestire macchinari industriali, da semplici torni a bracci robotici a complesse catene di montaggio.
Per scendere un po’ più nel dettaglio usano PLC della Siemens.
Questi PLC sono controllati da un software specifico di Siemens installato su PC Windows 7.
Ovviamente queste informazioni erano state recuperate in precedenza da operazioni di intelligence.
Era necessario arrivare a quelle macchine.
Queste macchine sono in reti completamente isolate da Internet, per motivi di sicurezza.
Unica via di accesso, arrivare tramite chiavette USB.
Il sistema aveva comunque un sistema di verifica e aggiornamento online, in modo da essere controllabile e aggiornabile nel caso in cui trovasse almeno una macchina con uscita su Internet nella rete.
Spolier: c’era.
Questi 10 programmatori hanno sviluppato un malware che ha cambiato il mondo dell’informatica, infatti, spesso si parla di prima di Stuxnet e dopo Stuxnet, un po’ come Avanti Cristo e Dopo Cristo.
Il worm pesa 500k e, come detto prima, il primo veicolo di accesso è una pennetta USB.
Pare che con un attacco di ingegneria sociale siano riusciti a farla inserire in un computer all’interno di una centrale di arricchimento.
Il sistema sfrutta una vulnerabilità sui file .LNK, attiva anche con l’autorun disattivato, per installarsi sul computer.
Sfruttando altre due vulnerabilità del print spooler o del RPC server si replica sugli altri computer all’interno della rete.
Quando è all’interno di un computer cerca il programma Siemens Step7, ancora in uso per gestire i PLC di Siemens, e si infiltra nella sua cartella, modificando i file al suo interno.
Questa cartella dove ci sono i progetti viene spostata manualmente tra i computer, permettendo così una ulteriore replica manuale del virus.
Il processo di Stuxnet, sfruttando altre due vulnerabilità 0-day nell’utilità di pianificazione o nel layout della tastiera, eleva i diritti a system, ottenendo così privilegi totali sul computer.
Con questo tipo di privilegi, il software installa un rootkit sotto forma di due driver di sistema, li firma con un certificato valido rubato, in modo che si possano spacciare come software legittimo e, modificando il registro di sistema, li fa partire all’avvio del computer.
Ok, cos’è un rootkit? È un software, o meglio un kit di pacchetti software, malevolo che viene installato di nascosto su un sistema e che usa i privilegi di amministratore, da qui la parola root, che che l’amministratore dei sistemi unix/linux, per infettare il computer e ottenere i risultati cercati.
Il registro di sistema di Windows è una parte fondamentale di Windows che contiene tutte le variabili di sistema che vengono usate per far funzionare il computer. Ci potete mettere anche voi le mani, ma è meglio di no.
A questo punto Stuxnet ha un suo processo attico nel computer con un ID univoco per tutte le macchine infette, in modo che possa comunicare tra le macchine in rete e cercare di raggiungere una che eventualmente è connessa ad Internet.
Per evitare di essere trovato dai sistemi antivirus, oltre a nascondersi dietro certificati validi, il software fa chiamate di sistema con gli stessi nomi delle chiamate di sistema delle DLL del kernel di Windows, sto un po’ semplificando, in questo modo diventa completamente trasparente e invisibile.
Anche se progettato per lavorare in reti separate da Internet, lui fa il test per vedere se il PC è connesso e lo fa sugli stessi domini su cui lo fa Windows, in modo da non destare sospetti.
Se scopre di essere connesso invia un pacchetto crittografato con i dati del computer, del dominio e se ha trovato il software di Siemens a due domini specifici e attende una risposta che potrebbe contenere un aggiornamento o altri comandi da eseguire.
E non siamo ancora arrivati allo scopo principale, siamo solo all’installazione e replica su altri PC, cercando di rimanere sotto traccia, sempre in un pacchetto di meno di mezzo mega.
Se sul PC infettato non c’è il pacchetto di Siemens il worm resta lì e non fa assolutamente niente.
Se lo trova entra in azione e fa quello per cui è stato progettato. Prende la DLL con le funzioni che si interfacciano con l’hardware del PLC, la rinomina e la sostituisce con una nuova, che ha le stesse funzioni con modifiche al codice relative a scritture in memoria del PLC.
In questo modo può intercettare le chiamate del software verso il PLC e le può modificare agendo come se fosse un man-in-the-middle.
Ma non è finita.
Sfruttando un’altra vulnerabilità 0-day di Microsoft SQL Server, accede al DB per verificare il tipo di cpu dei PLC.
Se è un tipo specifico accede al PLC e legge in una determinata zona di memoria i dispositivi connessi e se sono dei convertitori di frequenza come quelli usati nelle centrifughe allora si attiva.
L’azione è variare ogni 30 giorni circa dei parametri operativi in modo da creare stress fisico alle centrifughe in modo da causare guasti e ridurre la qualità dell’uranio arricchito.
Questa variazione non è registrata in alcun log, i sistemi di controllo non leggevano i valori diversi e pertanto non veniva rilevato alcun allarme.
Pare che questa attività abbia causato talmente tanti problemi e danni da aver rallentato e ritardato il piano nucleare iraniano di un anno.

Pillole di Bit è un podcast gratuito da sempre e disponibile per tutti, se vi piace e reputate che il lavoro di realizzazione abbia del valore economico, potete trasformare questo valore in una donazione, sul sito trovate i link per farlo, con Satispay o Paypal, con quest’ultimo anche in abbonamento mensile, il tutto con la cifra che volete voi.
Se a fine mese la quantità di donazioni raggiunge una certa soglia, mi impegno a fare una puntata extra, per il primo del mese successivo, dedicata ad una storia dell’informatica, per ringraziarvi della generosità.
Per vedere a che punto siamo c’è un bellissimo grafico a torta aggiornato in tempo quasi reale sulla barra laterale.

Siamo arrivati alla fine di questa puntata di Pillole di bit Stories, uscita, perché siete stati molto generosi nel mese di luglio 2024, vi ricordo che tutti i link relativi alle cose dette sono nelle note, che trovate sulla vostre app o sul sito.
Io sono Francesco, produttore e voce di questo podcast e vi do appuntamento alle puntate della programmazione normale, ogni lunedì mattina presto, vi registrate con un’app per podcast e la puntata vi arriva automagicamente.

Grazie per avermi ascoltato!

Ciao!