– root@injetionsec:~#

stuxnet – falando mais

16.06.2014 (6:15 pm) – Filed under: Worm ::

Esse worm começou seu ataque quando um gerente ou funcionário de Natanz conectou um pendrive USB  em alguma maquina no caso o notebook com o  siemens industrial,então foi ativado,este notebook que estava na rede industrial  foi escolhido pelo atacante e que forneceu dados e configurações para um sistema scada da siemen, e assim enviou as ordens inseridos pelo notebook para as centrífuga para serem executado com os parâmetros inseridos nessa maquina infectada.

iquwefe

As habilidades do Stuxnet são sem precedentes  uma vez que foi programado com inteligência fora de sério galera ,com 3 zero-day onde os dispositivos infectados tinham em suas vulnerabilidades a conhecida MS 10-046 com isso ele permitia executar tarefas administrativas no computador infectado,em 25 Janeiro 2010Stuxnet obtido um certificado digital válido originalmente emitido para Realtec Semiconductor Corps pela fornecedora líder de serviços de autenticação da VeriSign,nessa época, o número total de vulnerabilidades no Windows aumentou para 4 e o Stuxnet usou essas vulnerabilidades para criar túneis de comunicação entre os vários dispositivos conectados a uma rede e migrar de um ponto a outro,veja abaixo

sdopfjsd

Esse worm tendo o certificado digital válido da Verisign qualquer antivírus viu isso é que acabou não fazendo nada é assim o sistema de defesa do windows passou sem problema algum, então era carregado na máquina da vítima estabelecendo assim nos registros dos windows infectados já carregado no registro do sistema infectado ele detecta se o computador da vítima tinha algumas certas características, como tinha o WinCC ou PCL da Siemens com as mesmas frequências.

Com isso stuxnet se comunicava com os servidores de controle que eram principalmente na Alemanha e Malásia subindo assim o IP dos dados coletados e levantando toda as informações sobre o computador e a rede compartilhada e esperando os comandos para executar/atualizar a partir dos servidores.

Abaixo vemos o modelo original infectado na usina de enriquecimento de urânio em Natanz Central – Iran. (Siemens S7-SCADA).

weifhe2

Como é o processos das centrifugadoras em cascatas

Centrifugadoras utilizam o gás para o enriquecimento de urânio,centrífugas podemos ter:
Uma etapa de enriquecimento onde á um compartilhamento do mesmo tubo de alimentação,produto e resíduos.
A outra etapa os canais coletivos lado á lado do produto canalizam de um para o outro,veja abaixo como e feito esses processos

sidfhdfd

1º PROBLEMA : Inerencia no sistema de proteção das centrifugas em cascata

É composto por duas camadas,o sistema de proteção de cascata constituída por duas camadas,três níveis da camada inferior das válvulas são fechadas rapidamente em cada centrífuga,logo depois de fechar as válvulas as centrífugas estão funcionando com problemas (indicadores de vibração), então é isolados é classificados, devem ser substituídos por uma manutenção e isso ocorre quando o processo ainda está em execução.
Os sistemas centrais de proteção tem o monitoramento de cascata como mostrado na figura um ponto verde ou um ponto cinza.

1weuidhwd6

 

2º PROBLEMA : Pressão de gás no processo de centrifugação

As centrífugas de gás de enriquecimento de urânio são extremamente sensíveis a aumentos de pressão no processo de vácuo caso haja um aumento da pressão pode afetar a eficiência de enriquecimento e assim ter um pertubação na centrifugação em cascata, podem assim levar a solidificação do fluxo do produto, caso haja mesmo o aumento de temperatura essa pressão conduzirá mais hexafluoreto de urânio inserido na centrífuga e com isso exercera um sobrecarga no rotor mecânico,veja o processo abaixo

23iruh33

Como o worm Stuxnet explorou?

Ele foi estruturado para 2 tipos de ogivas digitais.

Uma grande ou uma pequena ogiva.
Cada ogiva tinha um objetivo específico.
Eles eram autônomos sem total controle remoto.
Os atacantes têm pleno conhecimento de informação privilegiada sobre as estruturas digitais.
Possuía um elevado grau de engenharia.

Quando o Stuxnet estabelecer a conexão com os computadores infectados ele penetrou dentro do controlador PLC e modificou o código do programa desse controlador e ainda por cima escondendo suas mudanças feita nos momentos.
weo0fjwef

CURIOSIDADE : Ao longo de um período “meses” o Stuxnet alterava a frequência de saída mudando a velocidade do rotor da centrífuga,as frequências de funcionamento normais são entre 807 Hz e 1.210 Hz variando na frequência padrão de 1.064 Hz,em curtos períodos de tempo não mais do que 15 minutos o Stuxnet aumentava a frequência para 1.410 Hz o que está acima do limite de 1.210 Hz e em seguida, mudava para 1.064 Hz,depois de 27 dias o worm Stuxnet fazia com que a freqüência de saída cai-se para 2 Hz por 5 minutos. A cada 27 dias repetia a mesma rotina a aceleração centrífuga e desaceleração.

2387ycfdf

Conseqüências desse worm.

Ocorreu por volta de 2009-2010 e quebrou mais de 1.000 centrífugas nem mesmo os operadores não sabia disso o que estava acontecendo porque sempre na tela mostrava tudo normal
Stuxnet foi capaz de paralisar o funcionamento da central por um período de tempo relativamente,mas foi restaurado rapidamente a produção
Stuxnet não mostrou evolução no campo de malware, mas uma revolução total.
Hoje muitos falam e confirmam que os criadores da arma digital foram os EUA e Israel mas eles não aceitaram a autoria.

Fico por aqui galera espero que tenham gostado

Tirei essas informações de varias fontes da internet é alguns artigos que 
tenho e andei lendo é estudando por esses dias.

Coreia do Sul desenvolve Stuxnet semelhante para destruir as instalações nucleares norte-coreanas

23.02.2014 (12:55 am) – Filed under: Worm ::

A fim destruir instalações nucleares norte-coreanas, a Coreia do Sul decidiu desenvolver suas próprias ferramentas de ataque cibernético,tipico Stuxnet  têm sido proposto pelo Ministério da Defesa do país, o mesmo software Stuxnet que foi projetado para atacar e destruir as usinas nucleares iranianas. (…)

A primeira parte do plano da Coréia do Sul,é de continuar  a realização de operações de propaganda on-line, colocando em rede social norte-coreana e os serviços de mídia social, mais infomações.

Fonte: hackread

O que o stuxnet faz !

08.12.2013 (9:23 pm) – Filed under: Rede Industrial ::

*** Infecta sistemas windows usando exploits 0-day e rouba certificados digitais para assim instalar no windows como rootkit compativel com maquinas.
*** As tentativas de contornar os bloqueios e proteções ele usa injeção pre-existentes em processos confiáveis.
*** Normalmente infecta injetando DLL em outro processo e exporta DLLs adicionais como necessario.
*** Se esplalha na rede,usando midias removiveis e conexões de redes
*** Olha para o sistema industrial alvo (Siemens WinCC SCADA),quando encontra ele usa hard-coded SQL autenticando para assim injetar o codigo no BD, infectando assim para obter acessso os PLCs
*** Injeta bloco de codigos no PLC alvo que pode interromper os processos injetando no trafico de Profibus e modificando a saida do PLC estabelecendo um rootkit nos PLCs alvos.
*** Se certas frequencias são encontradas ele configura em um ciclo diferente entre 1,410 a 4 Hz

Worm mais destrutivo do que o Stuxnet

07.12.2013 (11:28 pm) – Filed under: Noticias ::

A arabia saudita e a divisão de inteligência Mossad de Israel já estariam colaborando para o desenvolvimento de um worm mais destrutivo do que o Stuxnet para espionar e destruir a estrutura de programa nuclear do Irã

Mas por quê !

O relatório afirma que a Arabia Saudita e Israel não foram felizes com o acordo entre o Irã e o grupo de dos 5+ (Russia,EUA,China,França,Grã-Bretania, e Alemanha) o que Israel apelidou de acordo como “Historic Mistake” em quanto a Arábia Saudita chamou de “West’s treachery”.

Edward Snowden confirmou que Stuxnet foi desenvolvido pelo EUA   e Israel seria ficado seriamente preocupa com a parceria da inteligencia saudita-israelense agindo em conjunto  om operações secretas, de cyber guerra e projetos nucleares, e recentemente o Stuxnet infectou usinas nucleares russas.

Fonte : thehackernews

Forma do Stuxnet

06.12.2013 (8:55 pm) – Filed under: Worm ::

Vamos falar um pouco de como é a forma do worm stuxnet que pode ser visto na figura abaixo:

043riof

 

Ele foi utilizado para carregar um controle de sistema especifico,foi o primeiro worm de sistemas industrial a executar na raiz do sistema,pode se auto-atualizar,capaz de injetar códigos em larga escala nos PLCs, ao ponto de alterar as operações do PLCs bem como ocultar uma falsa informação de volta para HMI, adaptando ao ambiente.

Ele usa sitema de alto “hard coded” com autenticação de credenciais que não foram publicamente divulgadas, e assinado com certificados legitimos fabricados,usando roubo de chaves, e uma das nova arma de ciber guerra quando estourou em meados de 2010 nas industrias.

Demonstração,vídeos do Stuxnet

24.11.2013 (2:30 pm) – Filed under: Worm ::

Parte 1: Introdução do Stuxnet, Instalação e Infecção

Parte 2: Stuxnet Mitigação -> Usando Diretivas de Restrição de Software

Stuxnet falando um pouco mais

24.11.2013 (12:41 pm) – Filed under: Worm ::

Em termos de número de ataques, a maioria dos relatórios são provenientes os EUA, Indonésia, Índia e Irã,vemos abaixo tentativas de ataque na média global.

Embora o número de novas máquinas que relatam uma tentativa infecção manteve-se constante em cerca de mil por dia, o número de tentativas aumentou.Além dessas tentativas de ataque, cerca de 13% das detecções que foram  testemunhadas parece ser troca de e-mail ou de downloads de arquivos de exemplo de sites maliciosos.

Ameaça detalhes

O Stuxnet é o único que ele utiliza método de propagação,especificamente, ele se aproveita de arquivos de atalho colocados em unidades USB para executar automaticamente e assim é  lido pelo sistema operacional. Em outras palavras, simplesmente  vai navegar para a unidade de mídia removível usando um aplicativo que exibe ícones de atalho (como o Windows Explorer) executa o malware sem qualquer interação do usuário adicional.O Stuxnet infecta qualquer drive USB que é conectado ao sistema, e por esta  o malware e classificado como worm.

 

Fonte: technet

Nova perspectiva sobre Stuxnet sobre o programa de sabotagem

21.11.2013 (6:33 pm) – Filed under: Noticias,Worm ::

9y87u

O especialista em segurança de sistema e controle e também consultor Ralph Langner, que vem analisando Stuxnet desde o momento de sua existência foi descoberta pela primeira vez, nós precisamos entender todas as camadas do ataque (TI, ICS e física) e estar familiarizado com as situação real.

Ele, então, passou a explicar que o Stuxnet realmente tinha duas vetor de ataque. “Ambos os ataques visam centrífugas prejudiciais, mas usam táticas diferentes.

O primeiro (e mais complexo) esse  ataque é para centrífugas super pressurizar.

O segundo ataque tenta centrífugas em excesso de velocidade e levá-los em velocidades críticas  “.

Mas Langner não é o único a ter analisado a primeira versão (conhecida) do Stuxnet – pesquisadores da Symantec também lançou um whitepaper sobre “Stuxnet 0.5”, que foi detectado pela primeira vez na natureza em 2007, quando alguém apresentou-a o malware VirusTotal serviço de digitalização, mas na época ninguém sabia o que ele fez e como era perigoso.Ele especula que os atacantes estavam interessados ​​em abrandar os esforços de enriquecimento de urânio do Irã, e quebrar um grande número de centrífugas usadas na usina seria alertar os operadores para a fato de que algo estava acontecendo.

Mas, uma variante do Stuxnet mais tarde surgiu, os atacantes não parecem se importar muito se o ataque foi descoberto. “Muito tem sido escrito sobre o fracasso do Stuxnet para destruir um grande número de centrífugas, ou reduzir significativamente a produção  do Irã. “Stuxnet é uma arma de baixo rendimento, com a intenção geral de reduzir a vida útil de centrífugas do Irã e tornar seus sistemas de controle ele disse que estima que o Stuxnet iria atrasar  o programa nuclear iraniano por mais de dois anos.

Fonte : net-security

Stuxnet também infectou usinas russas

11.11.2013 (1:57 pm) – Filed under: Noticias ::

939uj9

 

Mais informações galera sobre o Stuxnet que estourou em 2008

Eugene CEO da Kaspersky revelou que Stuxnet infectou as usinas russas, segundo próprios funcionários que trabalhavam na empresa, esse worm foi desenvolvido pelos EUA em conjunto com Israel com o proposito de atrapalhar os planos das usinas de urânio do irãn,infectando a rede interna da usina e assim comprometendo os controles da usina  nucleares de Nantaz,onde foi usado dispositivos USB para assim propagar o Stuxnet.

A Kaspersky informou que mais de 50% dos  malwares são escritos em chines  e 33% em português e espanhol,tirando o malware Russian-Coded considerado muito perigoso e sofisticado.

A Kaspersky informou que o malware em chinês não se preocupou com segurança operacional pois os especilistas em segurança descobriram fotos,documentos,contas de redes sociais em servidores usados para o ataque .

Fonte: thehackernews

ICS, evolução, e alguns aspectos

18.05.2015 (7:38 pm) – Filed under: ICS ::

Galera abaixo explicou um pouco sobre ICS, evolução, e alguns aspectos

O que seria  ICS (Industrial Control Systens) são comandos e controles de redes e sistemas projetados para apoiar os processos industriais,são responsáveis por monitorar e controlar processos e operações , tais como gás,eletricidade, água,óleo,transporte ferroviário e etc.

* O maior subgrupo do ICS e SCADA, hoje os produtos do ICS são principalmente baseado em padrões embutidos em sistemas de plataformas, aplicados em vários outros dispositivos,tais como roteadores,cabo,modens e etc.No entanto conexões para intranet e comunicações abertas nas redes aumenta a vulnerabilidade de computadores,propiciando assim ataques a essas redes, hoje os sistemas industriais constituem um crescente potencial catastrófico terroristas,onde ataques são lançado em infra-estruturas importantes. Na ultima década esses sistemas tem enfrentado um numero alarmante de incidentes,como o caso do Stuxnet e muitos outros malwares, e incidentes envolvendo o fator ser humano.

 A evolução dos Sistemas de Controles Industriais.

Os primeiros eram simples ponto a ponto (P2P) na rede, onde ligavam o monitoramento no painel ou comandado por um dispositivo remoto sendo sensor ou atuador.Com o tempo foram evoluindo e tornando sistemas mais complexos suportando controle de unidades remotamente,abrangendo distancias maiores em redes longas.Através das ultimas décadas o sistemas ICS passaram por  transformações significativas,essas que são para abrir arquiteturas e padrões de tecnologias interligados na rede.

Cyber Securiy e aspectos da ICS

A comunicação dos protocolos da ICS não foram projetados para segurança ate então, mas essas visão tem mudado no decorrer desses anos, como podemos ver vários incidentes em empresas,muitos desses protocolos foram inicialmente concebido com uma serie de outros protocolos sem autenticação,criptografia, ou integridade da mensagem.

Isso expor as comunicações para um variedade de ataques como o sequestro e a manipulação de sessão proporcionando a espionagem, muitos desses protocolos tem sito integrado com o TCP/IP ou substituindo por padrões abertos como exemplo o OPC . Não apenas a comunicação dos protocolos tem sido modificado ou substituídos por outros padrões,mas operações em sistemas e aplicações em ICS tem sido feito em rede ad-hoc,isto torna mais ainda os sistemas susceptíveis aos mesmos ataques.

=)