– root@injetionsec:~#

stuxnet – falando mais

16.06.2014 (6:15 pm) – Filed under: Worm ::

Esse worm começou seu ataque quando um gerente ou funcionário de Natanz conectou um pendrive USB  em alguma maquina no caso o notebook com o  siemens industrial,então foi ativado,este notebook que estava na rede industrial  foi escolhido pelo atacante e que forneceu dados e configurações para um sistema scada da siemen, e assim enviou as ordens inseridos pelo notebook para as centrífuga para serem executado com os parâmetros inseridos nessa maquina infectada.

iquwefe

As habilidades do Stuxnet são sem precedentes  uma vez que foi programado com inteligência fora de sério galera ,com 3 zero-day onde os dispositivos infectados tinham em suas vulnerabilidades a conhecida MS 10-046 com isso ele permitia executar tarefas administrativas no computador infectado,em 25 Janeiro 2010Stuxnet obtido um certificado digital válido originalmente emitido para Realtec Semiconductor Corps pela fornecedora líder de serviços de autenticação da VeriSign,nessa época, o número total de vulnerabilidades no Windows aumentou para 4 e o Stuxnet usou essas vulnerabilidades para criar túneis de comunicação entre os vários dispositivos conectados a uma rede e migrar de um ponto a outro,veja abaixo

sdopfjsd

Esse worm tendo o certificado digital válido da Verisign qualquer antivírus viu isso é que acabou não fazendo nada é assim o sistema de defesa do windows passou sem problema algum, então era carregado na máquina da vítima estabelecendo assim nos registros dos windows infectados já carregado no registro do sistema infectado ele detecta se o computador da vítima tinha algumas certas características, como tinha o WinCC ou PCL da Siemens com as mesmas frequências.

Com isso stuxnet se comunicava com os servidores de controle que eram principalmente na Alemanha e Malásia subindo assim o IP dos dados coletados e levantando toda as informações sobre o computador e a rede compartilhada e esperando os comandos para executar/atualizar a partir dos servidores.

Abaixo vemos o modelo original infectado na usina de enriquecimento de urânio em Natanz Central – Iran. (Siemens S7-SCADA).

weifhe2

Como é o processos das centrifugadoras em cascatas

Centrifugadoras utilizam o gás para o enriquecimento de urânio,centrífugas podemos ter:
Uma etapa de enriquecimento onde á um compartilhamento do mesmo tubo de alimentação,produto e resíduos.
A outra etapa os canais coletivos lado á lado do produto canalizam de um para o outro,veja abaixo como e feito esses processos

sidfhdfd

1º PROBLEMA : Inerencia no sistema de proteção das centrifugas em cascata

É composto por duas camadas,o sistema de proteção de cascata constituída por duas camadas,três níveis da camada inferior das válvulas são fechadas rapidamente em cada centrífuga,logo depois de fechar as válvulas as centrífugas estão funcionando com problemas (indicadores de vibração), então é isolados é classificados, devem ser substituídos por uma manutenção e isso ocorre quando o processo ainda está em execução.
Os sistemas centrais de proteção tem o monitoramento de cascata como mostrado na figura um ponto verde ou um ponto cinza.

1weuidhwd6

 

2º PROBLEMA : Pressão de gás no processo de centrifugação

As centrífugas de gás de enriquecimento de urânio são extremamente sensíveis a aumentos de pressão no processo de vácuo caso haja um aumento da pressão pode afetar a eficiência de enriquecimento e assim ter um pertubação na centrifugação em cascata, podem assim levar a solidificação do fluxo do produto, caso haja mesmo o aumento de temperatura essa pressão conduzirá mais hexafluoreto de urânio inserido na centrífuga e com isso exercera um sobrecarga no rotor mecânico,veja o processo abaixo

23iruh33

Como o worm Stuxnet explorou?

Ele foi estruturado para 2 tipos de ogivas digitais.

Uma grande ou uma pequena ogiva.
Cada ogiva tinha um objetivo específico.
Eles eram autônomos sem total controle remoto.
Os atacantes têm pleno conhecimento de informação privilegiada sobre as estruturas digitais.
Possuía um elevado grau de engenharia.

Quando o Stuxnet estabelecer a conexão com os computadores infectados ele penetrou dentro do controlador PLC e modificou o código do programa desse controlador e ainda por cima escondendo suas mudanças feita nos momentos.
weo0fjwef

CURIOSIDADE : Ao longo de um período “meses” o Stuxnet alterava a frequência de saída mudando a velocidade do rotor da centrífuga,as frequências de funcionamento normais são entre 807 Hz e 1.210 Hz variando na frequência padrão de 1.064 Hz,em curtos períodos de tempo não mais do que 15 minutos o Stuxnet aumentava a frequência para 1.410 Hz o que está acima do limite de 1.210 Hz e em seguida, mudava para 1.064 Hz,depois de 27 dias o worm Stuxnet fazia com que a freqüência de saída cai-se para 2 Hz por 5 minutos. A cada 27 dias repetia a mesma rotina a aceleração centrífuga e desaceleração.

2387ycfdf

Conseqüências desse worm.

Ocorreu por volta de 2009-2010 e quebrou mais de 1.000 centrífugas nem mesmo os operadores não sabia disso o que estava acontecendo porque sempre na tela mostrava tudo normal
Stuxnet foi capaz de paralisar o funcionamento da central por um período de tempo relativamente,mas foi restaurado rapidamente a produção
Stuxnet não mostrou evolução no campo de malware, mas uma revolução total.
Hoje muitos falam e confirmam que os criadores da arma digital foram os EUA e Israel mas eles não aceitaram a autoria.

Fico por aqui galera espero que tenham gostado

Tirei essas informações de varias fontes da internet é alguns artigos que 
tenho e andei lendo é estudando por esses dias.

Coreia do Sul desenvolve Stuxnet semelhante para destruir as instalações nucleares norte-coreanas

23.02.2014 (12:55 am) – Filed under: Worm ::

A fim destruir instalações nucleares norte-coreanas, a Coreia do Sul decidiu desenvolver suas próprias ferramentas de ataque cibernético,tipico Stuxnet  têm sido proposto pelo Ministério da Defesa do país, o mesmo software Stuxnet que foi projetado para atacar e destruir as usinas nucleares iranianas. (…)

A primeira parte do plano da Coréia do Sul,é de continuar  a realização de operações de propaganda on-line, colocando em rede social norte-coreana e os serviços de mídia social, mais infomações.

Fonte: hackread

Forma do Stuxnet

06.12.2013 (8:55 pm) – Filed under: Worm ::

Vamos falar um pouco de como é a forma do worm stuxnet que pode ser visto na figura abaixo:

043riof

 

Ele foi utilizado para carregar um controle de sistema especifico,foi o primeiro worm de sistemas industrial a executar na raiz do sistema,pode se auto-atualizar,capaz de injetar códigos em larga escala nos PLCs, ao ponto de alterar as operações do PLCs bem como ocultar uma falsa informação de volta para HMI, adaptando ao ambiente.

Ele usa sitema de alto “hard coded” com autenticação de credenciais que não foram publicamente divulgadas, e assinado com certificados legitimos fabricados,usando roubo de chaves, e uma das nova arma de ciber guerra quando estourou em meados de 2010 nas industrias.

Demonstração,vídeos do Stuxnet

24.11.2013 (2:30 pm) – Filed under: Worm ::

Parte 1: Introdução do Stuxnet, Instalação e Infecção

Parte 2: Stuxnet Mitigação -> Usando Diretivas de Restrição de Software

Stuxnet falando um pouco mais

24.11.2013 (12:41 pm) – Filed under: Worm ::

Em termos de número de ataques, a maioria dos relatórios são provenientes os EUA, Indonésia, Índia e Irã,vemos abaixo tentativas de ataque na média global.

Embora o número de novas máquinas que relatam uma tentativa infecção manteve-se constante em cerca de mil por dia, o número de tentativas aumentou.Além dessas tentativas de ataque, cerca de 13% das detecções que foram  testemunhadas parece ser troca de e-mail ou de downloads de arquivos de exemplo de sites maliciosos.

Ameaça detalhes

O Stuxnet é o único que ele utiliza método de propagação,especificamente, ele se aproveita de arquivos de atalho colocados em unidades USB para executar automaticamente e assim é  lido pelo sistema operacional. Em outras palavras, simplesmente  vai navegar para a unidade de mídia removível usando um aplicativo que exibe ícones de atalho (como o Windows Explorer) executa o malware sem qualquer interação do usuário adicional.O Stuxnet infecta qualquer drive USB que é conectado ao sistema, e por esta  o malware e classificado como worm.

 

Fonte: technet

Nova perspectiva sobre Stuxnet sobre o programa de sabotagem

21.11.2013 (6:33 pm) – Filed under: Noticias,Worm ::

9y87u

O especialista em segurança de sistema e controle e também consultor Ralph Langner, que vem analisando Stuxnet desde o momento de sua existência foi descoberta pela primeira vez, nós precisamos entender todas as camadas do ataque (TI, ICS e física) e estar familiarizado com as situação real.

Ele, então, passou a explicar que o Stuxnet realmente tinha duas vetor de ataque. “Ambos os ataques visam centrífugas prejudiciais, mas usam táticas diferentes.

O primeiro (e mais complexo) esse  ataque é para centrífugas super pressurizar.

O segundo ataque tenta centrífugas em excesso de velocidade e levá-los em velocidades críticas  “.

Mas Langner não é o único a ter analisado a primeira versão (conhecida) do Stuxnet – pesquisadores da Symantec também lançou um whitepaper sobre “Stuxnet 0.5”, que foi detectado pela primeira vez na natureza em 2007, quando alguém apresentou-a o malware VirusTotal serviço de digitalização, mas na época ninguém sabia o que ele fez e como era perigoso.Ele especula que os atacantes estavam interessados ​​em abrandar os esforços de enriquecimento de urânio do Irã, e quebrar um grande número de centrífugas usadas na usina seria alertar os operadores para a fato de que algo estava acontecendo.

Mas, uma variante do Stuxnet mais tarde surgiu, os atacantes não parecem se importar muito se o ataque foi descoberto. “Muito tem sido escrito sobre o fracasso do Stuxnet para destruir um grande número de centrífugas, ou reduzir significativamente a produção  do Irã. “Stuxnet é uma arma de baixo rendimento, com a intenção geral de reduzir a vida útil de centrífugas do Irã e tornar seus sistemas de controle ele disse que estima que o Stuxnet iria atrasar  o programa nuclear iraniano por mais de dois anos.

Fonte : net-security

flame super malware de 2012

03.11.2013 (5:08 pm) – Filed under: Noticias,Worm ::

Esse worm exploiu em maio de 2012 conhecido como Flame ou sKyWIper com alvos no oriente medio e assim como os worms Stuxnet e Duqu

O flame ao  de ser apenas um típico worm, e um kit de ferramentas de ataque cuidadosamente elaborado por espionagem industrial ou política,e  muito mais complexo do que Duqu,sendo um backdoor, cavalo de tróia, e com caracteristicas de um worm permitindo se expalhar em uma rede local e em mídia removível.

Enquanto um worm típico é de 50 Kbytes o flame tem  20 Mbytes, cerca de 400 vezes maior.

A razão para ter esse tamanho é que o flame é um conjunto de ferramentas multi-funcional para roubar informações e  assim reconfigurar para seus donos.

sKyWIper  ou Flame tem uma funcionalidade muito avançada para roubar informações e  se propagar. Vários exploits e métodos de propagação podem ser configurado livremente pelos atacantes. Ele abrange todas as principais possibilidades de reunir inteligência, incluindo teclado, tela, microfone, dispositivos de armazenamento, rede wi-fi, Bluetooth, USB e processos do sistema.

E um malware no sentido de poder interceptar tudo que se possa imaginar,como Stuxnet, tem vários vetores de propagação – chaves USB, compartilhamento de impressoras, e o direitos de controle dos domínios veja um esboço abaixo:

0007

Sua arquitetura modular permite que seus criadores mudem as funcionalidade e o comportamento a qualquer momento. Ele também permite que os seus operadores usem uma linguagem de script sofisticada chamada Lua para gerenciar suas atividades. Além disso, suas técnicas de injeção de código são bastante surpreendentes. 

Quem o criou !

Provavelmente não é ainda um projeto de crime organizado. Todos os relatórios das empresas de anti-vírus analisando do flame indicam que ele foi criado por uma equipe de profissionais bem financiado de desenvolvedores.

O que chama tem a ver com SCADA e ICS de Segurança?

O flame é claramente um ladrão de informações. Não há nenhuma evidência de que tem módulos para explorar  SCADA ou ICS, a Symantec e outros relatam que a flame parece ser o mesmo worm que o Ministério do Petróleo do Irã informou estava afetando suas instalações no Kharg Ilha.

Mas a má notícia é que este worm indica claramente que a indústria, especialmente a indústria energética, é agora um alvo-chave em um mundo cada vez mais crescente de sofisticados, o governo de malware patrocinado.