– root@injetionsec:~#

stuxnet – falando mais

16.06.2014 (6:15 pm) – Filed under: Worm ::

Esse worm começou seu ataque quando um gerente ou funcionário de Natanz conectou um pendrive USB  em alguma maquina no caso o notebook com o  siemens industrial,então foi ativado,este notebook que estava na rede industrial  foi escolhido pelo atacante e que forneceu dados e configurações para um sistema scada da siemen, e assim enviou as ordens inseridos pelo notebook para as centrífuga para serem executado com os parâmetros inseridos nessa maquina infectada.

iquwefe

As habilidades do Stuxnet são sem precedentes  uma vez que foi programado com inteligência fora de sério galera ,com 3 zero-day onde os dispositivos infectados tinham em suas vulnerabilidades a conhecida MS 10-046 com isso ele permitia executar tarefas administrativas no computador infectado,em 25 Janeiro 2010Stuxnet obtido um certificado digital válido originalmente emitido para Realtec Semiconductor Corps pela fornecedora líder de serviços de autenticação da VeriSign,nessa época, o número total de vulnerabilidades no Windows aumentou para 4 e o Stuxnet usou essas vulnerabilidades para criar túneis de comunicação entre os vários dispositivos conectados a uma rede e migrar de um ponto a outro,veja abaixo

sdopfjsd

Esse worm tendo o certificado digital válido da Verisign qualquer antivírus viu isso é que acabou não fazendo nada é assim o sistema de defesa do windows passou sem problema algum, então era carregado na máquina da vítima estabelecendo assim nos registros dos windows infectados já carregado no registro do sistema infectado ele detecta se o computador da vítima tinha algumas certas características, como tinha o WinCC ou PCL da Siemens com as mesmas frequências.

Com isso stuxnet se comunicava com os servidores de controle que eram principalmente na Alemanha e Malásia subindo assim o IP dos dados coletados e levantando toda as informações sobre o computador e a rede compartilhada e esperando os comandos para executar/atualizar a partir dos servidores.

Abaixo vemos o modelo original infectado na usina de enriquecimento de urânio em Natanz Central – Iran. (Siemens S7-SCADA).

weifhe2

Como é o processos das centrifugadoras em cascatas

Centrifugadoras utilizam o gás para o enriquecimento de urânio,centrífugas podemos ter:
Uma etapa de enriquecimento onde á um compartilhamento do mesmo tubo de alimentação,produto e resíduos.
A outra etapa os canais coletivos lado á lado do produto canalizam de um para o outro,veja abaixo como e feito esses processos

sidfhdfd

1º PROBLEMA : Inerencia no sistema de proteção das centrifugas em cascata

É composto por duas camadas,o sistema de proteção de cascata constituída por duas camadas,três níveis da camada inferior das válvulas são fechadas rapidamente em cada centrífuga,logo depois de fechar as válvulas as centrífugas estão funcionando com problemas (indicadores de vibração), então é isolados é classificados, devem ser substituídos por uma manutenção e isso ocorre quando o processo ainda está em execução.
Os sistemas centrais de proteção tem o monitoramento de cascata como mostrado na figura um ponto verde ou um ponto cinza.

1weuidhwd6

 

2º PROBLEMA : Pressão de gás no processo de centrifugação

As centrífugas de gás de enriquecimento de urânio são extremamente sensíveis a aumentos de pressão no processo de vácuo caso haja um aumento da pressão pode afetar a eficiência de enriquecimento e assim ter um pertubação na centrifugação em cascata, podem assim levar a solidificação do fluxo do produto, caso haja mesmo o aumento de temperatura essa pressão conduzirá mais hexafluoreto de urânio inserido na centrífuga e com isso exercera um sobrecarga no rotor mecânico,veja o processo abaixo

23iruh33

Como o worm Stuxnet explorou?

Ele foi estruturado para 2 tipos de ogivas digitais.

Uma grande ou uma pequena ogiva.
Cada ogiva tinha um objetivo específico.
Eles eram autônomos sem total controle remoto.
Os atacantes têm pleno conhecimento de informação privilegiada sobre as estruturas digitais.
Possuía um elevado grau de engenharia.

Quando o Stuxnet estabelecer a conexão com os computadores infectados ele penetrou dentro do controlador PLC e modificou o código do programa desse controlador e ainda por cima escondendo suas mudanças feita nos momentos.
weo0fjwef

CURIOSIDADE : Ao longo de um período “meses” o Stuxnet alterava a frequência de saída mudando a velocidade do rotor da centrífuga,as frequências de funcionamento normais são entre 807 Hz e 1.210 Hz variando na frequência padrão de 1.064 Hz,em curtos períodos de tempo não mais do que 15 minutos o Stuxnet aumentava a frequência para 1.410 Hz o que está acima do limite de 1.210 Hz e em seguida, mudava para 1.064 Hz,depois de 27 dias o worm Stuxnet fazia com que a freqüência de saída cai-se para 2 Hz por 5 minutos. A cada 27 dias repetia a mesma rotina a aceleração centrífuga e desaceleração.

2387ycfdf

Conseqüências desse worm.

Ocorreu por volta de 2009-2010 e quebrou mais de 1.000 centrífugas nem mesmo os operadores não sabia disso o que estava acontecendo porque sempre na tela mostrava tudo normal
Stuxnet foi capaz de paralisar o funcionamento da central por um período de tempo relativamente,mas foi restaurado rapidamente a produção
Stuxnet não mostrou evolução no campo de malware, mas uma revolução total.
Hoje muitos falam e confirmam que os criadores da arma digital foram os EUA e Israel mas eles não aceitaram a autoria.

Fico por aqui galera espero que tenham gostado

Tirei essas informações de varias fontes da internet é alguns artigos que 
tenho e andei lendo é estudando por esses dias.