lundi 15 novembre 2010

Stuxnet...breaking news ?

Une unité d'analyse de Symantec a publié récemment sur son blog des éléments d'analyse complémentaire sur Stuxnet. Il propose également une vidéo constituant un POC du comportement attendu de Stuxnet.

Je commenterai en première partie les découvertes et en seconde, la vidéo.

Comme vous vous en souviendrez peut-être, le but réel de Stuxnet était resté jusqu'à présent très nébuleux permettant à n'importe qui de raconter n'importe quoi mais également à des personnes plus pondérées de mettre en avant quelques points intrigants.

Résumons les découvertes récentes :

- Stuxnet ne délivrerait tout son potentiel qu'en présence de composants particuliers fabriqués par des industriels finlandais et iraniens. Ces composants agiraient sur la fréquence notamment de certains éléments de système industriels. Il est fait allusion à des moteurs et des centrifugeuses...

- Stuxnet ne "travaillerait" que sur des composants relativement rares car travaillant à des fréquences élevés à très élevés et provoquerait des modifications de fréquences sur de courtes périodes.

- les fréquences visées sont particulièrement hautes et font l'objet de régulations, ce qui permet aux experts de Symantec d'affirmer le caractère ciblé du Botnet (ce qui n'est pas nouveau mais constitue un nouvel indice).

Ces découvertes sont évidemment très intéressantes car elles permettent de faire entrer des "faits" dans le mythe Stuxnet. Au-delà de ça, je trouve que l'affirmation selon laquelle les chercheurs ont découvert la raison d'être du malware est un peu facile.

En effet, ils ont brillamment décrit le modus operandi et les conditions d'exercices du malware. Mais, si leurs découvertes permettent de restreindre les cibles potentielles (incluant des systèmes de gestion des installations nucléaires à priori car ceux-ci utiliseraient des composants fonctionnant sous ces fréquences), on n'a pas une cible définitive ou un scénario unique ou encore une motivation claire. Et il n'est pas sur que cela soit découvert !



La vidéo présentée ici se veut une preuve de concept du fonctionnement de Stuxnet. Pour les non-technophiles ou techniciens, les précisions suivantes peuvent suivre. Pour les autres, ce ne sera pas très utile.

=> L'ordinateur équipé du logiciel représente le vecteur d'infection des système industriel. Équipé de Windows, le ver utilise les vulnérabilités du système d'exploitation pour s'introduire dans la machine et contaminé une application spécifique, celle qui permet de configurer les systèmes de gestion des matériels industriels.

=> le boitier de gauche représente le système SIEMENS en cause. Il s'agit d'un système électrique de régulation d'un processus industriel quelconque, ici l'injection de l'air dans un gonflement.

=> le gonfleur de ballon représente le composant industriel à proprement parler, celui qui agit directement "dans la réalité" :)

Scénario :

1/ Dans un premier temps, l'opérateur configure (sur l'ordinateur windows) le matériel de gestion en entrant les valeurs importantes. Ici, c'est le nombre de secondes de gonflage mais pour Stuxnet, ce serait des valeurs cibles de fréquence de rotation à priori.

2/ Il télécharge le code sur le composant de gestion et met celui-ci sous tension. On observe que l'ordinateur n'est plus utile. Le gonflage s'effectue dans la limite des paramètres indiqués.

3/ L'opérateur infecte volontairement sa machine (le passage avec la console en vert et noir en mode "matrix"..) en exécutant un malware de même type que Stuxnet. Si, ici, l'opérateur l'exécute directement, en réalité, le malware s'exécute automatiquement en utilisant des vulnérabilités diverses sur la machine et des vecteurs d'infections comme les clés USB ou un réseau local.

4/ l'opérateur configure à nouveau le composant de gestion, comme dans la première étape et télécharge à nouveau ce code. Mais, ici, le malware s'est introduit dans la "boucle" et va agir directement sur le composant de gestion.

5/l'infection, invisible dans toutes les phases, va alors modifier le comportement du gonfleur et faire exploser le ballon...OUPS !

Le POC reste très intéressant car même simpliste, il permet de visualiser le fonctionnement du malware et d'en déduire quelques parades.

En résumé donc, des informations intéressantes mais je n'y vois pas de "breaking news" justement...Mais on m'accusera sans doute encore d'être un esprit chagrin :D

Source :

http://www.symantec.com/connect/blogs/stuxnet-breakthrough

Aucun commentaire:

Enregistrer un commentaire