banjalukaforum.com

We first mentioned that W32.Stuxnet targets industrial control systems (ICSs) -- such as those used in pipelines or nuclear power plants -- 2 months ago in our blog here and gave some more technical details here.

While we are going to include all of the technical details in a paper to be released at the Virus Bulletin Conference on September 29th, in recent days there has been significant interest in the process through which Stuxnet is able to infect a system and remain undetected.

Because Stuxnet targets a specific ICS, observing its behavior on a test system can be misleading, as the vast majority of the most interesting behavioral characteristics simply will not occur. When executed, one of the behaviors that one may immediately see is Stuxnet attempting to access a Programmable Logic Controller (PLC) data block, DB890. This data block is actually added by Stuxnet itself, however, and is not originally part of the target system. Stuxnet monitors and writes to this block to alter the PLC program flow depending on certain conditions.

In this blog entry we will discuss the details of the PLC infection and rootkit functionality. In particular we will discuss the following important aspects of the Stuxnet attack on targeted ICSs:

How it chooses industrial control systems to target
The method used to infect PLC code blocks
The actual code that is placed onto PLCs during infection
The PLC rootkit code that is present on an infected Windows machine

These four points are to be addressed individually as the code to achieve each of these tasks is quite different...

The idea of an internet "kill switch" that the President could flip is not new. A draft Senate proposal that ZDNet Australia's sister site CNET obtained in August allowed the White House to "declare a cybersecurity emergency", and another from Sens. Jay Rockefeller (D-W.V.) and Olympia Snowe (R-Maine) would have explicitly given the government the power to "order the disconnection" of certain networks or websites.

On Thursday, both senators lauded Lieberman's Bill, which is formally titled Protecting Cyberspace as a National Asset Act, or PCNAA. Rockefeller said "I commend" the drafters of the PCNAA. Collins went further, signing up at a co-sponsor and saying at a press conference that "we cannot afford to wait for a cyber 9/11 before our government realises the importance of protecting our cyber resources".

Вашингтон – „Њујорк тајмс” је коначно потврдио оно што се већ две године претпоставља: да опаки компјутерски вирус, познат по именом „Stuxnet” који је саботирао иранска нуклеарна постројења, није дело хакера, већ подухват САД и Израела, односно њихових тајних служби, ЦИА и Мосада.

Вирус, који се показао као досад најефикасније појединачно оружје у сајбер ратовању, стварање иранске атомске бомбе је одложио најмање за три године, тиме што је саботирао рад система центрифугa за обогаћивање уранијума у постројењу Натанц.

Амерички дневник у заиста великом тексту, од близу 3.000 речи, детаљно описује историју овог подухвата, који је покренут у завршним месецима Бушовог мандата. Нови председник Барак Обама је о томе обавештен и пре преузимања дужности, а одмах после уласка у Белу кућу програм је убрзао.

Компјутерски експерти на које се позива „Њујорк тајмс” тврде да је „Stuxnet” нешто најсложеније што је досад направљено, кад је реч о сајбер оружју. Програмиран је тако да обавља више задатака и да док производи штету, истовремено јавља да је све у реду. Поједини његови делови се по „обављеном задатку” уништавају, а неки тек накнадно откривају.

Иако је значајно присуство овог вируса (из категорије „црва”) откривено и ван Ирана, у Индији и Индонезији, он се тамо показао прилично безазленим. Објашњење за то је што направљен као „паметна бомба”: његова мета била су управо иранска нуклеарна постројења, односно тамошња конфигурација центрифуга.

Програм је настао тако што су прво детаљно проучене слабости контролног система немачког „Сименса” који Иран користи за управљање центрифугама. Потом је и главном нуклеарном центру Израела направљена копија иранског постројења да би дејство вируса било детаљно подешено и испробано.

Вирус је у контролоре, док су били на путу за Иран упаковани у 111 кутија, по свему судећи убачен док су били задржани у луци Дубаија, у Уједињеним Арапским Емиратима, где су остали месец дана, а у априлу 2009. „Stuxnet” је почео да се на разним местима широм света појављује у јуну идуће године, али је његово пуштање „у дивљину” очигледно био потез да се маскира његово порекло: у оптицају је била верзија која је правила сасвим малу штету.

Кад су покренута иранска постројења са „Сименс” контролорима, вирус је прво снимио нормалан ток операција, да би на контролним екранима, кад је почела саботажа, било јављано да је све у реду.

Вирус се у пуној снази активирао тек кад је покренута комплетна конфигурација од тачно 984 центрифуге. Његово дејство је било да их заврти без контроле, а да њихови ирански оператери не буду свесни тога, односно да штету открију тек кад је почињена.

Кад су међународни инспектори посетили Натанц крајем 2009, утврдили су да су Иранци зауставили рад управо 984 машине које су претходног лета биле у пуном погону.

„Stuxnet” је несумњиво успешно обавио свој посао много „чистије” него што би то учинило израелско бомбардовање Натанца (америчким, како открива „Њујорк тајмс”) бомбама, што је неко време била опција о којој се увелико говорило.