И отново за Stuxnet

SIMATIC WinCC (Windows Control Center) е софтуер за създаване на интерфейс човек-машина, неразделна част от фамилията системи за автоматизация SIMATIC. Работи под операционните системи от семейството на Microsoft Windows NT и използва базата данни на Microsoft SQL Server 2000 (започвайки от версия 6.0). WinCC взаимодейства с пакета STEP 7.

SIMATIC STEP 7 – Софтуер за разработване на системи за автоматизация, базирани на програмируеми логически контролери (PLC) SIMATIC S7-300/S7-400/M7/C7 и WinAC.

Ако Stuxnet открие, че работи на инженерна станция, той замества частта от STEP7, която отговаря за флашването на кода в PLC. В момента, в който инженерът се свърже с контролера, ако Stuxnet разпознае подходяща хардуерна конфигурация, той променя кода, предаден на PLC. Изследователите установиха, че нападателите се интересуват от контролерите 6ES7-417 и 6ES7-315-2, както и от индустриални мрежи на стандарта Profibus-DP. Модифициран STEP7, когато се опитва да прочете модифицирани програмни блокове, PLC ги показва в оригиналната им форма (компонентен руткит, за да скрие факта на модификация).

Stuxnet идентифицира целевата система чрез проверка на блока данни DB 890. Това се случва периодично на всеки пет секунди в WinCC среда.

Ако условието е изпълнено, Stuxnet модифицира модула OB 35 по време на прехвърлянето от Simatic Manager към PLC. Модулът OB 35 се извиква на всеки 100 ms от таймер в PLC, в който прехващачът на Stuxnet проверява кода за връщане на функцията FC 1874. Ако кодът за връщане от FC 1874 е DEADF007, оригиналното съдържание на OB 35 не се изпълнява.

Кодът Stuxnet в PLC позволява:

  • слушайте мрежата Profibus-DP (по която PLC комуникират) и генерирайте свои собствени пакети, като данните за тези пакети могат да бъдат актуализирани от инженерната станция;
  • чете PLC входове иконтролира изходите му, към тях са свързани съответно сензори и актуатори (IM), докато за целенасочено въздействие трябва да знаете конкретно кои сензори/IM към кои входове/изходи са свързани;
  • синхронизират своите копия между заразените PLC чрез мрежата Profibus-DP (PLC не могат да бъдат заразени един от друг, изпълнимият код на контролерите не може да бъде презаписан в движение, само данни, това е ограничение на контролерите на Siemens).
Stuxnet също се опитва да се свърже с базата данни на WinCC, като използва "паролата по подразбиране".

Siemens потвърждава, че целта на вируса е специфична технологична конфигурация. Общо компанията съобщи за 15 случая на заразяване на работното място, предимно в Германия. В никакъв случай Stuxnet не е проникнал в PLC, защото параметрите не съвпадат. В същото време това не се отрази на работата на оборудването и във всички случаи Stuxnet беше неутрализиран.

Тези факти ни позволяват да направим следните изводи:

  • Stuxnet е внимателно проектиран зловреден софтуер, разработен от група специалисти в различни области;
  • не са разкрити факти на разпространение през интернет, само чрез USB-Flash и през мрежата - тези признаци са характерни за въвеждане в затворена система, която няма пряка връзка с обществени мрежи;
  • функционалното прекъсване на нормалната работа на системата за управление на производствения процес WinCC на Siemens (инструмент за компютърен саботаж) предполага, че разработчиците на Stuxnet са имали хардуерна и софтуерна система, идентична на тази, която е планирана да бъде атакувана за тестване. В допълнение, те бяха целево ориентирани (използване на данни от нает персонал в рамките на организацията);
  • развитие от такъв мащаб включва значителнифинансиране – заплащане на труда на група програмисти, организиране на кражба на цифрови сертификати, закупуване или разработване на 4 zero-day уязвимости, достъп до внедрена система Siemens WinCC.
Всички тези косвени признаци могат да показват участие в разработването на Stuxnet от страна на правоприлагащите органи или специални служби на която и да е държава. Основната функция на зловреден софтуер - разпространение и автономна работа в затворена система с последващ саботаж на работата на системата за управление на производствения процес - не е характерна за "традиционните" киберпрестъпници, които обикновено преследват целта за "монетизиране" на печалбите (крайната цел са пари) и като правило използват зловреден софтуер, разработен от самотни програмисти. Поради тези причини Stuxnet се нарича кибероръжие.

Според The ​​Wall Street Journal ФБР разследва изтичане на информация, което разкрива участието на правителството на страната в кибератаки срещу ядрени съоръжения на Иран.

Много експерти са скептични относно тази информация. Смятат го за поредното "напълване" на информация в навечерието на президентските избори в САЩ.

Подробни източници на информация за Stuxnet:

Изследователски доклад на Symantec „W32.Stuxnet Dossier“, версия 1.4, февруари 2011 г., (pdf);

Аналитичен доклад на Eset „Stuxnet под микроскопа“, ревизия 1.31, (pdf);

материал на научен център "НАУЦИЛУС" "Анализ на кода Stuxnet", (pdf), който е съкратен вариант на превода на български език на доклада на Symantec.