Emner Malware-virus, Datakriminalitet, Botnet

CIA stod bag StuxNet

Af Poul-Henning Kamp 22. november 2010 kl. 15:07

Så er de sidste brikker faldet på plads og vi kan notere os at StuxNet handlede om at sabotere det Iranske atomprogram.

Citat:

Once operation [between 807 Hz and 1210 Hz] occurs for a period of time, Stuxnet then hijacks the PLC code and begins modifying the behavior of the frequency converter drives. In addition to other parameters, over a period of months, Stuxnet changes the output frequency for short periods of time to 1410Hz and then to 2Hz and then to 1064Hz.

Det handler om at overbelaste lejerne i Irans uran-centrifuger og om muligt at få dem til at havarere katastrofalt.

Flere detaljer hos Symantec.

God bagrundshistorie i Wired

Der er tegn til at StuxNet har kostst Iran op til 6 måneders forsinkelse på grund af "problemer med pålideligheden af deres centrifuger" og det har sikkert til fulde været pengene værd.

Nu har vi eksempel 1 til brug i alle fremtidige lærebøger om indlejrede systemers sikkerhed.

Velkommen til en ny verden...

phk

Om Poul-Henning Kamp

Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Follow @bsdphk

Kommentarer (28)

Innovativt efterretningsarbejde i særklasse !

Meget andet er der vel ikke at sige.

Misvisende overskift.

Din overskrift er misvisende. Jeg kan ikke finde noget i dine kilder der forbinder det til CIA. men den laver vel nogle hits til din blog...

Det kunne vel lige så godt være producenterne af hardware delene der vil sælge noget mere. Eller bare nogle dygtige programmører der har noget i mod Iran.

Re: Misvisende overskift.

Det kunne vel lige så godt være producenterne af hardware delene der vil sælge noget mere. Eller bare nogle dygtige programmører der har noget i mod Iran.

2 + 2 giver 4, ikke 3 :-)

havarere katastrofalt ?

Ifølge den nævnte Wired.com artikel siger Symantec:

“It indicates that [Stuxnet's creators] wanted to get on the system and not be discovered and stay there for a long
time and change the process subtly, but not break it,”

dvs. processen skulle saboteres uden at det var oplagt hvad der gik galt (altså udover at slutproduktet var ubrugeligt).

Re: Misvisende overskift.

Eller bare nogle dygtige programmører

Nej, der er så mange mandmåneder i det, at man må formode at en nationalstat står bag. Det må også have kostet noget at anskaffe sig ikke færre end 4 zero-days til Windows.

Udover USA er Israel en oplagt mulighed.

Re: Misvisende overskift.

Israel er en mulighed, men efter som Israel har arbejdet ret kraftigt for at få en konfrontation med/om Irans atomprogram giver det ikke ret meget mening at Mossad i baggrunden skulle prøve at forsinke Irans uranproduktion.

USA derimod er stort set kastreret i denne sag, Obama har kun to kort at spille: Forhandlinger og Trident II. Spørgsmålet "dig og hvilken hær" kan alle jo se svaret på ovre i Afghanistan. Hvis USA kan forsinke Irans atomprogram et halvt eller et helt år, vil det give mere tid til forhandlinger og mere tid til at komme ud af Irak.

Så jeg er ret sikker på at det er USA der står bag og da det kun er CIA der må lege udenfor landets grænser uden en krigsærklæring er returaddressen nem at finde.

Det er meget sandsynligt at det er NSA der har lavet det meste af kodearbejdet.

Poul-Henning

Siberian pipeline sabotage

Der er også denne gamle sag http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage der dog kan være en hoax.

Re: havarere katastrofalt ?

- dvs. processen skulle saboteres _uden_ at det var oplagt hvad der gik galt (altså udover at slutproduktet var ubrugeligt).

Nej, det påvirker ikke slutproduktet nævneværdigt, men det er så godt som en garanti for at centrifugen havarerer og afhængig af omstændighederne tager det de nærmeste 10 stykker med i faldet og forurener atmosfæren så det ikke er nemt at komme igang med servicemanualen.

En urancentrifuge består af et ca. Ø5cm x 200mm metalrør der spinner på lodret akse med meget høj hastighed, 30-60.000 RPM typisk (=500-1000 Hz)

Processmaterialet er UF6 der mildest talt er "noget stads" der stiller store krav til materialevalg, f.eks kan man ikke bruge mekaniske kontaktlejer (kugle/rulle/konisk) men er tvunget til kontaktfri lejer, oftest magnetiske.

Det siger sig selv at der stilles store krav til afbalancering og generel præcision og derfor køres hver enkelt centrifuge typisk med individuel kalibreret maksimalhastighed.

Når StuxNet banker frekvensen op på 1410 Hz (= 84.600 RPM) for derefter at kaste bremsen i med 2Hz skal der ikke megen assymetri til at sprede det hele over nogle kvadratmeter.

Og skulle den overleve, sættes den tilbage til normal hastighed som om intet var hændt, hvilket helt sikkert får taget centrifugen eller måske endda en hel kaskade på 20-30 centrifuger offline mens man fejlsøger.

Poul-Henning

Hvem ellers ?

Der er selvfølgelig flere forskellige mulige ophavsmænd til StuxNet. Industrispionage forekommer. Det samme gør industrisabotage. Jeg tvivler dog på at nogle producenter vil være dumme eller desperate nok til at tage risici, som følge med industrisabotage af den kaliber. Det virker rimelig usandsynligt.

Uden at kende detaljerne i StuxNet kan jeg forestille mig det har krævet en del ressourcer at udvikle, teste og udrulle. Selv hvis det skulle være muligt for et enkelt individ at stå bag dette unikum af en bedrift, ville det kræve et geni at udtænke den genialitet. Det virker på mig endnu mere usandsynligt end industrisabotage med rødder i industrien.

Derimod har CIA ressourcerne til dels at udvikle og implementere ideen og til dels at kunne skjule deres evt. ophav til StuxNet. Selv hvis det skulle være CIA, skal vi i vores verdensdel være glade for indlejrede systemers uskyld blev taget af en vestlig efterretningstjeneste. Man skal ikke have meget fantasi for at forestille sig langt værre senarier.

Re: havarere katastrofalt ?

"det er så godt som en garanti for at centrifugen havarerer og afhængig af omstændighederne tager det de nærmeste 10 stykker med i faldet og forurener atmosfæren".

OK.

Det er da et imponerende ekstra punkt som Windows i anledning af sin 25 års fødselsdag kan udvide CVet med:

"Sikkerheden i Windows styresystemet spiller en væsentlig rolle i muliggørelsen af en helt ny form for krigsførelse".

(Ja, jeg ved godt at PLCerne ultimativt er ansvarlige for problemet, men de kunne kun udnyttes via et sårbart styresystem på en PC).

Re: Misvisende overskift.

USA derimod er stort set kastreret i denne sag, Obama har kun to kort at spille: Forhandlinger og Trident II. Spørgsmålet "dig og hvilken hær" kan alle jo se svaret på ovre i Afghanistan. Hvis USA kan forsinke Irans atomprogram et halvt eller et helt år, vil det give mere tid til forhandlinger og mere tid til at komme ud af Irak.

Hvorfor ikke bare offentliggøre at svaret på 1. prøvesprængning er en håndfuld Trident II?

Det er meget sandsynligt at det er NSA der har lavet det meste af kodearbejdet.

Hvorfor ikke hyre nogle af medarbejderne til at lave det efter arbejdstid? Eller i arbejdstiden, og så betale chefen for at se den anden vej?

Re: Misvisende overskift.

Hvorfor ikke bare offentliggøre at svaret på 1. prøvesprængning er en håndfuld Trident II?

Fordi det er det ikke.

Det var det ikke med Soviet, det var det ikke med Kina, Sydafrika, Israel, Indien eller Pakistan og det vil det heller ikke være med Iran.

Poul-Henning

Re: Hvem ellers ?

Måske en ny anledning til at spekulere over om der finder et samarbejde mellem CIA og MS sted ;-)

Re: Hvem ellers ?

NSA var nogle af de første der fik adgang til kildeteksten, det skete allerede tilbage i WIN2.11 dagene.

Det var et krav for at kunne sælge til klassificerede regeringskontorer.

Poul-Henning

Nu har USAs efterretningstjenste...

...før lavet indbygget sabotage i bl.a. SCADA systemer, det mest kendte er denne her: http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage
CIA har selv en del information om deres aktiviteter på området her: https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-pub...

stuxnet dossier

Udover Symantecs blogindlæg om stuxnet, har de lavet en større og meget mere detaljeret rapport om emnet på følgende link, http://www.symantec.com/content/en/us/enterprise/media/security_response... ,hvis det skulle have interesse.

Forbindelser til Danmark ?

Symantecs rapport om W32.Stuxnet Dossier nævner følgende på side 17:

Two command and control servers have been used in known samples: * www[.]mypremierfutbol[.]com • www[.]todaysfutbol[.]com The two URLs above previously pointed to servers in Malaysia and Denmark; however they have since been redirected to prevent the attackers from controlling any compromised computers.

Re: Forbindelser til Danmark ?

Der er vel ikke mere forbindelse end at man har fået hostet en server i DK? Det kan alle med et (stjålent) kreditkort gøre

Re: stuxnet dossier

Jeg har lige læst det.

Udover at det mildt sagt er teknisk interessant, så sidder jeg også med fornemmelsen af at have læst en techno-thriller som Tom Clancy kun kunne have drømt om at skrive.

Virkeligheden overhaler fiktionen.

[OT] Beriget Uran & Venner

Jeg bliver nødt til lige at anbefale bogen "Manhattan Project: The Untold Story of the Making of the Atomic Bomb" af Stephane Groueff. Den præsenterer bl.a. de (så vidt jeg husker) 6 oprindelige metoder hvormed man forsøgte at udvinde beriget uran.

Det der gør bogen rigtig interessant er at den udover at fokusere på det tekniske også gør meget ud af at belyse projektet og de involverede mennesker. Deriblandt en hel del arketypiske "mad scientists".

Efter at have læst bogen står projektet, for mig, som en eller anden form for prototype på agile development, før der var nogen som havde opfundet det...

Iran har brudt Windows licensen!

Nu kommer Bill Gates nok efter iranerne. Mon ikke det fortsat er et vilkår for at benytte Windows, at "Dette program må ikke bruges til fremstilling af atomvåben ... uden tilladelse fra USAs regering" (W95).

I øvrigt er prisen for dette cyber attack nok ret stort - regnet sammen efter al det besvær det har givet også mange andre indlejrede systemer, end målet i Iran.

Re: [OT] Beriget Uran & Venner

@Lasse: Der er ingen bøger der kan måle sig med Richard Rhodes trilogi om atomvåbnene, læs dem.

@Tom: Faktisk har omkostningerne ved StuxNet været utrolig små, den har netop opført sig så forsigtigt og stealth-agtigt at den i lang tid slet ikke blev opdaget på flertallet af inficerede maskiner.

Det er tankevækkende at de "brændte" fire zero-day huller af på den, hvor mange flere har de på lager ?

Poul-Henning

Re: [OT] Beriget Uran & Venner

Det er tankevækkende at de "brændte" fire zero-day huller af på den, hvor mange flere har de på lager ?

Så eftertragtede som zero-day huller er, må der være et sort marked, hvor de kan købes?

Og fremover skal der såmænd nok komme nye "modeller" til på det marked.

Alternativt, med de resourcer som Stuxnets bagmænd åbenbart har, så kan de vel også have kildeteksten til Windows, hvilket vil være en hjælp til selv at finde sårbarhederne.