CrazyZone
..:: Aiuto con il computer e non solo... ° The Help Center ::.. => Virus Mania e Phishing => Topic aperto da: ridethesnake - Ottobre 06, 2010, 12:35:29 pm
-
Non linko la fonte dell'articolo originale per sicurezza (contiene link che potrebbero risultare pericolosi).
F-Secure ha pubblicato un lungo botta e risposta (Q&A) su Stuxnet, probabilmente il worm/rootkit/trojan che ha ricevuto più copertura da parte dei media negli ultimi anni.
Voglio sintetizzare qui alcuni dei punti interessanti che emergono dal Q&A e integrarli con alcune informazioni aggiuntive che aiutano a conoscere meglio le peculiarità di Stuxnet:
* Il principale veicolo di infezione sono le pendrive USB;
* Stuxnet attacca Windows ma il sistema di Microsoft è solo un veicolo per attaccare sistemi Siemens Simatic (Step7), cosiddetti sistemi SCADA (Supervisory Control and Data Aquisition). Windows non è il target (cosa davvero rara) principale ma solo un “ponte”;
* la conoscenza approfondita del funzionamento dei sistemi Siemens farebbe pensare al fatto che l’autore di Stuxnet sia stato in passato o sia attualmente un ingegnere Siemens, forse assoldato da qualche governo;
* Siemens ha fornito delle informazioni dettagliate per rimuovere Stuxnet dai sistemi infetti e continua a dare notizie aggiornate sull’evolversi del fenomeno;
* Il worm sfrutta cinque vulnerabilità di Windows: LNK (MS10-046), Print Spooler (MS10-061), Server Service (MS08-067), Privilege escalation via Keyboard layout file, Privilege escalation via Task Scheduler. Tre sono state corrette da MS ma le due privilege escalation rimangono attualmente sfruttabili. In questi casi Microsoft dovrebbe essere molto più veloce nel creare delle patch.
* Stuxnet infetta Windows installando due finti file .TMP (~WTR4132.tmp e ~WTR4141.tmp) che in realtà sono due .dll e un finto driver (un .sys per intenderci) che utilizza due certificati rubati a Realtek Semiconductor Corp e JMicron Technology Corporation. Le dinamiche di infezione di Stuxnet sono state ben descritte da Eset, da Symantec e nel paper, sempre realizzato da Eset, Stuxnet Under the Microscope, un PDF di ben 67 pagine che merita più di una lettura per l’approfondimento della trattazione. http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf
* attualmente il worm è riuscito ad attaccare con successo una centrale nucleare iraniana ma probabilmente sono molte di più le infrestrutture critiche colpite. Siemens sostiene infatti che siano ben 15 le fabbriche colpite da Stuxnet.
* la piattaforma petrolifera Deepwater Horizon utilizzava sistemi Siemens, gli stessi attaccabili da Stuxnet, anche in questo caso però non è noto se il worm abbia avuto una parte nel disastro del Golfo del Messico
* tutti gli attuali antivirus, aggiornati con le ultime definizioni, sono in grado di individuare le recenti versioni di Stuxnet e eliminare il worm. Tuttavia è altamente probabile che delle varianti possano diffondersi senza essere individuate dagli antivirus, a luglio scorso erano già dieci le varianti individuate;
* esistono delle versioni di Stuxnet scaricabili, sono facilmente reperibili su RIMOSSO o su RIMOSSO: non scaricate questi sample se non sapete cosa farci, sono versioni funzionanti di Stuxnet; se proprio siete curiosi di provarli fatelo in una virtual machine.
* Wikileaks giorni fa ha chiesto delle copie di Stuxnet per eseguire delle analisi e verificare la possibilità che si tratti di un malware creato da qualche governo (Israele?) ma attualmente non si è saputo ancora nulla sull’andamento delle “indagini”.