Stuxnet

Stuxnet

Stuxnet est un ver informatique spécifique au système Microsoft Windows initialement découvert en juin 2010 par VirusBlokAda, une société de sécurité informatique basée en Biélorussie. La complexité du ver est très inhabituelle pour un malware. Il a été décrit par différents experts comme une cyber arme, conçue pour attaquer une cible industrielle déterminée[1]. Il s'agirait d'une première dans l'histoire[2].

C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels[3], ce qui comporte un risque élevé. Il a été écrit spécifiquement pour attaquer les systèmes SCADA qui sont utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer les automates programmables industriels (API) produits par Siemens et de camoufler ses modifications. Les automates programmables Siemens sont utilisés tant par certaines centrales hydro-électriques ou nucléaires que pour la distribution d'eau potable ou les oléoducs [4].

Le ver a affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran, y compris des PC appartenant à des employés de la centrale nucléaire de Bouchehr. Il a également touché, dans une moindre mesure, des ordinateurs et des centrales situés en Allemagne, en France, en Inde et en Indonésie[4], utilisateurs de technologies Siemens.

Sommaire

Mode d'attaque

Il a été signalé pour la première fois par la société de sécurité VirusBlokAda (en) mi-juin 2010, et des antécédents ont été retracés jusqu’à juin 2009. Dernièrement un officier israélien a déclaré, durant une fête célébrée pour son départ en retraite, que le virus était une création israélienne[5].

Le virus s’attaque aux systèmes Microsoft Windows à l’aide de quatre attaques dont trois « zero day » (y compris la vulnérabilité CPLINK (en) et la vulnérabilité exploitée par le ver Conficker) et vise les systèmes utilisant les logiciels SCADA WinCC (en)/PCS 7 de Siemens.

Le virus est inoculé par des clés USB infectées ; il contamine ensuite d’autres ordinateurs WinCC du réseau à l’aide d’autres exploits. Une fois dans le système, il utilise les mots de passe par défaut pour faire des requêtes au logiciel[6]. Siemens déconseille cependant de changer les mots de passe par défaut car « cela pourrait affecter le bon fonctionnement de l’usine »[7].

La complexité du ver est très inhabituelle pour un malware. L’attaque nécessite des connaissances en procédés industriels, en failles de Windows et une volonté d’attaquer des infrastructures industrielles[6],[3]. Le nombre d’exploits Windows « zero day » utilisés est également inhabituel tant ces exploits non découverts ont beaucoup de valeur et ne sont pas normalement gaspillés par les pirates en en utilisant quatre dans le même ver[8]. Stuxnet a une taille d’un demi méga octet et est écrit dans différents langages de programmation (y compris C et C++) ce qui est également peu courant pour un malware[6],[3].

L'Iran, cible d'une cyber-attaque israélienne ?

Un porte-parole de Siemens a indiqué que le ver avait été trouvé sur 15 systèmes dont 5 sont situés en Allemagne dans des usines abritant des systèmes de contrôle de processus industriels. Siemens indique qu’aucune infection active n’a été découverte et qu’aucun dommage causé par le ver n’a été signalé[9]. Symantec indique que la plupart des systèmes infectés sont en Iran[10] (près de 30 000 sur 45 000 ordinateurs infectés[11]), ce qui a conduit à penser qu’il avait pu viser délibérément une « infrastructure de grande valeur » en Iran, vraisemblablement liée au programme de recherche nucléaire[8]. Ralph Langner, un chercheur en cyber sécurité allemand, indique que la cible visée a probablement été atteinte[12].

L'Iran a accusé un État ou une organisation étrangère de l'avoir délibérément visé[4]. L'analyste Bruce Schneier a qualifié d'intéressante l'hypothèse selon laquelle la centrale nucléaire de Bouchehr aurait été visée, tout en considérant qu'elle manquait de preuves[13]. L'Iran a indiqué que dans la mesure où les ordinateurs d'employés de la centrale avaient été touchés, la centrale l'avait aussi été[4]. Début octobre 2010, à l'occasion d'un article sur l'Unité 8200, une section de l'Aman, le service de renseignement militaire israélien, Le Figaro écrivait :

« Des indices découverts dans les algorithmes du programme Stuxnet, ayant infecté, entre autres, les systèmes informatiques iraniens, feraient référence à l'héroïne biblique Esther. Les liens éventuels entre cette offensive virtuelle et Israël ne seront sans doute jamais prouvés, mais la suspicion des milieux du renseignement est forte[14]. »

En novembre 2010, des chercheurs de Symantec et de Langner Communications ont affirmé que le ver visait des systèmes des turbines à vapeur tels que ceux utilisés à la centrale nucléaire de Bouchehr et des éléments clés de centrifugeuses[15]. Des chercheurs de Symantec avaient également indiqué auparavant que Stuxnet avait une date « de destruction » fixée au 24 juin 2012 (Jgrahamc)[13].

Le général israélien Gabi Ashkenazi a affirmé, lors de son départ à la retraite, être le père du ver Stuxnet[16].

Analyse de Stuxnet

En février 2011, Symantec publie une analyse complète de Stuxnet. Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés[17]. Microsoft quant à elle, estime que le temps nécessaire pour créer Stuxnet était de « 10 000 hommes⋅jour ». Sans compter l'équipe qui a volé les certificats Verisign de Realtek Semiconductor Corps et JMicron Technology Corp à Taïwan. Ainsi que l'équipe en Iran qui a certainement fourni les renseignements nécessaires à cette opération[17].

Le programme est très complexe et extrêmement bien écrit, ce qui montre une volonté hors du commun pour parvenir au but recherché. Ce qui exclut que ce soit le travail d'un groupe privé.

L'architecture du programme est très complète pour un ver informatique, elle comporte différentes parties :

Protection 
Le ver est capable de s'exécuter en trompant un processus du cœur de Windows (Ntdll.dll), et en leurrant les anti-virus les plus connus. Il possède aussi des portions chiffrées qui interdisent toute lecture du virus non chargé en mémoire. Une particularité intéressante est qu'il ne s'attaque pas aux ordinateurs qui possèdent l'antivirus ETrust v5 et v6.
Propagation
Le ver utilise 2 failles : MS10-061 et MS08-067 pour se propager sur le réseau connecté à l'ordinateur infecté, ainsi qu'une faille : LNK Vulnerability (CVE-2010-2568) pour se propager sur les disques amovibles.
Installation
Le ver une fois exécuté avec succès sur un ordinateur sain va s'installer. Pour ce faire il va utiliser 2 failles non encore connue de Microsoft, au moment de la création de Stuxnet, pour obtenir les droits administrateur. La première a été référencée et corrigée par Microsoft : MS10-073. Cette faille fonctionne à l'aide d'un faux layout de clavier , spécialement forgé. La seconde est une faille dans l'ordonnanceur de tâche, et ne possède pas encore de patch au moment de l'analyse de Symantec en février 2011. Ces deux failles permettent d'exécuter du code arbitraire avec les droits administrateur.
Une fois les droits obtenus, le ver installe les composants suivants :
  • Deux rootkits qui lui permettent de s'exécuter au démarrage, de leurrer les protections anti-virus et de se copier sans se faire détecter sur les disques amovibles comme les clés USB (grâce au vol des certificats Verisign).
  • Une procédure de réinstallation, si une de ses ressources est effacée.
  • Sa charge utile pour attaquer les équipements Siemens visés : Cette partie spécifique extrêmement complexe comporte 2 sous-parties : une procédure de leurre des outils de monitoring et une procédure de contrôle du logiciel Siemens.
  • Un serveur pour envoyer et recevoir des informations et des données : Sa première action est de communiquer avec deux serveurs de contrôle : www.mypremierfutbol.com et www.todaysfutbol.com
  • Un mécanisme complexe de mise à jour pour exécuter le nouveau code reçu via ces serveurs si besoin.
  • Un mécanisme de désinstallation.
  • Un mécanisme P2P de mise à jour si une nouvelle version est disponible sur un autre ordinateur infecté.

Outil de suppression

Le 15 juillet 2010, Siemens met à disposition de ses clients un outil capable de détecter et supprimer le ver [2]

Le 2 août 2010, Microsoft annonce le Bulletin de sécurité MS10-046 [3]

Le 8 octobre 2010, un outil de suppression est mis à disposition par BitDefender.

Notes et références

Références

  1. (en) « "This is the first direct example of weaponized software, highly customized and designed to find a particular target." », Stuxnet malware is 'weapon' out to destroy … Iran's Bushehr nuclear plant?
  2. (en) « Researchers at Symantec […] say it is the first worm built not only to spy on industrial systems, but also to reprogram them. », Siemens: Stuxnet worm hit industrial systems
  3. a, b et c (en) Robert McMillan, « Siemens: Stuxnet worm hit industrial systems », Computerworld, 16 septembre 2010. Consulté le 16 septembre 2010.
  4. a, b, c et d Thomas Erdbrink et Ellen Nakashima, Iran struggling to contain 'foreign-made' computer worm, The Washington Post, 28 septembre 2010
  5. tempsreel.nouvelobs.com Israël s'en est pris au nucléaire syrien et iranien.
  6. a, b et c (en) Gregg Keizer, « Is Stuxnet the ‘best’ malware ever? », InfoWorld (en), 16 septembre 2010. Consulté le 16 septembre 2010.
  7. (en) Tom Espiner, « Siemens warns Stuxnet targets of password risk », cnet, 20 juillet 2010. Consulté le 17 septembre 2010.
  8. a et b (en) Stuxnet worm ‘targeted high-value Iranian assets’, BBC News, 23 septembre 2010. Consulté le 23 septembre 2010.
  9. (en) crve, « Stuxnet also found at industrial plants in Germany », 17 septembre 2010. Consulté le 18 septembre 2010.
  10. (en) Robert McMillan, « Iran was prime target of SCADA worm », Computerworld, 23 juillet 2010. Consulté le 17 septembre 2010.
  11. Ellen Nakashima, U.S. power plants at risk of attack by computer worm like Stuxnet, The Washington Post, 1er octobre 2010
  12. (en) t Stuxnet malware is ‘weapon’ out to destroy… Iran’s Bushehr nuclear plant?, The Christian Science Monitor, 21 septembre 2010. Consulté le 23 septembre 2010.
  13. a et b (en) Bruce Schneier, « Schneier on Security: The Stuxnet Worm », 22 septembre 2010. Consulté le 23 septembre 2010.
  14. Adrien Jaulmes, Cyberattaques en Iran : une unité israélienne suspectée, Le Figaro, 5 octobre 2010
  15. Glenn Kesler, Computer worm may have targeted Iran's nuclear program, The Washington Post, 15 novembre 2010
  16. Un général israélien affirme être le "père" de Stuxnet (Clubic)
  17. a et b Analyse complète de Stuxnet publié par Symantec (en) [1]

Voir aussi

Source originale partielle

Liens externes

v · Logiciels malveillants et menaces
Virus de boot • de fichier • macrovirus • de script Crystal Clear app virus detected.png
Vers de réseau • de courrier électronique • Internet • IRC
Chevaux de Troie porte dérobéedroppernotificateurlogiciel espion
Autres menaces exploitpublicielroguecomposeurenregistreur de frapperootkitcanularpharming

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Stuxnet de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать реферат

Regardez d'autres dictionnaires:

  • Stuxnet — is a computer worm discovered in June 2010. It targets Siemens industrial software and equipment running Microsoft Windows.[1] While it is not the first time that hackers have targeted industrial systems,[2] it is the first discovered malware… …   Wikipedia

  • Stuxnet — ist ein Computerwurm, der im Juni 2010 entdeckt und zuerst unter dem Namen RootkitTmphider beschrieben wurde.[T 1] Das Schadprogramm wurde speziell für ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse (SCADA System) der… …   Deutsch Wikipedia

  • Stuxnet — es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales,[1] en concreto… …   Wikipedia Español

  • Stuxnet — win32/Stuxnet  компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда»[1] (в настоящее время …   Википедия

  • Duqu — Symantec Diagram on Duqu Duqu is a computer worm discovered on 1 September 2011, thought to be related to the Stuxnet worm. The Laboratory of Cryptography and System Security (CrySyS)[1] of the Budapest University of Technology and Economics in… …   Wikipedia

  • Cyberwarfare in the People's Republic of China — The nature of Cyberwarfare in the People s Republic of China is difficult to assess. Government officials in India and the United States have traced various attacks on corporate and infrastructure computer systems in their countries to computers… …   Wikipedia

  • WinCC — (Windows Control Center) ist ein PC basiertes Prozessvisualisierungssystem der Firma Siemens. Es wird als eigenständiges SCADA System oder als Mensch Maschine Schnittstelle für Prozessleitsysteme wie SIMATIC PCS7 oder Spectrum PowerCC eingesetzt …   Deutsch Wikipedia

  • Industrial espionage — Teapot with Actresses, Vezzi porcelain factory, Venice, ca. 1725. The Vezzi brothers were involved in a series of incidents of industrial espionage. It was these actions that led to the secret of manufacturing Meissen porcelain becoming widely… …   Wikipedia

  • Idaho National Laboratory — Coordinates: 43°32′00″N 112°56′41″W / 43.533429°N 112.94486°W / 43.533429; 112.94486 …   Wikipedia

  • Duqu — Duqu  компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червем Stuxnet[1]. Червь получил имя Duqu из за префикса « DQ», который использовался во всех именах файлов, создаваемых им[2].… …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”