Vamos a seguir un procedimiento de análisis, de acuerdo a las etapas que el gusano Stuxnet llevo acabo desde la infección hasta las consecuencias que produjo en dichas arquitecturas de la central de Natanz.
Para poder entender este ataque que no tiene precedentes, es necesario tener un modelo distinto al modelo típico de ingeniería forense. Ya que para entender dicho ataque no es suficiente la comprensión del código informático y las vulnerabilidades de día cero. Al ser un ataque cibernético físico, uno tiene que entender la parte física , tanto las características de diseño de la planta, y de los parámetros de dichos procesos. A diferencia de los ataques cibernéticos clásicos que se ven todos los días, un ataque cibernético físico consta de tres capas y su vulnerabilidad específica :
- La capa de TI que se usa para propagar el malware.
- La capa del sistema de control que se utiliza para manipular (pero no alterar ) el proceso de control.
- La capa física donde se crea el daño real.
En el caso del ataque cibernético contra Natanz , la vulnerabilidad en la capa física fue la fragilidad de los rotores de centrifugadoras de giro rápido que fue aprovechado por las manipulaciones de la presión del proceso y la velocidad del rotor .
Infección de Stuxnet.
El ataque se inicio cuando un usuario o empleado de Natanz conecto un pendrive o USB en una Notebook especifica.(Simatic Field PG, notebook industrial de Siemens) de un técnico que entrara a la central de Natanz.
Objetivo : Notebook industrial de Siemens.
Stuxnet se activaba si encontraba el programa PCS7 (Step 7 Software) de Siemens. El Software Step 7 viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)
Dicha notebook la cual eran industriales, fue elegida por el atacante ya que proveía de datos y configuraciones a una Siemens S7- System Scada. El cual enviaba las ordenes que eran ingresadas por el notebook a los rootores de las centrifugadoras para que sean ejecutadas con los parámetros ya ingresados previamente por dicha notebook.
Las habilidades de Stuxnet son sin precedentes ya que fue programado con inteligencia. Con esto me refiero que que el el USB, el cual contenía al gusano, solo podía infectar a 3 maquinas con las que tenía contacto. Cuando el USB infectado entra en contacto con su 3era víctima, y finalize la copia del malware con éxito.
(función propia de los virus).
El Stuxnet original que se encontraba en el USB ejecutaba la función de auto-eliminación, en palabras se realizaba el procedimiento de Harakiri y no dejaba ningún rastro de dicho malware.
Una vez que todas las copias se encuentran entre los distintos dispositivos que hubo en la planta de Natanz.Cabe resaltar que las infecciones no siempre se daban en notebook que tengan el software PCS7 (Step 7 Software) de Siemens.
Dispersión de Stuxnet
Hay que tener presente que las los dispositivos infectados por Stuxnet, no siempre eran dispositivos con el programa PCS7 (Step 7 Software) de Siemens. Es aquí donde Stuxnet hace uso de las vulnerabilidades 0days de windows que eran totalmente desconocidas. Una de las vulnerabilidades como por ejemplo el MS 10-046 permitía a Stuxnet ejecutar tarea administrativas en el
computador infectado, cuando se desplegaba un especial icono que fuera
llamado por aplicación de windows.
Nota : 25 de Enero de 2010 : Stuxnet obtiene un certificado digital válido,
originalmente emitido a Realtec Semiconductor Corps por el proveedor
líder de servicios de autentificación, Verisign.
El Virus logro entrar por que venia con Certificado Valido(por Verisign)
y los antivirus veían esto y también veían que el programa en el
autorun no tenía comandos, así que lo trataba como basura, que
eventualmente no haría nada, lo mismo pasaba con el sistema de defensa
de Windows, así que el Virus pasaba sin problemas. En ese minuto Stuxnet
se cargaba en la máquina de la víctima, básicamente estableciéndose en
el registro de windows, el cual es la base de datos para cualquier
aplicación, dispositivo, perfil de usuarios, etc que use windows,
siempre se consulta al registro. Entonces ya cargado en el registro ,
trataba de detectar si el equipo de la víctima tenía algunas ciertas
características, como sí tenía el WinCC o el PCS de Siemens , también
buscaba las frecuencias exactas, si el patrón concordaba pasaba a la
próxima iteración.
Eso sí, también se comunicaba con los servidores de
Comando y Control, que estaban principalmente en Alemania y Malasia,
para subir las IP’s, los datos recolectados, en general toda la
información correspondiente a ese equipo y a la LAN que compartía, y
esperaba comandos y actualizaciones para ejecutarse , desde los
servidores de Comando y Control.
Ningún virus de computador o malware antes de Stuxnet había incluso usado más que una vulnerabilidad. Y esta fue la razón central por la cual Stuxnet no pudo ser detectado en casi un año.
1.- Problema inherente en el sistema de protección de la cascada.
El sistema de protección de las cascadas se componen de dos capas :
El sistema de protección de la cascada se compone de dos capas. estando la capa inferior en el nivel de centrifuga.Tres válvulas de cerrado rápido son instaladas para cada centrifuga en las tuberías que poseen cada centrifuga. Tras el cierre de las válvulas, se clasifican las centrífugas que se están ejecutando con problemas (indicadores de vibración), posteriormente pasan ser aislados. Las centrifugadoras que se encuentran aisladas, van a ser sustituidos por los técnicos de mantenimiento , y esto ocurre mientras el proceso sigue ejecutándose.
La pantalla central de monitoreo del Sistema de Protección de la cascada, muestra el estado de cada centrífuga dentro de una cascada (las aisladas y las que se están ejecutándose), ya sea como un punto verde o un punto gris.
2.- El problema con la presión del proceso en centrifugadoras de gas
Las centrifugadoras de gas para realizar el enriquecimiento de uranio son extremadamente sensibles a los aumentos de la presión del proceso por encima de cerca de vacío. Un ligero aumento en la presión puede afectar la eficiencia de enriquecimiento debido a que el perfil de presión de la cascada es perturbado , como consecuencia puede llevar al reducimiento del flujo del producto. Un aumento moderado de la presión dará lugar a que mas hexafluoruro de uranio entré a la centrífuga , por ende se tendrá que ejercer un mayor estrés mecánico en el rotor .
Stuxnet como arma digital estaba estructurada por 2 tipos de ojivas digitales.
Cuando Stuxnet encontraba el programa PCS7(Step 7 Software) que viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG) y estableciera conexión, Stuxnet penetraba dentro del controlador(PLC/Programmable logic controller) y modifica el código de programación del controlador y oculta los cambios.
Sobre un periodo de meses Stuxnet cambia las frecuencia de salida, lo cual cambia la rapidez de un rotor centrifugo,. Las frecuencias de operación normales son entre 807 Hz y 1210 Hz, con una frecuencia estándar de 1064 Hz. Por cortos periodos de tiempo, no mas de 15 minutos, Stuxnet sube la frecuencia a 1410 Hz, lo cual esta sobre el limite de 1210 Hz y entonces cambia de vuelta a 1064 Hz.
Después de 27 días Stuxnet hace caer la frecuencia de salida a 2Hz por 5 minutos. Cada 27 días repite la
misma rutina , de acelerar y desacelerar la centrifuga.
2.- Forma de la Cascada.
Durante el momento del ataque Stuxnet (2007-2010) , Irán utilizó un diseño de cascada de 164 centrifugadoras ( IR - 1 ) de primera generación . Las centrífugas están alineados en cuatro líneas con un total de 43 columnas.
Importante : El propósito de las válvulas es aislar las centrifugadoras de una cascada que comienzan a vibrar , los cuales son señalados por los sensores de vibración ( resaltados en color morado ). Cada válvula está conectada a una red Profibus la cual esta unido al controlador Siemens S7 - 417.
Modelo original infectado en la central de Enriquecimiento de Uranio en Natanz - Irán. (Siemens S7- System Scada).
Vulnerabilidades en los sistemas industriales de Natanz.
Para poder entender esta etapa de Stuxnet es necesario tener ciertos conceptos básicos sobre la capa física, en la cual se generan los daños.
1.- ¿Qué es una centrifuga en cascada?
Las centrifugadoras de gas se utilizan para el enriquecimiento de uranio, se reúnen en grupos para maximizar la eficiencia. Las centrífugas dentro de un grupo, también llamado una etapa de enriquecimiento, comparten la misma alimentación, el producto y las colas de tuberías. Las colas colectiva se canaliza a continuación, en la alimentación colectiva de la siguiente etapa en un lado, así como el producto colectivo se canaliza en la alimentación colectiva en el otro lado. En los extremos lejanos de la cascada, hay producto en las colas que recogen el enriquecido y empobrecido uranio.
Hasta el año 2012,Irán utiliza cascadas con 164 centrifugadoras agrupados en 15 etapas, con la etapa 10 se inicia la etapa de alimentación.
Centrifuga en cascada
2.- ¿Qué es un sistema de protección ?
Sistemas de control industrial y su asociada instrumentación están básicamente agrupados en sistemas de producción y los sistemas de protección .
Como su nombre lo indica, los sistemas de protección no funcionan paralelamente durante el funcionamiento normal, pero tienen la intención de detectar anomalías del proceso y evitar que la destrucción de los equipos o convertirse en peligros para los operadores y el medio ambiente
El sistema de protección de las cascadas se componen de dos capas :
El sistema de protección de la cascada se compone de dos capas. estando la capa inferior en el nivel de centrifuga.Tres válvulas de cerrado rápido son instaladas para cada centrifuga en las tuberías que poseen cada centrifuga. Tras el cierre de las válvulas, se clasifican las centrífugas que se están ejecutando con problemas (indicadores de vibración), posteriormente pasan ser aislados. Las centrifugadoras que se encuentran aisladas, van a ser sustituidos por los técnicos de mantenimiento , y esto ocurre mientras el proceso sigue ejecutándose.
La pantalla central de monitoreo del Sistema de Protección de la cascada, muestra el estado de cada centrífuga dentro de una cascada (las aisladas y las que se están ejecutándose), ya sea como un punto verde o un punto gris.
2.- El problema con la presión del proceso en centrifugadoras de gas
Las centrifugadoras de gas para realizar el enriquecimiento de uranio son extremadamente sensibles a los aumentos de la presión del proceso por encima de cerca de vacío. Un ligero aumento en la presión puede afectar la eficiencia de enriquecimiento debido a que el perfil de presión de la cascada es perturbado , como consecuencia puede llevar al reducimiento del flujo del producto. Un aumento moderado de la presión dará lugar a que mas hexafluoruro de uranio entré a la centrífuga , por ende se tendrá que ejercer un mayor estrés mecánico en el rotor .
La presión de la pared del rotor es una función donde las variables en juego son la velocidad ( velocidad del rotor ) y la presión que opera el rotor. En última instancia , la presión puede hacer que el UF6 se solidifique . La temperatura ambiente en Natanz no coincide con la cámara de cascadas la cual se encuentra alrededor de 100 milibar.
3.- FieldBus
Las redes de comunicaciones industriales deben su origen a la
fundación FieldBus (Redes de campo). La fundación FieldBus desarrolló un
nuevo protocolo de comunicación para la medición y el control de
procesos donde todos los instrumentos puedan comunicarse en una misma plataforma.
Un FieldBus es una micro-red en tiempo real, la cual funciona para la conexión de
periféricos de automatización (por ejemplo, instrumentos , motores o
válvulas) hacia un controlador. El número de estaciones que se pueden conectar a un FieldBus es bastante limitado y a menudo por debajo de 255. La mayoría de las variantes de FieldBus cuentan con un controlador principal, todas las demás estaciones que actúan como "esclavos".
PROFIBUS es un importante FieldBus de estándar europeo promovido por Siemens. En los nuevos diseños de plantas , FieldBus son sustituidas
progresivamente por Ethernet ,ya que los ataques cibernéticos
contra los equipos de campo son mas difíciles por estas redes.
Explotación de las vulnerabilidad por parte de Stuxnet.
Stuxnet como arma digital estaba estructurada por 2 tipos de ojivas digitales.
- Una ojiva grande u una pequeña.
- Cada ojiva tenía un objetivo específico.
- Eran autónomas, sin control remoto.
- Los atacantes tengan pleno conocimiento de información privilegiada acerca de las estructuras digitales.
- Poseían un alto grado de ingeniería.
Ojiva 315
Cuando Stuxnet encontraba el programa PCS7(Step 7 Software) que viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG) y estableciera conexión, Stuxnet penetraba dentro del controlador(PLC/Programmable logic controller) y modifica el código de programación del controlador y oculta los cambios.
Sobre un periodo de meses Stuxnet cambia las frecuencia de salida, lo cual cambia la rapidez de un rotor centrifugo,. Las frecuencias de operación normales son entre 807 Hz y 1210 Hz, con una frecuencia estándar de 1064 Hz. Por cortos periodos de tiempo, no mas de 15 minutos, Stuxnet sube la frecuencia a 1410 Hz, lo cual esta sobre el limite de 1210 Hz y entonces cambia de vuelta a 1064 Hz.
Después de 27 días Stuxnet hace caer la frecuencia de salida a 2Hz por 5 minutos. Cada 27 días repite la
misma rutina , de acelerar y desacelerar la centrifuga.
Ojiva 417
1.- Diseño de Plantas
Cada unidad de cascada en Natanz se compone de 18 cascadas . De acuerdo a los datos cada seis cascadas comparten una estación de alimentación , una estación del producto, y una estación de colas . LA
La planta piloto de enriquecimiento de combustible (PFEP ) en Natanz también utiliza seis cascadas . En el siguiente diagrama, el rojo vivo indica la alimentación , la tubería azul indica el producto , y la tubería de color amarillo indica las colas.
1.- Diseño de Plantas
Cada unidad de cascada en Natanz se compone de 18 cascadas . De acuerdo a los datos cada seis cascadas comparten una estación de alimentación , una estación del producto, y una estación de colas . LA
La planta piloto de enriquecimiento de combustible (PFEP ) en Natanz también utiliza seis cascadas . En el siguiente diagrama, el rojo vivo indica la alimentación , la tubería azul indica el producto , y la tubería de color amarillo indica las colas.
2.- Forma de la Cascada.
Durante el momento del ataque Stuxnet (2007-2010) , Irán utilizó un diseño de cascada de 164 centrifugadoras ( IR - 1 ) de primera generación . Las centrífugas están alineados en cuatro líneas con un total de 43 columnas.
Para poder determinar el objetivo de la ojiva gigante, se tuvo que comparar los valores que se encontraban inmersos en el código de Stuxnet con valores en la vida real. Un ejemplo claro es el número de centrifugadores que contiene cada cascada el cual es de 164.
Otro ejemplo que resalta, es la estructura de los procesos en cada cascada.
Esta arma digital la cual fue hecha bajo ciertos parámetros solo tenía un solo objetivo el cual era la planta de Natanz.
3.- Sensores y Válvulas
En
comparación con su patrimonio Urenco las cámaras de cascadas en Natanz se
parece a una unidad de cuidados intensivos, con un montón de equipo
conectados a los pacientes con el fin de mantenerlos con vida. Los
sistemas de control se utilizan para compensar la falta de fiabilidad
mecánica en lugar de aumentar la eficiencia o la calidad del producto.
Importante : El propósito de las válvulas es aislar las centrifugadoras de una cascada que comienzan a vibrar , los cuales son señalados por los sensores de vibración ( resaltados en color morado ). Cada válvula está conectada a una red Profibus la cual esta unido al controlador Siemens S7 - 417.
En el siguiente imagen podemos observar como se interceptan los valores de entrada de los sensores, como por ejemplo pueden ser los datos de los sensores de presión y también los sensores de vibración y provee código legítimo, el cual todavía se ejecuta durante el ataque con falsos datos de entrada. Dichos datos eran pre-grabados por Stuxnet.
Un ejemplo muy parecido lo encontramos en las películas, cuando las cámaras de seguridad son alimentadas por un video pre-grabado. Como consecuencia los administradores no son consientes de lo que realmente esta sucediendo en tiempo real, ya que reciben falsos datos, y por ende para ellos el sistema esta funcionando perfectamente.
4.- Ataque Dual de Ojivas digitales.
Como se mencionó anteriormente Stuxnet disponía de dos tipos de estructuras que concientemente tenían el mismo objetivo pero estaban diseñadas para realizar ataques desde diferentes ángulos, aunque también realizaban ataques complementarios.
Mientras que la ojiva pequeña se encargaba de tomar una cascada, y haciendo girar los rotores y ralentizándolos, la ojiva grande se comunicaba con seis cascadas y manipulaba las válvulas.
Consecuencias.
Bueno creo que hemos llegado al final de este post. Espero que este post les sea de utilidad al momento de querer estudiar un poco acerca del funcionamiento del gusano Stuxnet. Bueno me despido y será hasta la próxima.Nos vemos.
- Esto ocurrió desde el 2009 hasta el 2010, lo que llevó a que más de 1000 centrifugas se estropearan, y los operadores de estas no sabían por que, pues en la pantalla les aparecían siempre valores normales.
- Stuxnet fue capaz de paralizar el funcionamiento de la planta por un periodo relativo de tiempo, claro esta que posteriormente su funcionamiento se restableció.
- Stuxnet no nos mostró una evolución en el ámbito del malware, sino un revolución total.
- Hoy en día muchos confirmar que los creadores de dicha arma digital fue los EE.UU y Israel, claro esta que estos ninguno ha aceptado la autoría correspondiente, ya sea total o parcial.
- Por último cabe decir que Stuxnet ha pasado a formar parte de una familia de armas digitales totalmente innovadas y diseñadas con un alto nivel de profesionalismo. Donde el integrante mas resaltante es el gusano Flame, cuyo tamaño relativo es 20 veces mayor que el de Stuxnet.
SSN FULLZ AVAILABLE
ResponderEliminarFresh & valid spammed USA SSN+Dob Leads with DL available in bulk & high credit 700+
>>1$ each SSN+DOB
>>3$ each with SSN+DOB+DL
>>5$ each for premium fullz (700+ credit score with replacement guarantee)
Prices are negotiable in bulk order
Serious buyer contact me no time wasters please
Bulk order will be preferable
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com
OTHER STUFF YOU CAN GET
SSN+DOB Fullz
CC's with CVV's (vbv & non-vbv)
USA Photo ID'S (Front & back)
All type of Tools & Tutorials available
(Carding, spamming, hacking, scam page, Cash outs, dumps cash outs)
SQL Injector
Premium Accounts (Netflix, Pornhub, etc)
Paypal Logins
Bitcoin Cracker
SMTP Linux Root
DUMPS with pins track 1 and 2
WU & Bank transfers
Socks, rdp's, vpn
Php mailer
Server I.P's
HQ Emails with passwords
All types of tools & tutorials.. & much more
Looking for long term business
For trust full vendor, feel free to contact
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com