domingo, 8 de diciembre de 2013

La verdadera identidad de Stuxnet.


En esta ocasión vengo a escribir sobre el procedimiento que llevo el gusano Stuxnet en su hazaña de lograr interrumpir el programa nuclear de Irán. Bueno creo que hoy en día ya se puede afirmar esa hiposis que fue propuesta hace ya algún tiempo.

Vamos a seguir un procedimiento de análisis, de acuerdo a las etapas que el gusano Stuxnet llevo acabo desde la infección hasta las consecuencias que produjo en dichas arquitecturas de la central de Natanz.




Para poder entender este ataque que no tiene precedentes, es necesario tener un modelo distinto al modelo típico de ingeniería forense. Ya que para entender dicho ataque no es suficiente la comprensión del código informático y las vulnerabilidades de día cero. Al ser un ataque cibernético físico, uno tiene que entender la parte física , tanto las características de diseño de la planta, y de los parámetros de dichos procesos. A diferencia de los ataques cibernéticos clásicos que se ven todos los días, un ataque cibernético físico consta de tres capas y su vulnerabilidad específica :


  • La capa de TI que se usa para propagar el malware.
  • La capa del sistema de control que se utiliza para manipular (pero no alterar ) el proceso de control.
  • La capa física donde se crea el daño real.


En el caso del ataque cibernético contra Natanz , la vulnerabilidad en la capa física fue la fragilidad de los rotores de centrifugadoras de giro rápido que fue aprovechado por las manipulaciones de la presión del proceso y la velocidad del rotor .



Infección de Stuxnet.




El ataque se inicio cuando un usuario o empleado de Natanz conecto un pendrive o USB en una Notebook especifica.(Simatic Field PG, notebook industrial de Siemens) de un técnico que entrara a la central de Natanz.


Objetivo : Notebook industrial de Siemens.


Stuxnet se activaba si encontraba el programa PCS7 (Step 7 Software) de Siemens. El Software Step 7 viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)





Dicha notebook la cual eran industriales, fue elegida por el atacante ya que proveía  de datos y configuraciones a una Siemens S7- System Scada. El cual enviaba las ordenes que eran ingresadas por el notebook a los rootores de las centrifugadoras para que sean ejecutadas con los parámetros ya ingresados previamente por dicha notebook.



Las habilidades de Stuxnet son sin precedentes ya que fue programado con inteligencia. Con esto me refiero que que el el USB, el cual contenía al gusano, solo podía infectar a 3 maquinas con las que tenía contacto. Cuando el USB infectado entra en contacto con su 3era víctima, y finalize la copia del malware con éxito.
(función propia de los virus).



El Stuxnet original que se encontraba en el USB ejecutaba la función de auto-eliminación, en palabras se realizaba el procedimiento de Harakiri y no dejaba ningún rastro de dicho malware. 




Una vez que todas las copias se encuentran entre los distintos dispositivos que hubo en la planta de Natanz.Cabe resaltar que las infecciones no siempre se daban en notebook que tengan el software PCS7 (Step 7 Software) de Siemens. 




Dispersión de Stuxnet


Hay que tener presente que las los dispositivos infectados por Stuxnet, no siempre eran dispositivos con el programa PCS7 (Step 7 Software) de Siemens. Es aquí donde Stuxnet hace uso de las vulnerabilidades 0days de windows que eran totalmente desconocidas. Una de las vulnerabilidades como por ejemplo el  MS 10-046 permitía a Stuxnet ejecutar tarea administrativas en el computador infectado, cuando se desplegaba un especial icono que fuera llamado por aplicación de windows.




Nota : 25 de Enero de 2010 : Stuxnet obtiene un certificado digital válido, originalmente emitido a Realtec Semiconductor Corps por el proveedor líder de servicios de autentificación, Verisign.




En ese momento el número total de vulnerabilidades en Windows, en los cuales Stuxnet podía usar, incrementaron a 4. Con estas vulnerabilidades Stuxnet podía crear túneles de comunicación entre los distintos dispositivos asociados a una red y migrar de un punto a otro.





El Virus logro entrar por que venia con Certificado Valido(por Verisign) y los antivirus veían esto y también veían que el programa en el autorun no tenía comandos, así que lo trataba como basura, que eventualmente no haría nada, lo mismo pasaba con el sistema de defensa de Windows, así que el Virus pasaba sin problemas. En ese minuto Stuxnet se cargaba en la máquina de la víctima, básicamente estableciéndose en el registro de windows, el cual es la base de datos para cualquier aplicación, dispositivo, perfil de usuarios, etc que use windows, siempre se consulta al registro. Entonces ya cargado en el registro , trataba de detectar si el equipo de la víctima tenía algunas ciertas características, como sí tenía el WinCC o el PCS de Siemens , también buscaba las frecuencias exactas, si el patrón concordaba pasaba a la próxima iteración. 




Eso sí, también se comunicaba con los servidores de Comando y Control, que estaban principalmente en Alemania y Malasia, para subir las IP’s, los datos recolectados, en general toda la información correspondiente a ese equipo y a la LAN que compartía, y esperaba comandos y actualizaciones para ejecutarse , desde los servidores de Comando y Control.

Ningún virus de computador o malware antes de Stuxnet había incluso usado más que una vulnerabilidad. Y esta fue la razón central por la cual Stuxnet no pudo ser detectado en casi un año.

Modelo original infectado en la central de Enriquecimiento de Uranio en Natanz - Irán. (Siemens S7- System Scada).







Vulnerabilidades en los sistemas industriales de Natanz.



Para poder entender esta etapa de Stuxnet es necesario tener ciertos conceptos básicos sobre la capa física, en la cual se generan los daños. 


1.- ¿Qué es una centrifuga en cascada?


Las centrifugadoras de gas se utilizan para el enriquecimiento de uranio, se reúnen en grupos para maximizar la eficiencia. Las centrífugas dentro de un grupo, también llamado una etapa de enriquecimiento, comparten la misma alimentación, el producto y las colas de tuberías. Las colas colectiva se canaliza a continuación, en la alimentación colectiva de la siguiente etapa en un lado, así como el producto colectivo se canaliza en la alimentación colectiva en el otro lado. En los extremos lejanos de la cascada, hay producto en las colas que recogen el enriquecido y empobrecido uranio.

Hasta el año 2012,Irán utiliza cascadas con 164 centrifugadoras agrupados en 15 etapas, con la etapa 10 se inicia la etapa de alimentación.



Centrifuga en cascada 





2.- ¿Qué es un sistema de protección ?


Sistemas de control industrial y su asociada instrumentación están básicamente agrupados en sistemas de producción y los sistemas de protección .

Como su nombre lo indica, los sistemas de protección no funcionan paralelamente durante el funcionamiento normal, pero tienen la intención de detectar anomalías del proceso y evitar que la destrucción de los equipos o convertirse en peligros para los operadores y el medio ambiente





1.- Problema inherente en el sistema de protección de la cascada.


El sistema de protección de las cascadas se componen de dos capas :


El sistema de protección de la cascada se compone de dos capas. estando la capa inferior en el nivel de centrifuga.Tres válvulas de cerrado rápido son instaladas para cada centrifuga en las tuberías que poseen cada centrifuga. Tras el cierre de las válvulas, se clasifican las centrífugas que se están ejecutando con  problemas (indicadores de vibración), posteriormente pasan ser aislados.  Las centrifugadoras que se encuentran aisladas, van a ser sustituidos por los técnicos de mantenimiento , y esto ocurre mientras el proceso sigue ejecutándose.

La pantalla central de monitoreo del Sistema de Protección de la cascada, muestra el estado de cada centrífuga dentro de una cascada (las aisladas y las que se están ejecutándose), ya sea como un punto verde o un punto gris. 






2.- El problema con la presión del proceso en centrifugadoras de gas



Las centrifugadoras de gas para  realizar el enriquecimiento de uranio son extremadamente sensibles a los aumentos de la presión del proceso por encima de cerca de vacío. Un ligero aumento en la presión puede afectar la eficiencia de enriquecimiento debido a que el perfil de presión de la cascada es perturbado , como consecuencia puede llevar al  reducimiento del flujo del producto. Un aumento moderado de la presión dará lugar a que mas hexafluoruro de uranio entré a la centrífuga , por ende se tendrá que ejercer un mayor estrés mecánico en el rotor .





La presión de la pared del rotor es una función donde las variables en juego son la velocidad ( velocidad del rotor ) y la presión que opera el rotor. En última instancia , la presión puede hacer que el UF6 se solidifique . La temperatura ambiente en Natanz no coincide con la cámara de cascadas la cual se encuentra alrededor de 100 milibar.


3.- FieldBus



Las redes de comunicaciones industriales deben su origen a la fundación FieldBus (Redes de campo). La fundación FieldBus desarrolló un nuevo protocolo de comunicación para la medición y el control de procesos donde todos los instrumentos puedan comunicarse en una misma plataforma.

Un FieldBus es una micro-red en tiempo real, la cual funciona para la conexión de periféricos de automatización (por ejemplo, instrumentos , motores o válvulas) hacia un controlador. El número de estaciones que se pueden conectar a un FieldBus es bastante limitado y a menudo por debajo de 255. La mayoría de las variantes de FieldBus cuentan con un controlador principal, todas las demás estaciones que actúan como "esclavos".




PROFIBUS es un importante FieldBus de estándar europeo promovido por Siemens. En los nuevos diseños de plantas , FieldBus son sustituidas progresivamente por Ethernet ,ya que los ataques cibernéticos contra los equipos de campo son mas difíciles por estas redes.





Explotación de las vulnerabilidad por parte de Stuxnet.


Stuxnet como arma digital estaba estructurada por 2 tipos de ojivas digitales.


  1. Una ojiva grande u una pequeña.
  2. Cada ojiva tenía un objetivo específico.
  3. Eran autónomas, sin control remoto.
  4. Los atacantes tengan pleno conocimiento de información privilegiada acerca de las estructuras digitales.
  5. Poseían un alto grado de ingeniería.



Ojiva 315 




Cuando Stuxnet encontraba el programa PCS7(Step 7 Software) que viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)  y estableciera conexión, Stuxnet penetraba dentro del controlador(PLC/Programmable logic controller) y modifica el código de programación del controlador y oculta los cambios.




Sobre un periodo de meses Stuxnet cambia las frecuencia de salida, lo cual cambia la rapidez de un rotor centrifugo,. Las frecuencias de operación normales son entre 807 Hz y 1210 Hz, con una frecuencia estándar de 1064 Hz. Por cortos periodos de tiempo, no mas de 15 minutos, Stuxnet sube la frecuencia a 1410 Hz, lo cual esta sobre el limite de 1210 Hz y entonces cambia de vuelta a 1064 Hz.




Después de 27 días Stuxnet hace caer la frecuencia de salida a 2Hz por 5 minutos. Cada 27 días repite la
misma rutina , de acelerar y desacelerar la centrifuga.





Ojiva 417



1.- Diseño de Plantas


Cada unidad de cascada en Natanz se compone de 18 cascadas . De acuerdo a los datos cada seis cascadas comparten una estación de alimentación , una estación del producto, y una estación de colas . LA

La planta piloto de enriquecimiento de combustible (PFEP ) en Natanz también utiliza seis cascadas . En el siguiente diagrama, el rojo vivo indica la alimentación , la tubería azul indica el producto , y la tubería de color amarillo indica las colas.






2.- Forma de la Cascada.


Durante el momento del ataque Stuxnet (2007-2010) , Irán utilizó un diseño de cascada de 164 centrifugadoras ( IR - 1 ) de primera generación . Las centrífugas están alineados en cuatro líneas con un total de 43 columnas.




Para poder determinar el objetivo de la ojiva gigante, se tuvo que comparar los valores que se encontraban inmersos en el código de Stuxnet con valores en la vida real. Un ejemplo claro es el número de centrifugadores que contiene cada cascada el cual es de 164. 



Otro ejemplo que resalta, es la estructura de los procesos en cada cascada.



Esta arma digital la cual fue hecha bajo ciertos parámetros solo tenía un solo objetivo el cual era la planta de Natanz.



3.- Sensores y Válvulas


En comparación con su patrimonio Urenco las cámaras de cascadas en Natanz se parece a una unidad de cuidados intensivos, con un montón de equipo conectados a los pacientes con el fin de mantenerlos con vida. Los sistemas de control se utilizan para compensar la falta de fiabilidad mecánica en lugar de aumentar la eficiencia o la calidad del producto.



Importante : El propósito de las válvulas es aislar las centrifugadoras de una cascada que comienzan a vibrar , los cuales son señalados por los sensores de vibración ( resaltados en color morado ). Cada válvula está conectada a una red Profibus la cual esta unido al controlador Siemens S7 - 417.


En el siguiente imagen podemos observar como se interceptan los valores de entrada de los sensores, como por ejemplo pueden ser los datos de los sensores de presión y también los sensores de vibración y provee código legítimo, el cual todavía se ejecuta durante el ataque con falsos datos de entrada. Dichos datos eran pre-grabados por Stuxnet.

Un ejemplo muy parecido lo encontramos en las películas, cuando las cámaras de seguridad son alimentadas por un video pre-grabado. Como consecuencia los administradores no son consientes de lo que realmente esta sucediendo en tiempo real, ya que reciben falsos datos, y por ende para ellos el sistema esta funcionando perfectamente.



4.- Ataque Dual de Ojivas digitales.


Como se mencionó anteriormente Stuxnet disponía de dos tipos de estructuras que concientemente tenían el mismo objetivo pero estaban diseñadas para realizar ataques desde diferentes ángulos, aunque también realizaban ataques complementarios.

Mientras que la ojiva pequeña se encargaba de tomar una cascada, y haciendo girar los rotores y ralentizándolos, la ojiva grande se comunicaba con seis cascadas y manipulaba las válvulas.





Consecuencias.


  • Esto ocurrió desde el 2009 hasta el 2010, lo que llevó a que más de 1000 centrifugas se estropearan, y los operadores de estas no sabían por que, pues en la pantalla les aparecían siempre valores normales.
  • Stuxnet fue capaz de paralizar el funcionamiento de la planta por un periodo relativo de tiempo, claro esta que posteriormente su funcionamiento se restableció.
  • Stuxnet no nos mostró una evolución en el ámbito del malware, sino un revolución total.
  • Hoy en día muchos confirmar que los creadores de dicha arma digital fue los EE.UU y Israel, claro esta que estos ninguno ha aceptado la autoría correspondiente, ya sea total o parcial.
  • Por último cabe decir que Stuxnet ha pasado a formar parte de una familia de armas digitales totalmente innovadas y diseñadas con un alto nivel de profesionalismo. Donde el integrante mas resaltante es el gusano Flame, cuyo tamaño relativo es 20 veces mayor que el de Stuxnet.


Bueno creo que hemos llegado al final de este post. Espero que este post les sea de utilidad al momento de querer estudiar un poco acerca del funcionamiento del gusano Stuxnet. Bueno me despido y será hasta la próxima.Nos vemos.










No hay comentarios:

Publicar un comentario