Stuxnet, un ver d'origine israélienne ? - Le Monde Informatique
Un ver impressionnant
capable de prendre les commandes
de systèmes vitaux
Il serait temps de s'inquiéter ....
Stuxnet n'est pas seulement impressionnant par ses cibles industrielles et/ou militaires, mais par le fait que pour les atteindre, il utilise 4 vulnérabilités inconnues jusqu'alors et ce dans des domaines différents. Sa sophistication laisse à penser que sa source ne devrait pas être autre qu'une agence d'état...
"Le code Stuxnet contiendrait ainsi un marqueur caché constitué de la suite de chiffres "19790509". Les chercheurs Nicolas Falliere, Liam O Murchú et Eric Chen pensent que cette suite agit comme un indicateur informant Stuxnet de ne pas infecter le PC ciblé dans le cas où il serait en présence d'un marqueur identique. ...
ils ont émis l'hypothèse que le marqueur pourrait correspondre au 9 mai 1979 date à laquelle Habib Elghanian, un éminent homme d'affaires juif iranien, accusé d'espionnage au profit d'Israël par le tout nouveau gouvernement révolutionnaire iranien, a été passé par les armes à Téhéran par un peloton d'exécution:
...Qualifié de malware parmi les plus sophistiqués jamais réalisé, par Liam O Murchú et d'autres,
Stuxnet vise les PC sous Windows chargés de superviser des systèmes d'acquisition et de contrôle des données appelés SCADA, lesquels gèrent et surveillent à peu près tout type d'installations, depuis les centrales électriques et les machines des usines jusqu'aux oléoducs et aux installations militaires.
Trop sophistiqué
L'architecture complexe du ver et la nature de sa cible ont conduit certains à conclure que Stuxnet avait été conçu par un groupe de pirates avec le soutien d'un État. Les infections massives constatées dans les infrastructures iraniennes ont laissé entendre que le ver visait peut-être les installations nucléaires de ce pays.
Le week-end dernier, les autorités iraniennes ont confirmé que des dizaines de milliers de PC avaient été infectés par Stuxnet, dont certains utilisés dans une centrale nucléaire située dans le sud-ouest de l'Iran, et qui devait entrer en service le mois prochain...."
Article complet : Stuxnet, un ver d'origine israélienne ? - Actualités Sécurité - Le Monde InformatiqueNoter que 60% des PC infectés sont en Iran et que le code de Stuxnet s'arrête de fonctionner de lui-même après le 24 juin 2012.
Noter aussi que les systèmes SCADA si employés dans l'industrie semblerait évidemment être un cible de choix en temps de guerre et qu'il serait temps de penser à la sécurisation de tels systèmes.
Noter enfin que StuxNet est peut-être à l'origine de la perte de contrôle du satellite indien Insat4B en juillet 2010 à cause de l'utilisation de contrôleurs Siemens S7-400 PLC et SIMATIC WinCC qui tout deux activent Stuxnet
Un peu plus d'infos
Selon Liam O'Murchu in english :
- "Stuxnet is the first publicly known worm to target industrial control systems, often generically referred to as SCADA systems.
- Not only did Stuxnet include malicious STL (Statement List) code, an assembly-like programming language, which is used to control industrial control systems, it included the first ever PLC (programmable logic controller) rootkit hiding the STL code.
- It also included a zero-day vulnerability to spread via USB drives,
- a Windows rootkit to hide its Windows binary components,
- and it signed its files with certificates stolen from other unrelated third-party companies.
All of these characteristics are noteworthy in their own right, however when they all converge within one threat it is clear that there is a special force at work.
Any threat that is capable of taking control of a real-life physical system is worthy of a closer look, and here we present our analysis of such a threat...."
S7 300
S7 400
The malware actually resides on a PC and then injects rootkit code into the PLC. The code will not infect the PLC unless it finds a specific network card, the series number
CP 342-5
The Stuxnet virus uses a modified “Man in the Application” attack that intercepts the commands from a user HMI and executes them late or not at all.
The key to the virus comes in via a computer SCADA system, and infects the PLC. Both the PLC and computer systems need to be cleaned to make sure a re contamination does not occur.
If you have the above controller series and network card, it is time to upgrade the controller and change the network card to something other than the one listed to be on the safe side.
Pour en savoir plus lire sur ComputerWorld Is Stuxnet the 'best' malware ever?
Et surtout [la description détaillée de Stuxnet en 46 pages par les chercheurs cités plus hauts ici!]
Libellés : botnet, cybercriminalité, iran, rootkit, Sécurité, virus
0 Comments:
Enregistrer un commentaire
<< Home