シマンテックがStuxnetをハッキングした方法

画像 イランの原子力発電所向けのワームであるStuxnetの背後にある物語は、シマンテックの開発者グループが昨年春にこのドキュメントをリリースした瞬間から(Habré を含む )何度も説明されています 。何か手。 しかし、見ることは信じることです。 また、カリフォルニア州マウンテンビューにあるシマンテックの本社で行われた特別説明会に出席する機会がありました。そこでは、セキュリティグループのディレクターであるパトリックガードナーが、すべてが実際に起こった様子を示しました。 素晴らしかった。



Stuxnetは約10,000行のコードを含む非常に複雑なプログラムであり、書くのに何年もかかりました。 シマンテックは、1年前の6月に発生した実際の攻撃の約1年前にこのワームの最初のバージョンを発見しました。 彼らは数か月で3人の常勤者のチームでコードを分割しました。



このソフトウェアは非常に特殊であり、シーメンスの独立したプログラマブルロジックコントローラーに影響を与え、ウランの分離に使用される9,000種類の異なる遠心分離機を実行しました。 ワームはそれらの約1000個を完全に破壊し、深刻な損傷を引き起こし、イランの核計画全体を1年以上にわたって投じました。



原子力発電所のコンピューターネットワークには、いわゆる シーメンスのコントローラーを操作するために使用されるコンピューターと、インターネットに接続されているビジネス部門の通常のコンピューターとの間の「空気穴」。 これは、シーメンスの機器に接続されたコンピューターが外部ネットワークにアクセスできなかったことを意味します。これは、このレベルでのネットワークセキュリティの標準的かつ優れた実践です。 それでは、どうやってワームに感染したのでしょうか? それは人的要因の結果として判明しました。



ワームの作成者は、原子力発電所の5つの潜在的な下請業者について知っていました。そのうちの少なくとも1人は、作業中のラップトップで閉じた領域に入り、フラッシュドライブを使用してコントローラーを制御するコンピューターにソフトウェアの更新をダウンロードすると確信しています。 その後、ワームはゼロデイ脆弱性(既知のように-以前は不明)に対して、Explorerによって表示されるwindows-fileのアイコンが変更され、実際の感染ではこのファイルを表示するだけで十分であるという方法で攻撃を行いました。



これが発生するとすぐに、Stuxnetは機能するようになりました。 皮肉なことに、彼の最初のタスクは、落ち着いて座ってコントローラーのトラフィックを読み、コマンドに2週間応答することでした。ステーション内のコントローラーや操作を破壊することはまったくありませんでした。 データが収集されると、彼はコントローラーに感染し始めました。 さらに、ワーム自体の記述方法により、Stuxnetの作成者によってコントローラー制御コードに追加されたコードを理解するために、標準のデバッグ手順を使用して検出する方法はありませんでした。 これは非常に難しいプログラミングです。



シマンテックのブリーフィングでは、実際に何が起こるかを直接説明するために、実際のシーメンスコントローラーが紹介されました。 パンの大きさほどの小さな箱でした。 パンクしたタイヤを膨らませるために、車のトランクに入れて運ぶようなコンプレッサーが接続されていました。 最初の段階では、コンプレッサーがボールを膨らませるのに3秒間働いたときに「通常の」動作を見せてくれました(いいえ、核物質は見せませんでした-それは多すぎます)。 その後、Stuxnetが起動され、コントローラーが変更され、コンプレッサーが停止することなく動作し始め、ボールが爆発しました。



画像



Stuxnetの作者(誰が誰なのか正確に言うことはできませんが、経験がある開発者のグループは、おそらく州によって資金提供されていると想像できます)は、コントローラーが設置されているイランのステーションの特定の計画にアクセスできました。 これは、計画が盗まれたか、何らかの方法でワームの作者に引き渡されて、特定のコンプレッサー、モーター、その他の機器がステーションに配置されている場所と相互接続方法を知るためにウイルスをプログラムすることを意味します友達。 ワームは、この単一のアーキテクチャ計画のために設計されました。 Stuxnetは、同じシーメンスの機器を使用して別の原子力発電所を害することはできませんでした。



「間違いなく、この種の作業に必要なプログラミングスキルは言うまでもなく、何らかのデータの流出がありました」とガードナーは言います。 スキルの面では、Stuxnetの作成者は、最高水準以上のものでした。 15の異なるモジュールと5つの自己隠蔽メカニズムがワームに組み込まれました。2つのルートキット:1つはPC用、もう1つはシーメンスコントローラー用で、Step7と呼ばれる特別な統合OSを使用します。 また、ワームの作成者は、台湾の同じビジネスパークに物理的に存在するRealtecとJMicronに属する2つのデジタル証明書(デジタル署名)を盗みました(または購入しました)。 なぜ2つ? 最初のウイルスが検出され、ウイルスが機能し始める前に失効しました。 合計で、これまでに知られていない6つの感染がウイルスにプログラムされました。 何が起こっているのかを理解するために、シマンテックは2010年に毎日14件のゼロデイ攻撃をすべて検出したことに言及する価値があります。



ワームが仕事に取り掛かったとき、彼は遠心分離機の頻度を変えて、それらが大きな損害を被るようにしました。 彼がこれを行っている間、駅のオペレーターは、最初の2週間にStuxnetが収集したのと同じトラフィックを受信したため、車が文字通り「ばらばらになります。 最後に、この手順全体の最も美しい部分は、ウイルスがいわゆる 「キルサンドイッチ」は緊急スイッチであるため、コントローラーを仕事から物理的に切断する方法すらありませんでした。



このパフォーマンスを通して私の頭の中を駆け巡った考えは次のようなものでした。「次は何になるのでしょうか?」Stuxnetを開発したチームは、幸いなことにこの試みを止めません。 彼らの次の創造物は、はるかに容赦ないものです。



All Articles