そして再びStuxnetについて

説明



2010年7月9日、ベラルーシのウイルス対策会社VirusBlokadaの専門家が、Stuxnetという名前の悪意のあるソフトウェア（マルウェア）をイランで発見しました。 アンチウイルス企業は、Stuxnetが登場した正確な時期について全会一致の意見を持っていません。一部のレポートによると、この配布は2009年1月以降すでに行われています。 特徴的な機能：

• Stuxnetには、いくつかの開発環境とプログラミング言語を使用して記述されたいくつかのモジュールが含まれています。
• アンチウイルス保護メカニズムを回避するために、一部のマルウェアモジュール（ドライバー）には、RealtekおよびJMicron（おそらく盗難）からの証明書を使用して作成されたデジタル署名がありました。
• いくつかの配布方法-USB-Flashドライブ経由およびネットワーク経由。 2009バージョンでは、autorun.infを介して広く使用されている起動方法が使用され（原則として、セキュリティ上の理由で無効になっています）、2010バージョンでは、より効果的な方法に置き換えられました-MS10-046ショートカット処理の脆弱性（当時はゼロデイ） ） 脆弱性MS08-067（以前は2009年に大量感染につながったKidoマルウェアによって使用されていました）およびMS10-061（当時のゼロデイ）は、ネットワークを介した配布に使用されました。
• 作業を確実にするために、2つのローカル脆弱性（当時のゼロデイ）MS10-073（Windows 2000およびXP）およびMS10-092（x64バージョンを含むWindows Vista）を使用して、システム管理者のレベルまで特権を増やしました。制限されたアカウントからのマルウェアの通常の起動を提供します。
• Stuxnetは、そのコピーを同期および更新するために、独自のピアツーピア（P2P）ネットワークを編成します。
• コンピューターで見つかった情報をリモート管理サーバーに送信できる機能があります。
• 異常な「ペイロード」-通常、さまざまな産業用プロセス制御システムで使用される、シーメンス製のSIMATIC自動化システムの通常の動作に対する違反。

シーメンスSIMATICシステムへの影響



ドイツの情報セキュリティスペシャリストであるラルフレングナーは、2010年9月に独自のWebサイトでSIMATICに関するStuxnetの行動の分析を公​​開しました。



SIMATIC WinCC（Windows Control Center）-オートメーションシステムのSIMATICファミリーの一部であるヒューマンマシンインターフェースを作成するためのソフトウェア。 オペレーティングシステムのMicrosoft Windows NTファミリで実行され、Microsoft SQL Server 2000データベース（バージョン6.0以降）を使用します。 WinCCはSTEP 7と対話します。



SIMATIC STEP 7-プログラマブルロジックコントローラー（PLC）SIMATIC S7-300 / S7-400 / M7 / C7およびWinACに基づく自動化システムの開発用ソフトウェア。



Stuxnetがエンジニアリングステーションで実行されていると判断した場合、PLC内のコードをフラッシュする責任があるSTEP7の部分を置き換えます。 エンジニアがコントローラーに接続するときに、Stuxnetが適切なハードウェア構成を認識すると、PLCに送信されるコードを変更します。 研究者は、攻撃者が6ES7-417および6ES7-315-2コントローラー、およびProfibus-DP規格の産業用ネットワークに興味を持っていることを発見しました。 変更されたSTEP7、プログラムの変更されたブロックを読み取ろうとすると、PLCはそれらを元の形式（変更の事実を隠すためのルートキットコンポーネント）で表示します。



Stuxnetは、DB 890データブロックをチェックすることでターゲットシステムを識別しますこれは、WinCC環境では5秒ごとに定期的に行われます。



条件が満たされると、StuxnetはSimatic ManagerからPLCへの転送中にOB 35モジュールを変更します。 OB 35モジュールは、タイマーによって100 msごとにPLCで呼び出され、StuxnetインターセプターがFC 1874関数の戻りコードをチェックします。FC1874からの戻りコードがDEADF007の場合、OB 35の元の内容は実行されません。



Pux Stuxnetコードを使用すると、次のことができます。

• （PLCが通信する）Profibus-DPネットワークをリッスンし、パッケージを生成します。これらのパッケージのデータはエンジニアリングステーションから更新できます。
• PLC入力を読み取り、その出力を制御し、センサーとアクチュエーター（MI）をそれぞれ接続しますが、ターゲットアクションを行うには、どのセンサー/ IMがどの入力/出力に接続されているかを具体的に知る必要があります
• Profibus-DPネットワークを介して感染したPLC間でコピーを同期します（PLCは相互に感染することはできません。コントローラーの実行可能コードはその場で上書きできません。データのみがSiemensコントローラーの制限です）。

Stuxnetは、「デフォルトパスワード」を使用してWinCCデータベースへの接続も試みます。



シーメンスは、ウイルスの目的が特定の技術的構成であることを確認しています。 合計で、同社は主にドイツで職場で15件の感染症を報告しました。 パラメーターが一致しなかったため、StuxnetはPLCに侵入しませんでした。 同時に、これは機器の動作に影響を与えず、すべての場合においてStuxnetは無効化できました。



結論



これらの事実により、次の結論を導き出すことができます。

• Stuxnetは、さまざまな分野の専門家チームによって開発された、慎重に設計されたマルウェアエンジンです。
• USB-Flashとネットワークを介してのみ、インターネット経由で配布の事実は明らかにされませんでした。これらの兆候は、公共ネットワークに直接接続されていないクローズドシステムでの実装に一般的です。
• シーメンスWinCC製造プロセス制御システム（コンピューター改ざんツール）の通常動作の機能的混乱は、テスト用のStuxnet開発者が攻撃が計画されたシステムと同じハードウェア/ソフトウェアシステムを持っていたことを意味します。 さらに、特定の目標に焦点を合わせました（組織内の採用された人員からのデータを使用）。
• このような規模の開発には多額の資金が必要です-プログラマーグループの報酬、デジタル証明書の盗難の組織、4つのゼロデイ脆弱性の購入または開発、展開されたSiemens WinCCシステムへのアクセス。

これらのすべての間接的な兆候は、Stuxnetの法執行機関またはあらゆる州の特別なサービスの開発への関与を示している場合があります。 マルウェアの主な機能-生産プロセス制御システムの仕事のその後の妨害を伴う閉鎖システムでの配布と自律的な仕事-は、通常「収益化」の目標（究極の目標は金銭）を追求し、開発されたマルウェアを使用する「伝統的な」サイバー犯罪者の典型ではありません一人のプログラマ。 これらの理由により、Stuxnetはサイバー兵器と呼ばれています。



バージョン



専門家は、Stuxnetはイランのブシェールにある原子力発電所に対して使用するように設計できると示唆しています。 可能な開発者は、イスラエルと米国です。 このバージョンは、次の事実に基づいています。

• イランはStuxnet地域の影響を最も受けている地域の1つです。 感染データのダイナミクスから判断すると、およそ2010年5〜6月に、イランは感染件数のリーダーでした。
• ブシェール原子力発電所（NPP）は、イランで最も重要な軍事目標の1つです。
• 原子力発電所は1970年代に建て直され始めました。 建設には、シーメンスが関与していました。 1979年、シーメンスはこの国での活動を停止しました（革命により）。 その後、シーメンスはイランに戻り、最大の市場の1つとなりました。 2010年1月、シーメンスは再びイランとの協力の終了を発表しました。 しかし、夏には彼女はブシェールに部品を供給することで有罪判決を受けました。 シーメンスが工場でプロセス制御ソフトウェアを使用しているかどうかは公式には不明です。 インターネットに投稿されたと思われるコンピューター画面のスクリーンショットの1つ（原子力発電所内）には、シーメンスWinCC制御システムが表示されています。
• インドでプロジェクトを展開しているロシア企業Atomstroyexportの原子力発電所の建設への参加、およびロシア企業による伝統的な情報セキュリティ問題の無視は、インドでのStuxnetの普及につながる可能性があります。
• イスラエルは、ブシェール原子力発電所の運転を中断することに最も関心を寄せている国の1つです。 イランは、このステーションでは、核燃料を装って、イスラエルに対して使用される可能性が最も高い独自の核兵器の生産のために埋蔵量が製造されると疑われています。
• イスラエルは、情報技術の分野で高度な資格を持つ専門家がいる国の1つであり、攻撃とスパイの両方にそれらを使用することができます。

攻撃の標的の別のバージョンは、ナタンツ（イラン）市のウラン濃縮施設です。 このバージョンは、次の事実により間接的に確認されています。

• ナタンツのウラン濃縮プラント-強力な要塞化された隠れた地下施設-専門家によると、核兵器の生産に関して、ブシェール原子力発電所よりもはるかに大きなリスクがあります。
• 2009年7月、イランの核計画に関連する情報源の1つが、ナタンツで発生する直前に重大な核事故を内密に報告した。 その後、イランのメディアと英国のBBCによると、イラン原子力機構（IAEO）の長であるゴラムレザ・アガザデが辞任しました。 同時に、IAEOが監督組織に提供した公式データによると、ナタンツで機能する遠心分離機の数は大幅に（数千）減少しました。これは、Stuxnetの影響の結果である可能性があります。

あとがき



2012年6月に、 「対決と隠蔽：オバマの秘密戦争とアメリカの権力の驚くべき使用」という題名の本が米国で出版されました。イスラエルの専門家、そして正確にはイランの核計画を無力化することを目標にしています。 著者-ニューヨーク・タイムズのジャーナリスト、デイビッド・サンガー-は、Stuxnetがジョージ・W・ブッシュ大統領の時代に開発されたと主張しています。 このプロジェクトはオリンピックと呼ばれていました。 最初はスパイウェア配布プログラムでしたが、おかげでナタンツにあるイランのウラン濃縮センターの設備についてのアイデアを得ることができました。 その後、ウラン精製遠心分離機を管理するソフトウェアに作用する機能が開発されました。



昨年、David Sangerと2人の同僚は、Stuxnetが実際にアメリカとイスラエルのintelligence報機関の仕事であり、ネゲブ砂漠のDimona秘密イスラエルセンターでテストしたと述べた記事をNew York Timesに掲載しました。 公式には、イスラエルは独自の核計画を持っていることを認めることを拒否しますが、記事の著者は、ディモンの遠心分離機がナタンズの遠心分離機とほとんど同一であることを確認する情報および軍事分野の特定の知識のある専門家に言及しています。 それらを無効にするStuxnetの機能は、それらを含めてテストされています。



The Wall Street Journalによると、FBIは情報漏えいの調査を実施しており、その結果、政府がイランの核施設に対するサイバー攻撃に関与していることが判明しました。



多くの専門家はこの情報に懐疑的です。 彼らは、彼女が米国大統領選挙の前夜に情報のもう一つの「詰め物」と考える。



Stuxnet情報の詳細なソース：



シマンテックの分析レポート「W32.Stuxnet Dossier」 、バージョン1.4、2011年2月、（pdf）。



Eset分析レポート「顕微鏡下のStuxnet」 、リビジョン1.31、（pdf）;



科学レポート「NAUTSILUS」 「Stuxnetコード分析」の資料（pdf）。シマンテックレポートのロシア語翻訳の要約版です。