Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Prawdziwy cel Stuxneta - konwertery częstotliwości

Recommended Posts

Specjaliści z Symanteka dokładnie określili mechanizm działania robaka Stuxnet i jego cele. Okazało się, że jego celem było atakowanie specyficznego typu silników, używanych m.in. w procesie wzbogacania uranu. Zadaniem Stuxneta było manipulowanie częstotliwością konwerterów i wpływanie przez to na prędkość pracy silnika.

Stuxnet atakował komputery zawierające procesory S7-300. Pojedynczy robak był w stanie kontrolować do sześciu modułów komunikacyjnych CP-342-5 firmy Profibus, z których każdy można połączyć z 31 konwerterami częstotliwości. Co więcej, Stuxnet atakował konwertery tylko konkretnych producentów. Jednego z Finlandii i jednego z Iranu. Częstotliwość ich pracy wynosi od 807 do 1210 herców. Dokonując niewielkich zmian na przestrzeni wielu miesięcy Stuxnet mógł sabotować proces wzbogacania uranu.

Zarówno fakt atakowania dwóch specyficznych producentów oraz wysoką częstotliwość pracy konwerterów, które mogą paść ofiarami Stuxneta, zawęża pole poszukiwania faktycznego celu robaka. Wiadomo na przykład, że takie konwertery to bardzo specyficzne urządzenia i np. w USA eksport konwerterów pracujących z częstotliwością 600 Hz jest nadzorowany przez Komisję Atomistyki, gdyż mogą być one użyte do wzbogacania uranu.

Specjaliści Symanteka przyznają, że nie są ekspertami od przemysłowych systemów kontroli i nie wiedzą, gdzie jeszcze, poza wzbogacaniem uranu, stosuje się podobne konwertery.

Share this post


Link to post
Share on other sites

Czyli jednak prawdopodobnie atak Izraela/USA na wirówki Iranu. Ciekawe jest swoją drogą to, że wirusa nie wykryła firma amerykańska lub europejska, a średnio znana firma z Białorusi. BTW. S7-300, to jeden z najpopularniejszych sterowników przemysłowych.

Share this post


Link to post
Share on other sites

No wiec jak mniemam artykuł jest o falownikach sterowanych przez sterowniki PLC  firmy Siemens :). I modułach CP-342-5 produkowanych pewnie przez Siemensa albo jakichś chińczyków dla Siemensa które to są modułami komunikacji a dla sieci porfibus.

 

http://www.automatyka.siemens.pl/solutionsandproducts/2793.htm

 

Wiec dalszy wniosek jest błędny bo opiera się na błędnych założeniach. Producent jest cały czas jeden. A częstotliwość pracy falownika jest taka jaka ma być częstotliwością steruje się obrotami i mogę sobie wyobrazić wiele zastosowań przemysłowych gdzie można by wykorzystywać takie częstotliwości. Poza tym 600Hz to jest obiektywnie nie wiele. USA nadzoruje nawet eksport szyfrów.

 

Poza tym u nas takie falowniki (jeśli wsiąść pod uwagę tylko częstotliwość) można kupić na allegro. Pozostaje tylko spytać o koszty wysyłki do Iranu przy wpłacie na konto uprzedniej oczywiscie jak by nie szwindle nigeryjskie to by pewnie i za pobraniem wysłali..

Wszędzie stosuje się falowniki wszędzie.

 

JAk mniemam wirus atakował peceta i przez peceta za pośrednictwem sieci profibus wpływał czy to na falownik czy na sterownik PLC sterujący falownikiem.

 

Wilk w sumie nie wiadomo kto by tam miał czego szukać. To są systemy które działają sobie gdzieś tam pochowane na przemysłowych często pecetach i to działa na zasadzie fire and forget czy jak to mawął pewien majster "puki się nie spier...i nie tykaj bo coś spie.z". Nikt się nie spodziewał ataku wycelowanego w tą infrastrukturę a im mniej kontaktu ze światem tym w zasadzie bezpieczniej. A atak niewycelowany miał praktycznie zerowe szanse stać się groźnym. Ja się zastanawiam czego szukali tam Białorusini. Pewnie im się coś co ściśle kontrolowali zaczęło wolniej kręcić.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Microsoft potwierdził, że nowy niebezpieczny robak Duqu wykorzystuje nieznaną dotychczas dziurę w jądrze Windows. Niektórzy eksperci sądzą, że Duqu jest dziełem twórców Stuxneta.
      Dziurę w jądrze wykryła przed kilkoma dniami węgierska firma CrySyS, która analizowała instalator Duqu.
      Szkodliwy kod rozprzestrzenia się w jako odpowiednio spreparowany plik Worda.
      Specjaliści odkryli, że przynajmniej w jednym przypadku Duqu dokonał infekcji poprzez współdzielone w sieci wewnętrznej zasoby, zarażając maszynę, która nie miała bezpośredniego połączenia z internetem.
      Dotychczas Duqu był używany prawdopodobnie tylko przez osiem dni w sierpniu i tylko podczas precyzyjnych ataków. Zdaniem firmy Symantec ich ofiarami padło sześć firm działających we Francji, Holandii, Szwajcarii, na Ukrainie, w Indiach, Iranie, Sudanie i Wietnamie. Pojawiły się też informacje o infekcjach w Wielkiej Brytanii, Austrii i Indonezji.
      Wiadomo, że jednym z zadań Duqu jest szpiegowanie producentów przemysłowych systemów kontroli. To budzi podejrzenia, że zdobyte w ten sposób informacje zostaną użyte podczas kolejnych ataków.
      Ekspertom udało się zidentyfikować i wyłączyć jeden z serwerów kontrolujących Duqu. Maszyna znajdowała się w Belgii.
      Microsoft pracuje nad poprawką łatającą dziurę, którą wykorzystuje Duqu.
    • By KopalniaWiedzy.pl
      Znany włoski specjalista ds. bezpieczeństwa, Luigi Auriemma, znalazł 14 nowych dziur w systemach SCADA. Podatne na ataki są produkty Beckhoffa, MeasureSoftu, Rockwella, Carela, Progei, AzeoTecha oraz Cogenta. Oprogramowanie tych firm wykorzystywane jest m.in. w przemyśle lotniczym, kosmicznym i zbrojeniowym.
      Auriemma już w marcu bieżącego roku ujawnił 34 dziury zero-day w systemach SCADA. Ekspert krytykowany jest za to, że szybko ujawnia informacje o dziurach. Ja jedynie znajduję je i upubliczniam informacje tak szybko, jak to możliwe. I pamiętajcie - ja znajduję dziury, nie tworzę do nich złośliwego kodu. To developerzy są odpowiedzialni (oczywiście pośrednio), za jego powstawanie - czytamy na witrynie Auriemmy.
      W ubiegłym roku o systemach SCADA stało się głośno, dzięki odkryciu atakującego je robaka Stuxnet. Do dzisiaj nie wiadomo, kto jest jego autorem.
    • By KopalniaWiedzy.pl
      Po wielu miesiącach pracy Ralph Langner, jeden z najbardziej znanych badaczy Stuxneta, oficjalnie stwierdził, że robak jest dziełem amerykańskich i izraelskich służb specjalnych, a jego celem był atak na irańskie instalacje atomowe.
      Występując podczas konferencji TED w Kaliforni, Langner powiedział: uważam, że zaangażowany jest w to Mossad. Ale pierwsze skrzypce grał kto inny - Stany Zjednoczone.
      Już wcześniej specjaliści zauważyli, że stworzenie Stuxneta wymagało olbrzymich zasobów i wiedzy. Zdaniem Symanteka napisanie takiego kodu wymaga półrocznej pracy 5-10 ekspertów. Langner dodaje jeszcze jedno. By go napisać, twórcy musieli mieć pochodzące z wewnątrz informacje o tym, jak działa cel Stuxneta. Zaangażowane musiały być zatem agencje wywiadowcze przeciwników Iranu.
      Stuxnet atakował centryfugi o parametrach takich, jakie są używane przez Iran podczas procesu wzbogacania uranu.
      Ostatnio Międzynarodowa Agencja Energii Atomowej poinformowała, że rosyjscy specjaliści usunęli z irańskiego reaktora w Buszerze 163 pręty paliwowe. Iran twierdzi, że pręty zabrano, gdyż  miały one defekt i nie ma to nic wspólnego z działaniem Stuxneta.
    • By KopalniaWiedzy.pl
      Specjaliści z firmy The Last Line of Defense (TLLOD) twierdzą, że Iranian Cyber Army nie stworzyła potężnego botnetu, o którego prawdopodobnym istnieniu niedawno informowaliśmy. Zdaniem TLLOD przestępcy założyli fałszywe centrum kontroli, by uchronić swoje prawdziwe centrum przed zainteresowaniem ekspertów ds. bezpieczeństwa, atakami konkurencji oraz by przekazać fałszywe informacje.
      Analitycy TLLOD oparli swoje przypuszczenia na analizie narzędzi wykorzystywanych przez grupę. Okazało się, że ich zadaniem - obok wysyłania spamu - jest też przekazywanie fałszywych informacji. Narzędzia wyposażono w fałszywy panel administracyjny, którego zadaniem jest zbadanie kto sprawdzał te narzędzia i kto próbował dokonać włamania do panelu administracyjnego.
      Jeśli badania TLLOD się potwierdzą, będzie to oznaczało tylko tyle, że wciąż nie znamy siły botnetu utworzonego przez Iranian Cyber Army. Eksperci przypuszczają nawet, że sama nazwa grupy ma też wprowadzać w błąd. Badania sugerują bowiem, że członkowie organizacji porozumiewają się między sobą po rosyjsku.
    • By KopalniaWiedzy.pl
      Iranian Cyber Army, grupa która wcześniej zaatakowała Twittera i Baidu, przygotowuje gigantyczny botnet. Specjaliści uważają, że to właśnie ta grupa zaatakowała w ubiegłym miesiącu serwis TechCrunch i spowodowała, że jego czytelnicy byli zarażani szkodliwym kodem.
      Wykonane po tym ataku badania serwera cyberprzestępców wskazały, że organizacja dysponuje botnetem, w skład którego wchodzi co najmniej 400 000 komputerów. Gdy sprawdzaliśmy tę liczbę okazało się, że licznik na serwerze cyberprzestępców zresetował się, co oznacza, że jest ich znacznie więcej. Martwi nas, co Iranian Cyber Army może zrobić - mówią eksperci. A powody do zmartwień są naprawdę poważne, gdyż wspomniany botnet może liczyć już ponad... 20 milionów maszyn.
      Specjaliści nie wiedzą, czemu ma służyć tak olbrzymi botnet. Najprawdopodobniej będzie on za pieniądze wynajmowany innym grupom przestępczym i posłuży do rozsyłania spamu, szkodliwego kodu oraz przeprowadzania ataków na wybrane cele. Niewykluczone jednak, że Iranian Cyber Army będzie chciała zemścić się za robaka Stuxnet. Niektórzy przypuszczają bowiem, że powstał on po to, by atakować instalacje przemysłowe w Iranie.
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...