Tag Archives: ICS

Countdown to Zero Day—Did Stuxnet escape from Natanz?

Symantec’s analysis on the Stuxnet worm features in new Kim Zetter book.

Today, Kim Zetter released her book, “Countdown to Zero Day”. The book recounts the story of Stuxnet’s attempt to sabotage Iran’s uranium enrichment program. The work that Eric Chien, Nicolas Falliere, and I carried out is featured in the book. During the process of writing the book, Kim interviewed us on many occasions and we were lucky enough to be able to review an advanced copy.

countdowncover.png
Figure 1. Kim Zetter’s new book, “Countdown to Zero Day”

In the chapter 17 of the book, “The Mystery of the Centrifuges”, Kim talks about how Stuxnet infections began in Iran, identifying several companies where she believes the infections originated.

“To get their weapon into the plant, the attackers launched an offensive against four companies. All of the companies were involved in industrial control processing of some sort, either manufacturing products or assembling components or installing industrial control systems. They were likely chosen because they had some connection to Natanz as contractors and provided a gateway through which to pass Stuxnet to Natanz through infected employees”

This is a different story from the one that David Sanger’s sources painted in his New York Times article and in his book “Confront and Conceal”. Sanger states:

“. . . an element of the program accidentally became public in the summer of 2010 because of a programming error that allowed [Stuxnet] to escape Iran’s Natanz plant and sent it around the world on the Internet.”

So which is right? Did Stuxnet originate outside of Natanz and spread all over the world with the hopes of eventually entering Natanz? Or did Stuxnet start inside of Natanz and accidentally escape due to a programming error?

Tracing the spread of Stuxnet
We actually covered how Stuxnet originated in a blog post in February 2011. Let’s start with whether it is possible to track Stuxnet’s origin back to specific companies in Iran.

Normally, it would not be possible to state with 100 percent accuracy where an infection started. However, in the case of Stuxnet version 1.x, the attackers left a trail behind which allows analysts to trace the specific genealogy of each sample. This is possible because every time Stuxnet executes, it records some information about the computer it is executing on and stores that within the executable file itself, creating a new unique executable in the process. As a result, every unique executable contains an embedded and ordered list showing the computers it has previously infected. As Stuxnet spreads from computer to computer, the list grows and grows. By examining this list, we can trace back from one entry to the next, extracting computer information from each entry. These are the breadcrumbs we can follow to get back to the original compromised computers.

What do the breadcrumbs look like?
Each entry in the list looks like the data shown in the following image. Although this may not make sense at first, by analyzing the code within Stuxnet, we can find out what each number represents.

stuxnetentry.png
Figure 2. List entry of compromised computers

Among other information, the computer name, domain name, date, and IP address are stored in each entry. We can extract information from previous data, which is shown in the following image.

stuxnetentrydetails.png
Figure 3. Details stored in each entry

By looking at each entry in the list embedded in any sample, we can see how the threat moved from one computer to the next. The real computer names and domains have been anonymized.

Figure 4. List of compromised computers from one sample shows how Stuxnet spread

In the previous image, we can see Stuxnet’s path through the first six compromised computers. This information was extracted from one sample. When we look at the first six infections from a different sample, we get the following path.

stuxnetpatha.png
Figure 5. List of compromised computers from another sample shows different movement pattern

The two samples’ first four entries are the same but after that, the samples moved in two different directions. At the fifth step, one sample compromised a computer on the WORKGROUP domain while the other sample compromised a computer on the MSHOME network.

Using this data, we graphed the spread of Stuxnet infections. See pages eight to ten of our Stuxnet whitepaper for more details.

stuxnetpathb.png
Figure 6. Spread of Stuxnet infections

Many computers and domains used generic names that do not provide much insight into the targets. For example, WORKGROUP and MSHOME—two default workgroup names—appear very frequently in the breadcrumb logs. However, we were able to identify all of the places where Stuxnet infections originated, and they were all in Iran.

The verdict
So did Stuxnet spread into Natanz as Zetter says or escape out of Natanz as Sanger reported?

Based on the analysis of the breadcrumb log files, every Stuxnet sample we have ever seen originated outside of Natanz. In fact, as Kim Zetter states, every sample can be traced back to specific companies involved in industrial control systems-type work.

This technical proof shows that Stuxnet did not escape from Natanz to infect outside companies but instead spread into Natanz.

Unfortunately, these breadcrumbs are only available for Stuxnet version 1.x. There was at least one previous version of Stuxnet released, version 0.5 (which we analyzed in our whitepaper), for which this infection path information is not available.

While version 0.5, which did not spread as aggressively as version 1.x, could have been planted inside Natanz and then spread outwards, this version was no longer operational during the conversation timeframe (the summer of 2010) outlined in the Sanger article. As a result, it is unlikely the 0.5 version is the subject of his article.

To make up your own mind, you should read Kim Zetter’s “Countdown to Zero Day”, which is out today.

Dragonfly: Zachodnie firmy z bran?y energetycznej zagro?one sabota?em

dragonfly_concept.png

Wymierzona w szereg firm, głównie z sektora energetycznego, trwająca kampania szpiegostwa komputerowego umożliwiła atakującym zorganizowanie działań sabotażowych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, udało się złamać zabezpieczenia wielu organizacji istotnych pod względem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabotażowe, którymi dysponują, mogliby spowodować awarie lub przerwy w dostawie energii w zaatakowanych krajach.

Wśród celów Dragonfly znaleźli się operatorzy sieci energetycznych, duże elektrownie, operatorzy rurociągów naftowych oraz dostawcy sprzętu przemysłowego dla firm z branży energetycznej. Większość ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce.

Grupa Dragonfly jest bardzo dobrze wyposażona — dysponuje szeregiem złośliwych narzędzi i może przypuszczać ataki wieloma różnymi kanałami. Najbardziej zaawansowany atak grupy doprowadził do złamania zabezpieczeń wielu dostawców sprzętu do przemysłowych systemów sterowania (industrial control system, ICS), co spowodowało zainfekowanie udostępnianego przez nich oprogramowania koniem trojańskim o dostępie zdalnym. W wyniku tego ataku firmy instalowały złośliwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obsługujące taki sprzęt. Zainfekowane komputery nie tylko zapewniły włamywaczom przyczółek w sieciach atakowanych organizacji, lecz także dostarczyły im środków umożliwiających zorganizowanie akcji sabotażowych przeciwko zainfekowanym komputerom ICS.

Ta kampania stanowi powtórzenie działań Stuxnet, pierwszej znanej dużej kampanii przeciwko systemom ICS, która korzystała ze złośliwego oprogramowania. Jednakże, podczas gdy głównym celem akcji Stuxnet było sabotowanie irańskiego programu nuklearnego, zakres działań Dragonfly jest dużo szerszy i obejmuje przede wszystkim szpiegowanie oraz możliwość stałego dostępu, a sabotaż jest jedynie możliwością opcjonalną do wykorzystania w razie potrzeby.

Poza łamaniem zabezpieczeń oprogramowania ICS do infekowania atakowanych organizacji członkowie grupy Dragonfly używają spamu rozsyłanego pocztą elektroniczną oraz ataków typu „watering hole”. Grupa korzysta z dwóch głównych złośliwych narzędzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.

Przed opublikowaniem informacji firma Symantec poinformowała ofiary ataków i odpowiednie władze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmują się incydentami związanymi z bezpieczeństwem w Internecie i reagowaniem na nie.

Informacje podstawowe

Grupa Dragonfly, która przez innych dostawców jest także nazywana Energetic Bear, działa prawdopodobnie od roku 2011, a możliwe, że dużo dłużej. Na początku atakowała firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na początku roku 2013 skoncentrowała się głównie na amerykańskich i europejskich firmach z branży energetycznej.

Zakres kampanii skierowanych przeciwko nim szybko się poszerzał. Najpierw grupa rozsyłała do ich pracowników złośliwe oprogramowanie w wiadomościach e-mail typu „phishing”. Następnie umieściła ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które miały na celu przekierowanie ich do witryn zawierających zestaw mechanizmów wykorzystywania luk. Ten z kolei instalował destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polegał na zainfekowaniu końmi trojańskimi legalnych pakietów oprogramowania udostępnianych przez trzech różnych producentów sprzętu ICS.

Grupa Dragonfly ma cechy operacji sponsorowanej przez państwo — charakteryzuje się bardzo wysokimi umiejętnościami technicznymi. Jest w stanie przypuszczać ataki wieloma kanałami i łamać przy tym zabezpieczenia wielu witryn obsługiwanych przez podmioty zewnętrzne. W długim okresie zaatakowała wiele organizacji z sektora energetycznego. Wydaje się, że jej głównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — możliwość przeprowadzania akcji sabotażowych.

Analiza sygnatur czasowych użytych przez włamywaczy kompilacji złośliwych programów wykazała, że grupa działała głównie od poniedziałku do piątku, z największą intensywnością w okresie dziewięciogodzinnym odpowiadającym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie można przyjąć, że atakujący znajdują się prawdopodobnie w Europie Wschodniej.

 

figure1_9.png

Rysunek 1. 10 krajów z największą liczbą aktywnych infekcji (gdzie atakujący wykradli informacje z zainfekowanych komputerów)

Użyte narzędzia

Dragonfly stosuje w swoich atakach dwa główne złośliwe programy. Oba są narzędziami do uzyskiwania dostępu zdalnego (remote access tool, RAT), które umożliwiają atakującym przejęcie kontroli nad zainfekowanymi komputerami. Ulubionym narzędziem grupy jest Backdoor.Oldrea, znany też jako Havex lub Energetic Bear RAT. Działa ono jako tylne wejście wpuszczające włamywaczy do komputera ofiary i umożliwiające im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.

Najprawdopodobniej jest to program niestandardowy, napisany przez samą grupę lub utworzony przez kogoś innego specjalnie dla niej. Stanowi to pewną wskazówkę świadczącą o możliwościach i zasobach, jakimi dysponuje Dragonfly.

Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmujące listę plików, zainstalowane programy oraz katalog główny dostępnych napędów. Pobiera również dane z książki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane są zapisywane w pliku tymczasowym w formacie szyfrowanym, a następnie wysyłane do kontrolowanego przez atakujących zdalnego serwera dowodzenia i sterowania.

Większość takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obsługujących systemy zarządzania treścią, co świadczy o tym, że agresorzy zapewne przejęli nad nimi kontrolę przy użyciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalający uwierzytelnionemu użytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.

Drugim głównym narzędziem stosowanym przez Dragonfly jest Trojan.Karagany. W odróżnieniu od programu Oldrea, Karagany był już dostępny na czarnym rynku. Kod źródłowy pierwszej wersji tego programu wyciekł w 2010 roku. Według firmy Symantec grupa Dragonfly przejęła go i zmodyfikowała pod kątem swoich potrzeb. Ta wersja została wykryta przez firmę Symantec jako Trojan.Karagany!gen1.

Karagany może przesyłać wykradzione dane, pobierać nowe pliki i uruchamiać pliki wykonywalne na zainfekowanym komputerze.  Potrafi również uruchamiać dodatkowe wtyczki, służące na przykład do przechwytywania haseł, robienia zrzutów ekranu czy katalogowania dokumentów.

Firma Symantec wykryła, że większość komputerów, które padły ofiarą atakujących, została zainfekowana programem Oldrea. Program Karagany został użyty w przypadku zaledwie 5 procent infekcji. Oba programy działają podobnie i nie wiadomo, dlaczego atakujący wyraźnie chętniej korzystają z jednego z nich.

Wiele kanałów ataków

W swoich atakach na cele z branży energetycznej grupa Dragonfly stosowała co najmniej trzy taktyki infekowania. Pierwszą z nich była kampania rozsyłania spamu pocztą e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomości zawierające zainfekowany załącznik PDF. Miały one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwiązanie problemu z dostarczeniem) i wszystkie zostały wysłane z jednego adresu Gmail.

Kampania rozsyłania spamu zaczęła się w lutym 2013 roku i trwała do czerwca 2013 r. Firma Symantec zidentyfikowała siedem organizacji, które zostały wówczas zaatakowane. Liczba wiadomości wysyłanych do poszczególnych organizacji wahała się od jednej do 84.

Następnie atakujący skoncentrowali się na atakach typu „watering hole”. Doprowadziło to do złamania zabezpieczeń wielu witryn związanych z tematyką energetyczną i wprowadzenia w nie elementu iframe, który z kolei miał przekierowywać użytkowników do innej prawdziwej witryny o złamanych zabezpieczeniach, gdzie został umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, że na każdym etapie operacji atakującym udało się przejąć kontrolę nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich duże możliwości techniczne.

We wrześniu 2013 r. grupa Dragonfly zaczęła korzystać z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który określa cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przeglądarki. Ofiara jest następnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk należy użyć w danym przypadku.

Oprogramowanie zainfekowane koniem trojańskim

Najbardziej zaawansowany sposób ataku stosowany przez grupę Dragonfly polegał na przejęciu kontroli nad wieloma prawidłowymi pakietami oprogramowania. Zostali zaatakowani trzej różni dostawcy sprzętu ICS — w pakiety oprogramowania udostępniane przez nich do pobrania w witrynie internetowej został wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkują sprzęt stosowany w wielu sektorach przemysłu, w tym w branży energetycznej.

Pierwszym zidentyfikowanym programem zainfekowanym koniem trojańskim był produkt służący do konfigurowania dostępu przez sieć VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykrył atak wkrótce po jego wystąpieniu, ale do tego czasu już 250 osób zdążyło pobrać oprogramowanie.

Drugą zaatakowaną firmą był europejski producent specjalistycznych sterowników PLC. W tym przypadku został zainfekowany pakiet oprogramowania zawierający sterownik do jednego ze sprzedawanych urządzeń. Według szacunków firmy Symantec oprogramowanie z koniem trojańskim było dostępne do pobrania co najmniej przez sześć tygodni w czerwcu i lipcu 2013 r.

Trzecią ofiarą była europejska firma produkująca systemy do zarządzania turbinami wiatrowymi, wytwórniami biogazu i inną infrastrukturą energetyczną. Według firmy Symantec zainfekowane oprogramowanie mogło być dostępne do pobrania przez około dziesięć dni w kwietniu 2014 r. 

Członkowie grupy Dragonfly mają duże umiejętności techniczne i potrafią myśleć strategicznie. Biorąc pod uwagę rozmiar niektórych atakowanych organizacji, można uznać, że grupa znalazła ich słaby punkt — złamała zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i dużo słabiej chronionych.

Ochrona

Firma Symantec dysponuje następującymi metodami wykrywania, które mogą ochronić jej klientów przed złośliwym oprogramowaniem stosowanym w tych atakach:

Wykrywanie wirusów

Sygnatury systemu zapobiegania włamaniom

Więcej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.

Dragonfly : les entreprises occidentales du secteur de l’énergie face à un risque de cyber-sabotage

Cyberespionage campaign stole information from targets and had the capability to launch sabotage operations.
Read more…

Dragonfly: Amenaza de sabotaje dirigida a empresas de servicios energéticos occidentales

Cyberespionage campaign stole information from targets and had the capability to launch sabotage operations.
Read more…