Comment le ver Stuxnet est devenu un BluePrint

Nous allons nous pencher ce mois-ci sur un des vers informatique les plus sophistiqués de ces dernières années. Nous verrons comment le ver Stuxnet a mis à mal le processus d'enrichissement nucléaire du site Iranien Bouchehr et pourquoi aujourd'hui Stuxnet fait office d'un Blueprint (plan détaillé) pour les futures attaques cybercriminelles...

Selon certains spécialistes, la genèse de Stuxnet remonte à 2006. Il a été découvert pour la première fois en 2010 par une équipe de sécurité Biélorusse. C'est le premier ver informatique destiné à des systèmes industriels (SCADA), notamment des sites nucléaires. Sa conception a nécessité de gros moyens financiers (plusieurs millions de dollars) et de gros moyens humains (des compétences de haut vol dans plusieurs disciplines). Il est clair que cet acte cybercriminel n'est pas le fruit de petits pirates en manque de sensation mais de pays leaders en matière de haute technologie..

L'idée principale Stuxnet est simple: saboter l'enrichissement d'Uranium afin d’éviter que l'Iran ne développe des armes nucléaires. Pour ce faire, il fallait modifier les paramètres de rotation des centrifugeuses. Ces systèmes industriels ne fonctionnent pas sous des environnements Windows mais sont pilotés par des opérateurs depuis des postes Windows. La mission de Stuxnet était donc d'atteindre le poste opérateur afin de modifier les commandes envoyées aux contrôleurs (PLC) des centrifugeuses..

L'architecture de Stuxnet repose sur un simple fichier qui utilise quatre attaques de type "Zero Day", deux certificats numériques volés ainsi que des commandes préenregistrées pour le PLC. Les technologies utilisées sont l'évasion anti-virale, les réseaux Peer 2 Peer et la prise de contrôle à distance..

La première étape fut de pénétrer le réseau informatique de la centrale nucléaire iranienne. Une simple clé USB fut utilisée afin d'infecter un PC. Stuxnet exploite deux méthodes d'infection : la première utilise une vulnérabilité Microsoft LNK(CVE-2010-2568) qui a pour but de rendre invisible le ver Stuxnet des utilisateurs et des anti-virus. La deuxième méthode utilise une vulnérabilité autorun.inf "Cunning" Hack qui permet de démarrer le ver en toute discrétion. Dans les deux cas, l'installation du ver a nécessité des certificats signés par Microsoft et volés à des sociétés taïwanaises (RealTEK et JMicron)..

La deuxième phase fut de propager le ver dans le réseau de la centrale et de trouver le poste opérateur du PLC. Pour ce faire, une vulnérabilité Microsoft Windows Print Spooler a permis d’envoyer du code malveillant à un ordinateur distant afin d'y être exécuté. Une fois le code exécuté sur le poste de l'administrateur du PLC, une attaque (zero-day encore une fois!) sur le logiciel de base de donnée WinCC/SCADA permet de gagner finalement l'accès aux commandes du système. 7 étapes en tout, un travail titanesque !
Un réseau Peer 2 Peer fut mis en place de manière à établir la communication avec l'attaquant et permettre ainsi de garantir la mise à jour du code malveillant..

La dernière étape fut la reprogrammation du PLC. Cette phase a nécessité la mise en place d'un Cheval de Troie afin d'écouter les commandes envoyées au PLC et pour en injecter de nouvelles.  La dissimulation de cet artifice nécessita la mise en place d'un RootKit faisant croire à l'opérateur que les commandes envoyées et reçues étaient bien légitimes..

Mission accomplie !

Un souci majeur réside dans le fait que le source code de Stuxnet a été publié sur le net ! Nous n'avons certainement pas fini d'entendre parler de ce ver ! Il est aujourd’hui possible de reproduire un tel ver sur des infrastructures autres que nucléaires. Nos centrales hydrauliques, électriques ou tout autre site stratégique ou sensible peut être la cible d’acte cyber-terroriste. Il est donc important de mettre en place les mesures adéquates telles que la segmentation des réseaux, le contrôle des périphériques (USB par exemple) ainsi qu'une politique de mise à jour des OS afin de mitiger les risques.

Voici une video très bien faite à ce sujet : Stuxnet