Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Dzień, w którym umarł Stuxnet

Dodany 26 czerwca 2012, 12:24 CEST
Tagi:

Głęboko wewnątrz bloków konfiguracyjnych Stuxneta ukryta jest pewna ośmiobajtowa zmienna. Przechowuje ona liczbę, która, jeśli zostanie odczytana jako data, wskazuje na 24 czerwca 2012 r. Rzeczywiście - jest to data zatrzymania pracy procedur replikacji LNK Stuxneta i zaprzestania infekcji pendrive'ów.

 

Specyficzna zmienna, która przechowuje informację o "czasie śmierci" Stuxneta, pokazana jest na powyższym zrzucie ekranu – "00 c0 45 4c 9c 51 cd 01" w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.

Obecnie znane są trzy warianty Stuxneta – publikowane falowo w różnych terminach. Pierwszy znany wariant "wypuszczono na wolność" 23 czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne fale miały miejsce 28 czerwca i 7 lipca.

24 czerwca 2012 r. byliśmy trzy lata po początkowym wdrożeniu robaka, który atakował cały szereg starannie dobranych irańskich organizacji.

Ciekawy jest fakt, że data 24 czerwca ma jeszcze jedno znaczenie w historii Stuxneta / Duqu.

Obecnie istnieją trzy znane generacje sterowników Duqu. Pochodzą z 3 listopada 2011 r., 17 października 2011 r. i 23 lutego 2012 r. Dla naszej analizy interesujący jest sterownik z 3 listopada 2011 r. Na offsecie 5190h (patrz poniżej) znajduje się zaszyfrowany blok konfiguracyjny.

 

Blok konfiguracyjny jest zaszyfrowany przy użyciu prostego szyfru strumieniowego. Oto jak wygląda kod deszyfrowania:

 

Po odszyfrowaniu bloku można odczytać konfigurację Duqu :

 

Zwróćmy uwagę na wartość 0xAE240682 (czerwony prostokąt) na ilustracji powyżej, wraz z kluczem rejestru, zawierającym ścieżkę do głównego ciała Duqu oraz nazwą sterownika urządzenia używanego do komunikacji między procesami.

Wartość 0xAE240682 może zostać rozdzielona na cztery części. Człon 0xAE jest magiczną stałą, często używaną w całym ciele Duqu i Stuxneta. Jej znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony kod twórców Duqu / Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82. Jeżeli potraktujemy to w kategorii daty, będzie to 30 lat wstecz od zaplanowanej "śmierci" Stuxneta.

Data 24 czerwca 1982 r. jest interesująca sama w sobie. Jest powiązana z Incydentem lotu British Airways 9, zwanym również Speedbird 9 lub Incydentem w Dżakarcie. 24 czerwca 1982 r., City of Edinburgh - samolot Boeing 747-236B wleciał w chmurę pyłu wulkanicznego, wyrzuconego przez wybuch wulkanu Galunggung.

Około godziny 13:42 czasu UTC (20:42 czasu lokalnego), silnik numer cztery zaczął gwałtownie tracić moc i wkrótce stanął w płomieniach. Po niedługim czasie posłuszeństwa odmówił silnik numer dwa, następnie w płomieniach stanęły silniki numer jeden i trzy, pozostawiając samolot "martwy w powietrzu". Lecąc na wysokości 37 000 stóp załoga obliczyła, że samolot może szybować przez około 23 minuty. Czas nie był wystarczający na tyle, aby maszyna mogła bezpiecznie powrócić i wylądować na lotnisku. W obliczu dramatycznej sytuacji kapitan Eric Moody wydał historyczne oświadczenie:

"Panie i panowie, mówi Wasz kapitan. Mamy mały problem. Wszystkie cztery silniki przestały działać. Robimy co w naszej cholernej mocy, aby je uruchomić. Wierzę, że nie jesteście bardzo zestresowani".

Szczegółowe informacje na temat feralnego lotu BA009 znajdziecie tutaj.

Oczywiście, nikt z zewnątrz nie może z całą pewnością odpowiedzieć na pytanie dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego ta data jest zakodowana w procedurze Duqu. Jeżeli mowa o datach: exploit Stuxneta MS10-061 przestał działać 1 czerwca 2011 r., a exploit MS08-067 sprawdza daty do stycznia 2030 r.

Niemniej jednak, najprawdopodobniej zamysłem napastników była długoterminowa aktualizacja ich "dzieła" od 1 stycznia 2011 r. aż do zakończenia projektu 24 czerwca 2012 r.

Wraz z odkryciem i ujawnieniem robaka Flame w maju 2012 r., spodziewać możemy się, że coraz więcej cyberbroni jest w drodze. O ile oczywiście już nie zostały one rozmieszczone...