Hola Fabyan se ti interessano maggiori dettagli su stuxnet li puoi trovare qui :
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfGran brutta bestia questo virus , tanto che gli autori si augurano di non vederlo più in giro.
Tanto per cominciare il virus è molto complesso , sfrutta diverse falle di windows , utilizza due certificati all'epoca validi , dimostra una conoscenza approfondita dei linguaggi dei PLC Siemens ed era controllato da remoto,senza contare che quello che ha meravigliato parecchio è l'approfondito lavoro di debug del programma , condizioni che ipotizzano il lavoro di un team di professionisti :
http://www.symantec.com/connect/blogs/hackers-behind-stuxnetCitazione:
While we don’t know who the attackers are yet, they did leave a clue. The project string “b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb” appears in one of their drivers. Guava belongs to the myrtus plant family. Why guava or myrtus? Let the speculation begin.
Sempre dal primo link apprendiamo che il virus è stato rilasciato in tre diverse date in 10 siti iraniani e :
Citazione:
If this value is equal to 19790509 the threat will exit. This is thought to be an infection marker or a “do not infect” marker. If this is set correctly infection will not occur. The value may be a random string and represent nothing, but also appears to match the format of date markers used in the threat. As a date, the value may be May 9, 1979. This date could be an arbitrary date, a birth date, or some other significant date. While on May 9, 1979 a variety of historical events occured, according to Wikipedia “Habib Elghanian was executed by a firing squad in Tehran sending shock waves through the closely knit Iranian Jewish community. He was the first Jew and one of the first civilians to be executed by the new Islamic government. This prompted the mass exodus of the once 100,000 member strong Jewish community of Iran which continues to this day.” Symantec cautions readers on drawing any attribution conclusions. Attackers would have the natural desire to implicate another party.
Next, Stuxnet reads a date from the configuration data (offset 0x8c in the configuration data). If the current date is later than the date in the configuration file then infection will also not occur and the threat will exit. The date found in the current configuration file is June 24, 2012.
Un altro aspetto particolare è che il virus è stato progettato in modo da comportarsi in due maniere differenti , la prima colpisce esclusivamente due marche di controller dei motori , una iraniano (aridanghe) ed una finlandese,ed è la parte che varia le velocità dei motori con cicli che possono durare anche giorni , l'altra è la parte che si suppone possa colpire le centrifughe (è scritto chiaramente nel report symantec ) ma ha il difetto di essere incompleta in quanto manca un blocco di istruzioni e quindi non hanno capito quale possa essere effettivamente il risultato (personalmente suppongo che il blocco mancante venga spedito dal server C&C).
Dunque questo virus anche se per le sue capacità può diffondersi molto facilmente è stato concepito per una specifica configurazione di impianto e sono quindi da escludere danni ad impianti esterni all'Iran.