STRICTLY CONFIDENTIAL

http://thefool.it

CYBER WARFARE & CYBER-GUERRILLAdal terrorismo digitale alla guerriglia digitale

http://thefool.it

The Fool srl è una startup tecnologica nata nel 2008

dall’incontro tra un esperto di sicurezza e da un

investor ex-industriale. Ci occupiamo di creazione di

soluzioni ad alto valore tecnologico per il Controllo

della Rete, della Brand Reputation e per la Tutela

della Proprietà Intellettuale con prodotti e software

di proprietà.

L’intento di The Fool è quello di fornire insight e

strategie non convenzionali nella gestione delle

crisi e nella definizione di piani di crisi o di online

strategic planing.

CHI SIAMO

http://thefool.it

PERCHE’ STUXNET

"a working and fearsome prototype of a cyber-

weapon that will lead to the creation of a new arms

race in the world." (Kaspersky Labs)

“60% of the infected computers worldwide were in

Iran, suggesting its industrial plants were the

target.” (Kevin Hogan, Senior Director of Security

Response at Symantec)

“the attacks could only have been conducted "with

nation-state support"” ((Kaspersky Labs)

http://thefool.it

PERCHE’ PAYBACK

"is a coordinated, decentralized group of attacks on

opponents of internet p i racy by internet

activists." (Wikipedia)

“Operation Avenge Assange … aimed at the Swiss

bank PostFinance was very successful, and has

k e p t t h e s i t e d o w n f o r s o m e 2 4

hours” (ComputerWorld)

“Unlike botnets in the past (which take advantage of

holes in operating systems to install the bot

s o f t w a r e ) t h i s b o t n e t i s m a d e u p o f

volunteers.” (Wired)

http://thefool.it

STUXNET

Step7 PLCWindows

http://thefool.it

WINDOWS

Le modalità di installazione sono le più sofisticate

mai rilevate in un worm:

• Utilizza 4 zero-day

• Si installa tramite USB: Microsoft Windows

Shortcut 'LNK/PIF' Files Automatic File

Execution Vulnerability (BID 41732)

• Si diffonde tramite: Microsoft Windows Server

Service RPC Handl ing Remote Code

Execut ion Vulnerabi l i ty (BID 31874) di

Conficker

• ...e con: Microsoft Windows Print Spooler

Service Remote Code Execution Vulnerability

(BID 43073) non patchato

• ...e con tramite network shares protette con

password deboli

• ...e con 2 zero-day di Privilege Escalation

http://thefool.it

WINDOWS

Le azioni compiute sono estremamente rilevanti:

• Installazione di un RootKit

• kernel32.dll APIs per cloak

• Abbassamento dei livelli di sicurezza

• Injecting di contenuti in Internet Explorer

per Proxy ByPass

• Kill dei processi security-related:

• vp.exe, Mcshield.exe, avguard.exe,

bdagent.exe, UmxCfg.exe, fsdfwd.exe,

rtvscan.exe, ccSvcHst.exe, ekrn.exe,

tmpproxy.exe

http://thefool.it

WINDOWS

Pesantissima attività di rete e di C&C:

• Gestione del C&C

• Gestione RPC con C&C

• Read a file, Write to a file, Delete a file, Create

a process, Inject a .dll into lsass.exe, Load an

additional .dll, update the configuration data

• Gestione dell’invio di dati a domini esterni

• www.mypremierfutbol.com

• www.todaysfutbol.com

http://thefool.it

STEP 7

Incredibile e mai vista l’attività con Step7:

• Intercettazione Siemens WinCC/PCS 7 SCADA

• Furti di codice e progetti/design tramite rete

• GracS\cc_tag.sav, GracS\cc_alg.sav, GracS

\db_log.sav, GracS\cc_tlg7.sav, *.S7P, *.MCP,

*.LDF

• Attacco MITM

http://thefool.it

PLC

Quasi Fantscienza l’attività su PLC:

• Il primo rootkit persistente PLC

• Attacco sistemi Siemens S7-300 e s7-400

• Attacco di sole alcune schede di variable-

frequency drives:

• Vacon Finlandese e Fararo Paya Iraniana

• Si attiva solo a frequenze tra 807Hz e 1210!Hz

• Controlla il numero di schede installate e inietta

una versione differente a seconda del numero

rilevate

http://thefool.it

COSA FA?

Ancora Ignoto:

• Stuxnet installa malware nel block DB890

• Il sistema controlla il Profibus messaging bu

• Modifica la frequenza a 1410!Hz, poi 2!Hz poi

1064!Hz

• Altera le velocità dei motori. Oppure la velocità

segnalata.

• Installa un rootkit che nasconde il codice

(0day)

http://thefool.it

OPERATION PAYBACK

Operation Payback LOICWikileaks != Anonymous

http://thefool.it

WIKILEAKS != ANONYMOUS

“In a free society, we are supposed to know the

truth. In a society where truth becomes

treason, we are in big trouble.” (Ron Paul)

http://thefool.it

http://thefool.it

ANONYMOUS

Un sistema di attacco di anarchia organizzata:

• Prankster

• Mobster

• Avenger

• ...DDOS

http://thefool.it

ANONYMOUS ARTIFACTS

Un sistema di attacco di anarchia organizzata:

• Aiplex Software & MPAA

• DDOS: MPAA e IFIPI (30h)

• DDOS: ACS:Law, Davenport Lyons and Dunlap,

Grubb & Weaver

• DDOS: Australian Federation Against Copyright

Theft (AFACT) (e altri 8.000 siti)

• Evacuazione ACS:Law

• DDOS: Ministry of Sound e Gallant Macmillian

(590h)

• Copyprotected.com SQL injected

• DDOS: UK Intellectual Property Office

• ACS:Law leak 350MB (nomi, mail, dati)

• D D O S : S i m m o n s R e c o r d s . c o m e

GeneSimmons.com (50h + 120h)

• DDOS: riaa.com and riaa.org (240h)

• Sarah Palin mail forzata

http://thefool.it

ANONYMOUS ARTIFACTS

Operazione Avenge Assange:

• DDOS: Amazon.com

• DDOS: PayPal.com + API

• DDOS: Mastercard.com + API

• DDOS: PostFinance.ch

• DDOS: Swedish Prosecution Authority

• DDOS: sarahpac.com

• DDOS:www.conservatives4palin.com

Ed in Italia?

• DDOS: Poste Italiane

• DDOS: Governo.it

• DDOS: Mediaset.it

http://thefool.it

ANONYMOUS ANARCHY

Un sistema di attacco di anarchia organizzata:

• Coordinamento e Arrualomento tramite Boards

• Coordinamento tramite IRC

• Hive Mind

• Voluntary BOTNET

http://thefool.it

WIKILEAKS & ANONYMOUS

http://thefool.it

WIKILEAKS & ANONYMOUS

Obiettivo

Hive Mind

Tipologia di Attacco

http://thefool.it

WIKILEAKS & ANONYMOUS

http://thefool.it

WIKILEAKS & ANONYMOUS

http://thefool.it

WIKILEAKS & ANONYMOUS

http://thefool.it

WIKILEAKS & ANONYMOUS

http://thefool.it

E QUINDI?

I pericoli sono per tutti: persone fisiche,

personal i tà d i sp icco, PMI , pubbl iche

amministrazioni,

• Ricercare informazioni su sè stessi

• Ricercare informazioni su competitor

• Ricercare informazioni su minacce

• Preventivare e conoscere i rischi

• Creare piani di risposta

• Cercare soluzioni alternative

• GNOSE TE IPSUM

http://thefool.it

LINKOGRAFIA

Stuxnet

• http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

• http://www.virusbtn.com/pdf/conference_slides/2010/OMurchu-VB2010.pdf

• http://threatpost.com/en_us/blogs/data-shows-iran-no-longer-stuxnet-hotspot-100510

• http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/

• http://www.humanevents.com/article.php?id=39452

• http://www.schneier.com/blog/archives/2010/10/stuxnet.html

• http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99

• http://cyberarms.wordpress.com/2010/10/01/stuxnet-just-another-malware-or-targeted-cyberweapon/

• http://www.bug.hr/vijesti/stuxnet-sabotira-iranace/105078.aspx

• http://en.wikipedia.org/wiki/Stuxnet

Anonymous

• http://4chan.org/b

• http://encyclopediadramatica.com/LOIC

• http://sourceforge.net/projects/loic/

• http://www.mediafire.com/?9rfblvej3ycd8dt

• http://encyclopediadramatica.com/Anonymous

http://thefool.it

NON SOLO CONFERENZE

Controllo della

navigazione aziendale e

profilazione dell’Utenza

Controllo della Proprietà

intellettuale e sistemi di

TakedDown & Notice

Reputation Watching

online sul proprio Brand

www.TheFool.it

STRICTLY CONFIDENTIAL

C.so Magenta, 4320123 Milano (MI)

http://thefool.it

mf @ thefool . it+39.02.00618826