Meniul
AcasăInstrucțiuni

Serviciul federal de pericol. Un virus este mai rău decât o bombă. Cum au distrus hackerii o centrală nucleară în Iran

În ultimele zile, toată mass-media din lume și-a amintit brusc de viermele WIN32/Stuxnet, descoperit în luna iunie a acestui an. După standardele computerelor, o perioadă de trei luni este ca câțiva ani în viața obișnuită. Chiar și lent Microsoft a reușit să lanseze un patch care a închis una dintre cele patru vulnerabilități prezente în Windows și utilizate de malware. Adevărat, nu pentru toate versiunile de sistem de operare, ci numai pentru Vista și „Seven”, în timp ce 2000 și XP au rămas instabile Stuxnet și toate speranța sunt doar pentru programe antivirus terțe. Ceea ce va mai fi nevoie, deoarece restul vulnerabilităților sunt vii și bine.

Și deodată Stuxnet a apărut din nou în titlurile resurselor de știri. Se pare că acesta nu este doar un alt „vierme”, deși unul scris destul de complicat (jumătate de megaoctet de cod criptat care folosește mai multe limbaje de programare, de la C/C++ la asamblare), ci un spion-sabotor digital. Se strecoară în unitățile industriale în care sunt utilizate sistemele hardware și software Siemens, obține acces la sistemul Siemens WinCC, care este responsabil de colectarea datelor și controlul operațional al expedierii producției și, prin intermediul acestuia, încearcă să reprogrameze controlerele logice (PLC).

Ți-e frică deja? Stai, acesta este doar începutul! Stuxnet nu este conceput pentru un fel de atelier de îmbuteliere de bere. Ținta lui principală este centrala nucleară iraniană din orașul Bushehr! Se presupune că toată puterea diabolică a viermelui este adaptată configurației sale și fie că a reușit deja să-i încurce serios pe iranieni, deoarece nu au reușit să pornească stația din august, fie a aprins controlerele în liniște și când centrala nucleară începe să funcționeze, va da comanda să explodeze. Și apoi...

Permiteți-mi să citez mai multe opinii ale unor oameni cunoscători. Astfel, Evgeny Kaspersky în blogul său numește Stuxnet „o capodopera a ingineriei malware” și, la rândul său, citează fragmente din materialul lui Alexander Gostev, conform căruia vorbim despre o „arma de sabotaj industrial”. A fost realizat, desigur, de Mossad-ul israelian pentru a opri funcționarea centralei nucleare Bushehr.

Sisteme hardware și softwareSiemens sunt utilizate în industrii foarte diferite. Bine, dacă vorbim de fontă...

... dar imaginați-vă cum vor tremura inimile a sute de mii de oameni dacă un vierme dăunează unei linii de producție a berii?

Analiștii ESET sunt puțin mai puțin emoționați. Nu sunt siguri că ținta Stuxnet este BNPP, dar omagiază calitatea codului și frumusețea ideii. „Win32/Stuxnet a fost dezvoltat de un grup de specialiști cu înaltă calificare, care sunt bine versați în punctele slabe ale instrumentelor moderne de securitate a informațiilor. Viermele este proiectat să rămână nedetectat cât mai mult timp posibil. Malware-ul folosește mai multe vulnerabilități serioase de execuție a codului de la distanță ca mecanisme de distribuție, dintre care unele rămân nepattchizate astăzi. Costul unor astfel de vulnerabilități pe piața neagră poate ajunge la 10 mii de euro fiecare. Și costul vulnerabilității în procesarea fișierelor LNK/PIF (MS10-046), care permite viermelui să se răspândească prin medii externe, este și mai mare.”

Avertismentul despre media externă este foarte important. După cum înțelegem, sistemele de control ale fabricilor și centralelor nucleare nu au acces la Internet, astfel încât Stuxnet poate infecta unitățile flash și le poate folosi pentru a obține acces la rețele închise. Servicii de securitate? Da, ele, desigur, funcționează și uneori foarte eficient. Cu toate acestea, alături de factorul uman banal (a se citi: neglijență), există modalități destul de viclene de a deghiza unitățile flash. De exemplu, un angajat mituit cu grijă poate aduce un mouse cu memorie flash încorporată la locul de muncă și îl poate înlocui cu unul emis de guvern. Vă puteți întreba, de ce atunci aveți nevoie de distribuție pe Internet? Deci, la urma urmei, să distragă atenția, astfel încât aceiași șefi ai serviciului de securitate să nu caute un inamic în echipă, ci să dea cu încredere din cap la pătrunderea accidentală din exterior. Între timp, pentru a face viermele mai ușor de operat, unele componente Win32/Stuxnet au fost semnate cu certificate digitale legale de la JMicron și Realtek. Drept urmare, până la revocarea certificatelor, Stuxnet a putut să ocolească un număr mare de implementări ale tehnologiei HIPS (Host Intrusion Prevention System).

ESET oferă, de asemenea, un tabel minunat cu geografia infecțiilor înregistrate cu virusul, care, pe de o parte, confirmă sugestiile lui Gostev și, pe de altă parte, îi face pe teoreticienii conspirației să scrie și mai activ comentarii pe forumuri și bloguri. Nu este o glumă, infecția afectează cele mai mari țări în curs de dezvoltare și, pentru a completa imaginea, singurul lucru care lipsește de pe tabel este China și nu Indonezia.

Ți-e frică deja, ca Evgeny Kaspersky? Aștepta. Să tragem aer în piept.

În primul rând, trebuie să înțelegeți de ce producătorii de produse de protecție împotriva amenințărilor cibernetice vorbesc despre Stuxnet cu atâta plăcere. Da, desigur, vor să salveze mica noastră planetă. Dar aceasta este și o nouă piață uriașă. Nu numai Siemens produce echipamente de control și monitorizare pentru o mare varietate de industrii, de la centrale nucleare la magazine de îmbuteliere de bere. Pe lângă germani, mai sunt americani, japonezi și așa mai departe. Astfel de complexe sunt, ca să spunem ușor, nu ieftine, și dacă fiecare poate fi atașat cu propriul produs de protecție... Da, da, m-ați înțeles bine.

În al doilea rând, în ciuda toată frumusețea versiunii despre Mossad, nu ar trebui să crezi în ea. Dacă au fost petrecuți cu adevărat multe luni-om sau chiar ani-om pentru vierme, așa cum susțin experții, atunci o astfel de finalizare a operației este un eșec colosal. Combinația dintre lipsa rezultatelor și publicitate este o combinație teribilă pentru orice ofițer de informații. De obicei, pentru a rezolva problemele de obținere a informațiilor și de sabotaj, se recurge la recrutarea veche, iar Mossad-ul are o vastă experiență în acest gen de muncă în țările arabe. Nu, se poate presupune, desigur, că programul a fost scris special pentru implementare tăcută de către unul dintre angajații centralei nucleare, iar când ceva nu mergea bine, viermele a fost lansat pe Internet pentru a acoperi agentul. Dar asta dacă Stuxnet a fost cu siguranță pregătit pentru Bushehr, despre care există multe îndoieli. Despre ei - în paragraful următor.

În al treilea rând, după cum am aflat, pentru automatizarea centralelor electrice (inclusiv în Bushehr), se folosesc echipamente Siemens licențiate, care diferă de PLC-urile tradiționale în aproximativ același mod în care un luptător de luptă diferă de un deltaplan. Domeniul de aplicare al PLC este, în cel mai bun caz, automatizarea unei fabrici de bere sau a unei stații de pompare a gazului/ulei. Rămâne complet neclar - ce fel de PLC Stuxnet se va schimba în Bushehr?

În sfârșit, în al patrulea rând. Acordați atenție Win32 în numele complet al virusului. Nicio centrală serioasă, cu atât mai puțin o centrală nucleară, nu va permite sistemului de operare Microsoft să controleze procese cu adevărat importante. Sistemele din familia *nix (în special, QNX) domnesc acolo, iar un virus din tabăra Windows este absolut inofensiv pentru ele. Așa că senzația vine dintr-o serie de povești despre o secretară care se temea să nu ia un virus de pe computerul ei. Adevărat, cei mai severi autori de povești de groază clarifică faptul că Windows PLC nu controlează, dar sub ei există instrumente pentru reprogramarea controlerelor și asta folosește Stuxnet. Acest lucru este puțin mai înfricoșător, dar în producția serioasă nimeni nu a anulat Big Switch-urile, care sunt responsabile pentru lucruri cu adevărat importante. Pot fi trase exclusiv cu mana, deoarece este mult mai fiabil. Și mai sigur. Dacă computerul este permis în apropierea lor, nu va fi astăzi sau mâine. Și la o centrală nucleară, cel mai probabil, deloc.

Nu vreau să-mi forțez opinia cititorului, dar până acum Stuxnet miroase a concurență neloială. De unde această ură față de soluțiile Siemens? Cine nu i-a fost prea lene să petreacă atât de mult efort și timp pe un vierme mare și gras, care, în mare, nu poate face nicio răutate, dar lasă un postgust extrem de neplăcut. Uite, investitorii în fabrici noi cu centrale electrice se vor gândi la asta și vor cumpăra un complex de la alt producător. Când vorbim de sute de milioane și chiar de miliarde de dolari, nu este păcat să cheltuiți câteva milioane pe PR-ul negru.

Deci este o armă, dar este puțin probabil să ducă la explozii reale. Cu excepția cazului în care au loc explozii de indignare la următoarea vizită la magazin sau la primirea unei facturi de energie electrică. Toate aceste războaie industriale se duc în cele din urmă în detrimentul nostru, consumatorii.

Sute de teoreticieni ai conspirației au fost jigniți când au scris acest articol.

„Nu știu ce arme vor fi folosite pentru a lupta în al treilea război mondial, dar în al patrulea vor folosi pietre și bâte.”
Albert Einstein
La sfârșitul lunii septembrie s-a știut că virusul Stuxnet a provocat daune grave programului nuclear iranian. Folosind vulnerabilitățile sistemului de operare și notoriul „factor uman”, Stuxnet a distrus cu succes 1.368 din cele 5.000 de centrifuge de la uzina de îmbogățire a uraniului Natanz și, de asemenea, a întrerupt lansarea centralei nucleare Bushehr. Client – ​​necunoscut. Făptuitorul este un angajat Siemens neglijent care a introdus o unitate flash infectată într-o stație de lucru. Daunele cauzate instalațiilor nucleare ale Iranului sunt comparabile cu pagubele cauzate de un atac al forțelor aeriene israeliene.
Lumea vorbește despre războaiele noii generații. Atacurile cibernetice ar putea fi instrumente ideale pentru următoarele războaie - sunt rapide, eficiente în distrugerea lor și, de regulă, anonime. Astăzi, statele convin de urgență asupra unei strategii comune pentru a contracara amenințările cibernetice. Ce va fi mâine? Din păcate, răspunsul cel mai realist la această întrebare rămâne încă tristul aforism al lui Einstein.
Iranul este neajutorat împotriva amenințării tehnologice
Paginile editoriale ale presei mondiale sunt pline de profeții sumbre despre apariția unei ere a războaielor tehnologice. Experți din diverse domenii se luptă să rezolve soluția la Stuxnet, un virus care a afectat instalațiile nucleare ale Iranului, de la securitatea IT la lingvistică și antropologie. Stuxnet a fost descoperit de laboratoarele antivirus cu destul de mult timp în urmă, dar lumea a aflat despre adevărata amploare a infecției la sfârșitul lunii septembrie, când s-a aflat despre întârzierea lansării primei centrale nucleare Bushehr din Iran. Deși Ali Akbar Salehi, șeful Organizației pentru Energie Atomică din Iran, a spus că întârzierea lansării centralei nucleare nu are nicio legătură cu virusul, Mark Fitzpatrick, angajat al Institutului Internațional de Studii Strategice, a remarcat că acest lucru sună „ nu foarte grav”, iar Iranul este înclinat să tacă problemele reale de la centrala nucleară. După ceva timp, Mahmoud Jafari, managerul departamentului de proiecte al stației din Bushehr, „lasă-l să scape”. Potrivit acestuia, Stuxnet „a infectat mai multe computere, dar nu a provocat nicio daune sistemului principal de operare al stației”. Sapienti sat. Instalațiile nucleare ale Iranului de la Natanz au fost, de asemenea, grav avariate: 1.368 din cele 5.000 de centrifuge au fost dezactivate ca urmare a Stuxnet. Când Mahmoud Ahmadinejad a fost întrebat direct după sesiunea Adunării Generale a ONU despre problemele tehnologice ale programului nuclear, el a ridicat din umeri și nu a spus nimic. Să remarcăm că, potrivit New York Times, pagubele cauzate de virus în Iran sunt, probabil, comparabile cu un atac al forțelor aeriene israeliene.
Autor! Autor!
Din motive evidente, dezvoltatorii Stuxnet preferă să păstreze un profil scăzut, dar este clar că complexitatea virusului este fără precedent. Crearea unui astfel de proiect necesită investiții intelectuale și financiare uriașe, ceea ce înseamnă că doar structurile la scară guvernamentală o pot face. Toți experții sunt de acord că virusul nu este rezultatul eforturilor unui „grup de entuziaști”. Laurent Eslau, șeful sistemelor de securitate la Symantec, estimează că cel puțin șase până la zece persoane au lucrat la crearea Stuxnet pe parcursul a șase până la nouă luni. Frank Rieger, directorul tehnic al GSMK, își susține colegul - potrivit acestuia, virusul a fost creat de o echipă de zece programatori cu experiență, iar dezvoltarea a durat aproximativ șase luni. Rieger numește și costul estimat al creării Stuxnet: este de cel puțin 3 milioane de dolari. Evgeny Kaspersky, CEO al Kaspersky Lab, vorbește despre scopurile militare ale virusului: „Stuxnet nu fură bani, nu trimite spam și nu fură confidențiale. informație. Acest malware a fost creat pentru a controla procesele de producție, pentru a gestiona literalmente capacități de producție uriașe. În trecutul recent, am luptat împotriva criminalilor cibernetici și a huliganilor online, acum, mă tem, vine vremea terorismului cibernetic, a armelor cibernetice și a războaielor cibernetice.” Tillmann Werner, membru al Proiectului Honeynet, o comunitate de experți în securitatea internetului, este încrezător că hackerii singuri nu sunt capabili de acest lucru. „Stuxnet este atât de avansat din punct de vedere tehnic încât trebuie să presupunem că experții guvernamentali au fost implicați în dezvoltarea malware-ului sau că au furnizat cel puțin asistență la crearea acestuia”, a spus Werner.

În procesul de analiză a Stuxnet, unele instituții media au ajuns la concluzia că Israelul s-a aflat în spatele creării virusului. Primul care a vorbit despre implicarea Israelului în atacul asupra Iranului a fost John Markoff, jurnalist pentru New York Times, raportând că analiștii au remarcat în special numele unuia dintre fragmentele de cod „myrtus” („mirt”). Tradus în ebraică, „mirtul” seamănă cu „adas”, care, la rândul său, este în consonanță cu numele „Adassah”, aparținând Esterei (Estere), eroina istoriei evreiești care și-a salvat poporul de la distrugerea Imperiului Persan. Făcând o analogie cu Persia antică, pe al cărei teritoriu se află Iranul modern, unii analiști cred că Israelul a lăsat o „carte de vizită” în codul virusului. Cu toate acestea, potrivit unui număr de experți, această versiune nu rezistă criticilor și seamănă cu intriga unei povești polițiste ieftine - o „scriere de mână” prea primitivă pentru un proiect de această amploare.

În același timp, trebuie subliniat că vara trecută (nu uitați, răspândirea Stuxnet a început în 2009), resursa WikiLeaks a raportat un accident nuclear grav la Natanz. Curând după aceea, s-a știut că șeful Organizației pentru Energie Atomică din Iran, Gholam Reza Aghazadeh, și-a dat demisia fără explicații. Cam în aceeași perioadă, în presă au apărut declarații ale politicienilor și militarilor israelieni despre o posibilă confruntare cu Iranul pe frontul tehnologic. În plus, Israelul a ajustat data prevăzută pentru ca Iranul să obțină o bombă atomică, împingând-o înapoi în 2014, iar mandatul lui Meir Dagan, șeful Mossad-ului, a fost prelungit pentru participarea sa la „proiecte importante” nenumite.

Factorul uman
Este de remarcat istoricul infecției inițiale, care a marcat începutul răspândirii virusului. Este evident că sistemele automate de control de acest nivel nu sunt conectate la Rețea. Un expert de la Centrul cibernetic NATO din Estonia, Kenneth Geers, a sugerat la una dintre conferințele de securitate că succesul atacului Stuxnet depinde doar de contactele cu oamenii potriviți și... unități USB de bază. „Ați putea plăti pe cineva pentru a lansa un troian într-un sistem închis sau ați putea înlocui o unitate flash care a fost destinată numai pentru uz intern”, gândește Gears. „Este suficient să introduceți o unitate flash infectată într-un conector USB standard de pe computer, iar Stuxnet va trece imediat automat la sistemul de operare și niciun program antivirus sau alte măsuri de protecție nu vor interfera cu acesta.” Și într-adevăr, „veriga slabă” s-a dovedit a fi factorul uman - Stuxnet a fost introdus în sistem printr-o unitate USB obișnuită, care a fost introdusă neglijent în stația de lucru de un angajat neglijent. Este de remarcat faptul că, după declarațiile ministrului iranian al informațiilor, Heydar Moslehi, despre reținerea unor „spioni nucleari” (s-au dovedit a fi tehnicieni ruși complet neimplicați), conducerea Siemens a recunoscut că virusul a fost introdus de angajații companiei, subliniind caracterul neintenționat al infecţie. De menționat că Stuxnet afectează doar un anumit tip de controler Siemens, și anume SIMATIC S7, care, conform AIEA, este folosit de Iran.
Război cibernetic. Câmpul de luptă este Pământul?
La conferința Virus Bulletin 2010 din Vancouver, Canada, o scurtă prezentare a lui Liam O Murchu, unul dintre cei mai importanți experți în securitate IT de la Symantec, a atras atenția publicului. Un analist a efectuat un experiment care a explicat pericolele unei amenințări cibernetice mai bine decât sute de rapoarte formale. O Merchu a instalat pe scenă o pompă de aer care rulează un sistem de operare fabricat de Siemens, a infectat stația de lucru care controlează pompa cu virusul Stuxnet și a lansat procesul în acțiune. Pompa a umflat rapid balonul, dar procesul nu s-a oprit - balonul s-a umflat până a explodat. „Imaginați-vă că acesta nu este un balon, ci o centrală nucleară iraniană”, a spus expertul, punând capăt întrebării „seriozității” războaielor cibernetice.

Colegii lui O Merchu îi împărtășesc pe deplin preocupările. Cercetătorul Trend Micro Paul Ferguson a spus că odată cu crearea Stuxnet, a apărut în lume o armă cibernetică cu drepturi depline, care depășește schemele distructive tradiționale (furt de numere de card de credit etc.) și poate duce la accidente grave în zone industriale foarte periculoase. facilităţi. Ferguson subliniază că analiștii vor „intimida literalmente guvernul să ia măsuri serioase de securitate”.

Într-adevăr, șeful personalului cibernetic nou creat al SUA de la Pentagon, generalul Keith Alexander, vorbind în fața Congresului, a declarat public că amenințarea războiului cibernetic a crescut rapid în ultimii câțiva ani. Alexandru a amintit de două atacuri cibernetice asupra statelor întregi - asupra Estoniei (în 2007, după dezmembrarea Soldatului de Bronz) și asupra Georgiei (în 2008, în timpul războiului cu Rusia).

Președintele Estoniei, Toomas Hendrik Ilves, într-un interviu acordat Berliner Zeitung, ridică problema amenințărilor cibernetice la cel mai înalt nivel. Președintele Estoniei subliniază: decizia NATO de a amplasa Centrul de Securitate Cibernetică la Tallinn (nu uitați, acesta a fost deschis în mai 2008) se datorează faptului că Estonia este una dintre cele mai computerizate țări din Europa, precum și primul stat care a suferit un atac cibernetic la scară largă în 2007. După ce atacul a paralizat infrastructura întregii țări, ministrul eston al apărării, Jaak Aaviksoo, a cerut chiar ca NATO să echivaleze aceste atacuri cibernetice cu acțiuni militare. Președintele face puncte similare astăzi: „Virusul Stuxnet a demonstrat cât de serios trebuie să luăm securitatea cibernetică, deoarece cu ajutorul unor astfel de produse infrastructura vitală poate fi distrusă. În cazul Iranului, virusul părea să vizeze programul său nuclear, dar viruși similari ar putea distruge economia noastră condusă de computer. Acest lucru ar trebui să fie discutat în NATO: dacă o rachetă distruge o centrală electrică, intră în vigoare paragraful 5. Dar ce să faci în cazul unui atac de virus informatic?" - întreabă Toomas Hendrik Ilves. Propunerea președintelui este în concordanță cu tendințele actuale: „Atât UE, cât și NATO trebuie să dezvolte o politică comună, inclusiv norme juridice, care să devină baza pentru apărarea colectivă împotriva amenințărilor din spațiul cibernetic”, crede șeful statului.

Prim-secretarul adjunct al Apărării William J. Lynn este pe deplin de acord cu Toomas Hendrik Ilves. Într-un interviu acordat Radio Liberty, Lynn a încercat să răspundă la întrebarea adresată de Ilves: „Dacă atacul a afectat elemente semnificative ale economiei noastre, probabil că ar trebui să îl considerăm un atac. Dar dacă hack-ul a dus la furtul de date, atunci s-ar putea să nu fie un atac. Între aceste două extreme există multe alte opțiuni. Pentru a formula o linie de politică clară, trebuie să decidem unde se află limita dintre hacking și atac sau între spionaj și furtul de date. Cred că există o discuție pe această temă atât în ​​interiorul cât și în afara guvernului și nu cred că această discuție a fost deja epuizată.”

În plus, punctul cheie al discursului lui William Lynn a fost anunțarea publică a celor cinci principii pe care se bazează noua strategie de securitate cibernetică a Statelor Unite. Cităm pe secretarul adjunct al Apărării al SUA fără reduceri:
„Primul dintre aceste principii este că trebuie să recunoaștem spațiul cibernetic pentru ceea ce a devenit deja - o nouă zonă de război. La fel ca pământul, marea, aerul și spațiul, trebuie să privim spațiul cibernetic ca pe un domeniu al operațiunilor noastre pe care îl vom proteja și la care ne vom extinde doctrina militară. Acesta este ceea ce ne-a determinat să creăm o comandă cibernetică unificată în cadrul Comandamentului strategic.

Al doilea principiu, pe care l-am menționat deja, este că apărarea trebuie să fie activă. Ar trebui să includă două linii de apărare pasivă general acceptate - de fapt, aceasta este o igienă obișnuită: instalați patch-uri la timp, actualizați programele antivirus, îmbunătățiți instrumentele de protecție. Avem nevoie și de o a doua linie de apărare, care este folosită de companiile private: detectoare de etruziune, programe de monitorizare a securității. Toate aceste instrumente vă vor ajuta probabil să respingeți aproximativ 80% dintre atacuri. Restul de 20 la sută este o estimare foarte aproximativă - atacuri sofisticate care nu pot fi prevenite sau oprite prin plasarea unor găuri. Este nevoie de un arsenal mult mai activ. Avem nevoie de instrumente care pot identifica și bloca codul rău intenționat. Aveți nevoie de programe care să identifice și să urmărească elementele rău intenționate din propria rețea care au pătruns în ea. Odată ce le-ați găsit, ar trebui să le puteți bloca să comunice cu rețeaua externă. Cu alte cuvinte, este mai mult ca un război de manevră decât o linie Maginot.

Al treilea principiu al unei strategii de securitate cibernetică este protecția infrastructurii civile.

În al patrulea rând, Statele Unite și aliații săi trebuie să ia măsuri de apărare colectivă. Deciziile importante în acest sens vor fi luate la următorul summit NATO de la Lisabona.

În cele din urmă, al cincilea principiu este că Statele Unite trebuie să rămână în fruntea dezvoltării de software.”

Reacția lui Dmitri Rogozin, reprezentantul permanent al Rusiei la NATO, la procesele care au loc în Alianță este foarte demnă de remarcat. Aparent, Rusia este extrem de îngrijorată de viitorul summit NATO de la Lisabona, care va avea loc pe 20 noiembrie, pentru că este planificat să clarifice dilema dacă un atac asupra rețelelor de computere militare și guvernamentale ale unui membru NATO este considerat un motiv pentru invocă articolul 5 din Tratatul de la Washington și răspunde printr-o lovitură militară colectivă. Rogozin, în stilul său caracteristic, scrie: „Vom afla în sfârșit dacă este permis ca NATO să lovească apartamentele hackerilor cu o bombă nucleară sau dacă se presupune că războiul cibernetic nu va depăși granițele spațiului cibernetic. Am mari motive să mă îndoiesc de acest ultim scenariu. Literal în fața ochilor noștri, în periodicele occidentale se desfășoară un scandal uriaș în legătură cu răspândirea unui vierme de computer numit Stuxnet. Eram obișnuit să citesc și să trimit SMS-uri în latină, așa că am citit imediat numele virusului ca verb rusesc la timpul viitor: „stukhnet”. Fii sigur că ceva cu siguranță va merge prost sau va cădea pentru cineva, mai ales pentru cei care au început acest virus. După cum știm, oricine seamănă vântul va culege vârtejul.” Fără a îndrăzni să comenteze cercetările literare și creative ale domnului Rogozin, observăm că Rusia a fost învinuită pentru cele mai mari două atacuri de hackeri asupra statelor întregi (Estonia și Georgia) - poate că acesta este ceea ce a provocat o reacție atât de violentă din partea plenipotențiarului impresionabil.

Astfel, pe fondul isteriei provocate de Stuxnet, o serie de state au anunțat necesitatea formulării unei politici comune de prevenire a atacurilor cibernetice. Va duce acest lucru la rezultatul dorit, chiar dacă presupunem că va fi elaborat (și semnat) un document care reglementează utilizarea tehnologiilor distructive? Săptămâna IT Business aceasta pare extrem de îndoielnică, tentațiile oferite de tehnologiile înalte sunt prea mari: anonimat, securitate (pentru un atacator), un raport cost/eficacitate fără precedent. Aceasta înseamnă că Stuxnet a fost doar primul semn al erei revoluției tehno-sociale, care a început deloc așa cum se visa.

Etichete: Adăugați etichete

Înainte ca lumea să aibă timp să se ocupe cu adevărat de formidabilul vierme Stuxnet, care a fost dezvoltat în mod clar cu ajutorul serviciilor de informații guvernamentale, DUQU a apărut pe Internet, folosind același cod sursă. Potrivit Bird Kiwi, un moștenitor complet modificat are toate șansele să-și depășească părintele, dar care va fi exact scopul lui?

În timpul celui de-al Doilea Război Mondial, un astfel de incident a avut loc o dată. Serviciul american de informații OSS, care era foarte tânăr la acea vreme (care mai târziu a devenit CIA), la cererea colegilor săi englezi, a început să fure cheile criptografice ale Spaniei. Britanicii chiar aveau nevoie să citească în mod regulat corespondența diplomatică criptată a generalului Franco, ca unul dintre principalii aliați ai lui Hitler în Europa, dar nu au putut deschide cifrurile spaniole folosind metode analitice.

Furtul cheilor cripto s-a produs într-o manieră complet banală. În noaptea potrivită, experții în hacking de la OSS au intrat în ambasada Spaniei din Washington și au copiat următorul set de chei de care aveau nevoie britanicii. Adevărat, din moment ce trusele se schimbau lunar, trebuiau făcute și vizite de noapte la ambasadă lunar. Și astfel, la sfârșitul celei de-a patra dintre aceste vizite, ofițerii americani de informații au fost arestați de FBI-ul american...

Desigur, acest lucru nu s-a întâmplat din întâmplare sau din cauza unei neînțelegeri. Doar că șeful FBI-ului, Edgar Hoover, care a devenit și ofițerul șef de contrainformații al țării în timpul războiului, era absolut sigur că acest tip de afaceri secrete pe teritoriul american poate avea loc doar cu cunoștințele sale și sub controlul său. Și din moment ce șeful informațiilor externe, William Donovan, nu numai că nu s-a consultat cu Hoover cu privire la operațiunile din ambasada Spaniei, dar nu a considerat deloc necesar să-l informeze, directorul FBI a decis să-i învețe în mod corespunzător pe spionii prezumți. de la catedra aferenta o lectie.

Cu toate acestea, nu a ieșit nimic valoros din această lecție. Un Donovan furios (cunoscut și sub numele de Wild Bill) le-a ordonat angajaților săi să adune murdărie severă pe Hoover. Și când a fost obținută una, toate problemele de informații cu FBI au început să fie rezolvate ușor și simplu - folosind o metodă elementară numită „șantaj cinic și fără milă”. Dar asta e cu totul alta poveste...

Alerte de amenințări

Ne amintim de acest episod amuzant astăzi din acest motiv. La sfârșitul lunii octombrie, mai multe departamente guvernamentale americane responsabile cu anumite aspecte ale securității naționale a țării au emis buletine informative avertizând despre o nouă amenințare informatică - un program rău intenționat numit DUQU (a se citi această combinație de scrisori în mediul vorbitor de limbă engleză ca „rou-q „, dar pentru limba rusă ar fi mult mai natural pur și simplu „duku”).

Pe fundalul unei cantități gigantice de diverse coduri rău intenționate care apar în mod constant pe computere și rețele, programul DUQU se remarcă ca fiind deosebit de periculos pentru că are o asemănare incontestabilă de familie și o origine comună cu faimosul „vierme al viermilor” numit Stuxnet. Să ne amintim că anul trecut a uimit pur și simplu industria antivirus și publicul online în ansamblu prin complexitatea și sofisticarea sa fără precedent. În special pentru Iran, Stuxnet a devenit o problemă care a încetinit serios progresul în îmbogățirea uraniului și programul nuclear național în ansamblu.

Și, deși nu există dovezi documentare, sau cu atât mai mult oficiale, în acest sens, aproape nimeni dintre experți nu se îndoiește că crearea codului Stuxnet a fost realizată în laboratoarele secrete ale serviciilor de informații de stat. Mai mult decât atât, există o cantitate suficientă de dovezi care indică clar inteligența statelor care au avut o mână de lucru, și anume Statele Unite și Israel.

Cu alte cuvinte, următoarele fapte din viața noastră ciudată sunt evidente. Un nou program de spionaj foarte sofisticat este anunțat pe computerele multor țări diferite, caracteristicile sale cheie fiind în mod clar dezvoltate cu participarea informațiilor americane. Și, ca răspuns, agențiile de securitate americane precum DHS (Departamentul pentru Securitate Internă) și ICS-CERT (Industrial Control Systems Cyber ​​​​Threat Response) trimit documente despre modul în care acest flagel evaziv ar trebui să fie contracarat (dacă îndepărtați toate recomandări șerpuite, se dovedește că, în general, nimic, cu excepția actualizărilor regulate ale antivirusurilor standard).

Pe de o parte, desigur, ar fi ciudat dacă nu ar exista deloc reacție, având în vedere atitudinea extrem de nervoasă a societății față de apariția Stuxnet. Pe de altă parte, este complet neclar cum unele structuri de stat sunt capabile să protejeze efectiv de altele - mai puternice, eficiente și secrete.

Desigur, nimeni nu are răspunsuri pregătite la astfel de întrebări. Dar pentru a înțelege mai bine esența problemei și amploarea amenințării emergente, este logic să aruncăm o privire mai atentă asupra istoriei apariției lui Dooku și a caracteristicilor de design ale acestui program interesant.

Istoria fenomenului DUQU

Deși prima publicație oficială despre identificarea unui nou program rău intenționat purtând semnele binecunoscute Stuxnet a fost un raport al firmei de antivirus Symantec din 17 octombrie a acestui an, povestea reală a descoperirii DUQU de către comunitatea antivirus a început un cu o lună și jumătate mai devreme.

Mai mult, rolul principal l-au jucat cercetătorii maghiari și proiectul antivirus spaniol VirusTotal. VirusTotal.com este un serviciu web, organizat cândva de compania Hispasec din Malaga, unde se realizează o „analiza totală” a fișierelor suspecte trimise aici folosind o varietate de motoare antivirus diferite. Ieșirea oferă o listă de nume de identificare atribuite acestui cod rău intenționat de către diferite companii (dacă, desigur, un astfel de cod a fost deja identificat de cineva mai devreme). Acum VirusTotal este ca un joint venture al întregii comunități antivirus. În prezent, numărul de programe antivirus reunite este de 43, iar orice eșantion nou identificată de cod de dăunător este trimisă cu promptitudine tuturor companiilor și laboratoarelor care participă la serviciu.

Aici a avut loc „prima întâlnire” a lui DUQU cu comunitatea antivirus, când pe 1 septembrie 2011, o sursă necunoscută din Ungaria a trimis VirusTotal un fișier suspect numit ~DN1.tmp pentru scanare. Cele mai cunoscute programe antivirus nu au văzut nimic suspect în acest fișier, dar două motoare mai puțin populare, BitDefender și AVIRA (mai precis, patru programe antivirus care rulează pe ele), l-au detectat ca un troian spyware rău intenționat. La scurt timp după această detectare inițială, fișierul a fost adăugat în bazele de date ale multor firme de antivirus. Cu toate acestea, nu s-a întâmplat absolut nimic remarcabil în legătură cu aceasta - doar reaprovizionarea obișnuită a bazei.

Apoi, pe 9 septembrie, și din nou, se pare, un alt fișier DUQU, acum „adevărat”, a fost trimis din Ungaria pentru scanare către Virustotal. De ce acest fișier driver special ar trebui să fie considerat un modul principal „mai real” al DUQU decât troianul anterior, va fi explicat mai detaliat în secțiunea următoare, dedicată structurii cu mai multe module a acestui program. Aici este important să rețineți că, în timpul scanării inițiale, niciunul dintre cele 43 de programe antivirus care participă la proiectul Virustotal nu a detectat acest fișier ca fiind rău intenționat.

Acesta este un fapt foarte remarcabil, care indică cât de profesional și atent își fac munca de spionaj autorii programului DUQU. După cum va arăta un studiu ulterior, acest modul principal al DUQU poartă în codul său o asemănare clară și incontestabilă cu codul Stuxnet (primul fișier troian nu avea nimic în comun cu acesta), dar, în același timp, autorii noului programul a reușit să schimbe codul într-o asemenea măsură încât a trecut cu succes testele pentru [nedetecție] atunci când a fost analizat de toate instrumentele antivirus mai mult sau mai puțin populare din lume...

Semnele fișierelor acumulate în bazele de date Virustotal indică faptul că același modul de driver, dar sub un alt nume și sub marca unui alt producător, a fost din nou trimis spre scanare către Virustotal pe 18 septembrie. Și din nou, se pare, din Ungaria. Și din nou, așa cum a fost cazul primului driver, nu a fost descoperit niciun cod rău intenționat până pe 18 octombrie, când a fost publicat în sfârșit raportul oficial Symantec. După care ochii tuturor, după cum se spune, s-au deschis brusc.

Raportul Symantec în sine pare a fi un document foarte remarcabil, reflectând în mod clar natura destul de „alunecoasă” atât a afacerii antivirus, cât și a activităților de securitate a informațiilor în general în realitățile dificile ale lumii noastre.

Pe de o parte, raportul afirmă clar că DUQU prezintă o asemănare evidentă de familie cu Stuxnet (conform analiștilor, autorii ambelor programe au folosit în mod clar același cod sursă la crearea și compilarea acestora). Pe de altă parte, compania americană Symantec evită cu grijă orice mențiune despre faptul că cel mai evident autor al Stuxnet este serviciile de informații din SUA. Mai mult, documentul Symantec a fost însoțit de un raport analitic și mai amplu obținut de la un alt „laborator străin cu legături internaționale puternice”, care, de fapt, a scos la iveală atât DUQU, cât și asemănările sale cu Stuxnet. Cu toate acestea, numele și afilierea de stat ale acestui laborator remarcabil „nu sunt dezvăluite la cererea ei”.

În cele din urmă, un alt „secret teribil” ascuns în raportul Symantec este numele real al companiei taiwaneze, a cărei semnătură digitală confirmă autenticitatea fișierului driver DUQU. Această caracteristică a programului spyware a fost, de fapt, unul dintre principalele motive pentru care toate cele 43 de teste antivirus nu au identificat fișierul ca fiind rău intenționat. Exact aceeași caracteristică - certificate digitale autentice furate de la proprietarii lor de drept - a fost, de asemenea, o caracteristică proprietară pentru a asigura invizibilitatea Stuxnet.

Dar acest secret, însă, a fost dezvăluit foarte repede atunci când compania finlandeză de antivirus F-Secure, folosind modelul DUQU pe care îl avea, a identificat această companie taiwaneză drept C-Media Electronics Incorporation. Tăcerea ciudată despre acest fapt din raportul Symantec se explică cel mai probabil prin faptul că certificatul pentru C-Media a fost emis de către serviciul de certificare VeriSign - iar proprietarul acestuia este... Symantec. Acest certificat a fost valabil până în august 2012, dar VeriSign l-a revocat imediat, de îndată ce Symantec a început să studieze malware-ul.

primit de la colegi.

De îndată ce s-a auzit în presă un zgomot despre noul „DUQU, fiul lui Stuxnet”, iar misterul descoperitorului său a început să dea naștere la tot felul de speculații iresponsabile, autorii raportului original au decis totuși să vină din umbră. Câteva zile mai târziu, pe 21 octombrie, pe site-ul CrySyS a apărut un comunicat de presă foarte scurt, „Laboratorul maghiar de criptografie și securitate a sistemului de la Universitatea de Tehnologie și Economie din Budapesta”, cu confirmarea oficială a participării lor directe la istorie:

„Laboratorul nostru a participat la detectarea malware-ului DUQU ca parte a cooperării internaționale. În procesul de familiarizare aprofundată cu funcționalitatea acestui program, am constatat că această amenințare este aproape identică cu Stuxnet. După o analiză atentă a probelor, am întocmit un raport detaliat despre programul DUQU, care a primit această denumire de la noi. Am furnizat imediat raportul inițial autorităților competente... Dar nu putem dezvălui nicio informație suplimentară în mod specific despre acest caz.”

Cu alte cuvinte, cercetătorii maghiari nu au vrut cu hotărâre să dezvăluie informații pe ale căror computere specifice au găsit mostre din acest program spyware (pe baza datelor de compilare a codului primit de la unguri, Symantec a concluzionat că atacuri folosind acest program au fost efectuate încă de cel puțin decembrie 2010 - a. Adică la doar cinci luni după ce a fost descoperit viermele Stuxnet).

Un scenariu similar cu tăcere despre locul unde au fost detectate infecțiile a început să se repete, când companiile de antivirus au început să anunțe că au fost găsite fișiere cu semne DUQU, pe lângă două cazuri în Ungaria, tot în Austria, Marea Britanie, Indonezia, Iran , Sudan... Cel mai probabil, o listă de țări continuă să crească și astăzi. Dar care este mai exact profilul organizațiilor și întreprinderilor afectate de DUQU, nimeni, în primul rând, nu dezvăluie. Și, în al doilea rând, cei care chiar știu ceva anume nu pot discerne niciun sistem. Aparent, țintele pentru introducerea programelor spion sunt alese pur individual și după niște principii speciale, cunoscute doar de cei care plantează acest cod în mașini.

Și, ceea ce este cel mai interesant, este aproape întotdeauna posibil să detectăm doar faptul că sistemul a fost infectat de modulul principal DUQU, dar troianul spion detectat la început nu se vede nicăieri. Pentru a înțelege semnificația probabilă a ceea ce se întâmplă, este timpul să luăm în considerare modul în care acest DUQU funcționează din interior.

Dispozitivul DUQU și caracteristicile acestuia

Deja în stadiul inițial al identificării DUQU, care a fost însoțit de publicarea numelor diferitelor fișiere legate într-un fel sau altul de acest program, a apărut o confuzie destul de serioasă. Și de asta este conectat.

Structura modulară a DUQU presupune prezența a cel puțin trei tipuri de programe semnificativ diferite, practic fără legătură între ele din punct de vedere funcțional. În primul rând, trebuie să existe cu siguranță un așa-numit fișier de instalare care să livreze modulul principal DUQU către mașina victimă (modulul principal în sine nu are o astfel de funcție, dar, interesant, pe niciuna dintre mașinile infectate cu DUQU nu există ceva asemănător într-un fișier - Programul de instalare nu a fost încă identificat). În al doilea rând, modulul principal DUQU în sine, care are și un design compozit distinct față de modulele componente proprii (funcțiile troiene pe care le îndeplinesc vor fi discutate mai jos). Și în al treilea rând, programul rău intenționat pentru spionaj și furt de informații într-un sistem infectat. În diferite surse se numește fie „advanced keylogger”, fie „furt de informații”, dar esența nu se schimbă. Apropo, acest modul funcționează complet independent de cele două deja menționate, ceea ce a asigurat implementarea sa discretă în computer.

Orice ar spune ei în Iran, Stuxnet a reușit să încetinească foarte mult dezvoltarea programului nuclear al acestei țări. Pentru ce este antrenamentul DUQU acum?

Tot ce se spune în presa și rapoartele de cercetare antivirus cu privire la relația strânsă dintre DUQU și Stuxnet se referă doar la modulul principal (nu este implicat în furtul de informații). Dar, în același timp, chiar numele DUQU, pe care programul combinat l-a primit de la unguri, provine de la numele caracteristic unor fișiere precum ~Dqx.tmp, unde modulul keylogger stochează temporar datele colectate în sistemul infectat. Cu alte cuvinte, prefixul caracteristic DQ din numele fișierelor detectate nu are aproape nimic de-a face cu funcționarea modulului principal DUQU. Putem spune că relația dintre modulul principal și keylogger se stabilește pe baza faptului că ambele sunt detectate pe aceeași mașină, iar modulul principal este capabil funcțional să încarce orice alte componente în mașină din rețea.

Ce este acest modul principal? Acesta conține de obicei trei componente principale:

1. Un driver care își încorporează DLL-ul în procesele de sistem;

2. Un fișier DLL criptat (cu o extensie de sistem PNF), care are și un modul suplimentar și funcționează în secret prin rețea cu un server de comandă și control de la distanță

3. Configurați fișierul de configurare (de asemenea criptat).

La fel ca Stuxnet studiat anterior, modulul principal al DUQU folosește o tehnologie foarte sofisticată și în multe privințe unică, care asigură că componentele sale sunt ascunse în RAM, și nu pe hard disk-ul mașinii, pentru a evita în mod eficient detectarea de către instrumentele antivirus. . Ambele programe, DUQU și Stuxnet, folosesc un driver special de kernel care decriptează fișierele criptate dorite și le încorporează în procesele care rulează deja. Acest tip de „injectare” în memoria de lucru este de fapt o modalitate foarte eficientă de a evita detectarea, deoarece nu există acces la disc. Și anume, la aceasta din urmă răspund de obicei antivirusurile.

Pe langa aceste metode de realizare a invizibilitatii sistemului, primele variante ale programului DUQU examinate au fost configurate sa ruleze timp de 36 de zile, dupa care modulul principal se indeparteaza automat din sistemul infectat. Din analiza probelor ulterioare, a devenit clar că această perioadă de funcționare nu este strict definită, astfel încât în ​​alte cazuri autodistrugerea poate avea loc mai devreme sau mai târziu.

În urmă cu aproximativ un an, pe baza rezultatelor unei analize a Stuxnet de către experții Kaspersky Lab, s-a ajuns la concluzia că programul constă de fapt din două părți diferite - o platformă purtătoare și un modul separat independent responsabil de lucrul cu PLC-ul, adică. controlere logice programabile pentru controlul sabotajului proceselor industriale.

De fapt, Stuxnet sub formă de cod a întruchipat ceva ca o rachetă de luptă din viața reală, unde există un modul vehicul de lansare (viermele însuși) și focosul său (adică modulul PLC). Pe baza acestui design, s-a presupus apoi că partea Stuxnet responsabilă cu răspândirea și infectarea sistemului ar putea fi folosită din nou și din nou cu o varietate de „capete focoase”.

Acum, observând ce se întâmplă în jurul DUQU, putem concluziona că aproximativ același scenariu se desfășoară aici. Singura excepție este că nu a fost încă descoperit niciun „focoș” pe DUQU. Singurul lucru care a fost uneori posibil de detectat a fost doar un keylogger spion relativ inofensiv pentru „recunoaștere preliminară la sol”. Cu toate acestea, prin însăși natura sa, acest program este capabil să livreze orice „focoș” unui sistem infectat și să îl lanseze împotriva oricărei ținte.

Spre deosebire de Stuxnet, care a infectat fără discernământ un număr mare de mașini în timp ce căuta un sistem foarte specific, experții în antivirus au observat că DUQU infectează selectiv un număr foarte mic de sisteme foarte specifice din întreaga lume. Dar pentru fiecare dintre sisteme, DUQU poate folosi module semnificativ diferite - cu nume diferite, lungimi diferite de fișiere și valori diferite ale sumei de verificare.

O altă trăsătură caracteristică a DUQU este că codul de aici nu are funcția de reproducere sau de autodistribuire. Cu alte cuvinte, un program rău intenționat nu este un vierme de computer sau un virus în sensul general acceptat al acestor termeni. Pe de altă parte, până în prezent nu a fost posibil să se găsească un modul de instalare (dropper) pe niciunul dintre sistemele infectate, adică rămâne neclar prin ce mecanisme este introdus modulul principal DUQU în sistem. Aceasta înseamnă că nu se știe dacă acest program de instalare se auto-replica și ce vulnerabilități de securitate exploatează. În acest moment, aceasta este considerată a fi principala verigă lipsă din întregul puzzle. Pentru că este dosarul despre care se crede că este cheia pentru a rezolva cu succes ghicitoarea DUQU și a găsi un antidot eficient.

Rezultatele deja cunoscute (foarte sumbre) ale luptei generale împotriva amenințărilor precum Stuxnet, care sunt de fapt capabile să dezactiveze întreprinderile industriale și infrastructurile critice, sugerează involuntar că, odată cu contracararea amenințărilor precum DUQU, aproximativ același lucru se va întâmpla în cele din urmă.

Pentru a ilustra mai clar și mai clar la ce s-a ajuns acum protecția sistemelor informatice de control industrial, putem cita o intrare recentă pe blog a lui Ralph Langner, un specialist acum larg cunoscut în acest domeniu, care la un moment dat a fost primul care a înțeles „umplutură cu focoase” de la Stuxnet.

La sfârșitul lunii septembrie, Langner a avut ocazia să participe la conferința industrială WeissCon, unde a vorbit un anume Marty Edwards, actualul șef al structurii ICS-CERT, din cadrul guvernului SUA responsabil cu securitatea informatică a sistemelor de control industrial. Esența raportului uimitor al acestui oficial a fost acela de a prezenta noua abordare a departamentului lor cu privire la modul în care trebuie să se uite acum la vulnerabilități - prin eliminarea a tot ceea ce nu arată ca un bug (un defect software) care poate fi remediat de către furnizorul produsului.

Cu alte cuvinte, explică Langner, de acum înainte pur și simplu nu veți vedea recomandări sau avertismente de la ICS-CERT cu privire la „caracteristicile” programelor care pot fi folosite potențial pentru atacuri.

Această abordare, potrivit expertului, în cel mai radical mod - cu aproximativ 90% - reduce numărul de vulnerabilități, deoarece marea majoritate a așa-numitelor „momente” de securitate cu care se confruntă industria nu sunt erori de programare, ci defecte de proiectare. a sistemului.

Înainte de a lovi furtuna Stuxnet, numele oficial pentru o vulnerabilitate era: „Un defect sau o slăbiciune în proiectarea, implementarea, operarea sau managementul unui sistem care ar putea fi exploatată pentru a încălca politica de securitate a sistemului”. Ei bine, acum, rânjește Langner, viața a devenit mult mai sigură pentru noi toți, pentru că multe probleme au apărut brusc și au dispărut. Au mai rămas doar erori de programare. Și dacă până de curând securitatea sistemelor de control industrial era o chestiune foarte dificilă, acum totul a devenit ușor și simplu. Cel puțin pentru organizația ICS-CERT. Ei bine, în rest, conchide Langner cu amărăciune, lucrurile nu s-au îmbunătățit, pentru că în cele din urmă nu a contat deloc - ți-au atacat sistemul printr-o „bucă” sau „funcție”. Consecințele vor rămâne neplăcute și uneori catastrofale.

Revenind la DUQU, trebuie subliniat că analiștii de la companiile de antivirus care au publicat detalii despre acest program au fost cel mai uimiți de comportamentul în continuare al creatorilor săi necunoscuți. După o publicitate atât de largă, s-ar părea că ar fi trebuit să dispară în liniște din vedere sau măcar să se ascundă pentru o vreme. Dar nimic de acest fel nu s-a întâmplat. Chiar a doua zi după publicare, au început să fie detectate tot mai multe module DUQU noi cu date de compilare complet noi și multe caracteristici externe complet noi.

Cu alte cuvinte, spionii au demonstrat clar că intenționează să continue această muncă, indiferent de ceea ce fac structurile de securitate informatică.

Aproape ca pe vremea lui Wild Bill și J. Edgar Hoover.

Descriere

Pe 9 iulie 2010, specialiștii companiei antivirus din Belarus VirusBlokada au descoperit software rău intenționat (malware) în Iran, care a fost numit Stuxnet. Companiile de antivirus nu au un consens cu privire la momentul exact în care a apărut Stuxnet; potrivit unor surse, acesta se răspândea încă din ianuarie 2009. Trăsături distinctive:

  • Stuxnet conține mai multe module scrise folosind mai multe medii de dezvoltare și limbaje de programare;
  • pentru a ocoli mecanismele de protecție antivirus, unele module malware (drivere) aveau o semnătură digitală realizată folosind certificate de la Realtek și JMicron (se presupune că au furat);
  • Mai multe metode de distribuție - prin unități USB-Flash și prin rețea. În versiunea 2009 a fost folosită metoda de lansare pe scară largă prin autorun.inf (care, de regulă, este dezactivată din motive de securitate), în versiunea 2010 a fost înlocuită cu una mai eficientă - folosind vulnerabilitatea de procesare a comenzilor rapide MS10 -046 (zero-zi la acel moment). Pentru distribuția prin rețea, s-au folosit vulnerabilitățile MS08-067 (folosit anterior în 2009 de malware Kido, care a dus la infecții masive) și MS10-061 (zero-day la acel moment);
  • pentru a asigura funcționarea, privilegiile au fost ridicate la nivelul de administrator de sistem prin utilizarea a două vulnerabilități locale (zero-day la acel moment) MS10-073 (Windows 2000 și XP) și MS10-092 (Windows Vista, inclusiv versiunea x64), astfel a fost o lansare normală de malware din conturi limitate;
  • Stuxnet își organizează propria rețea peer-to-peer (P2P) pentru a-și sincroniza și actualiza copiile;
  • există o funcționalitate care vă permite să trimiteți informațiile găsite pe computer către serverele de control de la distanță;
  • Sarcina utilă neobișnuită reprezintă o întrerupere a funcționării normale a sistemului de automatizare SIMATIC al Siemens, care este utilizat în mod obișnuit în diferite sisteme de control al proceselor industriale.
Impact asupra sistemului Siemens SIMATIC

Un specialist în securitatea informațiilor din Germania, Ralf Langner, a publicat o analiză a acțiunilor Stuxnet cu privire la SIMATIC pe propriul său site web în septembrie 2010.

SIMATIC WinCC (Windows Control Center) este un software pentru crearea unei interfețe om-mașină, parte a familiei de sisteme de automatizare SIMATIC. Acesta rulează sub sistemele de operare ale familiei Microsoft Windows NT și utilizează baza de date Microsoft SQL Server 2000 (începând cu versiunea 6.0). WinCC interfață cu STEP 7.

SIMATIC STEP 7 – software pentru dezvoltarea sistemelor de automatizare bazate pe controlere logice programabile (PLC) SIMATIC S7-300/S7-400/M7/C7 si WinAC.

Dacă Stuxnet determină că rulează pe o stație de inginerie, înlocuiește partea din STEP7 responsabilă pentru intermiterea codului în PLC. În momentul în care inginerul se conectează la controler, dacă Stuxnet recunoaște o configurație hardware adecvată, modifică codul trimis către PLC. Cercetătorii au descoperit că atacatorii erau interesați de controlerele 6ES7-417 și 6ES7-315-2, precum și de rețelele industriale ale standardului Profibus-DP. Modificat STEP7, când încearcă să citească blocuri de program modificate, PLC-ul le afișează în forma lor originală (componentă rootkit pentru a ascunde faptul modificării).

Stuxnet identifică sistemul țintă prin verificarea blocului de date DB 890. Acest lucru se întâmplă periodic la fiecare cinci secunde în mediul WinCC.

Dacă condiția este îndeplinită, Stuxnet modifică modulul OB 35 în timpul transmiterii de la Simatic Manager la PLC. Modulul OB 35 este apelat în PLC la fiecare 100 ms prin temporizator, unde interceptorul Stuxnet verifică codul de retur al funcției FC 1874. Dacă codul de retur de la FC 1874 este DEADF007, conținutul original al OB 35 nu este executat.

Codul Stuxnet din PLC permite:

  • ascultați rețeaua Profibus-DP (prin intermediul căreia PLC-urile comunică) și generați propriile pachete, iar datele pentru aceste pachete pot fi actualizate de la stația de inginerie;
  • citiți intrările PLC și controlați ieșirile acestuia; senzorii și, respectiv, actuatorii (AM) sunt conectați la acestea, în timp ce pentru acțiunea vizată trebuie să știți în mod specific ce senzori/AM sunt conectați la ce intrări/ieșiri;
  • sincronizează copiile lor între PLC-urile infectate prin intermediul rețelei Profibus-DP (PLC-urile nu pot fi infectate unul de celălalt, codul executabil al controlerelor nu poate fi rescris din mers, doar date, aceasta este o limitare a controlerelor Siemens).
Stuxnet încearcă de asemenea să se conecteze la baza de date WinCC folosind „parola implicită”.

Siemens confirmă că virusul vizează o anumită configurație tehnologică. În total, compania a raportat 15 cazuri la locul de muncă, majoritatea în Germania. În niciun caz, Stuxnet nu a pătruns în PLC deoarece parametrii nu se potriveau. Totuși, acest lucru nu a afectat funcționarea echipamentului și în toate cazurile Stuxnet a fost neutralizat.

concluzii

Aceste fapte ne permit să tragem următoarele concluzii:

  • Stuxnet este un malware atent conceput care a fost dezvoltat de un grup de specialiști în diverse domenii;
  • nu au fost identificate fapte de distribuție prin Internet, doar prin USB-Flash și prin rețea - aceste semne sunt tipice pentru implementarea într-un sistem închis care nu are conexiune directă la rețelele publice;
  • Funcționalitatea de întrerupere a funcționării normale a sistemului de control al proceselor industriale Siemens WinCC (instrument de sabotaj pe computer) implică faptul că dezvoltatorii Stuxnet au avut pentru testare un sistem hardware și software identic cu cel asupra căruia a fost planificat atacul. În plus, acestea au fost concentrate pe un scop specific (utilizarea datelor de la personalul recrutat în cadrul organizației);
  • dezvoltarea de această scară necesită o finanțare semnificativă - plata pentru un grup de programatori, organizarea furtului de certificate digitale, achiziționarea sau dezvoltarea a 4 vulnerabilități zero-day, acces la un sistem Siemens WinCC implementat.
Toate aceste semne indirecte pot indica implicarea agențiilor de aplicare a legii sau a serviciilor de informații ale oricăror state în dezvoltarea Stuxnet. Funcția principală a malware-ului - distribuția și funcționarea autonomă într-un sistem închis cu sabotarea ulterioară a sistemului de control al procesului de producție - nu este tipică infractorilor cibernetici „tradiționali”, care urmăresc de obicei scopul „monetizării” profiturilor (scopul final este banii) și, de regulă, utilizați programatori unici dezvoltați malware. Din aceste motive, Stuxnet este numită o armă cibernetică.

Versiuni

Experții cred că Stuxnet ar fi putut fi dezvoltat pentru a fi utilizat împotriva centralei nucleare Bushehr din Iran. Israelul și Statele Unite ar putea fi potențiali dezvoltatori. Versiunea se bazează pe următoarele fapte:

  • Iranul este una dintre regiunile cele mai afectate de Stuxnet. Judecând după dinamica datelor despre infecții, în jurul lunii mai-iunie 2010, Iranul era lider în numărul de infecții;
  • Centrala nucleară Bushehr (NPP) este una dintre cele mai importante ținte militare din Iran;
  • Centralele nucleare au început să fie construite încă din anii 1970. Siemens a luat parte la construcție. În 1979, Siemens a încetat să lucreze în această țară (din cauza revoluției). Siemens s-a întors ulterior în Iran și a fost una dintre cele mai mari piețe ale sale. În ianuarie 2010, Siemens a anunțat din nou încetarea cooperării cu Iranul. Cu toate acestea, vara a fost surprins furnizând componente către Bushehr. Nu se știe oficial dacă software-ul Siemens este utilizat la centrala nucleară pentru a controla procesele. Într-una dintre capturile de ecran de computer postate pe internet, presupusă făcută în interiorul unei centrale nucleare, puteți vedea sistemul de control Siemens WinCC;
  • participarea la construcția de centrale nucleare de către compania rusă Atomstroyexport, care are proiecte în India, precum și neglijarea tradițională a problemelor de securitate a informațiilor de către companiile rusești, care ar putea duce la răspândirea Stuxnet în India;
  • Israelul este una dintre țările cele mai interesate să perturbe funcționarea centralei nucleare Bushehr. Iranul este bănuit că la această stație, sub pretextul combustibilului nuclear, se vor produce rezerve pentru producerea propriilor arme nucleare, care cel mai probabil ar putea fi folosite împotriva Israelului;
  • Israelul se numără printre țările care au specialiști în tehnologia informației înalt pregătiți, capabili să-i folosească atât pentru atacuri, cât și pentru spionaj.
O altă versiune a țintei atacului este uzina de îmbogățire a uraniului din Natanz (Iran). Această versiune este confirmată indirect de următoarele fapte:
  • instalația de îmbogățire a uraniului de la Natanz, o instalație subterană puternic fortificată și ascunsă, prezintă riscuri mult mai mari în ceea ce privește producția de arme nucleare decât centrala nucleară Bushehr, potrivit experților;
  • În iulie 2009, o sursă conectată la programul nuclear al Iranului a raportat în mod confidențial un accident nuclear grav care avusese loc cu puțin timp înainte la Natanz. Ulterior, potrivit rapoartelor presei iraniene și BBC britanic, Gholamreza Aghazadeh, șeful Organizației Iraniene pentru Energie Atomică (IAEO), a demisionat. În același timp, conform datelor oficiale furnizate de IAEO agențiilor de reglementare, numărul centrifugelor funcționale din Natanz a scăzut semnificativ (cu câteva mii), ceea ce ar putea fi o consecință a impactului Stuxnet.
Postfaţă

În SUA, în iunie 2012, a fost publicată o carte intitulată „Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”, conform căreia Stuxnet a fost dezvoltat în SUA cu participarea specialiștilor israelieni și tocmai cu scopul de a neutraliza Programul nuclear al Iranului.Autorul - jurnalistul New York Times David Sanger - susţine că Stuxnet a fost dezvoltat în timpul preşedinţiei lui George W. Bush. Proiectul s-a numit „Jocuri Olimpice”.La început a fost un program de distribuţie spyware, datorită căruia a fost posibil să obținem o perspectivă asupra echipamentului centrului iranian de îmbogățire a uraniului din Natanz. După aceasta, a fost dezvoltată o funcționalitate care a afectat software-ul care controlează centrifugele de purificare a uraniului.

Chiar anul trecut, David Sanger și doi dintre colegii săi au publicat un articol în New York Times, susținând că Stuxnet a fost într-adevăr opera agențiilor de informații americane și israeliene și că îl testau la centrul secret israelian Dimona din deșertul Negev. Oficial, Israelul refuză să admită că are propriul program nuclear, dar autorii articolului se referă la anumiți experți cunoscători în domeniul informațiilor și militare care confirmă că la Dimona există centrifuge aproape identice cu cele din Natanz. Capacitatea Stuxnet de a le dezactiva a fost testată, printre altele, pe ele.

Potrivit The Wall Street Journal, FBI investighează o scurgere de informații care a dezvăluit implicarea guvernului în atacurile cibernetice asupra instalațiilor nucleare ale Iranului.

Mulți experți sunt sceptici cu privire la aceste informații. Ei consideră că este o altă „umplutură” de informații în ajunul alegerilor prezidențiale din SUA.

Surse detaliate de informații despre Stuxnet:

Raport analitic Symantec

Sunt programator profesionist și fizician de pregătire, așa că tot ceea ce se spune în acest articol nu este speculație, le pot face pe toate singur, cu mâinile mele. Și am mult mai multe informații despre subiect decât pot prezenta pe această platformă de informații non-core pentru mine.
Deci, dacă obiectezi pe forum, gândește-te la cine obiectezi.
Acesta nu este „de la trecere”, unde arăt ca un amator, sunt un profesionist în acest subiect, așa că ascultați cu respect.


Să începem de acum o sută de ani

În 1905, când o coloană militară trecea peste podul „egiptean” din Sankt Petersburg, aceasta s-a prăbușit din cauza unui „leagăn” puternic, așa cum o numeau atunci. Acum am spune din cauza rezonanței.

Versiunea principală este că structura podului nu a putut rezista la vibrații prea ritmice de la pasul coordonat al armatei, motiv pentru care a avut loc o rezonanță în ea. Această versiune a fost inclusă în programa școlară de fizică ca un exemplu clar de rezonanță.

În plus, a fost introdusă o nouă comandă militară de „a ieși din pas”; aceasta este dată unei coloane de luptă înainte de a intra pe orice pod.

Istoria este, de asemenea, instructivă în sensul că atunci când se confruntă cu un fenomen necunoscut, armata și-a dat seama rapid și a luat măsuri adecvate pentru a-l preveni pe viitor.

Avem nevoie de asemenea atenție și eficiență acum.

Accident la hidrocentrala Sayano-Shushenskaya

În Rusia modernă, o sută de ani mai târziu, a avut loc o catastrofă similară. Ca urmare a accidentului unității electrice nr. 2 a hidrocentralei Sayano-Shushenskaya din 17 august 2009, sala de turbine a fost distrusă și funcționarea centralei hidroelectrice a fost complet oprită; accidentul a provocat 75 de vieți omenești ( nu a murit nicio persoană pe pod).

Oficial, cauza accidentului în actul comisiei de cercetare a împrejurărilor producerii accidentului este formulată astfel:

Datorită apariției repetate a sarcinilor variabile suplimentare asupra unității hidraulice asociate cu tranzițiile prin zona nerecomandată, s-au format și s-au dezvoltat deteriorarea prin oboseală a punctelor de atașare a unității hidraulice, inclusiv a capacului turbinei. Distrugerea știfturilor cauzată de sarcinile dinamice a dus la ruperea capacului turbinei și la depresurizarea căii de alimentare cu apă a unității hidraulice.

Dacă este tradusă într-un limbaj ușor de înțeles, unitatea de putere (o turbină hidraulică conectată la un generator electric) s-a prăbușit din cauza funcționării prelungite în zonele de încărcare în care sunt prezente rezonanțe ale sistemului electromecanic.

În urmă cu o sută de ani, experții și-au dat seama de situație și au tras concluzii pe care toată lumea le urmează încă; comanda de „deranjare a pasului” nu va fi niciodată anulată de nimeni.

Însă, în prezent, motivele nu au fost descoperite și nu s-au tras concluzii.

Zona de rezonanțe din document este numită vag „zona nerecomandată”. Oficialii nici nu au avut curajul să numească totul pe numele lor propriu, darămite să tragă concluzii. Între timp, evenimentele s-au dezvoltat în continuare.

Virusul Stuxnet

Stuxnet a fost primul virus informatic care a dăunat obiectelor fizice. Din cauza asta, multe centrifuge de la instalațiile nucleare iraniene au eșuat în 2010. Un atac cibernetic asupra fabricii de îmbogățire a uraniului a Iranului de la Netenz a întârziat dezvoltarea programului nuclear al Iranului cu câțiva ani.

Analiștii militari recunosc că Stuxnet a devenit o nouă piatră de hotar în dezvoltarea armelor cibernetice. S-a mutat din spațiul virtual în realitate, deoarece un atac al unui astfel de virus nu afectează obiectele informaționale, ci fizice, din viața reală.

Distrugerea centrifugelor de către virusul Stuxnet a fost efectuată folosind metoda rezonanței structurii electromecanice a centrifugei. O voi explica în termeni simpli: o centrifugă cu gaz are un arbore care se rotește rapid (20-50 de mii de rotații pe minut), care rotește un motor electric. Motorul electric este controlat de un controler; dacă acest controler este reprogramat astfel încât să modifice periodic viteza de rotație a arborelui centrifugei (profesioniștii îl numesc „bătăi de frecvență”), atunci la anumite frecvențe de „bătăi” sistemul va intra în rezonanță și rulmenții axei arborelui și carcasa centrifugei în sine se vor prăbuși.

Mai mult, aceasta va arăta ca o defecțiune normală care nu este legată de funcționarea electronicii și a programelor controlerului de control al motorului electric. În primul rând, vibrația va crește, apoi piulițele care fixează piesele carcasei încep să se deșuubească, apoi rulmenții se rup și, în cele din urmă, sistemul se blochează și își pierde etanșeitatea.

Virusul Stuxnet, când a intrat în instalație, a făcut exact asta, reprogramând controlerul de control al motorului electric Simatic S7 în așa fel încât să emită o tensiune cu o frecvență de bătaie care este un multiplu al frecvențelor de rezonanță ale arborelui centrifugei rotativ.

Procesul de creștere a amplitudinii de rezonanță poate dura ore, dacă nu zile, așa că pentru personalul de întreținere a părut un defect de proiectare în centrifuga în sine.

Iranienii nu și-au dat seama că centrifugele lor erau distruse de un virus până când programatorii din Belarus au descoperit virusul în sine și și-au dat seama de sarcina funcțională a acestuia. Abia după aceasta, virusul Stuxnet a câștigat faimă în întreaga lume, iar Iranul a recunoscut că instalația sa nucleară a fost atacată în mod deliberat timp de cel puțin un an de această armă cibernetică.

Ce s-a întâmplat la centrala hidroelectrică Sayano-Shushenskaya

Accidentul de la a doua unitate hidraulică a hidrocentralei Sayano-Shushenskaya s-a produs din cauza rezonanței, așa cum s-a întâmplat la începutul secolului al XX-lea la Sankt Petersburg, așa cum s-a întâmplat un an mai târziu în Iran. Mai mult, se poate susține că echipamentul a fost introdus în mod deliberat în rezonanță, folosind metode implementate în virusul Stuxnet.

Cert este că la momentul accidentului unitatea era controlată automat. Controlul manual pentru livrarea constantă a puterii a fost dezactivat, iar unitatea a funcționat în modul de compensare a ondulației de sarcină pentru sistemele de alimentare din Siberia de Vest.

La punerea în funcțiune a echipamentelor se verifică frecvențele de rezonanță, iar certificatele de acceptare indică modurile în care funcționarea echipamentului este interzisă.

În martie 2009, specialiștii ucraineni au preluat acești parametri cei mai importanți de la a doua unitate (în timpul unei reparații programate).Nu se știe unde și în ce mâini au căzut aceste date, dar se poate ghici.

Având aceste date, nu este deloc dificil să pompați sistemul unității prin microcontrolerul de control GARM, astfel încât treptat, în câteva ore, să conducă unitatea turbo cu un generator electric pe același arbore în zona de rezonanță.

După aceea, știfturile de pe carcasă care țineau capacul turbinei au început să se slăbească din cauza vibrațiilor, care au fost cauza imediată a dezastrului.

Funcționarea turbinei și a generatorului este controlată automat de un sistem special numit sistem de control de grup pentru putere activă și reactivă (GRAPM).

Partea electronică a dulapului de control GRARM este realizată pe baza unui microcomputer compatibil cu PC de la Fastwell

Acest sistem a fost activat în momentul accidentului pe a doua unitate. Sistemul a fost instalat și pus în funcțiune la începutul anului 2009, cu puțin timp înainte de accident. Acest sistem a fost dezvoltat și instalat de PromAvtomatika pe baza echipamentelor importate.

Desigur, nu s-au gândit la nicio Securitate Informațională în acel moment; acest sistem avea acces direct la Internet, frecvențele de rezonanță ale unității erau cunoscute.

Cred că nu este nevoie să explic mai multe, ce s-a întâmplat...

Colegii din Israel și Statele Unite au testat cu succes armele cibernetice pentru a distruge instalațiile de infrastructură în practică, după care, desigur, este necesar să se creeze o ramură specială a armatei care să o folosească, ceea ce Statele Unite au făcut în același 2009 de către organizarea Cyber ​​​​Command cu un personal de 10.000 de angajați (luptători).

Arme cibernetice

În al treilea mileniu, virușii informatici au devenit și arme și au fost numiți „arme cibernetice”; în plus, în multe țări, aceste arme sunt separate într-o ramură separată a armatei, al cărei nume general, datorită mâinii ușoare a americanilor, a devenit numele „Cyber ​​​​Command”.

Comandantul acestor forțe armate a primit un nume complet fantastic; credeți sau nu, în SUA îl numesc „Țarul cibernetic”, iar acesta este cuvântul rus care este folosit pentru numele oficial al comandantului american.

Această armă a fost deja folosită în războiul nedeclarat al Statelor Unite și Israelului împotriva Iranului.Cel mai probabil, a fost folosită și în Rusia, la hidrocentrala Sayano-Shushenskaya, și există o urmă a acesteia în accidentul de la Proiect indian de închiriere de submarine nucleare.

Aceeași companie din Sankt Petersburg a apărut din nou acolo; a fost dezvoltator de echipamente de stingere a incendiilor, care, ca urmare a funcționării spontane, a dus la moartea oamenilor în timpul încercărilor pe mare... dar asta e un subiect separat.