Đường tắt gián điệp: Câu chuyện về Trojan Stuxnet. Sự thật khác nhau về bảo vệ dữ liệu cá nhân
“Tôi không biết vũ khí nào sẽ được sử dụng để chiến đấu trong Thế chiến thứ ba, nhưng trong Thế chiến thứ tư, họ sẽ sử dụng đá và dùi cui”.
Albert Einstein
Vào cuối tháng 9, người ta biết rằng virus Stuxnet đã gây ra thiệt hại nghiêm trọng cho chương trình hạt nhân của Iran. Sử dụng các lỗ hổng hệ điều hành và “yếu tố con người” khét tiếng, Stuxnet đã phá hủy thành công 1.368 trong số 5.000 máy ly tâm tại nhà máy làm giàu uranium Natanz, đồng thời cũng làm gián đoạn quá trình khởi động nhà máy điện hạt nhân Bushehr. Khách hàng - không rõ. Thủ phạm là một nhân viên Siemens bất cẩn đã nhét ổ đĩa flash bị nhiễm virus vào máy trạm. Thiệt hại gây ra cho các cơ sở hạt nhân của Iran có thể so sánh với thiệt hại do cuộc tấn công của Không quân Israel gây ra. Thế giới đang nói về những cuộc chiến tranh thế hệ mới. Các cuộc tấn công mạng có thể là công cụ lý tưởng cho các cuộc chiến tiếp theo - chúng diễn ra nhanh chóng, hiệu quả về sức tàn phá và thường ẩn danh. Ngày nay, các quốc gia đang khẩn trương nhất trí về một chiến lược chung nhằm chống lại các mối đe dọa trên mạng. Ngày mai sẽ ra sao? Thật không may, câu trả lời thực tế nhất cho câu hỏi này vẫn là câu cách ngôn đáng buồn của Einstein.
Iran bất lực trước mối đe dọa công nghệ
Các trang xã luận của báo chí thế giới tràn ngập những lời tiên tri u ám về sự xuất hiện của kỷ nguyên chiến tranh công nghệ. Các chuyên gia từ nhiều lĩnh vực khác nhau đang nỗ lực tìm ra giải pháp cho Stuxnet, loại virus đã ảnh hưởng đến các cơ sở hạt nhân của Iran, từ bảo mật CNTT đến ngôn ngữ học và nhân chủng học. Stuxnet được phát hiện bởi các phòng thí nghiệm chống vi-rút cách đây khá lâu, nhưng thế giới mới biết về quy mô thực sự của đợt lây nhiễm vào cuối tháng 9, khi biết về sự chậm trễ trong việc khởi động nhà máy điện hạt nhân Bushehr đầu tiên của Iran. Mặc dù Ali Akbar Salehi, người đứng đầu Tổ chức Năng lượng Nguyên tử Iran, nói rằng việc trì hoãn khởi động nhà máy điện hạt nhân không liên quan gì đến virus, Mark Fitzpatrick, nhân viên của Viện Nghiên cứu Chiến lược Quốc tế, lưu ý rằng điều này nghe có vẻ “ không nghiêm trọng lắm”, và Iran có xu hướng che đậy những vấn đề thực sự ở nhà máy điện hạt nhân. Sau một thời gian, Mahmoud Jafari, giám đốc bộ phận dự án của nhà ga ở Bushehr, “để nó tuột dốc”. Theo ông, Stuxnet "đã lây nhiễm vào một số máy tính, nhưng không gây ra bất kỳ thiệt hại nào cho hệ điều hành chính của trạm". Sapienti ngồi. Các cơ sở hạt nhân của Iran tại Natanz cũng bị hư hại nghiêm trọng: 1.368 trong số 5.000 máy ly tâm bị vô hiệu hóa do Stuxnet. Khi Mahmoud Ahmadinejad được hỏi trực tiếp sau phiên họp của Đại hội đồng Liên Hợp Quốc về các vấn đề công nghệ của chương trình hạt nhân, ông chỉ nhún vai và không nói gì. Chúng ta hãy lưu ý rằng, theo New York Times, thiệt hại do virus gây ra ở Iran có lẽ tương đương với một cuộc tấn công của Không quân Israel.Tác giả! Tác giả!
Vì những lý do hiển nhiên, các nhà phát triển Stuxnet muốn giữ kín danh tính, nhưng rõ ràng là độ phức tạp của virus này là chưa từng có. Việc tạo ra một dự án như vậy đòi hỏi sự đầu tư tài chính và trí tuệ rất lớn, điều đó có nghĩa là chỉ những cơ cấu quy mô chính phủ mới có thể làm được điều đó. Tất cả các chuyên gia đều đồng ý rằng virus này không phải là kết quả nỗ lực của một “nhóm những người đam mê”. Laurent Eslau, người đứng đầu hệ thống an ninh tại Symantec, ước tính rằng có ít nhất sáu đến mười người đã làm việc để tạo ra Stuxnet trong thời gian từ sáu đến chín tháng. Frank Rieger, giám đốc kỹ thuật của GSMK, ủng hộ đồng nghiệp của mình - theo ông, virus này được tạo ra bởi một nhóm gồm 10 lập trình viên giàu kinh nghiệm và quá trình phát triển mất khoảng sáu tháng. Rieger cũng nêu chi phí ước tính để tạo ra Stuxnet: ít nhất là 3 triệu USD.Evgeny Kaspersky, Giám đốc điều hành của Kaspersky Lab, nói về mục đích quân sự của virus: “Stuxnet không ăn cắp tiền, không gửi thư rác và không đánh cắp bí mật thông tin. Phần mềm độc hại này được tạo ra để kiểm soát các quy trình sản xuất, nhằm quản lý năng lực sản xuất khổng lồ theo đúng nghĩa đen. Trong thời gian gần đây, chúng ta đã chiến đấu chống lại tội phạm mạng và côn đồ trực tuyến, giờ đây, tôi e rằng, thời kỳ khủng bố mạng, vũ khí mạng và chiến tranh mạng đang đến gần.” Tillmann Werner, thành viên của Dự án Honeynet, một cộng đồng gồm các chuyên gia bảo mật Internet, tự tin rằng các hacker đơn độc không có khả năng làm được điều này. Werner nói: “Stuxnet quá tiên tiến từ quan điểm kỹ thuật đến mức chúng tôi phải cho rằng các chuyên gia của chính phủ đã tham gia vào việc phát triển phần mềm độc hại hoặc ít nhất họ đã cung cấp một số hỗ trợ trong quá trình tạo ra nó”.
Trong quá trình phân tích Stuxnet, một số cơ quan truyền thông kết luận rằng Israel đứng đằng sau việc tạo ra loại virus này. Người đầu tiên lên tiếng về sự tham gia của Israel trong cuộc tấn công vào Iran là John Markoff, một nhà báo của tờ New York Times, đưa tin rằng các nhà phân tích đặc biệt chú ý đến tên của một trong những đoạn mã “myrtus” (“myrtle”). Được dịch sang tiếng Do Thái, “myrtle” nghe giống như “adas”, từ này lại là phụ âm với tên “Adassah”, thuộc về Esther (Esther), nữ anh hùng trong lịch sử Do Thái, người đã cứu dân tộc mình khỏi sự hủy diệt ở Đế chế Ba Tư. So sánh với Ba Tư cổ đại, nơi có lãnh thổ của Iran hiện đại, một số nhà phân tích tin rằng Israel đã để lại một “thẻ điện thoại” trong mã virus. Tuy nhiên, theo một số chuyên gia, phiên bản này không đứng vững trước những lời chỉ trích và giống với cốt truyện của một câu chuyện trinh thám rẻ tiền - một “chữ viết tay” quá thô sơ đối với một dự án quy mô như vậy.
Đồng thời, cần nhấn mạnh rằng mùa hè năm ngoái (hãy nhớ rằng, sự lây lan của Stuxnet bắt đầu vào năm 2009), nguồn WikiLeaks đã đưa tin về một vụ tai nạn hạt nhân nghiêm trọng ở Natanz. Ngay sau đó, người ta biết rằng người đứng đầu Tổ chức Năng lượng Nguyên tử Iran, Gholam Reza Aghazadeh, đã từ chức mà không có lời giải thích. Cùng lúc đó, các tuyên bố của các chính trị gia và quân nhân Israel xuất hiện trên các phương tiện truyền thông đại chúng về khả năng xảy ra một cuộc đối đầu với Iran trên mặt trận công nghệ. Ngoài ra, Israel đã điều chỉnh thời hạn dự kiến để Iran có được bom nguyên tử, lùi thời điểm này về năm 2014, và nhiệm kỳ của Meir Dagan, người đứng đầu Mossad, đã được gia hạn để ông tham gia vào các “dự án quan trọng” giấu tên.
Nhân tố con người
Lịch sử lây nhiễm ban đầu, đánh dấu sự khởi đầu lây lan của virus, rất đáng chú ý. Rõ ràng là các hệ thống điều khiển tự động ở cấp độ này không được kết nối với Mạng. Một chuyên gia từ Trung tâm mạng NATO ở Estonia, Kenneth Geers, đã đề xuất tại một trong những hội nghị bảo mật rằng sự thành công của cuộc tấn công Stuxnet chỉ phụ thuộc vào việc liên hệ với đúng người và ... ổ USB cơ bản. “Bạn có thể trả tiền cho ai đó để khởi chạy Trojan vào một hệ thống khép kín hoặc bạn có thể thay thế một ổ đĩa flash chỉ dành cho mục đích sử dụng nội bộ,” Gears trầm ngâm. “Chỉ cần cắm một ổ đĩa flash bị nhiễm virus vào đầu nối USB tiêu chuẩn trên máy tính của bạn là đủ và Stuxnet sẽ ngay lập tức tự động chuyển sang hệ điều hành và không có chương trình chống vi-rút hoặc biện pháp bảo vệ nào khác có thể can thiệp vào nó.” Và quả thực, “liên kết yếu” hóa ra lại là yếu tố con người - Stuxnet được đưa vào hệ thống thông qua ổ USB thông thường, được một nhân viên bất cẩn đưa vào máy trạm một cách bất cẩn. Đáng chú ý là sau những tuyên bố của Bộ trưởng Tình báo Iran Heydar Moslehi về việc giam giữ "gián điệp hạt nhân" (hóa ra họ hoàn toàn là những kỹ thuật viên người Nga không liên quan), ban lãnh đạo Siemens đã thừa nhận rằng loại virus này do nhân viên công ty đưa vào, nhấn mạnh bản chất vô ý của vụ việc. sự nhiễm trùng. Cần lưu ý rằng Stuxnet chỉ ảnh hưởng đến một loại bộ điều khiển cụ thể của Siemens, đó là SIMATIC S7, loại mà theo IAEA, được Iran sử dụng.Chiến tranh mạng. Chiến trường là Trái đất?
Tại hội nghị Virus Bulletin 2010 ở Vancouver, Canada, bài thuyết trình ngắn gọn của Liam O Murchu, một trong những chuyên gia bảo mật CNTT hàng đầu của Symantec, đã thu hút sự chú ý của dư luận. Một nhà phân tích đã tiến hành một thí nghiệm giải thích sự nguy hiểm của mối đe dọa mạng tốt hơn hàng trăm báo cáo chính thức. O Merchu đã lắp đặt một máy bơm không khí trên sân khấu chạy hệ điều hành do Siemens sản xuất, lây nhiễm virus Stuxnet vào máy trạm điều khiển máy bơm và đưa quy trình vào hoạt động. Máy bơm nhanh chóng thổi phồng quả bóng bay, nhưng quá trình này không dừng lại - quả bóng bay phồng lên cho đến khi nổ tung. Chuyên gia này cho biết: “Hãy tưởng tượng rằng đây không phải là một quả bóng bay mà là một nhà máy điện hạt nhân của Iran, đặt dấu chấm hết cho câu hỏi về mức độ “nghiêm trọng” của các cuộc chiến tranh mạng.
Các đồng nghiệp của O Merchu hoàn toàn chia sẻ mối quan tâm của anh ấy. Nhà nghiên cứu Paul Ferguson của Trend Micro cho rằng với việc tạo ra Stuxnet, một loại vũ khí mạng chính thức đã xuất hiện trên thế giới, vượt xa các âm mưu phá hoại truyền thống (đánh cắp số thẻ tín dụng, v.v.) và có thể dẫn đến những tai nạn nghiêm trọng trong ngành công nghiệp rất nguy hiểm. cơ sở. Ferguson nhấn mạnh rằng các nhà phân tích giờ đây sẽ “đe dọa chính phủ thực hiện các biện pháp an ninh nghiêm túc theo đúng nghĩa đen”.
Thật vậy, người đứng đầu Bộ Tham mưu Mạng Hoa Kỳ mới được thành lập tại Lầu Năm Góc, Tướng Keith Alexander, phát biểu trước Quốc hội, đã công khai tuyên bố rằng mối đe dọa chiến tranh mạng đang gia tăng nhanh chóng trong vài năm qua. Alexander nhớ lại hai cuộc tấn công mạng nhằm vào toàn bộ các bang - vào Estonia (năm 2007, sau khi giải tán Người lính Đồng) và vào Georgia (năm 2008, trong cuộc chiến với Nga).
Tổng thống Estonia Toomas Hendrik Ilves trong cuộc phỏng vấn với Berliner Zeitung đã nêu vấn đề về các mối đe dọa mạng ở mức cao nhất. Tổng thống Estonia nhấn mạnh: Quyết định của NATO đặt Trung tâm An ninh mạng ở Tallinn (hãy nhớ rằng nó được khai trương vào tháng 5 năm 2008) là do Estonia là một trong những quốc gia được tin học hóa nhiều nhất ở châu Âu, đồng thời là quốc gia đầu tiên áp dụng điều này. hứng chịu một cuộc tấn công mạng toàn diện vào năm 2007. Sau khi cuộc tấn công làm tê liệt toàn bộ cơ sở hạ tầng của đất nước, Bộ trưởng Quốc phòng Estonia Jaak Aaviksoo thậm chí còn yêu cầu NATO đánh đồng các cuộc tấn công mạng này với các hành động quân sự. Tổng thống ngày nay cũng đưa ra những quan điểm tương tự: “Virus Stuxnet đã chứng tỏ chúng ta phải coi trọng an ninh mạng đến mức nào, vì với sự trợ giúp của những sản phẩm như vậy, cơ sở hạ tầng quan trọng có thể bị phá hủy. Trong trường hợp của Iran, loại virus này dường như nhắm vào chương trình hạt nhân của nước này, nhưng những loại virus tương tự có thể phá hủy nền kinh tế do máy tính điều khiển của chúng ta. Điều này nên được thảo luận ở NATO: nếu một tên lửa phá hủy một nhà máy điện, đoạn 5 sẽ có hiệu lực. Nhưng phải làm gì trong trường hợp bị virus máy tính tấn công?” - Toomas Hendrik Ilves hỏi. Đề xuất của tổng thống phù hợp với xu hướng hiện nay: “Cả EU và NATO phải phát triển một chính sách chung, bao gồm các quy định pháp lý, sẽ trở thành cơ sở cho việc phòng thủ tập thể trước các mối đe dọa trên không gian mạng”, nguyên thủ quốc gia tin tưởng.
Thứ trưởng Bộ Quốc phòng thứ nhất William J. Lynn hoàn toàn đồng ý với Toomas Hendrik Ilves. Trong một cuộc phỏng vấn với Radio Liberty, Lynn đã cố gắng trả lời câu hỏi do Ilves nêu ra: “Nếu cuộc tấn công ảnh hưởng đến các yếu tố quan trọng trong nền kinh tế của chúng ta, có lẽ chúng ta nên coi đó là một cuộc tấn công. Nhưng nếu vụ hack dẫn đến đánh cắp dữ liệu thì đó có thể không phải là một cuộc tấn công. Giữa hai thái cực này có nhiều lựa chọn khác. Để xây dựng một đường lối chính sách rõ ràng, chúng ta phải quyết định ranh giới nằm ở đâu giữa hack và tấn công, hoặc giữa gián điệp và đánh cắp dữ liệu. Tôi tin rằng đã có một cuộc thảo luận về chủ đề này cả trong và ngoài chính phủ, và tôi không nghĩ rằng cuộc thảo luận này đã kết thúc ”.
Ngoài ra, điểm mấu chốt trong bài phát biểu của William Lynn là công bố công khai về năm nguyên tắc làm nền tảng cho chiến lược an ninh mạng mới của Hoa Kỳ. Chúng tôi trích dẫn không cắt giảm của Thứ trưởng Bộ Quốc phòng Hoa Kỳ:
“Nguyên tắc đầu tiên trong số này là chúng ta phải thừa nhận không gian mạng đã trở thành một vùng chiến sự mới. Cũng giống như trên bộ, trên biển, trên không và không gian, chúng ta phải coi không gian mạng là một lĩnh vực hoạt động mà chúng ta sẽ bảo vệ và mở rộng học thuyết quân sự của mình. Đó là điều đã thúc đẩy chúng tôi thành lập Bộ Tư lệnh Mạng thống nhất trong Bộ Tư lệnh Chiến lược.
Nguyên tắc thứ hai mà tôi đã đề cập là việc phòng thủ phải chủ động. Nó phải bao gồm hai tuyến phòng thủ thụ động được chấp nhận rộng rãi - trên thực tế, đây là hoạt động vệ sinh thông thường: cài đặt các bản vá kịp thời, cập nhật các chương trình chống vi-rút, cải thiện các công cụ bảo vệ của bạn. Chúng ta cũng cần tuyến phòng thủ thứ hai được các công ty tư nhân sử dụng: thiết bị phát hiện xâm nhập, chương trình giám sát an ninh. Tất cả những công cụ này có thể sẽ giúp bạn đẩy lùi khoảng 80% các cuộc tấn công. 20% còn lại là ước tính rất sơ bộ - các cuộc tấn công phức tạp không thể ngăn chặn hoặc dừng lại bằng cách vá các lỗ hổng. Cần có một kho vũ khí tích cực hơn nhiều. Chúng ta cần những công cụ có thể xác định và chặn mã độc. Bạn cần các chương trình có thể xác định và truy tìm các phần tử độc hại đã xâm nhập vào mạng của bạn. Khi bạn đã tìm thấy chúng, bạn sẽ có thể chặn chúng liên lạc với mạng bên ngoài. Nói cách khác, nó giống một cuộc chiến cơ động hơn là Phòng tuyến Maginot.
Nguyên tắc thứ ba của chiến lược an ninh mạng là bảo vệ cơ sở hạ tầng dân sự.
Thứ tư, Hoa Kỳ và các đồng minh phải thực hiện các biện pháp phòng thủ tập thể. Các quyết định quan trọng về vấn đề này sẽ được đưa ra tại hội nghị thượng đỉnh NATO sắp tới ở Lisbon.
Cuối cùng, nguyên tắc thứ năm là Hoa Kỳ phải luôn đi đầu trong phát triển phần mềm.”
Phản ứng của Dmitry Rogozin, đại diện thường trực của Nga tại NATO, đối với các tiến trình diễn ra trong Liên minh là rất đáng chú ý. Rõ ràng, Nga cực kỳ lo ngại về hội nghị thượng đỉnh NATO sắp tới tại Lisbon, sẽ diễn ra vào ngày 20 tháng 11, bởi vì ở đó, nước này dự kiến sẽ làm rõ tình thế tiến thoái lưỡng nan về việc liệu một cuộc tấn công vào mạng máy tính quân sự và chính phủ của một thành viên NATO có xảy ra hay không. được coi là lý do để viện dẫn Điều 5 của Hiệp ước Washington và đáp trả bằng một cuộc tấn công quân sự tập thể. Rogozin, với phong cách đặc trưng của mình, viết: “Cuối cùng chúng ta sẽ tìm hiểu xem liệu NATO có được phép tấn công các căn hộ của tin tặc bằng bom hạt nhân hay không hay liệu người ta cho rằng chiến tranh mạng sẽ không vượt ra ngoài ranh giới của không gian mạng hay không. Tôi có lý do chính đáng để nghi ngờ kịch bản sau. Theo nghĩa đen trước mắt chúng ta, một vụ bê bối lớn đang diễn ra trên các tạp chí định kỳ của phương Tây liên quan đến sự lây lan của một loại sâu máy tính có tên Stuxnet. Tôi đã quen đọc và gửi SMS bằng tiếng Latinh nên tôi đọc ngay tên của loại virus này như một động từ tiếng Nga ở thì tương lai: “stukhnet”. Hãy yên tâm, chắc chắn sẽ có điều gì đó tồi tệ hoặc xảy ra với ai đó, đặc biệt là những người đã phát tán loại virus này. Như chúng ta đã biết, gieo gió thì gặt bão”. Không dám bình luận về nghiên cứu văn học và sáng tạo của ông Rogozin, chúng tôi lưu ý rằng Nga đã phải chịu trách nhiệm về hai vụ tấn công lớn nhất của hacker nhằm vào toàn bộ các bang (Estonia và Georgia) - có lẽ đây chính là nguyên nhân gây ra phản ứng dữ dội như vậy từ vị đặc mệnh toàn quyền dễ bị ấn tượng.
Vì vậy, trong bối cảnh cơn cuồng loạn do Stuxnet gây ra, một số quốc gia đã công bố sự cần thiết phải xây dựng một chính sách chung để ngăn chặn các cuộc tấn công mạng. Liệu điều này có dẫn đến kết quả mong muốn hay không, ngay cả khi chúng ta giả định rằng một số tài liệu sẽ được phát triển (và ký kết) quy định việc sử dụng các công nghệ hủy diệt? Tuần kinh doanh CNTT điều này có vẻ cực kỳ đáng nghi ngờ, sự cám dỗ do công nghệ cao mang lại là quá lớn: tính ẩn danh, bảo mật (đối với kẻ tấn công), tỷ lệ chi phí/hiệu quả chưa từng có. Điều này có nghĩa là Stuxnet chỉ là dấu hiệu đầu tiên của kỷ nguyên cách mạng công nghệ-xã hội, một kỷ nguyên bắt đầu không hề như mơ ước.
Thẻ:
- vi-rút
- Stuxnet
- Iran
Nguy cơ bị đánh cắp danh tính từ điện thoại di động
Nếu những điều như thế này được nói theo đúng nghĩa đen cách đây 7 năm, thì rất có thể, sự thật như vậy sẽ không được tin tưởng. Hiện nay nguy cơ bị đánh cắp dữ liệu cá nhân của người dùng điện thoại di động là cực kỳ cao. Có một số lượng lớn các chương trình độc hại chuyên đánh cắp dữ liệu cá nhân từ điện thoại di động của người dùng. Và mới gần đây, không ai có thể tưởng tượng được rằng nền tảng di động lại là mối quan tâm của những kẻ tấn công. Lịch sử của virus bắt đầu vào năm 2004. Năm nay được coi là điểm khởi đầu của virus di động. Đồng thời, virus được tạo ra trong năm nay đã được chọn lọc cho hệ thống Symbian. Đó là minh chứng cho khả năng tồn tại của virus trên nền tảng hệ điều hành Symbian. Tác giả của những phát triển như vậy, được thúc đẩy bởi sự tò mò và mong muốn giúp tăng cường tính bảo mật của hệ thống mà họ tấn công, thường không quan tâm đến việc phân phối hoặc sử dụng với mục đích xấu. Thật vậy, bản gốc của virus Worm .SymbOS.Cabir đã được gửi đến các công ty chống vi-rút thay mặt cho chính tác giả, nhưng sau đó mã nguồn của sâu này đã xuất hiện trên Internet, dẫn đến việc tạo ra một số lượng lớn các sửa đổi mới của chương trình độc hại này. Trên thực tế, sau khi mã nguồn được công bố, Cabir đã bắt đầu "lang thang" độc lập trên điện thoại di động khắp thế giới. Điều này gây rắc rối cho người dùng điện thoại thông minh thông thường, nhưng về cơ bản, dịch bệnh đã không xảy ra, vì các công ty chống vi-rút cũng có mã nguồn của loại vi-rút này và đó là thời điểm các phiên bản phần mềm chống vi-rút đầu tiên dành cho nền tảng di động bắt đầu. Sau đó, nhiều tập hợp khác nhau của loại virus này bắt đầu lây lan, tuy nhiên, điều này không gây ra tác hại lớn. Tiếp theo là backdoor đầu tiên (một chương trình độc hại cho phép truy cập vào hệ thống từ bên ngoài). Chức năng của nó cho phép bạn chuyển tập tin theo cả hai hướng và hiển thị tin nhắn văn bản trên màn hình. Khi một thiết bị bị nhiễm kết nối với Internet, backdoor sẽ gửi email địa chỉ IP của nó cho chủ sở hữu của nó. Sau đó, một chương trình độc hại khác đã xuất hiện dành cho nền tảng di động. Chương trình là file SIS - một ứng dụng cài đặt cho nền tảng Symbian. Việc khởi chạy và cài đặt nó trên hệ thống dẫn đến việc thay thế các biểu tượng (tệp AIF) của các ứng dụng hệ điều hành tiêu chuẩn bằng biểu tượng có hình đầu lâu. Đồng thời, các ứng dụng mới được cài đặt vào hệ thống, bên cạnh các ứng dụng gốc. Các ứng dụng viết lại ngừng hoạt động. Tất cả những điều này đã được nhiều người nghiệp dư tìm ra khi viết các chương trình độc hại, những người bắt đầu tạo ra đủ loại sửa đổi đối với các loại vi-rút cũ và cũng cố gắng tạo ra các loại vi-rút của riêng họ. Tuy nhiên, vào thời điểm đó, tất cả các chương trình độc hại dành cho nền tảng di động còn khá thô sơ và không thể so sánh với các chương trình độc hại tương tự trên máy tính. Một chương trình có tên Trojan.SymbOS Lockhunt đã gây ra khá nhiều tiếng ồn. Chương trình này là một Trojan. Nó khai thác tính "cả tin" (thiếu kiểm tra tính toàn vẹn của tập tin). Sau khi khởi chạy, vi-rút tạo một thư mục trong thư mục hệ thống /system/apps/ với tên gavno, trái ngược với quan điểm của ngôn ngữ Nga, bên trong có tệp gavno. app và các ứng dụng đồng hành của nó là gavno.rsc và gavno_caption.rsc. Hơn nữa, tất cả các tệp đều chứa văn bản thuần túy thay vì thông tin dịch vụ và mã tương ứng với định dạng của chúng. hệ điều hành, chỉ dựa trên phần mở rộng tệp gavno. app , coi nó có thể thực thi được - và bị treo khi cố khởi chạy "ứng dụng" sau khi khởi động lại. Bật điện thoại thông minh trở nên không thể. Sau những loại virus này, chủ yếu là những loại virus cùng loại có thể tự lây truyền qua nhiều công nghệ khác nhau.
Bản thân tính dễ bị tổn thương của nền tảng di động là khá cao vì không có công cụ nào có thể bảo vệ nền tảng di động một cách đáng tin cậy. Ngoài ra, cần phải tính đến thực tế là các nền tảng di động hiện đại vốn đã tương thích chặt chẽ với các hệ điều hành thông thường, có nghĩa là các thuật toán tác động đến chúng vẫn tương tự nhau. Ngoài ra, nền tảng di động còn có hai phương thức truyền dữ liệu khá đặc trưng mà máy tính không có - công nghệ Bluetooth và MMS. Bluetooth là công nghệ truyền dữ liệu không dây được phát triển vào năm 1998. Ngày nay, nó được sử dụng rộng rãi để trao đổi dữ liệu giữa nhiều thiết bị khác nhau: điện thoại và tai nghe, máy tính bỏ túi và máy tính để bàn cũng như các thiết bị khác. Giao tiếp Bluetooth thường hoạt động ở khoảng cách lên tới 10-20 m, không bị gián đoạn bởi các chướng ngại vật vật lý (tường) và cung cấp các giải pháp lý thuyết tốc độ truyền tải dữ liệu lên tới 721 Kbps. MMS là một công nghệ tương đối cũ được thiết kế để mở rộng chức năng của SMS với khả năng truyền hình ảnh, giai điệu và video. Khác với dịch vụ
Giữa tháng 7 được đánh dấu bằng một cuộc tấn công mạng vào toàn bộ khu vực công nghiệp
Những trạng thái Đương nhiên, tạp chí của chúng tôi không thể bỏ lỡ một sự kiện như vậy và
đã chuẩn bị tài liệu về sự việc này.
Gian điệp công nghiệp
Chúng ta đã quen với việc tội phạm mạng cố gắng lừa dối, hack và đánh cắp
người dùng internet không hài lòng. Nhưng thời gian luôn khiến con người phải chuyển động
hơn nữa, để có kết quả mới và lợi nhuận mới. Điều tương tự cũng xảy ra ở
chống lại kẻ xấu. Bạn có thể xây dựng mạng botnet và đánh cắp trong mười năm nữa
số CC, nhưng vẫn còn một lĩnh vực rất lớn chưa được khám phá - ngành,
công nghệ, bí mật và dữ liệu có giá trị. Chính với cô ấy mà sự việc đã xảy ra ở đỉnh cao của
mùa hè - cuộc tấn công chưa từng có vào hệ thống công nghiệp
,Kiểm soát giám sát và
Thu thập dữ liệu, được dịch là "Kiểm soát giám sát và thu thập dữ liệu"
(theo ý kiến của chúng tôi, đây là một hệ thống tương tự của hệ thống điều khiển quá trình tự động - Hệ thống điều khiển tự động
Quy trình công nghệ). Những hệ thống như vậy kiểm soát quá trình sản xuất,
giàn khoan dầu, nhà máy điện hạt nhân, đường ống dẫn khí, v.v. Đương nhiên, như vậy
các khu phức hợp có cơ sở dữ liệu riêng và thông tin trong các cơ sở dữ liệu này là vô giá.
Chính xác thông tin này mà phần mềm độc hại mới nhất đã nhắm mục tiêu, nhận được
Tên .
Stuxnet
Những người đầu tiên phát hiện ra quái thú mới là anh em người Slav đến từ Belarus, cụ thể là -
công ty diệt virus VirusBlokAda. Ngày 17/6, họ tìm thấy thi thể của Vir nhưng chỉ
Vào ngày 10 tháng 7, họ đưa ra một thông cáo báo chí (giải thích rằng họ cần
thông báo cho các công ty có tên bị “mất uy tín” trong vụ việc và kiểm tra bản sao).
Những công ty này khá nổi tiếng - Microsoft và Realtek. Chuyên gia VirusBlokAda
Chúng tôi đã phát hiện sâu bằng cách sử dụng lỗ hổng 0day khi xử lý tệp lối tắt.
(.lnk), và do đó Microsoft đã tham gia vào vấn đề này (về chính lỗ hổng này
nói chuyện sau nhé). Nhưng Realtek có liên quan gì đến nó? Thực tế là đã cài đặt
trình điều khiển worm có chứng chỉ hợp lệ do Verisign chứng nhận và cấp cho
tên Realtek. Sự kiện lần lượt này làm phức tạp đáng kể quá trình phát hiện
nội dung độc hại sử dụng các hệ thống phát hiện và ngăn chặn khác nhau
xâm nhập ở cấp độ máy chủ (HIPS, anti-rootkit), vì các hệ thống như vậy là vô hạn
họ tin tưởng vào các chứng chỉ mà không chú ý đến bản chất của vấn đề. Tôi khá chắc chắn rằng
chứng chỉ tin cậy đã kéo dài đáng kể thời gian tồn tại của phần mềm độc hại trước khi nó bị phát hiện.
Có thể như vậy, sau thông cáo báo chí của người Belarus, các công ty chống vi-rút khác
cũng tham gia nghiên cứu như một lỗ hổng mới mà
sâu lây lan và tải trọng chiến đấu.
Truyền bá
Có vẻ như cơ chế sinh sản của sâu không đặc biệt nguyên bản - thông qua
Ổ đĩa flash USB. Nhưng autorun.inf không liên quan gì đến nó. Một lỗ hổng mới xuất hiện,
cho phép bạn tải thư viện .DLL tùy ý ngay khi ổ đĩa flash
sẽ được chèn vào và người dùng sẽ mở nội dung của nó. Sự thật là trên ổ đĩa flash
chứa một tệp .DLL chứa mã độc (thực ra là một phần mở rộng, trong trường hợp
sâu, - .TMP) và tệp .LNK. Tệp có phần mở rộng .LNK là một lối tắt thông thường.
Nhưng trong hoàn cảnh của chúng ta, nhãn hiệu này không hoàn toàn bình thường. Khi phím tắt được hiển thị trong
shell tiêu chuẩn hoặc Total Commander sẽ tự động thực thi cái gần đó
File .DLL với đủ mọi hệ lụy sau đó! Làm sao điều này xảy ra được?
Như bạn đã biết, phím tắt trỏ tới file thực thi và khi nhấn đúp vào
gọi cho anh ấy. Nhưng ở đây mọi thứ đều không có nhấp chuột và tệp .DLL không thể được thực thi như vậy. Nếu như
nhìn vào phím tắt trong trình soạn thảo HEX, bạn có thể thấy đường dẫn được chỉ định ở giữa nó
tới.DLL của chúng tôi. Ngoài ra, đây không phải là phím tắt thông thường mà là phím tắt đến thành phần bảng điều khiển
điều khiển! Chi tiết này giải thích mọi thứ. Bất kỳ phần tử bảng điều khiển nào - .CPL-
applet. Nhưng CPL thực chất là một .DLL đơn giản nên nó là phím tắt của Control Panel
đặc biệt, nó dường như hiểu rằng nó đang xử lý .DLL. Hơn nữa, lối tắt như vậy
cố gắng KÉO biểu tượng ra khỏi .DLL để hiển thị nó trong Explorer. Nhưng để
Để kéo ra biểu tượng, bạn cần tải thư viện. Trên thực tế, vỏ là gì và
thực hiện điều này bằng cách gọi LoadLibraryW().
Công bằng mà nói, điều đáng chú ý là việc gọi hàm này một cách tự động
đòi hỏi phải thực thi hàm DllMain() từ thư viện đã tải.
Do đó, nếu lối tắt như vậy không trỏ đến một applet .CPL mà là một ác quỷ.
thư viện có mã ác (trong hàm DllMain()) thì đoạn mã đó sẽ được thực thi
TỰ ĐỘNG khi xem biểu tượng phím tắt. Ngoài ra, lỗ hổng này có thể
sử dụng và sử dụng các phím tắt .PIF.
Tải trọng chiến đấu
Ngoài cách phân phối thú vị, tôi còn ngạc nhiên bởi tải trọng chiến đấu - không
botnet, đánh cắp mật khẩu ngân hàng, số CC. Mọi thứ hóa ra lớn hơn nhiều.
Lỗ hổng .LNK gây ra việc tải xuống tệp ẩn có tên ~wtr4141.tmp,
nằm cạnh nhãn. Tệp này có thể thực thi được nhưng nhỏ (chỉ 25 KB). Làm sao
các chuyên gia từ Symantec lưu ý, điều rất quan trọng lúc đầu là phải giấu thông tin của bạn
hiện diện trong khi hệ thống chưa bị nhiễm virus. Có tính đến các chi tiết cụ thể của lỗ hổng 0day,
có hiệu lực ngay khi người dùng nhìn thấy các biểu tượng, nó sẽ hoạt động và
~wtr4141.tmp, chủ yếu thực hiện việc chặn cuộc gọi hệ thống trong
kernel32.dll. Cuộc gọi bị chặn:
- FindFirstFileW
- TìmTiếp theoTệpW
- FindFirstFileExW
Móc cũng được gắn vào một số chức năng từ ntdll.dll:
- Tệp thư mục NtQuery
- Tệp thư mục ZwQuery
Tất cả các chức năng này được xử lý theo logic sau - nếu tệp bắt đầu bằng
"~wtr" và kết thúc bằng ".tmp" (hoặc ".lnk"), sau đó xóa nó khỏi
giá trị được hàm ban đầu trả về, sau đó trả về phần còn lại.
Nói cách khác, ẩn sự hiện diện của bạn trên đĩa. Vì vậy người dùng chỉ cần
sẽ không nhìn thấy các tập tin trên ổ đĩa flash. Sau đó, ~wtr4141.tmp tải tệp thứ hai với
đĩa (~wtr4132.tmp). Anh ấy làm điều này không hoàn toàn chuẩn mực, tôi thậm chí có thể nói
nghịch lý - bằng cách cài đặt hook trong ntdll.dll cho các cuộc gọi:
- ZwMapViewOfSection
- ZwTạoPhần
- ZwMởTệp
- ZwĐóngTệp
- ZwQueryAttributTệp
- Phần ZwQuery
Sau đó, bằng cách sử dụng lệnh gọi LoadLibrary, nó sẽ cố tải một tệp không tồn tại
với một tên đặc biệt, các hook đã cài đặt trước đó sẽ được kích hoạt cho mục đích này và tải
tệp thứ hai, thực sự đã tồn tại - ~wtr4132.tmp, hay đúng hơn là nó
phần chưa được mã hóa, giải mã phần thứ hai (trên thực tế -
nén UPX). Phần thứ hai đại diện cho một số tài nguyên, các tập tin khác,
sẽ phát huy tác dụng sau khi giải mã và xuất (tương tự như
phương thức có móc nối với các hàm API).
Trước hết, hai trình điều khiển được cài đặt - mrxcls.sys và mrxnet.sys (cụ thể là
Vì những tập tin này mà sâu có tên là Stuxnet). Chúng được cài đặt trong
thư mục hệ thống và chức năng trên chúng là rootkit cấp hạt nhân có cùng logic,
như trong tập tin đầu tiên. Điều này sẽ đảm bảo sâu được bảo vệ sau khi khởi động lại và tắt máy
quá trình ~wtr4141.tmp.
Các trình điều khiển này, như đã đề cập, có chứng chỉ Realtek hợp pháp,
do đó, quá trình cài đặt của chúng sẽ diễn ra mà không gặp vấn đề gì (hiện tại chứng chỉ đã có
bị thu hồi). Ngoài rootkit, mẫu phím tắt và các tệp ~wtr4141.tmp cũng được giải nén cho
tổ chức lây nhiễm các thiết bị USB khác. Sau đó, mã được xuất,
tự đưa chính nó vào các tiến trình hệ thống và thêm các tệp .SYS nêu trên vào sổ đăng ký
rootkit (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). Hơn nữa
hai tệp .DLL được giải mã, thay thế các tệp hệ thống SCADA hiện có
- Siemens Bước 7.
Như vậy, mọi cuộc gọi từ hệ thống SCADA đều được chuyển tới các thư viện giả mạo.
Quá trình xử lý “cần thiết” diễn ra ở đó, sau đó các cuộc gọi sẽ được chuyển sang .DLL gốc
(vir tự mô phỏng các chức năng còn lại). Ngoài tất cả mọi thứ
liệt kê ở trên, sâu chặn các tiến trình chống virus và cố gắng tìm các máy chủ
Cơ sở dữ liệu (MSSQL). Tìm thấy chúng, anh cố gắng đăng nhập bằng tài khoản
WinCCConnect và mật khẩu mặc định là 2WSXcder. Đây là tài khoản từ cơ sở dữ liệu SCADA
loại Siemens Simatic WinCC. Như bạn có thể thấy, con sâu này được thiết kế riêng cho sản phẩm của Siemens.
Nếu xác thực thành công, gián điệp sẽ đưa ra dữ liệu về các quy trình và những thứ khác.
thông tin bí mật. Ngoài ra, anh không ngần ngại tìm kiếm các tập tin cục bộ để có thông tin hữu ích.
thông tin cho điệp viên. Nếu có thể phát hiện được kết nối Internet thì sâu sẽ bò
đến một trong các máy chủ lệnh. Tên máy chủ là:
- mypremierfutbol.com
- hôm nayfutbol.com
Đây là nơi sâu cố gắng tiếp cận và rò rỉ “thứ gì đó” ở dạng mã hóa.
Những người từ Symantec cũng đã tìm ra vấn đề này. Hóa ra mã hóa đó
là một phép toán XOR byte với khóa 31 bit được
được khâu vào một trong các thư viện DLL. Phản hồi từ máy chủ cũng đến
Tuy nhiên, ở dạng XOR, một khóa khác từ cùng một thư viện sẽ được sử dụng. Trojan
gửi đến máy chủ thông tin chung về máy bị nhiễm (phiên bản Windows, tên
máy tính, địa chỉ của các giao diện mạng, cũng như cờ cho sự hiện diện của SCADA). Đáp lại từ
trung tâm chỉ huy có thể nhận các lệnh gọi RPC để làm việc với các tập tin, tạo
các quy trình, triển khai vào quy trình và tải các thư viện mới, v.v.
Nó là cái gì vậy?
Đúng rồi... đó là cái gì vậy?! Những chiếc mũ đen đơn giản sẽ không tham gia vào những gì
sẽ không mang lại tiền dễ dàng. Dữ liệu từ hệ thống SCADA chỉ được các đối thủ cạnh tranh quan tâm.
Đối thủ cạnh tranh về mặt thương mại hoặc chính trị. Nếu bạn nhìn vào bản đồ
lây nhiễm (theo Kaspersky Lab), rõ ràng là
tâm chấn là châu Á (cụ thể là Ấn Độ, Iran và Indonesia). Nếu bạn nhìn vào
chức năng được mô tả của sâu, bạn có thể kinh hoàng - kiểm soát .DLL và chặn
chức năng SCADA. Vận hành một nhà máy điện hạt nhân ở Ấn Độ chẳng phải rất thú vị sao?
Internet? Hay xâm nhập vào chương trình hạt nhân của Iran? Hơn nữa, chúng ta có một thực tế
rằng trình điều khiển rootkit có chứng chỉ pháp lý về mặt địa lý
thuộc sở hữu của một công ty có trụ sở tại cùng khu vực (Thái Lan)!
Câu chuyện này đang được giải quyết không chỉ bởi các công ty chống vi-rút mà còn
các cơ cấu chính phủ (để che đậy dấu vết của họ? :)). Kết quả là
"chụp" các tên miền và máy chủ lệnh được chỉ định đã được phân tích
thống kê xe ốm gõ cửa đấy. Kết quả là dữ liệu của Symantec gần như
trùng khớp với thông tin từ Kaspersky Lab - tất cả đều giống nhau ở các quốc gia. Ngoài tất cả mọi thứ
Điều này đã được xác nhận bằng thực tế thâm nhập vào chính hệ thống SCADA. Chưa
rất nhiều, về ba sự thật (hai từ Đức và một từ Iran). Nhưng không phải ai cũng sẽ
công khai nói rằng họ đã bị cưỡng hiếp...
Chuyện gì sẽ xảy ra?
Sau mọi chuyện đã xảy ra, tôi nghĩ sẽ có sự quan tâm mạnh mẽ đến vấn đề bảo mật
SCADA. Trước sự cố này, đã có cả nhà nghiên cứu và công ty
cảnh báo về các vấn đề bảo mật và cung cấp dịch vụ của họ, nhưng điều này
một trường hợp cụ thể có thể giúp họ kiếm tiền rất tốt. Tôi dám tin điều đó
mô hình sâu tương tự cũng phù hợp với các hệ thống ERP, vì sơ đồ hiển thị
cũng áp dụng cho mô hình này. Hệ thống ERP chịu trách nhiệm lập kế hoạch và quản lý
kinh doanh - tiền bạc, nhiệm vụ, hàng hóa, v.v., v.v. (Tôi thậm chí sẽ nói rằng
Sẽ dễ dàng hơn để viết một sâu như vậy cho ERP, nhưng vì SCADA và các vùng đã được chọn
Châu Á, ở đây hơi có mùi chính trị...). Vì vậy tất cả công việc kinh doanh này và
hệ thống công nghiệp vẫn đang chờ đợi những người hùng của họ (xin chào Alexander Polykov hay còn gọi là
sh2kerr). Nhưng đối với lỗ hổng .LNK chẳng hạn, Zeus Trojan đã
bắt đầu sử dụng nó để sinh sản của mình. Ngoài ra, những người từ Rapid7
đã khai thác Metasploit, có thể hoạt động qua HTTP bằng cách sử dụng
WebDav.
Trong trường hợp này, shellcode được ghi vào tệp .DLL và phím tắt sẽ tải nó. Vá trên
tại thời điểm viết bài này vẫn chưa xảy ra, nhưng mối đe dọa là rất đáng kể - chỉ vậy thôi
các công ty chống vi-rút nói rằng họ phát hiện vi-rút một cách hoàn hảo dựa trên dấu hiệu,
vì vậy đã đến lúc chỉ ra rằng chữ ký thật tệ. Chữ ký DLL cho chúng tôi
không thú vị lắm, nhưng đây là chữ ký xác định rằng lối tắt này là
khai thác chắc chắn có thể hút. Hãy đi đường tắt từ PoC công cộng
(suckme.lnk_) và gửi điều kỳ diệu này tới virustotal.com. Kết quả là chúng ta có 27
phần mềm chống vi-rút đã phát hiện ra nó. Bây giờ hãy mở bảng điều khiển và tạo
một vài phím tắt, tốt nhất là một phím tắt từ Java. Tiếp theo, hãy đổi tên các phím tắt này thành
bảng điều khiển:
không có Java.lnk Java.lnk_
Sao chép phím tắt thứ hai theo cách tương tự như phím tắt đầu tiên. Bây giờ chúng ta có thể chỉnh sửa chúng trong
Trình soạn thảo HEX. Thông thường tất cả các phím tắt đều có chỉ mục ở dạng Unicode, nhưng
Phím tắt Java - không. Kết quả là, chúng tôi thấy hai liên kết đến các ứng dụng CPL và đối với Java -
không ở dạng Unicode. Thay đổi đường dẫn đến CPL (DLL) vào tệp của chúng tôi, xóa nó ở giữa
thêm byte (fa ff ff ff 20) và lưu lại. Sao chép lại với phần mở rộng .LNK.
Chúng tôi gửi kết quả đến virustotal.com. Còn lại 11 phần mềm diệt virus cho phím tắt Unicode,
đối với phím tắt Java - 8, tức là 70% phần mềm chống vi-rút đã ngừng phát hiện hành vi khai thác và
Trong số các phần mềm chống vi-rút này có những gã khổng lồ như Symantec, Kaspersky, AVG, NOD32. Vì thế
phần mềm chống vi-rút đó không phải là thuốc chữa bách bệnh ở đây.
Đây là... năm kopecks của tôi để họ không thư giãn ở đó, nhưng nói chung,
các chuyên gia chống virus phải được cảm ơn vì công việc tỉ mỉ và thú vị như vậy,
công việc họ đã làm để giúp chúng ta hiểu được mối đe dọa này. Cảm ơn,
máy bay chiến đấu chống vi-rút: AdBlokAda (được phát hiện và nghiên cứu lần đầu tiên), Symantec
(để phân tích kỹ thuật chi tiết trên blog của anh ấy), ESET và cá nhân
Alexander Matrosov vì công việc của họ tại phòng thí nghiệm Moscow. Cũng cảm ơn
Kaspersky Lab và blog của họ, trong đó Alexander Gostev đã chia sẻ quan điểm của mình
suy nghĩ và bản đồ đẹp :). Vâng, cảm ơn độc giả của tôi đã tiêu hóa
vật liệu quan trọng này.
Ngày càng có nhiều thông tin chi tiết được tiết lộ về virus StuxNet, được phát hiện vào tháng 6 năm nay. Tại sao virus lại bất thường? Vâng, rất nhiều thứ...
- Trước hết, vì nó có thể lây lan trên các ổ đĩa flash (sử dụng một lỗ hổng trong quá trình xử lý tệp lnk) nên bản thân điều này đã là một điều kỳ lạ trong thời đại Internet.
- Anh ta cũng đáng chú ý vì thực tế là anh ta đã sử dụng không phải một mà là bốn lỗ hổng 0 ngày (tức là cho đến nay vẫn chưa được biết), điều này cũng không xảy ra thường xuyên. Hay đúng hơn là hai lỗ hổng đã được biết đến, nhưng rất ít. Microsoft không biết về chúng và do đó, không phát hành bất kỳ bản vá nào. Để chắc chắn, virus cũng sử dụng lỗ hổng thứ năm, nổi tiếng nhưng rất nguy hiểm trong dịch vụ RPC, lỗ hổng này đã bị sâu Conficker khai thác triệt để.
- Virus đã được ký bằng chữ ký số bị đánh cắp. Vì mục đích bảo mật, Microsoft yêu cầu tất cả các trình điều khiển trên hệ thống phải được ký. Đã không giúp được gì. Những kẻ tấn công rất có thể đã đánh cắp chữ ký từ các chi nhánh MicronJ và RealTek của Đài Loan. Một sự thật kỳ lạ là văn phòng của các công ty này đều nằm trong cùng một tòa nhà ở thành phố Shinchu. Nếu đây không phải là sự trùng hợp ngẫu nhiên thì có nghĩa là ai đó đã vào phòng, đăng nhập vào máy tính tương ứng và lấy trộm chìa khóa. Không phải công việc nghiệp dư.
- Rõ ràng nó được viết bởi một nhóm - nửa megabyte mã trong trình biên dịch mã, C và C++.
- Stuxnet được phát hiện không phải ở Mỹ, Trung Quốc hay Châu Âu, nơi có nhiều người sử dụng Internet nhất và nơi mà các loại virus thông thường có ân sủng nhất, mà là ở Iran. 60% số ca nhiễm trùng xảy ra ở bang Cách mạng Hồi giáo.
- Nó có thể chấp nhận lệnh và cập nhật theo cách phi tập trung, như P2P. Botnet cổ điển sử dụng hệ thống chỉ huy trung tâm
- Và điều quan trọng nhất, tôi không ngại nói, điều giật gân là virus không gửi thư rác, không định dạng đĩa và thậm chí không lấy cắp dữ liệu ngân hàng. Anh ta đang tham gia vào hoạt động phá hoại công nghiệp. Chính xác hơn, nó tấn công các hệ thống giám sát và điều khiển công nghiệp bằng phần mềm có tên Simatic WinCC. Điều giật gân hơn nữa là Stuxnet bí mật ghi chính nó vào các chip lập trình được (chúng được sử dụng để kiểm soát quá trình sản xuất), ngụy trang và giết chết một số quy trình quan trọng. Không phải là một quy trình ngẫu nhiên mà là một quy trình trả về một mã cụ thể. Thật không may, ý nghĩa của mã này vẫn chưa được biết. . Nhân tiện, điều này giải thích phương pháp phân phối qua ổ đĩa flash - các hệ thống công nghiệp hiếm khi được kết nối với Internet.
Kết luận đã gợi ý: một nhóm các chuyên gia cứng rắn muốn phá vỡ một thứ gì đó, một thứ rất đắt tiền, quan trọng và mang tính công nghiệp. Nhiều khả năng là ở Iran (mặc dù virus này cũng đã lây lan sang các nước khác) và rất có thể nó đã bị phá vỡ thành công (theo các nhà virus học, Stuxnet đã tồn tại được gần một năm trước khi bị phát hiện). . Điều này đòi hỏi thiết bị kỹ thuật hạng nhất - từ những người đánh cắp chìa khóa, đến các chuyên gia về lỗ hổng, đến các chuyên gia sản xuất công nghiệp. Ít nhất là có sự hợp tác với quy mô khá lớn, và nhiều khả năng là các cơ quan chính phủ của ai đó.
Không biết chính xác ai sử dụng hệ thống WinCC ở Iran, nhưng những người theo thuyết âm mưu chỉ ra rằng một bản sao của WinCC và một bản không có giấy phép đã được cài đặt tại lò phản ứng đang được xây dựng ở Bushehr. Cùng một nơi mà Iran muốn làm giàu uranium cho chương trình hạt nhân của mình và để bảo vệ nơi mà Nga muốn gửi hệ thống tên lửa S-300 và đã gửi súng phòng không Tor-1.
Tất nhiên, điều này không chứng minh Bushehr là mục tiêu. Có lẽ một nửa số nhà máy ở Iran đang sản xuất sản phẩm này. Điều tồi tệ hơn nhiều đối với Iran.
(Cập nhật: Có vẻ như WinCC đã được cấp phép ở Iran. Khóa dự án 024 trong tệp README đi kèm được chỉ định riêng cho Bushehr (xem trang 2. Nhân tiện, không có đối tượng Iran nào khác trong danh sách.)
Nhân tiện: hầu hết thông tin cần thiết để tạo ra một vir đều thuộc phạm vi công cộng. Các lỗ hổng tương tự đã được đề cập một vài lần ở nhiều nơi khác nhau; mật khẩu cơ sở dữ liệu của nhà máy đã được tìm thấy trên các diễn đàn. Các botnet P2P đã được thảo luận như một khả năng lý thuyết. Giới thiệu về WinCC - ảnh trên. Một chiến lược rất thông minh. Thứ nhất, nó tiết kiệm tiền, thứ hai, không thể theo dõi đường đi của thông tin. Câu hỏi "ai có thể biết được điều này?" trở nên rất phức tạp - nhưng bất cứ ai cũng có thể.
Nói tóm lại, chúng tôi theo dõi tin tức. Tuần tới - bài thuyết trình của Ralph Langner tại hội nghị về hệ thống điều khiển công nghiệp, ngày 29 tháng 9 - các nhà nghiên cứu từ Symantec, cũng như các nhà nghiên cứu từ Kaspersky.
Cuộc điều tra về virus StuxNet tiếp tục phát triển.
Kaspersky Lab tuyên bố một phần của Duqu Trojan được viết bằng ngôn ngữ lập trình không xác định được tạo riêng để phát triển loại virus này. Theo các chuyên gia, điều này cho thấy khoản đầu tư hàng triệu đô la vào việc phát triển Duqu và lệnh của chính phủ cho việc tạo ra nó.
Alexander Gostev nói: “Không còn nghi ngờ gì nữa rằng Stuxnet và Duqu được viết ra vì lợi ích của chính phủ nào đó, nhưng không có bằng chứng cụ thể nào về chính phủ nào”. “Nếu chưa ai từng thấy ngôn ngữ lập trình như vậy, thì điều này có nghĩa là một dự án phần mềm nghiêm túc, hàng triệu đô la được chi cho việc phát triển và thêm bằng chứng cho thấy các chính phủ đứng sau Duqu.”
Cục Điều tra Liên bang Mỹ đang gây áp lực mạnh mẽ lên các quan chức cấp cao bị tình nghi tiết lộ thông tin nhạy cảm về việc chính phủ Mỹ dính líu đến việc sử dụng Stuxnet để thực hiện các cuộc tấn công. Tờ Washington Post đưa tin này.
FBI và Văn phòng Luật sư Hoa Kỳ đang phân tích tài khoản email, hồ sơ điện thoại của nghi phạm và phỏng vấn các quan chức hiện tại và cựu quan chức để tìm bằng chứng liên kết họ với các nhà báo.
Stuxnet được thiết kế đặc biệt để tấn công một cấu hình cụ thể của bộ điều khiển logic khả trình của Siemens được sử dụng tại một nhà máy làm giàu uranium ở thành phố Nantans của Iran.
Sự miêu tả
Vào ngày 9 tháng 7 năm 2010, các chuyên gia của công ty diệt virus VirusBlokada của Belarus đã phát hiện ra phần mềm độc hại (malware) ở Iran, được đặt tên là Stuxnet. Các công ty chống virus không có sự thống nhất chính xác về thời điểm Stuxnet xuất hiện; theo một số nguồn tin, nó đã lan rộng ngay từ tháng 1 năm 2009. Tính năng đặc biệt:
- Stuxnet chứa một số mô-đun được viết bằng nhiều môi trường phát triển và ngôn ngữ lập trình;
- để vượt qua các cơ chế bảo vệ chống vi-rút, một số mô-đun (trình điều khiển) phần mềm độc hại đã có chữ ký số được tạo bằng chứng chỉ từ Realtek và JMicron (có lẽ đã bị đánh cắp);
- Một số phương thức phân phối - qua ổ USB-Flash và qua mạng. Trong phiên bản 2009, phương pháp khởi chạy thông qua autorun.inf được sử dụng rộng rãi (theo quy định, bị vô hiệu hóa vì lý do bảo mật), trong phiên bản 2010, phương pháp này được thay thế bằng một phương pháp hiệu quả hơn - sử dụng lỗ hổng xử lý phím tắt MS10 -046 (ngày 0 tại thời điểm đó). Để phân phối qua mạng, các lỗ hổng MS08-067 (trước đây được phần mềm độc hại Kido sử dụng vào năm 2009, dẫn đến lây nhiễm hàng loạt) và MS10-061 (zero-day vào thời điểm đó) đã được sử dụng;
- để đảm bảo hoạt động, các đặc quyền đã được nâng lên cấp quản trị viên hệ thống bằng cách sử dụng hai lỗ hổng cục bộ (zero-day tại thời điểm đó) MS10-073 (Windows 2000 và XP) và MS10-092 (Windows Vista, bao gồm cả phiên bản x64), do đó việc khởi chạy phần mềm độc hại thông thường từ các tài khoản hạn chế được cung cấp;
- Stuxnet tổ chức mạng ngang hàng (P2P) của riêng nó để đồng bộ hóa và cập nhật các bản sao của nó;
- có chức năng cho phép bạn gửi thông tin tìm thấy trên máy tính đến các máy chủ điều khiển từ xa;
- Tải trọng bất thường này làm gián đoạn hoạt động bình thường của hệ thống tự động hóa SIMATIC của Siemens, hệ thống thường được sử dụng trong các hệ thống điều khiển quy trình công nghiệp khác nhau.
Một chuyên gia bảo mật thông tin đến từ Đức, Ralf Langner, đã công bố một bản phân tích về các hành động của Stuxnet liên quan đến SIMATIC trên trang web riêng của ông vào tháng 9 năm 2010.
SIMATIC WinCC (Trung tâm điều khiển Windows) là phần mềm tạo giao diện người-máy, một phần của dòng hệ thống tự động hóa SIMATIC. Nó chạy trong hệ điều hành thuộc họ Microsoft Windows NT và sử dụng cơ sở dữ liệu Microsoft SQL Server 2000 (bắt đầu từ phiên bản 6.0). Giao diện WinCC với STEP 7.
SIMATIC STEP 7 – phần mềm phát triển hệ thống tự động hóa dựa trên bộ điều khiển logic khả trình (PLC) SIMATIC S7-300/S7-400/M7/C7 và WinAC.
Nếu Stuxnet xác định rằng nó đang chạy trên một trạm kỹ thuật, nó sẽ thay thế phần STEP7 chịu trách nhiệm đưa mã vào PLC. Thời điểm kỹ sư kết nối với bộ điều khiển, nếu Stuxnet nhận ra cấu hình phần cứng phù hợp, nó sẽ sửa đổi mã được gửi tới PLC. Các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công quan tâm đến bộ điều khiển 6ES7-417 và 6ES7-315-2, cũng như các mạng công nghiệp theo tiêu chuẩn Profibus-DP. STEP7 đã sửa đổi, khi cố gắng đọc các khối chương trình đã sửa đổi, PLC sẽ hiển thị chúng ở dạng ban đầu (thành phần rootkit để che giấu sự thật về sửa đổi).
Stuxnet xác định hệ thống mục tiêu bằng cách kiểm tra khối dữ liệu DB 890. Điều này xảy ra định kỳ năm giây một lần trong môi trường WinCC.
Nếu điều kiện được đáp ứng, Stuxnet sẽ sửa đổi mô-đun OB 35 trong quá trình truyền từ Trình quản lý Simatic tới PLC. Mô-đun OB 35 được gọi vào PLC cứ sau 100 ms theo bộ đếm thời gian, trong đó thiết bị chặn Stuxnet kiểm tra mã trả về của hàm FC 1874. Nếu mã trả về từ FC 1874 là DEADF007 thì nội dung ban đầu của OB 35 không được thực thi.
Mã Stuxnet trong PLC cho phép:
- lắng nghe mạng Profibus-DP (thông qua đó PLC giao tiếp) và tạo các gói của riêng chúng, đồng thời dữ liệu cho các gói này có thể được cập nhật từ trạm kỹ thuật;
- đọc đầu vào PLC và điều khiển đầu ra của nó, cảm biến và bộ truyền động (AM) được kết nối tương ứng với chúng, trong khi đối với hành động được nhắm mục tiêu, bạn cần biết cụ thể cảm biến/AM nào được kết nối với đầu vào/đầu ra nào;
- đồng bộ hóa các bản sao của chúng giữa các PLC bị nhiễm thông qua mạng Profibus-DP (các PLC không thể bị lây nhiễm lẫn nhau, mã thực thi của bộ điều khiển không thể được viết lại nhanh chóng, chỉ có dữ liệu, đây là một hạn chế của bộ điều khiển Siemens).
Siemens xác nhận rằng virus nhắm vào một cấu hình công nghệ cụ thể. Tổng cộng, công ty đã báo cáo 15 trường hợp tại nơi làm việc, chủ yếu ở Đức. Không một trường hợp nào Stuxnet xâm nhập được vào PLC vì các thông số không khớp. Tuy nhiên, điều này không ảnh hưởng đến hoạt động của thiết bị và trong mọi trường hợp Stuxnet đều bị vô hiệu hóa.
kết luận
Những sự thật này cho phép chúng tôi rút ra kết luận sau:
- Stuxnet là phần mềm độc hại được thiết kế cẩn thận, được phát triển bởi một nhóm chuyên gia trong nhiều lĩnh vực khác nhau;
- không có dữ kiện phân phối qua Internet nào được xác định, chỉ qua USB-Flash và qua mạng - những dấu hiệu này là điển hình cho việc triển khai trong một hệ thống khép kín không có kết nối trực tiếp với mạng công cộng;
- Chức năng làm gián đoạn hoạt động bình thường của hệ thống điều khiển quy trình công nghiệp Siemens WinCC (công cụ phá hoại máy tính) ngụ ý rằng các nhà phát triển Stuxnet đã có một hệ thống phần cứng và phần mềm để thử nghiệm giống hệt với hệ thống mà cuộc tấn công đã lên kế hoạch. Ngoài ra, họ còn tập trung vào một mục đích cụ thể (sử dụng dữ liệu từ nhân sự được tuyển dụng trong tổ chức);
- Việc phát triển quy mô này đòi hỏi nguồn kinh phí đáng kể - thanh toán cho một nhóm lập trình viên, tổ chức đánh cắp chứng chỉ kỹ thuật số, mua hoặc phát triển 4 lỗ hổng zero-day, truy cập vào hệ thống Siemens WinCC đã triển khai.
Phiên bản
Các chuyên gia tin rằng Stuxnet có thể đã được phát triển để chống lại nhà máy điện hạt nhân Bushehr ở Iran. Israel và Hoa Kỳ có thể là những nhà phát triển tiềm năng. Phiên bản này dựa trên các sự kiện sau:
- Iran là một trong những khu vực bị ảnh hưởng nặng nề nhất bởi Stuxnet. Đánh giá theo diễn biến của dữ liệu lây nhiễm, vào khoảng tháng 5 đến tháng 6 năm 2010, Iran dẫn đầu về số ca nhiễm;
- Nhà máy điện hạt nhân Bushehr (NPP) là một trong những mục tiêu quân sự quan trọng nhất ở Iran;
- Các nhà máy điện hạt nhân bắt đầu được xây dựng từ những năm 1970. Siemens đã tham gia xây dựng. Năm 1979, Siemens ngừng hoạt động ở nước này (do cách mạng). Siemens sau đó đã quay trở lại Iran và đây là một trong những thị trường lớn nhất của hãng. Vào tháng 1 năm 2010, Siemens lại tuyên bố chấm dứt hợp tác với Iran. Tuy nhiên, vào mùa hè, nó bị phát hiện đang cung cấp linh kiện cho Bushehr. Việc phần mềm Siemens có được sử dụng tại nhà máy điện hạt nhân để kiểm soát các quy trình hay không vẫn chưa chính thức được biết. Trong một trong những ảnh chụp màn hình máy tính được đăng trên Internet, được cho là chụp bên trong một nhà máy điện hạt nhân, bạn có thể thấy hệ thống điều khiển Siemens WinCC;
- tham gia xây dựng các nhà máy điện hạt nhân của công ty Atomstroyexport của Nga, công ty có các dự án ở Ấn Độ, cũng như việc các công ty Nga có truyền thống coi thường các vấn đề an ninh thông tin, có thể dẫn đến sự lây lan của Stuxnet ở Ấn Độ;
- Israel là một trong những quốc gia quan tâm nhất đến việc phá vỡ hoạt động của nhà máy điện hạt nhân Bushehr. Iran bị nghi ngờ rằng tại trạm này, dưới vỏ bọc nhiên liệu hạt nhân, nguồn dự trữ sẽ được sản xuất để sản xuất vũ khí hạt nhân của riêng họ, rất có thể được sử dụng để chống lại Israel;
- Israel nằm trong số những quốc gia có các chuyên gia công nghệ thông tin được đào tạo bài bản, có khả năng sử dụng chúng cho cả tấn công và gián điệp.
- Theo các chuyên gia, cơ sở làm giàu uranium ở Natanz, một cơ sở sâu dưới lòng đất được củng cố nghiêm ngặt và ẩn giấu, gây ra rủi ro lớn hơn nhiều về mặt sản xuất vũ khí hạt nhân so với nhà máy điện hạt nhân Bushehr;
- Vào tháng 7 năm 2009, một nguồn tin liên quan đến chương trình hạt nhân của Iran đã bí mật báo cáo về một vụ tai nạn hạt nhân nghiêm trọng xảy ra không lâu trước đó tại Natanz. Sau đó, theo truyền thông Iran và đài BBC của Anh, Gholamreza Aghazadeh, người đứng đầu Tổ chức Năng lượng Nguyên tử Iran (IAEO), đã từ chức. Đồng thời, theo dữ liệu chính thức do IAEO cung cấp cho các cơ quan quản lý, số lượng máy ly tâm đang hoạt động ở Natanz đã giảm đáng kể (vài nghìn), có thể là hậu quả của tác động của Stuxnet.
Tại Hoa Kỳ vào tháng 6 năm 2012, một cuốn sách đã được xuất bản có tựa đề “Đối đầu và che giấu: Những cuộc chiến bí mật của Obama và việc sử dụng quyền lực Mỹ đáng kinh ngạc”, theo đó Stuxnet được phát triển ở Hoa Kỳ với sự tham gia của các chuyên gia Israel và chính xác là với mục tiêu vô hiệu hóa Tác giả - nhà báo của tờ The New York Times David Sanger - cho rằng Stuxnet được phát triển dưới thời tổng thống George W. Bush. Dự án có tên là "Thế vận hội Olympic". Lúc đầu nó là một chương trình phát tán phần mềm gián điệp, nhờ vào nhờ đó có thể hiểu rõ hơn về thiết bị của trung tâm làm giàu uranium của Iran ở Natanz. Sau đó, chức năng đã được phát triển có ảnh hưởng đến phần mềm điều khiển các máy ly tâm làm sạch uranium.
Mới năm ngoái, David Sanger và hai đồng nghiệp của ông đã đăng một bài báo trên tờ New York Times tuyên bố rằng Stuxnet thực sự là sản phẩm của các cơ quan tình báo Mỹ và Israel và họ đang thử nghiệm nó tại trung tâm bí mật Dimona của Israel ở sa mạc Negev. Về mặt chính thức, Israel từ chối thừa nhận rằng họ có chương trình hạt nhân của riêng mình, nhưng các tác giả của bài báo đề cập đến một số chuyên gia am hiểu về lĩnh vực tình báo và quân sự, những người xác nhận rằng có những máy ly tâm ở Dimona gần giống với những máy ly tâm ở Natanz. Khả năng vô hiệu hóa chúng của Stuxnet đã được thử nghiệm trên chúng, cùng với những thứ khác.
Theo The Wall Street Journal, FBI đang điều tra một vụ rò rỉ thông tin cho thấy chính phủ có liên quan đến các cuộc tấn công mạng nhằm vào các cơ sở hạt nhân của Iran.
Nhiều chuyên gia tỏ ra hoài nghi về thông tin này. Họ coi đó là một cách “nhồi nhét” thông tin khác trước thềm bầu cử tổng thống Mỹ.
Các nguồn thông tin chi tiết về Stuxnet:
Báo cáo phân tích của Symantec
