Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.

Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security

Про этого червя писали много. Но все же по странным причинам не так много, как могли бы, ведь речь идёт не просто об обычном вирусе. Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки. Его появление не только выявило очередные уязвимости в операционных системах Microsoft, но и устремило взоры специалистов по информационной безопасности в абсолютно новую для них область - безопасность промышленных систем. Раньше мало кто задумывался об этом, хотя некоторые компании предупреждали об этом ещё несколько лет назад. Причины вполне ясны: промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование и ПО, все процессы чётко регламентированы. Казалось бы, никакой опасности быть просто не может! Но как выясняется, это не так. Подобную «фантастическую» картину мы могли видеть в уже достаточно старом фильме «Хакеры». Разработчикам червя Stuxnet удалось без труда обойти эту, казалось бы, самую надёжную физическую защиту. Почему «разработчикам»? Потому что тут речь, несомненно, идёт не об одном человеке, а о целой группе, в составе которой кроме профессиональных программистов и эксплоитописателей были и инженеры, и специалисты по АСУ ТП, знающие специфику работы с промконтроллерами и другим периферийным оборудованием. Вопросов много, а ответов… несмотря на то, что прошло уже 4 месяца с момента первого обнаружения червя, чётких ответов пока нет. Причин этого несколько:

• Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
• Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
• Ну и последнее - поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.

Digital Security - одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.

Итак, попробуем разобраться по порядку…

Промышленная сеть: что это такое?

Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC - контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet - это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр. Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.

Сам контроллер - это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах - обычно собственной разработки производителя, информация о которой малодоступна - QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек - оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ - Автоматизированное Рабочее Место. АРМ - это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько - их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.

У многих малознакомых с АСУ ТП людей возникает вполне логичный вопрос: если есть полноценные компьютеры, которые могут всем управлять, то зачем еще и контроллеры? Ответ прост: им не доверяют. Компьютеры под управлением Windows имеют свойство «виснуть», и, собственно, Windows никак не претендует на звание Realtime OS. А у контроллеров своя операционная система, свое промышленное резервированное питание, и отказоустойчивость в разы выше, чем у любого персонального компьютера.

Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное - о проблемах, связанных с его лечением. Итак, Stuxnet…

Stuxnet - что это такое?

Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители - как и почему, будет рассказано немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.

Червь устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и содержит в себе специализированное ПО для выполнения основной задачи. Драйверы, которые троян устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. Известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют цифровую подпись для «тихой» установки драйверов руткита в целевую систему. В системах безопасности многих производителей файлы, подписанные известными фирмами, заведомо считаются безопасными, и наличие подписи дает возможность беспрепятственно, не выдавая себя, производить действия в системе. Кроме того, червь располагает механизмами контроля количества заражений, самоликвидации и дистанционного управления.

Кроме распространения посредством внешних носителей червь также успешно заражает компьютеры посредством соединения через локальную сеть. То есть оказавшись на компьютере вне промышленной сети, он анализирует все активные сетевые соединения и «пробивается» к промышленной сети всеми возможными способами. После внедрения в систему вредоносное ПО ищет в ней присутствие SCADA-системы фирмы Siemens. Причем им атакуются только системы SCADA WinCC/PCS7. Данных о заражении другой SCADA-системы от Siemens - Desigo Insight, которая широко используется для автоматизации зданий и жилых комплексов, аэропортов и т.д., у нас нет. Это говорит о «заточенности» червя на крупные промышленные и стратегические объекты.

Когда червь «понимает», что оказался на машине с WinCC, он заходит в систему, используя стандартные учётные записи. Стоит заметить, что официальный Siemens не рекомендует менять стандартные пароли на своих системах, так как «это может повлиять на работоспособность системы», и использование червем стандартных паролей гарантирует почти 100% успешной авторизации. Итак, вирус соединяется с WinCC и таким образом получает доступ к технологическому процессу. Но и это еще не все… Он «осматривается» в локальной сети АРМа. Найдя в ней другие АРМы, червь заражает и их, используя 0day уязвимости в службе печати Windows (кроме того, червь может получать права системы, в случае необходимости используя две другие уязвимости нулевого дня). Также червь видит в сети и контроллеры. Тут мы дошли, пожалуй, до самого главного и опасного его функционала: да, Stuxnet умеет перепрограммировать PLC, естественно не все, а только Simatic фирмы Siemens. И это не так мало, если учесть, что на этих контроллерах построен технологический процесс на огромном количестве объектов, в том числе стратегических и военных. Например, атомная станция в Иране (Бушер), которую многие эксперты считают «целью» этого кибероружия (именно так охарактеризовал червя Евгений Касперский), конечно, не использует контроллеры Siemens для управления самим реактором, но использует их в большом количестве для управления вспомогательным оборудованием. А этого вполне достаточно чтобы червь мог парализовать работу атомной станции. Причем сам процесс «парализации» проходит очень интересно. Троян не записывает в контроллеры мусор и не выводит их из строя. «Живя» в системе достаточно долгое время, он накапливает информацию о технологическом процессе, о режимах работы оборудования - о тех самых «уставках» температуры, давления, частоте работы двигателей о которых я уже говорил выше. И в какой-то момент троян их меняет. Пример: допустим, аварийная уставка по температуре охлаждающей жидкости в установке равна 75°С. Нормальная температура работы - 40-45°С. Изменение значения аварийной остановки в контроллере с 75 до 40’ приведёт к тому, что контроллер будет инициировать остановку агрегата по аварии в тот момент, когда он достигает своей нормальной рабочей температуры. Или ещё хуже - уставка меняется в другую сторону, и агрегат продолжает работать после перегрева до полного самоуничтожения. При этом на экране SCADA-системы оператор продолжает видеть нормальные значения и уставки, которые троян подменяет в реальном времени. И если это, например, установка, перекачивающая газ, управляемая САУ турбоагрегатами «последнего» поколения, то изменение уставок может привести к исчезновению с карты всей компрессорной станции вместе с прилегающими к ней районами.

В одной из версий червя, «разобранной» специалистами компании Symantec, найден функционал управления частотно-регулируемыми приводами (ЧРП) электродвигателей, причем двух конкретных производителей, при работе на определенной частоте. По последним данным, в Иране червь уже привел к выходу из строя большого количества центрифуг, используемых для обогащения урана. В управлении ими как раз применялись ЧРП. Читатель может задать логичный вопрос: нас должно волновать, что в Иране ломаются центрифуги? Ответ прост: Stuxnet может, например, вывести из строя сверхскоростные поезда «Сапсан», которые полностью построены на системах Simatic и используют в работе большое количество тех самых «частотников»… И не только «Сапсан», а огромное количество самых разных систем…

Еще одна интересная функциональная особенность вируса - искать активное Интернет-соединение и отсылать информацию на определенные адреса. По всей видимости, именно эта особенность стала причиной заявления специалистов антивирусной лаборатории Данилова о возможном использовании трояна в качестве инструмента для промышленного шпионажа. Также червь умеет обновлять себя через Интернет, и именно этим обусловлен тот факт, что у разных аналитиков «выловленные» копии вируса сильно отличаются как по размеру (примерно от 500к до более чем 2Мб), так и по функционалу.

Зачем все эти интернет-функции, когда промышленные сети не связаны с интернетом? Хочу вас расстроить: связаны. Не все, и не постоянно, но связаны. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на АРМе для дистанционного контроля и сбора статистики, на других - GSM-модемом для удаленной техподдержки или диспетчеризации. В некоторых случаях АСУ ТП и ERP-система предприятия вообще бывает «в одном флаконе»… Способов выхода во внешний мир много, и это непринципиально… главное - сам факт: многие промышленные сети связаны с сетями общего доступа на постоянной или временной основе.

Политика и ситуация «на местах»

На сегодняшний день все современные антивирусные программы успешно чистят компьютеры от червя Stuxnet. И, казалось бы, все хорошо: антивирусы лечат машины от червя, Microsoft выпустил обновления для устранения критических уязвимостей, которые использует червь для распространения, SIEMENS тоже выпустил «заплатку» для WinCC. Проблема решена? Нет… Антивирус очищает от зловреда только АРМ, то есть ту часть технологической сети, которая работает под управлением Windows. А как же контроллеры? А вот тут мы подходим к самому интересному…

Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать - вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.

Как же защититься от подобных действий персонала? Если CD/DVD приводы просто не устанавливаются в машины пользователей, то USB входы всегда есть по умолчанию. Элегантное решение нашли технические специалисты одного из коммерческих банков Санкт-Петербурга - все USB порты были залиты клеем из термопистолета. Но такое решение не всегда можно использовать, т.к. может существовать необходимость использования портов USB, например, для ключей защиты программных продуктов или для переноса информации инженерно-техническим персоналом. К тому же через USB зачастую работают средства пользовательского интерфейса и принтеры, так что физическое уничтожение портов не совсем уместно, вот почему не рекомендуется прибегать к таким радикальным мерам. Единственный способ уберечь системы от заражений, и не только Stuxnetом, но и другой заразой - это соблюдение персоналом регламентов предприятия и элементарных правил информационной безопасности. К сожалению, этому аспекту уделяют мало внимания, а зачастую и вовсе забывают об этом. По личному опыту знаю - персонал на большинстве объектов даже не задумывается о том, к каким последствиям может привести установленная на АРМе компьютерная игра, или принесенный с собой GSM-модем для «серфинга» с АРМа по сети Интернет. Среди персонала также часто наблюдается отсутствие элементарной компьютерной грамотности. Начальство же либо не знает о происходящем, либо закрывает на это глаза, хотя не должно ни в коем случае. Персонал, непосредственно работающий с АРМами и другими частями современной АСУ ТП, должен проходить соответствующее обучение и инструктаж, в том числе и по проблемам информационной безопасности, но этого, к сожалению, не происходит.
Именно этим объясняется то, что Stuxnet присутствует на большом количестве объектов и систем, но факт такого присутствия тщательно скрывается персоналом и руководителями «на местах». Нам известны факты такого сокрытия, когда руководство крупной компании после появления Stuxnet разослало по всем своим объектам инструкции и ПО для выявления и лечения вируса. И вирус действительно нашли на многих объектах, но НИКТО ЕГО НЕ ЛЕЧИТ! Причина: для успешной очистки системы от вируса необходима перезагрузка системы (систем), то есть остановка технологического процесса. Также настоятельно рекомендуется присутствие специалистов для выявления и возможного исправления изменений в контроллерах. Остановить установку, цех или все предприятие - дело непростое: это ЧП, которое нужно чем-то обосновывать. А обосновывать наличием вредоносного ПО нельзя, ведь именно руководители на местах отвечают за выполнение регламента и инструкций. Если червь попал в систему, значит инструкции не выполнялись, и у руководителя будут неприятности. А неприятностей никто не хочет… Объекты так и живут со Stuxnetом, и не только с ним, а мы все сидим на этой «пороховой бочке». Именно на «пороховой бочке», потому что никто не может гарантировать, что пока что «спящий» троян в какой-то момент не атакует любой из этих объектов или не появится новый экземпляр. По нашим данным, кроме ядерной программы Ирана Stuxnet уже успел навредить некоторым промышленным предприятиям в Китае и разным объектам других странах, и системы эти не имели отношения к ядерным программам.

Лечение

Как написано выше, Stuxnet успешно выявляется и лечится всеми современными антивирусными средствами. И, тем не менее, существуют свои тонкости: после очистки систем от червя необходимо проверить, чтобы программы и уставки в контроллерах соответствовали актуальным значениям, необходимым для нормальной работы АСУ. При необходимости программы должны быть откорректированы. В этом могут помочь специалисты отделов контрольно-измерительных приборов и автоматики КИПиА или производители АСУ ТП. Мы в Digital Security также можем в этом помочь. При лечении систем на базе Windows CE/Embedded ни в коем случае нельзя устанавливать антивирусное ПО непосредственно на компьютер с этой версией Windows. Систему необходимо остановить, через специальный адаптер подключить носитель к другому компьютеру с установленным антивирусным ПО и очистить. С официальными инструкциями по удалению червя Stuxnet можно ознакомиться на сайте Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view . Там же можно скачать и специальную утилиту для удаления Stuxnet, патч для WinCC и патч от Microsoft, которые необходимо установить, чтобы избежать повторного заражения. Если у вас возникнут вопросы - обратитесь за помощью к специалистам по информационной безопасности. Уместно будет заметить, что главный «виновник торжества» - фирма SIEMENS со своим «дырявым» ПО и замечательными рекомендациями о «недопустимости смены паролей» (интересно, зачем в таком случае нужно было тратить время на создание функции запроса паролей) очень немногословна в своих заявлениях. Компания утверждает, что по ее сведениям червь обнаружен всего чуть больше, чем у двух десятков ее клиентов, и случаев нарушения технологического процесса не наблюдалось. Здесь необходимо дать некоторые уточнения:

1. Говоря о количестве заражений, компания имеет в виду своих прямых клиентов, то есть объекты, которые «строил» непосредственно сам SIEMENS без посредников. Таких объектов действительно не так много, и речь идет о крупнейших объектах в мировом масштабе. По неофициальным данным Stuxnet заразил миллионы компьютеров, и десятки тысяч объектов по всему миру, и по данным антивирусного мониторинга продолжает заражение со скоростью в десятки тысяч машин в сутки.
2. Далеко не на всех предприятиях проведены проверки, и на многих объектах Stuxnet есть, но об этом никто не знает.
3. Ну и самое страшное: на многих объектах червь есть, об этом знают, но ничего не делают с этим. О причинах такого поведения, которое кроме как преступным не назвать, было написано выше.

1. Проверить на наличие Stuxnet и другого вредоносного ПО все промышленные системы. Господа руководители крупных компаний, простой директивы «на места» не достаточно - никто ничего не сделает! Необходимо либо отправить на объекты своих людей для принудительного выявления и лечения, либо обратиться за помощью к сторонним независимым специалистам.
2. Провести обновление ОС на АРМах последними доступными обновлениями и патчами.
3. На АРМы, которые по каким-либо причинам связаны с сетями общего пользования, необходимо установить антивирусное ПО и следить за его обновлениями.
4. Обеспечить систему резервными копиями ПО в начальном его состоянии для обеспечения возможности восстановления в случае повреждения вирусами или другими факторами.
5. Провести программу обучения персонала по проблемам информационной безопасности.
6. Проводить регулярный аудит систем АСУ ТП квалифицированными специалистами на соответствие требованиям безопасности. Такой аудит должен включать в себя минимум проверку сегментации сети, процедуры обновления, процесс контроля, осведомленность операторов АРМ и многое другое.

При подготовке использованы материалы компаний: ESET , SYMANTEC , Антивирусная лаборатория Касперского , Антивирусная лаборатория Данилова , Siemens , а также личный опыт автора, полученный при работе инженером-пусконаладчиком АСУ ТП.
Автор выражает особую благодарность инженерно-техническому персоналу Научно-производственной компании «ЛЕНПРОМАВТОМАТИКА» Digital Security ,являясь ведущим специалистом по информационной безопасности технологических систем.

В последние дни все мировые СМИ внезапно вспомнили о черве WIN32/Stuxnet, обнаруженном еще в июне сего года. По компьютерным меркам трехмесячный срок - это как в обычной жизни несколько лет. Даже неторопливая Microsoft успела выпустить патч, закрывающий одну из четырех уязвимостей, присутствующих в Windows и используемых зловредом. Правда, не для всех версий операционной системы, а только для Vista и «семерки», тогда как 2000 и XP остались Stuxnet-неустойчивыми, и вся надежда только на сторонние антивирусные программы. Которые все равно понадобятся, благо остальные уязвимости живут и здравствуют.

И вдруг Stuxnet снова замелькал в заголовках новостных ресурсов. Оказывается, это не просто очередной «червяк», пусть и довольно заковыристо написанный (полмегабайта шифрованного кода, где используется сразу несколько языков программирования, от C/C++ до ассемблера), а цифровой шпион-диверсант. Он пробирается на промышленные объекты, где используются аппаратно-программные комплексы Siemens, получает доступ к системе Siemens WinCC, отвечающей за сбор данных и оперативное диспетчерское управление производством, и через нее пытается перепрограммировать логические контроллеры (PLC).

Вам уже страшно? Погодите, это только начало! Stuxnet заточен не под какие-то там цеха по разливу пива. Его главная цель - иранская атомная станция в городе Бушере! Якобы, именно под ее конфигурацию заточена вся злая сила червя, и он то ли уже успел сильно напортачить иранцам, раз они с августа не могут запустить станцию, то ли втихаря прошил контроллеры, и, когда АЭС заработает, даст команду на взрыв. И вот тогда…

Позволю себе процитировать несколько мнений знающих людей. Так, Евгений Касперский в своем блоге называет Stuxnet «шедевром малварно-инженерной мысли» и, в свою очередь, приводит выдержки из материала Александра Гостева, по мнению которого речь идет вообще об «оружии промышленного саботажа». Сделал его, понятное дело, израильский Моссад, дабы остановить работу Бушерской атомной станции.

Аппаратно-программные комплексы Siemens используются на очень разных производствах. Ладно, если речь идет о литье чугуна…

… но представьте, как дрогнут сердца сотен тысяч мужчин, если червь навредит линии по производству пива?

Аналитики ESET чуть менее эмоциональны. Они не уверены, что цель Stuxnet именно БАЭС, однако отдают должное качеству кода и красоте задумки. «Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше».

Оговорка про внешние носители очень важна. Как мы понимаем, системы управления заводами и атомными станциями не имеют доступа в Интернет, поэтому Stuxnet умеет заражать флэшки, и уже с них пробираться в закрытые сети. Службы безопасности? Да, они, конечно, работают, и порой - весьма эффективно. Однако наряду с банальным человеческим фактором (читаем - разгильдяйством) существуют довольно хитрые способы маскировки флэш-накопителей. Например, аккуратно подкупленный сотрудник может пронести на рабочее место мышку со встроенной флэш-памятью, и подменить ей казенную. Спросите, а зачем тогда вообще нужно распространение по Интернету? Так ведь для отвода глаз, чтобы те же руководители службы безопасности не врага в коллективе искали, а уверенно кивали на случайное проникновение извне. Между тем, для облегчения работы червя некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов Stuxnet был способен обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

ESET еще приводит чудесную табличку с географией зафиксированных заражений вирусом, которая, с одной стороны, подтверждает намеки Гостева, а с другой - заставляет любителей конспирологии еще активнее строчить комментарии в форумах и блогах. Шутка ли, зараза поражает крупнейшие развивающиеся страны, и для завершенности картины в таблице не хватает только Китая вместо Индонезии.

Вам уже страшно, как и Евгению Касперскому? Подождите. Давайте переведем дух.

Во-первых, надо понимать - почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.

Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции - грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так - червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них - в следующем пункте.

В-третьих, как удалось выяснить, для автоматизации электростанций (в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC - это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным - какие такие PLC Stuxnet собрался перешивать в Бушере?

Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.

Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.

Так что оружие-то он оружие, но до реальных взрывов дойдет вряд ли. Разве что взрывов негодования при очередном визите в магазин или получении счета за электроэнергию. Все эти промышленные войны ведутся в конечном итоге за счет нас, потребителей.

При написании этой статьи были обижены в лучших чувствах сотни конспирологов

Я профессиональный программист и по образованию физик, так что все что изложено в этой статье не домыслы, я все это могу сделать сам, своими собственными ручонками. Да и информации по теме располагаю гораздо большей, чем могу изложить на этой, не профильной для меня информационной площадке.
Так что если будете возражать на форуме, подумайте кому вы возражаете.
Это Вам не « с перевала», где я смотрюсь дилетантом, в этой теме я профессионал, так что внимайте с уважением.

Начнем с столетней давности

В 1905 году при прохождении воинской колонны по «Египетскому» мосту в Петербурге произошло его обрушение из-за сильной как тогда говорили «раскачки». Сейчас бы мы сказали из-за резонанса.

Основная версия заключается в том, что конструкция моста не выдержала слишком ритмичных колебаний от слаженного шага военных, отчего в ней произошел резонанс. Эта версия была включена в школьную программу по физике в качестве наглядного примера резонанса.

Кроме того, была введена новая военная команда «идти не в ногу», она даётся строевой колонне перед выходом на любой мост.

История поучительна и в том плане, что столкнувшись с неизвестным явлением военные оперативно в нем разобрались и приняли адекватные меры к его предотвращению в будущем.

Нам бы сейчас такую вдумчивость и оперативность.

Авария на Саяно-Шушенской ГЭС

В современной России, через сто лет произошла аналогичная катастрофа. В результате аварии энергоагрегата №2 Саяно-шушенской ГЭС 17 августа 2009года произошло разрушение машинного зала и полная остановка работы ГЭС, авария унесла 75 человеческих жизней (на мосту ни один человек не погиб).

Официально причина аварии в акте комиссии по расследованию обстоятельств аварии сформулирована так:

Вследствие многократного возникновения дополнительных нагрузок переменного характера на гидроагрегат, связанных с переходами через не рекомендованную зону, образовались и развились усталостные повреждения узлов крепления гидроагрегата, в том числе крышки турбины. Вызванные динамическими нагрузками разрушения шпилек привели к срыву крышки турбины и разгерметизации водоподводящего тракта гидроагрегата.

Если переводить на понятный язык, то энергоагрегат (гидравлическая турбина соединенная с электрогенератором), разрушился из-за длительной работы в областях нагрузки на которых присутствуют резонансы электромеханической системы.

Сто лет тому назад, специалисты разобрались с ситуацией и сделали выводы, которым все следуют до сих пор, команду «расстроить шаг» никто и никогда уже не отменит.

А вот в нынешнее время с причинами не разобрались, и выводов не сделали.

Область резонансов в документе обтекаемо называется «не рекомендованной зоной». Чиновникам не хватило смелости даже назвать все своими именами, не то что сделать выводы. События между тем развивались далее.

Вирус Stuxnet

Stuxnet стал первым компьютерным вирусом, нанесшим вред физическим объектам. Из-за него в 2010 году вышли из строя многие центрифуги на ядерных объектах Ирана. Кибернападение на иранский завод по обогащению урана в Нетензе задержало развитие ядерной программы Ирана на несколько лет.

Военные аналитики признают, что Stuxnet стал новой вехой в развитии кибероружия. Из виртуального пространства оно перешло в реальность, так как атака подобного вируса поражает не информационные а физические, реально существующие объекты.

Разрушение центрифуг вирусом Stuxnet производилось методом резонанса электромеханической конструкции центрифуги. Объясню на пальцах, газовая центрифуга имеет быстровращающийся вал (20-50 тысяч оборотов в минуту), который крутит электромотор. Электромотором управляет контроллер, если этот контроллер перепрограммировать так, чтобы он периодически изменял частоту вращения вала центрифуги (у профессионалов называется «биения частоты»), то при определенных частотах «биения» система войдет в резонанс и подшипники оси вала и сам корпус центрифуги разрушится.

Причем это будет выглядеть как обычная поломка не связанная с работой электроники и программ контроллера управления электромотором. Сначала будет повышаться вибрация, затем начинают откручиваться гайки крепления корпусных деталей, затем разбиваются подшипники и система в конце концов клинит и теряет герметичность.

Вирус Stuxnet, попадая на объект именно это и делал, перепрограммировал контроллер управления электромотором Simatic S7 таким образом, чтобы он выдавал напряжение с частотой биений, кратной резонансным частотам вращающегося вала центрифуги.

Процесс нарастания амплитуды резонанса может длиться часами, если не днями, поэтому для обслуживающего персонала это выглядело как дефект конструкции самой центрифуги.

Иранцы так и не поняли, что их центрифуги разрушал вирус до тех пор, пока программисты из Белоруссии не обнаружили сам вирус и не разобрались с его функциональной нагрузкой. Только после этого вирус Stuxnet обрел мировую известность и Иран признал, что его ядерный объект целенаправленно атаковался на протяжении как минимум года именно этим кибероружием.

Что случилось на Саяно-шушенской ГЭС

Авария на втором гидроагрегате Саяно-шушенской ГЭС произошла из-за резонанса, как это было в начале двадцатого века Петербурге, как это было годом позже в Иране. И более того, можно утверждать что в резонанс оборудование было введено преднамеренно, используя методы реализованные в вирусе Stuxnet.

Дело в том, что в момент аварии агрегатом управляла автоматика. Ручное управление для выдачи постоянной мощности было отключено и агрегат работал в режиме компенсаций пульсаций нагрузки в энергосистемы западной Сибири.

При вводе в эксплуатацию оборудования проверяются резонансные частоты и в актах приемки указываются режимы в которых запрещается эксплуатация оборудования.

Украинские специалисты в марте 2009 года сняли эти важнейшие параметры с второго агрегата (во время планового ремонта) куда и в какие руки эти данные попали неизвестно, но предположить можно.

Имея эти данные совсем не тяжело раскачать систему агрегата через микроконтроллер управления ГРАРМ так, чтобы она постепенно, за несколько часов, вогнала в зону резонанса турбоагрегат с электрогенератором на одном валу.

После чего на корпусе начали от вибраций отворачиваться шпильки удерживающие крышку турбины, что и послужило непосредственной причиной катастрофы.

Работой турбины и генератора в автоматическом режиме управляет специальная система, называется системой группового регулирования активной и реактивной мощности (ГРАРМ).

Электронная часть шкафа управления ГРАРМ выполнена на основе PC-совместимой микроЭВМ фирмы Fastwell

Эта система была активирована в момент аварии на втором агрегате. Система была смонтирована и запущена в эксплуатацию в начале 2009 года, незадолго до аварии. Разработана и смонтирована данная система фирмой «ПромАвтоматика» на базе импортного оборудования.

Естественно ни о какой Информационной безопасности тогда не думали, эта система имела прямой выход в Интернет, резонансные частоты агрегата были известны.

Дальнейшее я думаю объяснять не надо, случилось то, что случилось…

Коллеги из Израиля и США успешно опробовали кибероружие для разрушения инфраструктурных объектов на практике, после этого конечно нужно создавать специальный род войск для его использования, что США и сделали в том же 2009 году организовав Киберкомандование со штатом сотрудников (бойцов) в 10 000 человек.

Кибероружие

Компьютерные вирусы в третьем тысячелетии стали тоже оружием и получили название «Кибероружие», более того во многих странах это оружие выделяется в отдельный род войск, обобщенным названием которого с легкой руки американцев стало название «Киберкомандование».

Командующий этими вооруженными силами получил совсем фантастическое название, не поверите, в США его называют – «КиберЦарь», да именно русское слово используется для официального названия американского командующего.

Это оружие уже применялось в необъявленной войне США и Израиля против Ирана, Скорее всего оно применялось и в России, на Саяно-Шушенской ГЭС, есть его след и в аварии на Индийском проекте передачи в лизинг атомных подводных лодок.

Там снова засветилась та же питерская фирма, она была разработчиком оборудования пожаротушения, которое в результате самопроизвольного срабатывания привело к гибели людей на ходовых испытаниях…. но это отдельная тема.

Как Лаборатория Касперского расшифровала вредоносную программу, заблокировавшую программное обеспечение иранской системы управления обогащением ядерного топлива.

Компьютерные кабели вьются по полу. Загадочные блок-схемы нарисованы на различных досках, развешанных по стенам. В зале стоит муляж Бэтмана в натуральную величину. Этот офис может показаться ничем не отличающимся от любого другого рабочего места компьютерщика (geeky workplace), но на самом деле это передний край борьбы, а точнее кибервойны (cyberwar), в которой большинство сражений разыгрываются не в далёких джунглях или пустынях, а в пригородных офисных парках, подобных этому.

В качестве старшего научного сотрудника (senior researcher) Лаборатории Касперского, ведущей компании по компьютерной безопасности, базирующейся в Москве, Ройл Шувенберг (Roel Schouwenberg) проводит свои дни (и многие ночи) здесь, в американской штаб-квартире Лаборатории в городке Уоберн (Woburn) штата Массачусетс, сражаясь с самым коварным цифровым оружием, способным нарушить водоснабжение, нанести урон электростанциям, банкам и самой инфраструктуре, которые когда-то казались неуязвимыми для атак.

Стремительное признание таких угроз началось в июне 2010 года с обнаружением Стакснет (Stuxnet) , 500-килобайтного компьютерного червя, заразившего программное обеспечение по меньшей мере 14 промышленных объектов в Иране (4/5) , в том числе и завод по обогащению урана. Хотя компьютерный вирус зависит от невольной жертвы его установки, червь (worm) распространяется сам по себе и часто через компьютерную сеть.

Этот червь был беспрецедентно мастерски выполненным вредоносным кусочком кода, который атаковал в три этапа. Сначала он нацеливался на компьютеры и сети Microsoft Windows, неоднократно выполняя своё самовоспроизводство. Затем он искал программное обеспечение Siemens Step7, которое также работает на Windows-платформе и используется для программирования промышленных систем управления, которые управляют оборудованием, таким как центрифуги. Наконец, он компрометировал программируемые логические контроллеры. Авторы червя могли таким образом шпионить за промышленными системами и даже вызывать ускоренное вращение центрифуг с целью их разрушения, причём незаметно для человека-оператора на заводе. (Иран пока не подтвердил сообщения о том, что Stuxnet уничтожил некоторые из его центрифуг).

Как работает Stuxnet:

1. заражение системы через USB-флеш-накопитель,


2. поиск целевого программного обеспечения и оборудования от Siemens,


3. обновление вируса через Интернет; однако, если система не является целью, вирус ничего не делает,


4. компрометация,


5. захват управления,


6. дезинформация и вывод из строя оборудования.

Stuxnet может скрытно распространяться между компьютерами с ОС Windows, даже теми, которые не подключены к Интернету. Если работник, вставляет USB-флеш-накопитель в заражённую машину, то Stuxnet автоматически копируется на неё, а затем копируется на другие машины, однажды прочитавшие эту флешку. Отсюда любой сотрудник, ничего не подозревая, может заразить машину таким образом, что позволит «червям» распространиться по локальной сети. Эксперты опасаются, что эта вредоносная программа, возможно, «одичала и гуляет» по всему миру.

В октябре 2012 года американский министр обороны Панетта (Leon Panetta) предупреждал , что США уязвимы для «кибернетического Пёрл-Харбора» («cyber Pearl Harbor»), и возможны сходы под откос поездов, заражение воды и сбои в сетях электроэнергетики. В следующем месяце корпорация «Шеврон» (Chevron) подтвердила это предположение, став первой американской корпорацией признавшей, что Stuxnet проник на все её компьютеры.

Хотя авторы Stuxnet так и не были официально установлены, размер и сложность червя привели экспертов к убеждению, что он мог быть создан только при спонсорской поддержке государства. И, несмотря на секретность, утечка информации в прессе (leaks to the press) от официальных лиц в США и Израиле позволяет с уверенностью предположить, что эти две страны замешаны. С момента обнаружения Stuxnet Шувенберг и другие специалисты по компьютерной безопасности борются с рядом других боевых (weaponized) вирусов, такими как «Дюку» (Duqu), «Флейм» (Flame, англ. - пламя) и «Гаусс» (Gauss). Натиск вредоносных программ не показывает никаких признаков ослабления.

Это знаменует собой поворотный момент в геополитических конфликтах, когда апокалиптические сценарии, лишь однажды показанные в таких фильмах, как «Крепкий орешек - 4.0» («Жить свободно или умереть, сражаясь») (Live Free or Die Hard), в итоге становятся правдоподобными. «Художественный вымысел вдруг стал реальностью», - говорит Шувенберг (Schouwenberg). Но герой борьбы против зла не Брюс Уиллис, он 27-летний парень с потрёпанной прической «конский хвост» (ponytail). Этот Шувенберг говорит мне: «Мы здесь для того, чтобы спасти мир! Вопрос заключается лишь в том, есть ли в Лаборатории Касперского всё то, что нужно?»

На фотографии, выполненной Йелленом (David Yellen) и названной «Киберсыщик» (Cybersleuth), изображён Ройл Шувенберг (Roel Schouwenberg) из Лаборатории Касперского, который помог в расшифровке Stuxnet и ему подобных интернет-червей, самых сложных из когда-либо обнаруженных.

Вирусы не всегда были злыми. В 1990-х годах, когда Шувенберг был простым задиристым подростком (just a geeky teen), жившим в Нидерландах, а вредоносные программы (malware) обычно создавались хулиганами и хакерами (pranksters and hackers), т. е. людьми, желающими лишь вызвать сбой компьютера или изобразить каракули-граффити на вашей домашней странице AOL.

После обнаружения вирусов на своём собственном компьютере 14-летний Шувенберг связался с Лабораторией Касперского, одной из ведущих антивирусных компаний. Такие компании оцениваются в частности тем, как много вирусов они обнаружили первыми, и Kaspersky считается одной из лучших, хотя о её успехе ведутся споры. Некоторые обвиняют её в связях с российским правительством, но компания эти обвинения отрицает.

Через несколько лет после первого столкновения с вирусами Шувенберг по электронной почте спросил основателя компании Евгения Касперского, надо ли ему изучать математику в колледже, если он хочет стать специалистом по компьютерной безопасности. Касперский ответил тем, что предложил ему 17-летнему парню работу, которую тот взял. Проведя четыре года в компании в Нидерландах, он отправился в Бостон. Там Шувенберг узнал, что инженеру нужны специфические навыки для борьбы с вредоносными программами, потому что для анализа, а по существу обратного проектирования (reverse engineering) большинства вирусов, написанных для Windows, требуется знание языка ассемблера для процессоров Intel x86.

В течение следующего десятилетия Шувенберг стал свидетелем самых значительных изменений, происходящих когда-либо в отрасли. Ручное обнаружение вирусов уступило место автоматизированным методам, способным выявлять даже по 250 000 новых вредоносных файлов каждый день. Прежде всего банки столкнулись с самыми серьёзными угрозами, а призрак межгосударственных кибервойн (state-against-state cyberwars) всё ещё казался далёким. «Всё это было не просто разговорами», - говорит Омарчу (Liam O"Murchu), аналитик компании по компьютерной безопасности Symantec Corp. из Маунтин-Вью (Mountain View), штат Калифорния.

Всё изменилось в июне 2010 года, когда одна белорусская фирма по обнаружению вредоносных программ получила запрос от клиента на выявление причин самопроизвольной перезагрузки его компьютеров. Вредоносное программное обеспечение (malware) было подписано цифровым сертификатом, имитирующим его поступление из надёжной компании. Эта особенность привлекла внимание антивирусного сообщества, чьи программы автоматизированного обнаружения не могли справляться с такой угрозой. Это было первой пристрелкой Stuxnet в «дикой природе» (in the wild).

Опасность, которую представляют поддельные электронные подписи, была так страшна, что компьютерные специалисты по безопасности начали потихоньку обмениваться своими выводами и по электронной почте и на приватных онлайн-форумах. Такое положение дел не является необычным. (that’s not unusual). «Обмен информацией в компьютерной индустрии безопасности может быть классифицирован как чрезвычайная ситуация», - добавляет Хиппонен (Mikko H. Hypponen), главный научный сотрудник (chief research officer) фирмы по безопасности (security firm) F-Secure из Хельсинки, Финляндия. «Я не мог и подумать ни о каких других ИТ-секторах, где существует такое широкое сотрудничество между конкурентами». Тем не менее, компании конкурируют, например, в том, чтобы стать первыми при выявлении ключевых особенностей кибероружия (cyberweapon), а затем заработать на благодарном общественном мнении в качестве результата.

Прежде чем все узнали, на что был нацелен Stuxnet, исследователи Лаборатории Касперского и других компаний по безопасности выполнили обратный инжиниринг кода, «подобрали ключи», выявили истоки и направление распространения вируса, в том числе общее количество инфекций и их долю в Иране, а также ссылки на промышленные программы Siemens, используемые на объектах энергетики.

Шувенберг был больше всего впечатлён тем, что Stuxnet совершил не одно, а целых четыре проявления изощрённости (feat) «нулевого дня» (zero-day), т. е. взломов (haks), использующих уязвимости ранее неизвестных «сообществу белых шляп» (white-hat community), «белых хакеров». «Это не только новаторский приём, все они красиво дополняют друг друга, - говорит он. - Уязвимость LNK (файл ярлыка в Microsoft Windows) используется для распространения через USB-флеш-накопители (USB sticks). Уязвимость диспетчера очереди общей печати используется для распространения в сетях с общими принтерами, которые широко распространены в сетях с общим доступом, подключённых к Интернету (Internet Connection Sharing). Две другие уязвимости связаны с операциями, предназначенными для получения привилегий системного уровня, даже когда компьютеры полностью изолированы. Это выполнено просто блестяще».

Шувенберг и его коллеги из Лаборатории Касперского вскоре пришли к выводу, что код был довольно сложным и не мог быть разработан группой «чёрных хакеров» (black-hat hackers). Шувенберг считает, что команде из 10 человек понадобилось бы не менее двух-трёх лет, для того чтобы его создать. Вопрос состоял в том, кто же возьмёт ответственность за всё это?

Очень скоро стало ясно из самого кода, а также из рабочих отчётов, что Stuxnet был специально разработан для разрушения систем Siemens, работающих на иранских центрифугах по ядерной программе обогащения урана. Аналитики Лаборатории Касперского позднее поняли, что финансовая выгода не являлась целью. Это была политически мотивированная атака. «Тогда не было никаких сомнений в том, что спонсирование разработки вируса осуществлялось государством», - говорит Шувенберг. Это явление застало врасплох специалистов по компьютерной безопасности. «Мы все тут являемся инженерами, мы смотрим на код, - говорит Омарчу (O"Murchu) из Symantec. - Но это была первая реальная угроза, с которой мы столкнулись, ведущая к реальным политическим последствиям. Это было нечто, по поводу чего мы должны были прийти к какому-то согласию и общему мнению».

Краткая история вредоносных программ (malware)

1971. Экспериментальная самовоспроизводящаяся вирусная программа Creeper была написана Томасом (Bob Thomas) из компании Bolt, Beranek and Newman. Вирус заразил компьютеры DEC PDP-10 под управлением операционной системы Tenex. Creeper получил доступ через сеть ARPANET, предшественницу Интернета, и скопировал себя на удалённой системе, выдав там сообщение «Я рептилия (creeper), поймай меня, если сможешь!» Позже была создана программа Reeper («Жнец») для удаления Creeper.

1981. Вирус Elk Cloner, написанный для системы Apple II Скрентой (Richard Skrenta), привёл к первой крупномасштабной компьютерной вирусной эпидемии в истории.

1986. Вирус для загрузочного сектора Brain (он же пакистанский грипп, Pakistani flu), первый вирус для IBM PC-совместимых компьютеров, вышел на свободу и вызвал эпидемию. Он был создан в Лахоре, Пакистан, 19-летним Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амджадом Фарук Алви (Amjad Farooq Alvi).

1988. Червь Morris, созданный Моррисом (Robert Tappan Morris), заражал машины DEC VAX и Sun под управлением BSD Unix, подключённых к Интернету. Он стал первым червём, широко распространившимся «в дикой природе» («in the wild»).

1992. Вирус Michelangelo, опасность которого была раздута специалистом по компьютерной безопасности Макафи (John McAfee), предсказавшим, что 6 марта вирус уничтожит информацию на миллионах компьютеров, однако фактический ущерб был минимальным.

2003. Червь SQL Slammer или так называемый червь Sapphire атаковал уязвимости в Microsoft SQL-сервере и Microsoft SQL Server Data Engine и стал самым быстрым в распространении червём всех времён, он врезался в Интернет в течение 15 минут после высвобождения (release).

2010. Обнаружен червь Стакснет (Stuxnet). Это первый известный червь, атакующий SCADA-системы, т. е. автоматизированные системы управления технологическими процессами (АСУ ТП).

2011. Обнаружен червь Дюку (Duqu). В отличие от близкого к нему Stuxnet он был предназначен только для сбора информации, а не для вмешательства в производственные процессы.

2012. Обнаружен Flame, используемый для кибершпионажа в Иране и других странах Ближнего Востока.

В мае 2012 года Лаборатория Касперского получила запрос от Международного союза по электросвязи (International Telecommunication Union), учреждения ООН, которое управляет информационными и коммуникационными технологиями, на исследование фрагмента вредоносной программы, которая подозревалась в уничтожении файлов нефтяных компаний на компьютерах в Иране. В то время Шувенберг и его коллеги уже искали вариации вируса Stuxnet. Они знали, что в сентябре 2011 года венгерские специалисты обнаружили вирус Duqu, который был разработан для кражи информации в промышленных системах управления.

Выполняя просьбу ООН, автоматизированная система Касперского определила ещё один вариант Stuxnet. Сначала Шувенберг и его группа пришли к выводу, что система сделала ошибку, потому что вновь обнаруженный вирус (malware) не показал очевидного сходства со Stuxnet. Однако после погружения в код более глубоко они обнаружили следы другого файла, называемого Flame, который очевидно был начальной итерацией Stuxnet. Сначала Flame и Stuxnet рассматривались как полностью независимые вредоносные программы, но теперь исследователи поняли, что Flame был на самом деле предшественником Stuxnet, который как-то остался незамеченным.

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet. Специалисты по безопасности поняли, как выразился Шувенберг, что «…опять за этим, скорее всего, стоит государство».

Для анализа Flame специалисты Лаборатории Касперского использовали методику, называемую ими «сточным колодцем» (sinkhole). Она обеспечивает контроль над командно-управляющим сервером домена Flame таким образом, что когда Flame пытается связаться с сервером своей домашней базы, на самом деле вместо этого он отправляет информацию на сервер Касперского. Трудно было определить, кому принадлежат серверы Flame. «Со всеми доступными украденными кредитными картами и интернет-прокси, - говорит Шувенберг, - атакующим действительно очень легко оставаться незамеченными».

В то время как Stuxnet был предназначен для вывода из строя оборудования, целью Flame было просто шпионить за людьми. Распространившись с USB-флешки, он может заражать принтеры, работающие совместно в одной сети. Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документе, и всё это не будучи обнаруженным.

«Действительно, разработчики Flame пошли на многое для того, чтобы избежать его обнаружения программами обеспечения безопасности», - говорит Шувенберг. Он приводит пример: Flame не просто передаёт собранную информацию всю сразу на свой командно-управляющий сервер, т. к. сетевые менеджеры могут заметить внезапную утечку. «Данные отправляются мелкими кусочками, для того чтобы достаточно долго избегать снижения пропускной способности», - говорит он.

Наиболее впечатляет то, что Flame может обмениваться данными с любыми Bluetooth-совместимыми устройствами. В самом деле злоумышленники могут украсть информацию или установить другие вредоносные программы не только в пределах стандартного 30-метрового диапазона Bluetooth, но и дальше вовне. «Bluetooth-винтовка» (Bluetooth rifle), направленная антенна, подключённая к компьютеру с Bluetooth-поддержкой, имеет возможность осуществлять передачу данных на дальность до 2 километров.

Но самая тревожная особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame. «То, что Flame распространяется через Windows Updates, является более значимым, чем сам Flame», - говорит Шувенберг, который считает, что, возможно, есть только 10 программистов в мире, способных запрограммировать такое поведение. «Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, - говорит Хиппонен из компании F-Secure. - Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».

Если правительство США действительно стоит за этим червём, то этот обход шифрования от Microsoft может создать некоторую напряжённость между компанией и её крупнейшим клиентом - федералами. «Я предполагаю, что Microsoft провёл телефонный разговор между Биллом Гейтсом, Стивом Балмером и Бараком Обамой, - говорит Хиппонен, - и мне хотелось бы послушать этот разговор».

Выполняя реверсивный инжиниринг (анализ) вируса Flame, Шувенберг и его команда настроили свою методику на «сходство алгоритмов», позволяющую обнаруживать варианты вирусов, созданные на единой платформе. В июле они обнаружили новый вирус Gauss. Его целью тоже было кибернаблюдение (cybersurveillance).

Перенесённый с одного компьютера на другой USB-флешкой Gauss ворует файлы и собирает пароли, по неизвестным причинам нацеливаясь на учётные данные ливанских банков. Эксперты полагают, что это было сделано или для отслеживания операций, или для выкачивания денег с определённых счетов. «USB-модуль захватывает информацию из системы, шифрует и сохраняет эту информацию на своей USB-флешке, - объясняет Шувенберг. - Затем, когда этот USB-флеш-накопитель вставляется в гаусс-инфицированный компьютер, Gauss захватывает с USB-флешки собранные данные и отправляет их на командно-управляющий сервер (command-and-control server)».

В то время, когда инженеры Лаборатории Касперского обманули вирус Gauss при его общении с его собственными серверами, эти серверы вдруг «упали» (went down). Ведущие инженеры считают, что авторы вредоносной программы сумели быстро замести свои следы. Лаборатория Касперского собрала уже достаточно информации для защиты своих клиентов от Gauss, но в тот момент это было пугающим. «Мы уверены, что сделай мы что-нибудь не так, и хакеры оседлали бы нас»,- говорит Шувенберг.

Последствия применения вирусов Flame и Stuxnet выходят за рамки спонсируемых государством кибератак. «Профессиональные злоумышленники смотрят на то, что делает Stuxnet, и говорят: «Это отличная идея, давайте её копировать»», - говорит Шувенберг.

«В итоге получается так, что национальные государства тратят миллионы долларов на разработку различных видов киберинструментария (cybertools), и это является тенденцией, которая будет только нарастать», - говорит Джеффри Карр, основатель и генеральный директор фирмы по компьютерной безопасности «Тайя Глобал» (Taia Global) из Маклина, штат Вирджиния. Хотя Stuxnet и смог временно замедлить в Иране программу обогащения урана, он не достиг своей конечной цели. «Кто бы ни потратил миллионы долларов на Stuxnet, Flame, Duqu и т. п., всё это деньги, потраченные впустую. Сейчас эти вредоносные программы уже публично доступны и могут быть подвергнуты обратному инжинирингу, т. е. подробному анализу», - говорит Карр.

Хакеры могут просто использовать конкретные компоненты и методики, доступные из Интернета, для своих атак. Преступники могут использовать кибершпионаж (cyber espionage), например, для того чтобы украсть данные о клиентах из банка или просто посеять хаос, являющийся частью более сложной проделки (prank). «Очень много разговоров ведётся о государствах, пытающихся атаковать нас, но мы находимся в ситуации, когда мы уязвимы для армии 14-летних подростков с двухнедельной подготовкой», - говорит Шувенберг.

Уязвимость является большой проблемой, особенно для промышленных компьютеров. Всё, что нужно для того чтобы найти путь, например, к системам водоснабжения США, - это возможность поиска терминов в Google. «Мы видим, что многие промышленные системы управления, подключены к Интернету, - говорит Шувенберг, - и они не меняют паролей по умолчанию, так что, если вы знаете правильные ключевые слова, вы сможете найти нужные панели управления».

Компании не спешат инвестировать ресурсы, необходимые для обновления систем промышленного управления. Лаборатория Касперского выявила важнейшие инфраструктурные компании, работающие под управлением устаревших 30-летних операционных систем. В Вашингтоне политики призывают к законам, требующим такие компании поддерживать лучшие практики безопасности. Однако принятие одного такого законопроекта о кибербезопасности не увенчалось успехом в августе 2012 года на том основании, что он был бы слишком дорогостоящим для бизнеса. «Чтобы полностью обеспечить необходимую защиту нашей демократии, закон о кибербезопасности должен быть принят конгрессом, - заявил недавно Панетта. - Без него мы уже уязвимы и дальше будем оставаться уязвимыми».

Тем временем, охотники за вирусами из Лаборатории Касперского и других антивирусных компаний будут продолжать борьбу. «Ставки только всё выше, выше и выше, - говорит Шувенберг.- Мне очень любопытно посмотреть на то, что произойдёт через 10 или 20 лет. Как история оценит наши решения, которые мы приняли сейчас?»

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

• В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.
• Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.
• Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
• Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.
• Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.
• Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами
• А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.

Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update : Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.

Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября - исследователей из фирмы Symantec, а также исследователей из Касперского.

Расследование вируса StuxNet продолжает развиваться.

Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.

«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».

Федеральное бюро расследования США оказывает сильное давление на высокопоставленных должностных лиц, подозреваемых в раскрытии конфиденциальной информации об участии правительства США в использовании Stuxnet для совершения атак. Об этом сообщает Washington Post.

Сотрудники ФБР и Прокуратуры США проводят анализ аккаунтов электронной почты, записи телефонных разговоров подозреваемых, а также допрашивают действующих и бывших должностных лиц с целью найти доказательства, указывающие на связь с журналистами.

Stuxnet был специально разработан для атак на конкретную конфигурацию программируемых логических контроллеров Siemens, используемых на заводе по обогащению урана в иранском городе Нантанз.