Різні факти захисту персональних даних. Потужний Stuxnet: про новий вірус

Stuxnet фактично є першим в історії вірусом, що переступив через кордон кіберпростору в реальний фізичний світ, першим вірусом, здатним псувати не лише дані та програмний код, але й цілком реальні машини та установки.

Павло Волобуєв,
Фахівець з інформаційної безпеки
технологічних систем,
Digital Security

Про цього хробака писали багато. Але все ж таки з дивних причин не так багато, як могли б, адже йдеться не просто про звичайний вірус. Stuxnet фактично є першим в історії вірусом, що переступив через кордон кіберпростору в реальний фізичний світ, першим вірусом, здатним псувати не лише дані та програмний код, а й цілком реальні машини та установки. Його поява не тільки виявила чергові вразливості в операційних системах Microsoft, а й спрямувала погляди фахівців з інформаційної безпеки в абсолютно нову для них область - безпеку промислових систем. Раніше мало хто думав про це, хоча деякі компанії попереджали про це ще кілька років тому. Причини цілком зрозумілі: промислові мережізазвичай ізольовані як від мереж загального користування, а й від внутрішніх мереж підприємства, у яких застосовується дуже специфічне устаткування і, всі процеси чітко регламентовані. Здавалося б, ніякої небезпеки просто бути не може! Але, як з'ясовується, це не так. Подібну «фантастичну» картину ми могли бачити в досить старому фільмі «Хакери». Розробникам черв'яка Stuxnet вдалося легко обійти цей, здавалося б, самий надійний фізичний захист. Чому «розробникам»? Тому що тут мова, безсумнівно, йде не про одну людину, а про цілу групу, у складі якої крім професійних програмістів та експлоїтописачів були і інженери, і фахівці з АСУ ТП, які знають специфіку роботи з промконтролерами та іншим периферійним обладнанням. Запитань багато, а відповідей… незважаючи на те, що минуло вже 4 місяці з першого виявлення черв'яка, чітких відповідей поки немає. Причин цього кілька:

  • По-перше, це, мабуть, перший випадок появи шкідливої ​​програми, спрямованої саме на промислові системи;
  • По-друге, фахівці з інформаційної безпеки та антивірусний захистзазвичай мають вкрай далеке уявлення про те, що таке PLC та SCADA, а фахівці з АСУ ТП далекі від інформаційної безпеки, і це дуже ускладнює аналіз вірусу;
  • Ну і останнє – оскільки вірус торкнувся роботи найбільших промислових та енергетичних компаній, інформація про нього ретельно приховується. І якщо керівництво компаній знає і стурбоване цією проблемою, приховування інформації зазвичай йде на нижньому рівні.

Digital Security - одна з небагатьох у Росії компанія, що працює у сфері інформаційної безпеки, що має у штаті фахівців з досвідом розробки та впровадження автоматизованих систем управління складними технологічними процесами. І саме тому ми вирішили провести власний аналіз, щоб розібратися, що ж відбувається насправді.

Отже, спробуємо розібратися по порядку.

Промислова мережа: що таке?

Уявіть собі промислову установку, яка щось робить, та агрегатами якої потрібно керувати за заданим алгоритмом. Ми обвішуємо цю установку різними датчиками та виконавчими механізмами та підключаємо до PLC – контролера, який і виконує цей алгоритм. При цьому контролер перевіряє рівні температури, напруги, тиску, стежить за оборотами двигунів, включає та вимикає різні механізми. І якщо якісь параметри заходять за межі дозволеного (уставки цих меж також прописані в контролері), він зупиняє встановлення чи технологічний процес. Установок може бути багато, і контролерів, відповідно, також. Спілкуються вони між собою зазвичай через Ethernet, RS485 та їх варіації. Промислова мережа Ethernet – це звичайна мережа Ethernet, в якій активне обладнання для промислових мереж є більш стійким до зовнішніх впливів, вібрації, електромагнітним перешкодам, температурі, вологості та ін. Промислові протоколи Modbus, Profibus та ін. у сучасних промислових мережах часто працюють поверх TCP/IP. Насправді відмінності від класичних мереж, звісно, ​​є, але де вони важливі у тих даної статті.

Сам контролер - це той самий комп'ютер, але в мініатюрному виконанні, призначений для виконання певних завдань, та зі своєю операційною системою. ОС на промконтролерах - зазвичай власної розробкивиробника, інформація про яку малодоступна - QNX (рідше Lunix) або DOS. Структура контролерів, як правило, є модульною: до них підключаються різні модулівведення-виводу на вирішення низки задач. І все було б добре, але крім контролерів за роботою процесу стежить ще й людина - оператор. І стежити за інформацією з десятків, а найчастіше і сотень контролерів вручну йому, звичайно, незручно. Для оператора в промислову мережу встановлюється АРМ – Автоматизоване Робоче Місце. АРМ - це комп'ютер з операційною системою Windows, який встановлюється програма для відображення технологічного процесу (SCADA). SCADA виводить на екран показання з контролерів, забезпечує можливість керування механізмами в ручному режимі та дозволяє змінювати деякі параметри технологічного процесу, а також веде запис архівів. На АРМах часто встановлюють базу даних для запису статистики та генерації звітів. АРМів у мережі може бути кілька - їхня кількість залежить від величини виробництва та кількості операторів. Арми завжди знаходяться в одній мережі з контролерами. Найчастіше антивірусне ПЗ на них не встановлюється, а якщо і встановлюється, то точно не оновлюється. Вважається, що віруси в цьому ізольованому середовищі з'явитися ніяк не можуть ... Варто зазначити також, що жодного оновлення системного ПЗ на АРМах природно не відбувається: багато хто з них досі працює під Windows XP SP1 або взагалі без Service Packщо робить їх вкрай вразливими.

У багатьох малознайомих з АСУ ТП людей виникає цілком логічне питання: якщо є повноцінні комп'ютери, які можуть керувати всім, то навіщо ще й контролери? Відповідь проста: їм не довіряють. Комп'ютери під керуванням Windows мають властивість «виснути», і, власне, Windows не претендує на звання Realtime OS. А у контролерів своя операційна система, своє промислове резервоване харчування, і стійкість до відмов у рази вище, ніж у будь-якого персонального комп'ютера.

Звичайно, це було дуже поверхове пояснення принципів роботи промислових систем, але без нього було б важко розповісти про самий черв'як, а головне – про проблеми, пов'язані з його лікуванням. Отже, Stuxnet…

Stuxnet – що це таке?

Йдеться про надзвичайно високотехнологічне шкідливе ПЗ у всіх його проявах. Цей черв'як використовує чотири раніше невідомі вразливості системи. Microsoft Windows, Одна з яких спрямована на поширення за допомогою USB-flash накопичувачів. Причому вразливість виявлена ​​у всіх версіях Windows, включаючи XP, CE, Vista, 7, Windows Server 2003, 2008 і 2008R2, як у 32-розрядних, так і в 64-розрядних. Вразливість полягає у виконанні коду при спробі системи відобразити іконку з накопичувача, наприклад, при перегляді провідника. Виконання коду відбувається навіть при повністю вимкненому автозапуску для всіх носіїв. Крім цього, в коді зловреда реалізована і можливість зараження по мережі. Проте на більшість промислових об'єктів черв'як потрапив саме через зовнішні носії- як і чому, буде розказано трохи згодом. Великий внесок у аналіз коду черв'яка та вразливостей, що використовуються ним, внесло Російське представництво компанії ESET на чолі з Олександром Матросовим.

Черв'як встановлює в систему два драйвери, один із яких є драйвером-фільтром. файлової системи, що приховує наявність компонентів шкідливої ​​програми на знімному носії. Другий драйвер використовується для впровадження зашифрованої динамічної бібліотекиу системні процеси і містить у собі спеціалізоване програмне забезпечення для виконання основного завдання. Драйвери, які троян встановлює в систему, мають цифрові підписи, вкрадені у виробників легального програмного забезпечення. Відомо про використання підписів, що належать таким компаніям, як Realtek Semiconductor Corp. та JMicron Technology Corp. Зловмисники використовують цифровий підпис для «тихої» установки драйверів руткита цільову систему. У системах безпеки багатьох виробників файли, підписані відомими фірмами, наперед вважаються безпечними, і наявність підпису дає можливість безперешкодно, не видаючи себе, робити дії в системі. Крім того, хробак має механізми контролю кількості заражень, самоліквідації та дистанційного управління.

Крім поширення за допомогою зовнішніх носіїв, черв'як також успішно заражає комп'ютери за допомогою з'єднання через локальну мережу. Тобто опинившись на комп'ютері поза промисловою мережею, він аналізує всі активні мережеві з'єднанняі пробивається до промислової мережі всіма можливими способами. Після впровадження в систему шкідливе програмне забезпечення шукає в ній присутність SCADA-системи фірми Siemens. Причому їм атакуються лише системи SCADA WinCC/PCS7. Даних про зараження іншої SCADA-системи від Siemens – Desigo Insight, яка широко використовується для автоматизації будівель та житлових комплексів, аеропортів тощо, ми не маємо. Це говорить про «заточеність» хробака на великі промислові та стратегічні об'єкти.

Коли черв'як "розуміє", що опинився на машині з WinCC, він заходить у систему, використовуючи стандартні облікові записи. Варто зауважити, що офіційний Siemens не рекомендує змінювати стандартні паролі на своїх системах, так як "це може вплинути на працездатність системи", і використання хробаком стандартних паролів гарантує майже 100% успішної авторизації. Отже, вірус з'єднується з WinCC і таким чином отримує доступ до технологічного процесу. Але й це ще не все... Він оглядається в локальній мережі АРМа. Знайшовши в ній інші АРМи, черв'як заражає їх, використовуючи 0day вразливості в службі друку Windows(крім того, хробак може отримувати права системи, у разі потреби використовуючи дві інші вразливості нульового дня). Також черв'як бачить у мережі та контролери. Тут ми дійшли, мабуть, до найголовнішого і найнебезпечнішого його функціоналу: так, Stuxnet вміє перепрограмувати PLC, звичайно не всі, а тільки Simatic компанії Siemens. І це не так мало, якщо врахувати, що на цих контролерах побудовано технологічний процес на величезній кількості об'єктів, у тому числі стратегічних та військових. Наприклад, атомна станція в Ірані (Бушер), яку багато експертів вважають «метою» цієї кіберзброї (саме так охарактеризував черв'яка Євген Касперський), звичайно, не використовує контролери Siemens для управління самим реактором, але використовує їх у великій кількості для управління допоміжним обладнанням. А цього цілком достатньо, щоб черв'як міг паралізувати роботу атомної станції. Причому сам процес «паралізації» відбувається дуже цікаво. Троян не записує в контролери сміття і не виводить їх із ладу. «Живучи» в системі досить довгий час, він накопичує інформацію про технологічний процес, про режими роботи обладнання - про ті самі «уставки» температури, тиску, частоту роботи двигунів про які я вже говорив вище. І в якийсь момент троян їх змінює. Приклад: припустимо, аварійна уставка за температурою рідини, що охолоджує, в установці дорівнює 75°С. Нормальна температура роботи – 40-45°С. Зміна значення аварійної зупинки в контролері з 75 до 40' призведе до того, що контролер ініціюватиме зупинку агрегату по аварії в той момент, коли він досягає своєї нормальної робочої температури. Або ще гірше – уставка змінюється в інший бік, і агрегат продовжує працювати після перегріву до повного самознищення. При цьому на екрані SCADA-системи оператор продовжує бачити нормальні значення та уставки, які троян підміняє в реальному часі. І якщо це, наприклад, установка, що перекачує газ, керована САУ турбоагрегатами «останнього» покоління, зміна уставок може призвести до зникнення з карти всієї компресорної станції разом з прилеглими до неї районами.

В одній з версій черв'яка, «розібраної» фахівцями компанії Symantec, знайдено функціонал управління частотно-регульованими приводами (ЧРП) електродвигунів, причому двох конкретних виробників при роботі на певній частоті. За останніми даними, в Ірані черв'як уже призвів до виходу з ладу великої кількості центрифуг, які використовуються для збагачення урану. В управлінні ними застосовувалися ЧРП. Читач може поставити логічне запитання: чи нас хвилює, що в Ірані ламаються центрифуги? Відповідь проста: Stuxnet може, наприклад, вивести з ладу надшвидкісні потяги «Сапсан», які повністю побудовані на системах Simatic та використовують у роботі велика кількістьтих самих «частотників»… І не тільки «Сапсан», а величезна кількість різних систем…

Ще одна цікава функціональна особливістьвірусу - шукати активне Інтернет-з'єднання та надсилати інформацію на певні адреси. Очевидно, саме ця особливість стала причиною заяви фахівців антивірусної лабораторії Данилова про можливе використання трояна як інструмент для промислового шпигунства. Також хробак вміє оновлювати себе через Інтернет, і саме цим обумовлений той факт, що у різних аналітиків «виловлені» копії вірусу сильно відрізняються як за розміром (приблизно від 500 до більш ніж 2Мб), так і за функціоналом.

Навіщо всі ці інтернет-функції, коли промислові мережі не пов'язані з Інтернетом? Хочу вас засмутити: пов'язані. Не всі, і не завжди, але пов'язані. На деяких підприємствах зв'язок здійснюється за допомогою другої мережевої картки на АРМі для дистанційного контролю та збору статистики, на інших – GSM-модемом для віддаленої техпідтримки чи диспетчеризації. У деяких випадках АСУ ТП та ERP-система підприємства взагалі буває «в одному флаконі»… Способів виходу у зовнішній світ багато, і це непринципово… головне – сам факт: багато промислових мереж пов'язані з мережами загального доступу на постійній чи тимчасовій основі.

Політика та ситуація «на місцях»

На сьогоднішній день усі сучасні антивірусні програмиуспішно чистять комп'ютери від хробака Stuxnet. І, здавалося б, все добре: антивіруси лікують машини від хробака, Microsoft випустив оновлення для усунення критичних уразливостей, які використовує хробак для розповсюдження, SIEMENS теж випустив латку для WinCC. Проблема вирішена? Ні… Антивірус очищає від зловреду лише АРМ, тобто ту частину технологічної мережі, яка працює під керуванням Windows. А як же контролери? А ось тут ми підходимо до найцікавішого…

Як було зазначено вище, основним джерелом поширення черв'яка є зовнішні носії. За регламентом практично всіх підприємств підключення таких носіїв, особливо особистих, категорично заборонено. Але хто ж дотримується регламентів... Оператор, який сидить у нічну зміну, дуже нудьгує: на підприємстві тихо, нікого немає, технологічний процес іде в автоматичному режимі... а перед очима АРМ, тобто комп'ютер! Хочеться фільм подивитися, іграшку пограти. На наш досвід роботи на об'єктах можна стверджувати - віруси на АРМах були, є і будуть. Компанії, що займаються розробкою та підтримкою АСУ ТП, іноді спеціально посилають своїх фахівців на об'єкти для чищення АРМів та знаходять безліч вірусів. І проблема ця зовсім не нова… просто донедавна віруси не атакували промконтролери, і присутність їх на АРМах хоч і приносила деякі незручності, але не становила реальної небезпеки.

Як же захиститись від подібних дій персоналу? Якщо CD/DVD приводи просто не встановлюються в машини користувачів, USB входи завжди є за замовчуванням. Елегантне рішення знайшли технічні фахівці одного з комерційних банків Санкт-Петербурга – всі USB порти були залиті клеєм із термопістолета. Але таке рішення який завжди можна використовувати, т.к. може існувати необхідність використання портів USB, наприклад, для ключів захисту програмних продуктів або перенесення інформації інженерно-технічним персоналом. До того ж через USB часто працюють засоби інтерфейсу і принтери, так що фізичне знищення портів не зовсім доречно, ось чому не рекомендується вдаватися до таких радикальних заходів. Єдиний спосіб уберегти системи від заражень, і не тільки Stuxnetом, а й іншою заразою - це дотримання персоналом регламентів підприємства та елементарних правилінформаційну безпеку. На жаль, цьому аспекту приділяють мало уваги, а часто й зовсім забувають про це. З особистого досвіду знаю - персонал на більшості об'єктів навіть не замислюється про те, до яких наслідків може призвести встановлена ​​на АРМі комп'ютерна гра, або принесений GSM-модем для «серфінгу» з АРМа по мережі Інтернет. Серед персоналу також часто спостерігається відсутність елементарної комп'ютерної грамотності. Начальство ж або не знає про те, що відбувається, або заплющує на це очі, хоча не повинно в жодному разі. Персонал, який безпосередньо працює з АРМами та іншими частинами сучасної АСУ ТП, має проходити відповідне навчання та інструктаж, у тому числі й з проблем інформаційної безпеки, але цього, на жаль, не відбувається.
Саме цим пояснюється те, що Stuxnet присутня на великій кількості об'єктів та систем, але факт такої присутності ретельно ховається персоналом та керівниками «на місцях». Нам відомі факти такого приховування, коли керівництво великої компанії після появи Stuxnet розіслало по всіх своїх об'єктах інструкції та програмне забезпечення для виявлення та лікування вірусу. І вірус справді знайшли на багатьох об'єктах, але НІХТО ЙОГО НЕ ЛІКУЄ! Причина: для успішної очистки системи від вірусу необхідне перезавантаження системи (систем), тобто зупинка технологічного процесу. Також настійно рекомендується присутність фахівців для виявлення та можливого виправленнязмін у контролерах. Зупинити установку, цех чи все підприємство – справа непроста: це НП, яку треба чимось доводити. А обґрунтовувати наявністю шкідливого програмного забезпечення не можна, адже саме керівники на місцях відповідають за виконання регламенту та інструкцій. Якщо черв'як потрапив у систему, то інструкції не виконувались, і у керівника будуть неприємності. А неприємностей ніхто не хоче… Об'єкти так і живуть зі Stuxnetом, і не тільки з ним, а ми всі сидимо на цій «пороховій бочці». Саме на «пороховій бочці», бо ніхто не може гарантувати, що поки що «сплячий» троян у якийсь момент не атакує будь-який з цих об'єктів або не з'явиться новий екземпляр. За нашими даними, крім ядерної програми Ірану Stuxnet вже встиг нашкодити деяким промисловим підприємствам у Китаї та різним об'єктам інших країн, і ці системи не мали відношення до ядерних програм.

Лікування

Як написано вище, Stuxnet успішно виявляється та лікується всіма сучасними антивірусними засобами. Проте існують свої тонкощі: після очищення систем від черв'яка необхідно перевірити, щоб програми та уставки в контролерах відповідали актуальним значенням, необхідним для нормальної роботи АСУ. За потреби програми мають бути скориговані. У цьому можуть допомогти фахівці відділів контрольно-вимірювальних приладів та автоматики КВП або виробники АСУ ТП. Ми в Digital Security також можемо допомогти. При лікуванні систем на базі Windows CE/Embedded в жодному разі не можна встановлювати антивірусне програмне забезпечення безпосередньо на комп'ютер з цією версією Windows. Систему необхідно зупинити через спеціальний адаптер підключити носій до іншого комп'ютера з встановленим антивірусним ПЗ і очистити. З офіційними інструкціямиз видалення черв'яка Stuxnet можна ознайомитися на сайті Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view . Також можна завантажити і спеціальну утиліту для видалення Stuxnet, патч для WinCC і патч від Microsoft, які необхідно встановити, щоб уникнути повторного зараження. Якщо у вас виникнуть питання – зверніться за допомогою до фахівців з інформаційної безпеки. Доречно буде помітити, що головний «винуватець урочистостей» - фірма SIEMENS зі своїм «дірявим» ПЗ та чудовими рекомендаціями про «неприпустимість зміни паролів» (цікаво, навіщо в такому разі потрібно було витрачати час на створення функції запиту паролів) дуже небагатослівна у своїх заявах . Компанія стверджує, що за її відомостями хробак виявлений лише трохи більше, ніж у двох десятків її клієнтів, і випадків порушення технологічного процесу не спостерігалося. Тут необхідно дати деякі уточнення:

  1. Говорячи про кількість заражень, компанія має на увазі своїх прямих клієнтів, тобто об'єкти, які будував безпосередньо сам SIEMENS без посередників. Таких об'єктів справді не так багато, і мова йдепро найбільші об'єкти у світовому масштабі. За неофіційними даними, Stuxnet заразив мільйони комп'ютерів, і десятки тисяч об'єктів по всьому світу, і за даними антивірусного моніторингу продовжує зараження зі швидкістю в десятки тисяч машин на добу.
  2. Далеко не на всіх підприємствах проведено перевірку, і на багатьох об'єктах Stuxnet є, але про це ніхто не знає.
  3. Ну і найстрашніше: на багатьох об'єктах черв'як є, про це знають, але нічого не роблять із цим. Про причини такої поведінки, яку крім злочинних не назвати, було написано вище.
  1. Перевірити на наявність Stuxnet та іншого шкідливого програмного забезпечення всі промислові системи. Панове керівники великих компаній, Простій директиви «на місця» мало - ніхто нічого не зробить! Необхідно або відправити на об'єкти своїх людей для примусового виявлення та лікування, або звернутися за допомогою до сторонніх незалежних фахівців.
  2. Провести оновлення ОС на АРМах останніми доступними оновленнямита патчами.
  3. На АРМи, які з якихось причин пов'язані з мережами загального користування, необхідно встановити антивірусне програмне забезпечення та стежити за його оновленнями.
  4. Забезпечити систему резервними копіями ПЗ у початковому стані для забезпечення можливості відновлення у разі пошкодження вірусами або іншими факторами.
  5. Провести програму навчання персоналу із проблем інформаційної безпеки.
  6. Проводити регулярний аудит систем АСК ТП кваліфікованими фахівцями на відповідність вимогам безпеки. Такий аудит повинен включати мінімум перевірку сегментації мережі, процедури оновлення, процес контролю, поінформованість операторів АРМ і багато іншого.

При підготовці використані матеріали компаній: ESET, SYMANTEC, Антивірусна лабораторія Касперського, Антивірусна лабораторія Данилова, Siemens, а також особистий досвід автора, отриманий під час роботи інженером-пусконалагодником АСУ ТП.
Автор висловлює особливу подяку інженерно-технічному персоналу Науково-виробничої компанії «ЛЕНПРОМАВТОМАТИКА» Digital Security, будучи провідним спеціалістом з інформаційної безпеки технологічних систем.

В останні дні всі світові ЗМІ раптово згадали про черву WIN32/Stuxnet, виявлену ще в червні цього року. За комп'ютерними мірками тримісячний термін – це як у звичайному житті кілька років. Навіть некваплива Microsoft встигла випустити патч, що закриває одну з чотирьох уразливостей, що присутні в Windows і зловредом. Щоправда, не для всіх версій операційної системи, а лише для Vista та «сімки», тоді як 2000 і XP залишилися Stuxnet-нестійкими, і вся надія лише на сторонні антивірусні програми. Які все одно знадобляться, благо інші вразливості живуть і живуть.

І раптом Stuxnet знову замиготів у заголовках ресурсів новин. Виявляється, це не просто черговий «черв'як», нехай і досить хитро написаний (півмегабайта шифрованого коду, де використовується відразу кілька мов програмування, від C/C++ до асемблера), а цифровий шпигун-диверсант. Він пробирається на промислові об'єкти, де використовуються апаратно-програмні комплекси Siemens, отримує доступ до системи Siemens WinCC, що відповідає за збір даних та оперативне диспетчерське управліннявиробництвом і через неї намагається перепрограмувати логічні контролери (PLC).

Вам уже лячно? Чекайте, це тільки початок! Stuxnet заточений не під якісь там цехи з розливу пива. Його головна мета – іранська атомна станція у місті Бушері! Нібито, саме під її конфігурацію заточено всю злу силу черв'яка, і він чи то вже встиг сильно напортачити іранцям, раз вони з серпня не можуть запустити станцію, чи то тишком-нишком прошив контролери, і, коли АЕС запрацює, дасть команду на вибух. І ось тоді…

Дозволю собі процитувати кілька думок знаючих людей. Так, Євген Касперський у своєму блозі називає Stuxnet «шедевром малварно-інженерної думки» і, у свою чергу, наводить витяги з матеріалу Олександра Гостьова, на думку якого йдеться взагалі про «зброю промислового саботажу». Зробив його, ясна річ, ізраїльський Моссад, щоб зупинити роботу Бушерської атомної станції.

Апаратно-програмні комплексиSiemens використовуються на дуже різних виробництвах. Гаразд, якщо йдеться про лиття чавуну.

…але уявіть, як здригнуться серця сотень тисяч чоловіків, якщо черв'як нашкодить лінії з виробництва пива?

Аналітики ESET трохи менш емоційні. Вони не впевнені, що мета Stuxnet саме БАЕС, проте віддають належне якості коду та красі задуму. Win32/Stuxnet розроблений групою висококваліфікованих фахівців, які добре орієнтуються в слабких місцях сучасних засобів інформаційної безпеки. Хробак зроблений таким чином, щоб залишатися непоміченим якнайдовше. Як механізми поширення шкідлива програма використовує кілька серйозних уразливостей з можливістю віддаленого виконання коду, деякі з яких залишаються незакритими і сьогодні. Вартість таких уразливостей на чорному ринку може сягати 10 тисяч євро за кожну. А ціна вразливості в обробці LNK/PIF-файлів (MS10-046), що дозволяє хробакові поширюватися через зовнішні носії, ще вища».

Застереження про зовнішні носії дуже важливе. Як ми розуміємо, системи управління заводами та атомними станціями не мають доступу до Інтернету, тому Stuxnet вміє заражати флешки, і вже з них пробиратися в закриті мережі. Служби безпеки? Так, вони, звичайно, працюють, і часом дуже ефективно. Однак поряд з банальним людським фактором (читаємо - розгильдяйством) існують досить хитрі способи маскування флеш-накопичувачів. Наприклад, акуратно підкуплений співробітник може пронести на робоче місцемишку з вбудованою флеш-пам'яттю, та підмінити їй казенну. Запитайте, а навіщо тоді взагалі потрібне поширення по Інтернету? Адже для відведення очей, щоб ті ж керівники служби безпеки не ворога в колективі шукали, а впевнено кивали на випадкове проникнення ззовні. Для полегшення роботи черв'яка деякі компоненти Win32/Stuxnet були підписані легальними цифровими сертифікатами компаній JMicron і Realtek. В результаті, аж до відкликання сертифікатів Stuxnet був здатний оминати велику кількість реалізацій технології захисту від зовнішніх впливів HIPS (Host Intrusion Prevention System).

ESET ще наводить чудову табличку з географією зафіксованих заражень вірусом, яка, з одного боку, підтверджує натяки Гостева, а з іншого – змушує любителів конспірології ще активніше писати коментарі у форумах та блогах. Чи жарт, зараза вражає найбільші країни, що розвиваються, і для завершеності картини в таблиці не вистачає тільки Китаю замість Індонезії.

Вам уже страшно, як і Євгену Касперському? Зачекайте. Давайте переведемо дух.

По-перше, треба розуміти – чому виробники засобів захисту від кібер-загроз із таким задоволенням говорять про Stuxnet. Так, зрозуміло, вони хочуть урятувати нашу маленьку планету. Але це ще й новий гігантський ринок. Не тільки Siemens виробляє засоби управління та контролю для різних виробництв, від атомних станцій до цехів з розливу пива. Крім німців є ще американці, японці та інша, та інша. Коштують такі комплекси, м'яко кажучи, недешево, і якщо до кожного вдасться прикладати свій продукт-захисник… Так-так, ви мене правильно зрозуміли.

По-друге, за всієї краси версії про Моссад, вірити в неї не варто. Якщо на черв'яка дійсно було витрачено чимало людино-місяців або навіть людино-років, як про це заявляють експерти, то подібне завершення операції – грандіозний провал. Моторошне для будь-якого розвідника поєднання відсутності результату та розголосу. Зазвичай для вирішення завдань отримання інформації та саботажу вдаються до старої, як світ, вербування, і Моссад має величезний досвід роботи такого роду в арабських країнах. Ні, можна, звичайно, припустити, що програму було написано спеціально для тихого впровадження одним із співробітників АЕС, а коли щось пішло не так - черв'яка запустили в Інтернет для прикриття агента. Але це якщо Stuxnet точно готували для Бушера, чим чимало сумнівів. Про них – у наступному пункті.

По-третє, як вдалося з'ясувати, для автоматизації електростанцій (у тому числі і в Бушері) використовується ліцензійне обладнання Siemens, яке відрізняється від традиційних PLC приблизно так само, як бойовий винищувач від дельтаплана. Доля PLC - це, у кращому випадку, автоматизація пивоварного заводу або газо-/нафтоперекачувальної станції. Залишається абсолютно незрозумілим – які такі PLC Stuxnet зібрався перешивати у Бушері?

Зрештою, по-четверте. Зверніть увагу на Win32 у повній назві вірусу. На жодному серйозному заводі, не кажучи вже про атомну станцію, операційну систему Microsoftне допустять до управління справді важливими процесами. Там панують системи сімейства *nix (зокрема QNX), і вірус зі стану Windows для них абсолютно нешкідливий. Отже, сенсація виходить із серії байок про секретарку, яка боялася заразитися вірусом від комп'ютера. Правда, найсуворіші автори страшилок уточнюють, що Windows PLC не керує, але під ними є засоби для перепрограмування контролерів, і ось їх-то Stuxnet і використовує. Так трохи страшніше, проте на серйозних виробництвах ніхто не скасовував Великі Рубильники, які відповідають за справді важливі речі. Їх можна смикнути виключно вручну, тому що так набагато надійніше. І безпечніше. Комп'ютер до них якщо підпустять, то не сьогодні і не завтра. А на атомній станції, швидше за все, взагалі ніколи.

Не хочеться нав'язувати читачеві свою думку, але поки що від Stuxnet дуже сильно пахне недобросовісною конкуренцією. Звідки ця ненависть до рішень Siemens? Кому не ліньки було витратити стільки сил і часу на великого жирного хробака, який, за великим рахунком, нашкодити не може, але осад після себе залишає вкрай неприємний. Дивишся, інвестори нових заводів із електростанціями подумають, та й куплять комплекс іншого виробника. Коли йдеться про сотні мільйонів і навіть мільярди доларів, не шкода витратити кілька мільйонів на чорний PR.

Так що зброя він зброя, але до реальних вибухів дійде навряд чи. Хіба що вибухів обурення під час чергового візиту до магазину чи отримання рахунку за електроенергію. Всі ці промислові війни ведуться зрештою за рахунок нас, споживачів.

При написанні цієї статті були скривджені у найкращих почуттях сотні конспірологів

Я професійний програміст і за освітою фізик, так що все, що викладено в цій статті, не домисли, я все це можу зробити сам, своїми власними ручонками. Та й інформації по темі маю набагато більшу, ніж можу викласти на цьому, не профільному для мене інформаційному майданчику.
Так що якщо заперечуватимете на форумі, подумайте кому ви заперечуєте.
Це Вам не «з перевалу», де я виглядаю дилетантом, у цій темі я професіонал, тож слухайте з повагою.


Почнемо зі столітньої давності

У 1905 році при проходженні військової колони «Єгипетським» мостом у Петербурзі відбулося його обвалення через сильну як тоді говорили «розгойдування». Зараз би ми сказали через резонанс.

Основна версія полягає в тому, що конструкція мосту не витримала надто ритмічних коливань від злагодженого кроку військових, через що в ній відбувся резонанс. Ця версія була включена до шкільну програмуз фізики як наочний приклад резонансу.

Крім того, було введено нову військову команду «йти не в ногу», вона дається стройовій колоні перед виходом на будь-який міст.

Історія повчальна й у тому плані, що зіткнувшись із невідомим явищем військові оперативно в ньому розібралися та вжили адекватних заходів для його запобігання в майбутньому.

Нам би зараз таку вдумливість та оперативність.

Аварія на Саяно-Шушенській ГЕС

У сучасній Росії через сто років сталася аналогічна катастрофа. Внаслідок аварії енергоагрегату №2 Саяно-Шушенської ГЕС 17 серпня 2009 року сталася руйнація машинного залу та повна зупинка роботи ГЕС, аварія забрала 75 людських життів (на мосту жодна людина не загинула).

Офіційно причину аварії в акті комісії з розслідування обставин аварії сформульовано так:

Внаслідок багаторазового виникнення додаткових навантажень змінного характеру на гідроагрегат, пов'язаних з переходами через нерекомендовану зону, утворилися та розвинулися утомні ушкодження вузлів кріплення гідроагрегату, у тому числі кришки турбіни. Викликані динамічними навантаженнями руйнування шпильок призвели до зриву кришки турбіни та розгерметизації водопідвідного тракту гідроагрегату.

Якщо перекладати на зрозуміла мова, то енергоагрегат (гідравлічна турбіна з'єднана з електрогенератором), зруйнувався через тривалу роботу в областях навантаження, на яких присутні резонанси електромеханічної системи.

Сто років тому спеціалісти розібралися з ситуацією і зробили висновки, які все дотримуються, команду «розладнати крок» ніхто і ніколи вже не скасує.

А ось тепер із причинами не розібралися, і висновків не зробили.

Область резонансів у документі називається «не рекомендованою зоною». Чиновникам забракло сміливості навіть назвати все своїми іменами, не те що зробити висновки. Події тим часом розвивалися далі.

Вірус Stuxnet

Stuxnet став першим комп'ютерним вірусом, який завдав шкоди фізичним об'єктам. Через нього в 2010 році вийшли з ладу багато центрифуг на ядерних об'єктах Ірану. Кібернапад на іранський завод зі збагачення урану в Нетензі затримав розвиток ядерної програми Ірану на кілька років.

Військові аналітики визнають, що Stuxnet став новою віхою у розвитку кіберзброї. З віртуального простору воно перейшло в реальність, оскільки атака такого вірусу вражає не інформаційні, а фізичні, реально існуючі об'єкти.

Руйнування центрифуг вірусом Stuxnet проводилося методом резонансу електромеханічної конструкції центрифуги. Поясню на пальцях, газова центрифуга має вал, що швидко обертається (20-50 тисяч обертів за хвилину), який крутить електромотор. Електромотором управляє контролер, якщо цей контролер перепрограмувати так, щоб він періодично змінював частоту обертання валу центрифуги (у професіоналів називається «биття частоти»), то за певних частот «биття» система увійде в резонанс і підшипники осі валу і сам корпус центрифуги зруйнується.

Причому це буде виглядати як звичайна поломка, не пов'язана з роботою електроніки та програм контролера управління електромотором. Спочатку підвищуватиметься вібрація, потім починають відкручуватися гайки кріплення корпусних деталей, потім розбиваються підшипники і система врешті-решт клинить і втрачає герметичність.

Вірус Stuxnet, потрапляючи на об'єкт саме це і робив, перепрограмував контролер управління електромотором Simatic S7 таким чином, щоб він видавав напругу з частотою биття, кратною резонансним частотам валу центрифуги, що обертається.

Процес наростання амплітуди резонансу може тривати годинами, якщо не днями, для обслуговуючого персоналу це виглядало як дефект конструкції самої центрифуги.

Іранці так і не зрозуміли, що їхні центрифуги руйнували вірус доти, доки програмісти з Білорусії не виявили сам вірус і не розібралися з його функціональним навантаженням. Тільки після цього вірус Stuxnet набув світової популярності і Іран визнав, що його ядерний об'єкт цілеспрямовано атакувався протягом як мінімум року саме цією кіберзброєю.

Що трапилося на Саяно-Шушенській ГЕС

Аварія на другому гідроагрегаті Саяно-Шушенської ГЕС сталася через резонанс, як це було на початку двадцятого століття Петербурзі, як це було роком пізніше в Ірані. Більш того, можна стверджувати, що в резонанс обладнання було введено навмисно, використовуючи методи реалізовані у вірусі Stuxnet.

Справа в тому, що в момент аварії агрегатом управляла автоматика. Ручне керуваннядля видачі постійної потужності було відключено та агрегат працював у режимі компенсацій пульсацій навантаження на енергосистеми західного Сибіру.

При введенні в експлуатацію обладнання перевіряються резонансні частоти та в актах приймання зазначаються режими, в яких забороняється експлуатація обладнання.

Українські фахівці у березні 2009 року зняли ці найважливіші параметриз другого агрегату (під час планового ремонту) куди і до яких рук ці дані потрапили невідомо, але можна припустити.

Маючи ці дані зовсім не важко розкачати систему агрегату через мікроконтролер управління ГРАРМ так, щоб вона поступово за кілька годин увігнала в зону резонансу турбоагрегат з електрогенератором на одному валу.

Після чого на корпусі почали від вібрацій відвертатися шпильки турбіни, що утримують кришку, що і послужило безпосередньою причиною катастрофи.

Роботою турбіни та генератора в автоматичному режимі управляє спеціальна система, називається системою групового регулювання активної та реактивної потужності(ГРАРМ).

Електронна частина шафи керування ГРАРМ виконана на основі PC-сумісної мікроЕОМ фірми Fastwell

Ця система була активована у момент аварії на другому агрегаті. Система була змонтована та запущена в експлуатацію на початку 2009 року, незадовго до аварії. Розроблено та змонтовано цю систему фірмою «ПромАвтоматика» на базі імпортного обладнання.

Природно про жодну Інформаційну безпеку тоді не думали, ця система мала прямий вихід в Інтернет, резонансні частоти агрегату були відомі.

Подальше я думаю пояснювати не треба, сталося те, що сталося.

Колеги з Ізраїлю та США успішно випробували кіберзброю для руйнування інфраструктурних об'єктів на практиці, після цього звичайно потрібно створювати спеціальний рід військ для його використання, що США і зробили в тому ж 2009 організувавши Кіберкомандування зі штатом співробітників (бійців) в 10 000 осіб.

Кіберзброя

Комп'ютерні віруси в третьому тисячолітті стали теж зброєю і отримали назву «Кіберзброя», навіть у багатьох країнах ця зброя виділяється в окремий рід військ, узагальненою назвою якого з легкої руки американців стала назва «Кіберкомандування».

Командувач цими збройними силами отримав зовсім фантастичну назву, не повірите, у США його називають – КіберЦар, та саме російське слововикористовується для офіційної назви американського командувача.

Ця зброя вже застосовувалася в неоголошеній війні США та Ізраїлю проти Ірану, швидше за все вона застосовувалася і в Росії, на Саяно-Шушенській ГЕС, є її слід і в аварії на Індійському проекті передачі в лізинг атомних підводних човнів.

Там знову засвітилася та сама пітерська фірма, вона була розробником обладнання пожежогасіння, яке внаслідок мимовільного спрацьовування призвело до загибелі людей на ходових випробуваннях. але це окрема тема.

Як Лабораторія Касперського розшифрувала шкідливу програму, яка заблокувала програмне забезпеченняіранської системи управління збагаченням ядерного палива

Комп'ютерні кабелі в'ються по підлозі. Загадкові блок-схеми намальовані на різних дошках розвішаних по стінах. У залі стоїть муляж Бетмана у натуральну величину. Цей офіс може здатися нічим не відмінним від будь-якого іншого робочого місця комп'ютерника (geeky workplace), але насправді це передній край боротьби, а точніше кібервійни (cyberwar), в якій більшість боїв розігруються не в далеких джунглях або пустелях, а в приміських офісних парках, подібних до цього.

Як старший науковий співробітник (senior researcher) Лабораторії Касперського, провідної компанії з комп'ютерної безпеки, що базується в Москві, Ройл Шувенберг (Roel Schouwenberg) проводить свої дні (і багато ночі) тут, в американській штаб-квартирі Лабораторії в містечку Уоберн (Woburn) штату Массачусетс, борючись з найпідступнішою цифровою зброєю, здатною порушити водопостачання, , банкам та самій інфраструктурі, які колись здавалися невразливими для атак.

Стрімке визнання таких загроз розпочалося у червні 2010 року з виявленням Стакснет (Stuxnet), 500-кілобайтного комп'ютерного хробака, що заразив програмне забезпечення щонайменше 14 промислових об'єктів в Ірані (4/5), у тому числі і завод зі збагачення урану. Хоча комп'ютерний вірус залежить від мимовільної жертви його установки, черв'як (worm) поширюється сам собою часто через комп'ютерну мережу.

Цей черв'як був безпрецедентно майстерно виконаним шкідливим шматочком коду, який атакував у три етапи. Спочатку він націлювався на комп'ютери та мережі Microsoft Windows, неодноразово виконуючи своє самовідтворення. Потім він шукав програмне забезпечення Siemens Step7, яке також працює на Windows-платформі та використовується для програмування промислових систем управління, які керують обладнанням, таким як центрифуги. Зрештою, він компрометував програмовані логічні контролери. Автори черв'яка могли таким чином шпигувати за промисловими системами і навіть викликати прискорене обертання центрифуг з метою їхнього руйнування, причому непомітно для людини-оператора на заводі. (Іран поки що не підтвердив повідомлення про те, що Stuxnet знищив деякі з його центрифуг).

Як працює Stuxnet:


  1. зараження системи через USB-флеш-накопичувач,

  2. пошук цільового програмного забезпечення та обладнання від Siemens,

  3. оновлення вірусу через Інтернет; однак, якщо система не є метою, вірус нічого не робить,

  4. компрометація,

  5. захоплення управління,

  6. дезінформація та виведення з ладу обладнання.

Stuxnet може потай розповсюджуватися між комп'ютерами з ОС Windows, навіть тими, які не підключені до Інтернету. Якщо працівник вставляє USB-флеш-накопичувач у заражену машину, то Stuxnet автоматично копіюється на неї, а потім копіюється на інші машини, які одного разу прочитали цю флешку. Звідси будь-який співробітник, нічого не підозрюючи, може заразити машину таким чином, що дозволить «хробакам» поширитися локальною мережею. Експерти побоюються, що ця шкідлива програма, можливо, «дичала і гуляє» по всьому світу.

У жовтні 2012 року американський міністр оборони Панетта (Leon Panetta) попереджав, що США вразливі для «кібернетичного Перл-Харбора» (cyber Pearl Harbor), і можливі сходи під укіс поїздів, зараження води та збої в мережах електроенергетики. У наступного місяцякорпорація "Шеврон" (Chevron) підтвердила це припущення, ставши першою американською корпорацією, що визнала, що Stuxnet проник на всі її комп'ютери.

Хоча автори Stuxnet так і не були офіційно встановлені, розмір та складність черв'яка привели експертів до переконання, що він міг бути створений лише за спонсорської підтримки держави. І, незважаючи на таємність, витік інформації в пресі (leaks to the press) від офіційних осіб у США та Ізраїлі дозволяє з упевненістю припустити, що ці дві країни замішані. З моменту виявлення Stuxnet Шувенберг та інші фахівці з комп'ютерної безпеки борються з низкою інших бойових (weaponized) вірусів, такими як Дюку (Duqu), Флейм (Flame, англ. - полум'я) і Гаусс (Gauss). Натиск шкідливих програм не показує жодних ознак ослаблення.

Це знаменує собою поворотний момент у геополітичних конфліктах, коли апокаліптичні сценарії, лише одного разу показані в таких фільмах, як «Міцний горішок - 4.0» («Жити вільно чи померти, борючись») (Live Free or Die Hard), зрештою стають правдоподібними. "Художній вигадка раптом став реальністю", - говорить Шувенберг (Schouwenberg). Але герой боротьби проти зла не Брюс Вілліс, він 27-річний хлопець з пошарпаною зачіскою «кінський хвіст» (ponytail). Цей Шувенберг каже мені: «Ми тут для того, щоб урятувати світ! Питання лише в тому, чи є в Лабораторії Касперського все те, що потрібно?»

На фотографії, виконаній Йелленом (David Yellen) і названої «Кіберсищик» (Cybersleuth), зображений Ройл Шувенберг (Roel Schouwenberg) з Лабораторії Касперського, який допоміг у розшифровці Stuxnet і йому подібних інтернет-хробаків, найскладніших з коли-небудь найскладніших.

Віруси не завжди були злими. У 1990-х роках, коли Шувенберг був простим задерикуваним підлітком (just a geeky teen), який жив у Нідерландах, а шкідливі програми (malware) зазвичай створювалися хуліганами та хакерами (pranksters and hackers), тобто людьми, які бажають лише викликати збій комп'ютера або зобразити doodle-графіті на вашій домашній сторінці AOL.

Після виявлення вірусів на власному комп'ютері 14-річний Шувенберг зв'язався з Лабораторією Касперського, однією з провідних антивірусних компаній. Такі компанії оцінюються зокрема тим, як багато вірусів вони виявили першими, і Kaspersky вважається однією з найкращих, хоча про її успіх точаться суперечки. Деякі звинувачують її у зв'язках із російським урядом, але компанія ці звинувачення заперечує.

Через кілька років після першого зіткнення з вірусами Шувенберг електронною поштою запитав засновника компанії Євгена Касперського, чи треба йому вивчати математику в коледжі, якщо він хоче стати фахівцем з комп'ютерної безпеки. Касперський відповів тим, що запропонував йому 17-річному хлопцеві роботу, яку той взяв. Провівши чотири роки в компанії в Нідерландах, він вирушив до Бостона. Там Шувенберг дізнався, що інженеру потрібні специфічні навички для боротьби зі шкідливими програмами, тому що для аналізу, а по суті зворотного проектування більшості вірусів, написаних для Windows, потрібне знання мови асемблера для процесорів Intel x86.

Протягом наступного десятиліття Шувенберг став свідком найзначніших змін, що відбуваються у галузі. Ручне виявлення вірусів поступилося місцем автоматизованим методам, здатним виявляти навіть по 250 000 нових шкідливих файлівкожен день. Насамперед банки зіткнулися з найсерйознішими загрозами, а привид міждержавних кібервійн (state-against-state cyberwars) все ще здавався далеким. "Все це було не просто розмовами", - говорить Омарчу (Liam O"Murchu), аналітик компанії з комп'ютерної безпеки Symantec Corp. з Маунтін-В'ю (Mountain View), штат Каліфорнія.

Все змінилося у червні 2010 року, коли одна білоруська фірма з виявлення шкідливих програм отримала запит від клієнта на виявлення причин мимовільного перезавантаження комп'ютерів. Шкідливе програмне забезпечення (malware) було підписано цифровим сертифікатом, що імітує його надходження з надійної компанії. Ця особливість привернула увагу антивірусної спільноти, чиї програми автоматизованого виявлення не могли впоратися з такою загрозою. Це було першою пристрілкою Stuxnet у «дикій природі» (in the wild).

Небезпека, яку представляють підроблені електронні підписи, була така страшна, що комп'ютерні фахівці з безпеки почали потихеньку обмінюватися своїми висновками і електронною поштою та на приватних онлайн-форумах. Такий стан справ не є незвичним. (that's not unusual). "Обмін інформацією в комп'ютерній індустрії безпеки може бути класифікований як надзвичайна ситуація", - додає Хіппонен (Mikko H. Hypponen), головний науковий співробітник (chief research officer) фірми з безпеки (security firm) F-Secure з Гельсінкі, Фінляндія. «Я не міг і подумати про жодні інші ІТ-сектори, де існує така широка співпраця між конкурентами». Тим не менш, компанії конкурують, наприклад, у тому, щоб стати першими при виявленні ключових особливостей кіберзброї (cyberweapon), а потім заробити на вдячній громадській думці як результат.

Перш ніж усі дізналися, на що був націлений Stuxnet, дослідники Лабораторії Касперського та інших безпекових компаній виконали зворотний інжиніринг коду, «підібрали ключі», виявили витоки та напрямок поширення вірусу, у тому числі загальну кількість інфекцій та їх частку в Ірані, а також посилання на промислові програми Siemens, які використовуються на об'єктах енергетики.

Шувенберг був найбільше вражений тим, що Stuxnet здійснив не одне, а цілих чотири прояви витонченості (feat) «нульового дня» (zero-day), тобто зломів (haks), що використовують вразливість раніше невідомих «спільноті білих капелюхів» ( white-hat community), "білих хакерів". «Це не тільки новаторський прийом, усі вони гарно доповнюють одне одного, – каже він. - Вразливість LNK (файл ярлика в Microsoft Windows) використовується для розповсюдження через USB флеш-накопичувачі (USB sticks). Вразливість диспетчера черги загального друку використовується для розповсюдження в мережах з загальними принтерами, які поширені у мережах із загальним доступом, підключених до Інтернету (Internet Connection Sharing). Дві інші уразливості пов'язані з операціями, призначеними для отримання привілеїв системного рівнянавіть коли комп'ютери повністю ізольовані. Це виконано просто блискуче.

Шувенберг та його колеги з Лабораторії Касперського невдовзі дійшли висновку, що код був досить складним і було розроблено групою «чорних хакерів» (black-hat hackers). Шувенберг вважає, що команді з 10 осіб знадобилося б не менше двох-трьох років, щоб його створити. Питання полягало в тому, хто візьме відповідальність за все це?

Незабаром стало ясно з самого коду, а також з робочих звітів, що Stuxnet був спеціально розроблений для руйнування систем Siemens, що працюють на іранських центрифугах за ядерною програмою збагачення урану. Аналітики Лабораторії Касперського пізніше зрозуміли, що фінансовий зиск не був метою. Це була політично вмотивована атака. «Тоді не було жодних сумнівів у тому, що спонсорування розробки вірусу здійснювалося державою», – каже Шувенберг. Це явище застало зненацька фахівців із комп'ютерної безпеки. «Ми всі тут є інженерами, ми дивимося на код, – каже Омарчу (O"Murchu) із Symantec. – Але це була перша реальна загроза, з якою ми зіткнулися, що веде до реальних політичних наслідків. Це було щось, з приводу чого ми повинні були дійти якоїсь згоди та спільної думки».

Коротка історія шкідливих програм (malware)

1971. Експериментальна вірусна програма Creeper, що самовідтворюється, була написана Томасом (Bob Thomas) з компанії Bolt, Beranek and Newman. Вірус заразив комп'ютери DEC PDP-10 під керуванням операційної системи Tenex. Creeper отримав доступ через мережу ARPANET, попередницю Інтернету, і скопіював себе на віддаленій системі, видавши там повідомлення "Я рептилія (creeper), зрозумій мене, якщо зможеш!" Пізніше було створено програму Reeper («Жнець») видалення Creeper.

1981. Вірус Elk Cloner, написаний для системи Apple II Скрента (Richard Skrenta), привів до першої великомасштабної комп'ютерної вірусної епідемії в історії.

1986. Вірус для завантажувального сектора Brain (він же пакистанський грип, Pakistani flu), перший вірус для IBM PC-суміснихкомп'ютерів, вийшов на волю та викликав епідемію. Він був створений у Лахорі, Пакистан, 19-річним Басітом Фарук Алві (Basit Farooq Alvi) та його братом Амджадом Фарук Алві (Amjad Farooq Alvi).

1988. Черв'як Morris, створений Моррісом (Robert Tappan Morris), заражав машини DEC VAX і Sun під керуванням BSD Unix, підключених до Інтернету. Він став першим хробаком, що широко поширився «у дикій природі» («in the wild»).

1992. Вірус Michelangelo, небезпека якого була роздута фахівцем з комп'ютерної безпеки Макафі (John McAfee), який передбачив, що 6 березня вірус знищить інформацію на мільйонах комп'ютерів, проте фактичні збитки були мінімальними.

2003. Черв'як SQL Slammer або так званий черв'як Sapphire атакував уразливості в Microsoft SQL-сервері та Microsoft SQL Server Data Engine і став найшвидшим у поширенні черв'яком усіх часів, він врізався в Інтернет протягом 15 хвилин після вивільнення (release).

2010. Виявлено хробака Стакснет (Stuxnet). Це перший відомий черв'як, що атакує SCADA-системи, тобто автоматизовані системи керування технологічними процесами (АСУ ТП).

2011. Виявлено хробака Дюку (Duqu). На відміну від близького до нього Stuxnet, він був призначений тільки для збору інформації, а не для втручання у виробничі процеси.

2012. Виявлено Flame, що використовується для кібершпигунства в Ірані та інших країнах Близького Сходу.

У травні 2012 року Лабораторія Касперського отримала запит від Міжнародної спілки з електрозв'язку (International Telecommunication Union), установи ООН, яка керує інформаційними та комунікаційними технологіями, на дослідження фрагменту шкідливої ​​програми, яка підозрювалася у знищенні файлів нафтових компаній на комп'ютерах в Ірані. На той час Шувенберг та його колеги вже шукали варіації вірусу Stuxnet. Вони знали, що у вересні 2011 року угорські фахівці виявили вірус Duqu, розроблений для крадіжки інформації в промислових системах управління.

Виконуючи прохання ООН, автоматизована система Касперського визначила ще один варіант Stuxnet. Спочатку Шувенберг і його група дійшли висновку, що система зробила помилку, тому що знову виявлений вірус (malware) не показав очевидної схожості зі Stuxnet. Однак після занурення в код глибше вони виявили сліди іншого файлу, званого Flame, який, очевидно, був початковою ітерацією Stuxnet. Спочатку Flame та Stuxnet розглядалися як повністю незалежні шкідливі програми, але тепер дослідники зрозуміли, що Flame був насправді попередником Stuxnet, який якось залишився непоміченим.

Flame в цілому був розміром 20 Мбайт, тобто приблизно в 40 разів більше, ніж Stuxnet. Фахівці з безпеки зрозуміли, як висловився Шувенберг, що «…знову за цим, швидше за все, стоїть держава».

Для аналізу Flame фахівці Лабораторії Касперського використовували методику, яку вони називають «стічним колодязем» (sinkhole). Вона забезпечує контроль над командно-керуючим сервером домену Flame таким чином, що коли Flame намагається зв'язатися із сервером своєї домашньої базиНасправді замість цього він відправляє інформацію на сервер Касперського. Важко було визначити, кому належать сервери Flame. «З усіма доступними вкраденими кредитними карткамита інтернет-проксі, - каже Шувенберг, - атакуючим справді дуже легко залишатися непоміченими».

У той час, як Stuxnet був призначений для виведення з ладу обладнання, метою Flame було просто шпигувати за людьми. Поширившись із USB-флешки, він може заражати принтери, що працюють спільно в одній мережі. Як тільки Flame компрометує машину, він може непомітно за ключовими словами шукати секретні pdf-файли, а потім готувати та передавати узагальнюючу інформацію про знайдений документ, і все це не виявлено.

"Справді, розробники Flame пішли на багато для того, щоб уникнути його виявлення програмами забезпечення безпеки", - каже Шувенберг. Він наводить приклад: Flame не просто передає зібрану інформацію всю відразу на свій командно-керуючий сервер, тому що мережеві менеджери можуть помітити раптовий витік. «Дані відправляються дрібними шматочками, щоб досить довго уникати зниження пропускну здатність», – каже він.

Найбільше вражає те, що Flame може обмінюватися даними з будь-якими Bluetooth-сумісними пристроями. Насправді зловмисники можуть вкрасти інформацію або встановити інші шкідливі програми не тільки в межах стандартного 30-метрового діапазону Bluetooth, але й назовні. "Bluetooth-гвинтівка" (Bluetooth rifle), спрямована антена, підключена до комп'ютера з Bluetooth-підтримкою, має можливість здійснювати передачу даних на дальність до 2 кілометрів.

Але найтривожніша особливість Flame це те, як він вперше проник на комп'ютери: через оновлення операційної системи Windows 7. Користувач думає, що він просто завантажує законний патч від Microsoft, а насправді замість цього встановлює Flame. "Те, що Flame поширюється через Windows Updates, є більш значущим, ніж сам Flame", - каже Шувенберг, який вважає, що, можливо, є лише 10 програмістів у світі, здатних запрограмувати таку поведінку. «Це технічна витонченість (feat), яка дуже дивує, тому що тут було зламано шифрування світового класу, – каже Хіппонен із компанії F-Secure. - Вам обов'язково необхідні суперкомп'ютери та безліч фахівців для того, щоб зробити це».

Якщо уряд США дійсно стоїть за цим черв'яком, то цей обхід шифрування від Microsoft може створити деяку напруженість між компанією та її найбільшим клієнтом – федералами. "Я припускаю, що Microsoft провів телефонну розмову між Біллом Гейтсом, Стівом Балмером і Бараком Обамою, - каже Хіппонен, - і мені хотілося б послухати цю розмову".

Виконуючи реверсивний інжиніринг (аналіз) вірусу Flame, Шувенберг та його команда налаштували свою методику на «подібність алгоритмів», що дозволяє виявляти варіанти вірусів, створені на єдиній платформі. У липні вони знайшли новий вірус Gauss. Його метою також було кіберспостереження (cybersurveillance).

Перенесений з одного комп'ютера на інший USB флешкою ​​Gauss краде файли і збирає паролі, з невідомих причин націлюючись на облікові дані ліванських банків. Експерти вважають, що це було зроблено або для відстеження операцій, або для викачування грошей із певних рахунків. «USB-модуль захоплює інформацію із системи, шифрує та зберігає цю інформацію на своїй USB-флешці, – пояснює Шувенберг. - Потім, коли цей USB-флеш-накопичувач вставляється в гаус-інфікований комп'ютер, Gauss захоплює з USB-флешки зібрані дані та відправляє їх на командно-керуючий сервер (command-and-control server)».

Коли інженери Лабораторії Касперського обдурили вірус Gauss при його спілкуванні з його власними серверами, ці сервери раптом «упали» (went down). Провідні інженери вважають, що автори шкідливої ​​програми зуміли швидко замістити свої сліди. Лабораторія Касперського зібрала вже достатньо інформації для захисту своїх клієнтів від Gauss, але на той момент це було страшним. "Ми впевнені, що зроби ми щось не так, і хакери осідлали б нас", - говорить Шувенберг.

Наслідки застосування вірусів Flame і Stuxnet виходять за рамки кібератак, що спонсоруються державою. «Професійні зловмисники дивляться на те, що робить Stuxnet, і кажуть: Це чудова ідея, давайте її копіювати», - говорить Шувенберг.

"У результаті виходить так, що національні держави витрачають мільйони доларів на розробку різних видів кіберінструментарію (cybertools), і це є тенденцією, яка тільки наростатиме", - говорить Джеффрі Карр, засновник і генеральний директор фірми з комп'ютерної безпеки "Тайя Глобал" ( Taia Global) з Макліна, штат Вірджинія. Хоча Stuxnet і зміг тимчасово уповільнити в Ірані програму збагачення урану, він не досяг своєї кінцевої мети. «Хто б не витратив мільйони доларів на Stuxnet, Flame, Duqu тощо, все це гроші, витрачені даремно. Нині ці шкідливі програми вже публічно доступні і може бути піддані зворотному інжинірингу, тобто. докладного аналізу», – каже Карр.

Хакери можуть просто використовувати конкретні компоненти та методики, доступні з Інтернету для своїх атак. Злочинці можуть використовувати кібершпигунство (cyber espionage), наприклад, для того, щоб вкрасти дані про клієнтів з банку або просто посіяти хаос, що є частиною більш складної витівки (prank). «Дуже багато розмов ведеться про держави, які намагаються атакувати нас, але ми перебуваємо в ситуації, коли ми вразливі для армії 14-річних підлітків із двотижневою підготовкою», - каже Шувенберг.

Вразливість є великою проблемою, особливо промислових комп'ютерів. Все, що потрібно для того, щоб знайти шлях, наприклад, до систем водопостачання США - це можливість пошуку термінів у Google. «Ми бачимо, що багато промислових систем управління, підключені до Інтернету, - каже Шувенберг, - і вони не змінюють паролів за замовчуванням, так що, якщо ви знаєте правильні ключові слова, Ви зможете знайти потрібні панелі керування».

Компанії не поспішають інвестувати ресурси, необхідні для оновлення систем промислового управління. Лабораторія Касперського виявила найважливіші інфраструктурні компанії, які працюють під керуванням застарілих 30-річних операційних систем. У Вашингтоні політики закликають до законів, які вимагають такі компанії підтримувати кращі практикибезпеки. Проте ухвалення одного такого законопроекту про кібербезпеку не увінчалося успіхом у серпні 2012 року на тій підставі, що він був би надто дорогим для бізнесу. «Щоб повністю забезпечити необхідний захист нашої демократії, закон про кібербезпеку має бути ухвалений конгресом, - заявив нещодавно Панетта. - Без нього ми вже вразливі і далі залишатимемося вразливими».

Тим часом мисливці за вірусами з Лабораторії Касперського та інших антивірусних компаній продовжуватимуть боротьбу. «Ставки тільки все вище, вище і вище, – каже Шувенберг. – Мені дуже цікаво подивитися на те, що відбудеться через 10 чи 20 років. Як історія оцінить наші рішення, які ми ухвалили зараз?»

З'ясовуються нові і нові подробиці про вірус StuxNet, виявлений в червні цього року. Чим вірус незвичайний? Та багато чим...

  • В першу чергу тим, що умів поширюватися на флешках (використовуючи вразливість в обратотке файлів lnk) Це вже само по собі екзотично у вік Інтернету.
  • Ще він примітний тим, що використовував не одну, а чотири 0-day (тобто досі невідомі) уразливості, що теж нечасто трапляється. Вірніше, дві вразливості були відомі, але дуже мало. Майкрософт про них не знав і відповідно патчів не випустив. Для вірності вірус використовував ще й п'яту, відому, але дуже злу вразливість у RPC сервісі, яку вже експлуатував хробак Conficker.
  • Вірус був підписаний краденим цифровим підписом. З метою захисту Майкрософт вимагає, щоб всі драйвера в системі були підписані. Не допомогло. Зловмисники швидше за все вкрали підписи із тайванських відділень фірм MicronJ та RealTek. Дивний факт, але офіси цих фірм знаходяться в тому самому будинку в місті Шинчу. Якщо це не простий збіг, то це означає, що хтось фізично проник у кімнати, зайшов на відповідні комп'ютери, викрав ключі. Чи не аматорська робота.
  • Його явно писала команда - півмегабайта коду на асемблері, С і С++.
  • Виявлений Stuxnet був не в Америці, Китаї чи Європі, де найбільше народу в інтернеті, і де нормальним вірусам благодать, а в Ірані. 60% заражень сталося у державі ісламської революції.
  • Він вміє приймати команди та оновлюватися децентралізовано, на кшталт P2P. Класичні ботнети користуються центральними командними системами
  • А саме, не побоюсь цього слова, сенсаційне – вірус не розсилає спам, не форматує диск і навіть не краде банківські дані. Він займається шкідництвом з виробництва. Точніше, він атакує індустріальні системи контролю та управління, які використовують софт під назвою Simatic WinCC. Що ще сенсаційніше, Stuxnet потай прописує себе на програмовані чіпи (їх використовують для контролю за виробництвом), маскується і вбиває якийсь важливий процес. Не випадковий процес, а певний код, що повертає. На жаль, що цей код означає, поки невідомо. . Це, до речі, пояснює спосіб поширення через флешки – промислові системи рідко підключені до Інтернету.

Сам собою напрошується висновок: група крутих професіоналів хотіла щось зламати, щось дуже дороге, важливе та промислове. Найімовірніше, в Ірані (хоча вірус потрапив і в інші країни) і, найімовірніше, вже успішно зламала (за оцінками вірусологів Stuxnet прожив майже рік до виявлення). проста групахакерів. Тут потрібне першокласне технічне оснащення - від людей, що крадуть, ключі, до спеців з уразливостей, до експертів з промислового виробництва. Мінімум пристойних розмірів — копрорація, а ймовірніше чиїсь держструктури.

Хто точно в Ірані користується системою WinCC невідомо, але конспірологи вказують, що копія WinCC, причому неліцензійна, стояла на реакторі, що будується в Бушері. На тому самому, де Іран хоче збагачувати уран для своєї ядерної програми, і на захист якого Росія хоче послати ракетний комплекс С-300 і вже послала зенітки Тор-1 .
Що метою є саме Бушер, це, звісно, ​​не доводить. Можливо, в Ірані половина фабрик працює на даному продукті. Тож тим гірше для Ірану.
(Update: Начебто WinCC в Ірані все-таки вже ліцензували Ключ проекту 024 у супровідному README файлі спеціально відведений під Бушер (див. стор. 2) Інших іранських об'єктів, до речі, у списку немає.)

До речі: більшість інформації, яка потрібна на створення віру, лежало в відкритому доступі. Подібні вразливості кілька разів згадувалися в різних, фабричні паролі до баз даних лежали на форумах. P2P-ні ботнети обговорювалися як теоретична можливість. Про WinCC - фото вище. Дуже розумна стратегія. По-перше, економія коштів, по-друге, неможливо простежити шлях інформації. Питання "хто міг це знати?" сильно ускладнюється - а будь хто міг.

Слідкуємо, коротше, за новинами. Наступного тижня – презентація Ральфа Лангнера на конференції з систем промислового управління, 29 вересня – дослідників із фірми Symantec, а також дослідників із Касперського.

Розслідування вірусу StuxNet продовжує розвиватись.

Частина трояна Duqu написана невідомою мовою програмування, створеного спеціально для розробки цього вірусу, стверджують у «Лабораторії Касперського». На думку експертів, це вказує на багатомільйонні інвестиції у розробку Duqu та на державне замовлення щодо його створення.

«Немає жодних сумнівів, що Stuxnet і Duqu були написані на користь якогось уряду, але якого конкретно доказів немає, – каже Олександр Гостев. - Якщо такої мови програмування ніхто не бачив, це означає серйозний софтверний проект, мільйони доларів, витрачені на розробку, та додатковий факт на підтвердження того, що за Duqu стоять уряди».

Федеральне бюро розслідування США чинить сильний тиск на високопосадовців, підозрюваних у розкритті конфіденційної інформації про участь уряду США у використанні Stuxnet для здійснення атак. Про це повідомляє Washington Post.

Співробітники ФБР та Прокуратури США проводять аналіз облікових записів електронної пошти, записи телефонних розмов підозрюваних, а також допитують чинних та колишніх посадових осіб з метою знайти докази, що вказують на зв'язок із журналістами.

Stuxnet був спеціально розроблений для атак на конкретну конфігурацію програмованих логічних контролерів Siemens, які використовуються на заводі зі збагачення урану в іранському місті Нантанз.



ПОХОДЖЕННЯ СТАТТІ