0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

DUQU, пришедший затмить Stuxnet

Содержание

Кто кого: вирус Stuxnet против промышленности Ирана

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Широкие массы интернет-пользователей узнали о вирусе Stuxnet благодаря журналисту Брайану Крепсу 15 июля 2010 года. Позже аналитики из американской разведки намекнули: целью вируса была ядерная программа Ирана.

По сообщению Daily Telegraph, тогдашний госсекретарь Хиллари Клинтон косвенно признавала, что вирус создали США.

Это не вирус, это какое-то кибероружие

По сообщениям крупнейших антивирусных компаний Symantec и « Лаборатория Касперского», вирус, по всей видимости, имел отношение к заражению промышленных контроллеров газовых центрифуг иранского завода по переработке ядерного топлива в Натанзе. Эксперт Symantec охарактеризовал вредоносную программу как кибероружие. И все сошлись во мнении, что над созданием зловреда « поколдовали» госорганы.

Это произвело фурор. Впервые компьютерный троян оказывал влияние не на виртуальную инфраструктуру, а на реально работающий ‘ title=>промышленный объект. Согласно заложенной в нём программе, он то повышал, то понижал частоту оборотов, на которых работали газовые центрифуги. Это должно было привести к отказу оборудования.

Stuxnet поразил воображение аналитиков, во-первых, своим гигантским размером. Начальная версия занимала полмегабайта, а последняя модификация — два мегабайта. Это резко контрастировало с обычными вирусами, размер которых обычно не превышал пары десятков килобайт.

Во-вторых, он отличался повышенной сложностью. Чтобы исследовать Stuxnet, ведущим специалистам в области антивирусной защиты понадобилось более полугода. И даже после этого они не были уверены, что смогли полностью изучить все возможности вредоносной программы.

Червяк на марше

Выяснилось, что Stuxnet заражает только две модификации контроллера Siemens, которые, как считалось, использовались на иранских газовых центрифугах. Чтобы заразиться вирусом, требовалось каким-то образом записать его в контроллер. И здесь обнаружилось самое интересное.

Stuxnet выводил из строя только те машины, на которых были установлены SCADA-система WinCC и средства программирования контроллеров Siemens. Если на компьютере их не было, вирус начинал заражать имеющиеся в сети машины, пока не обнаруживал необходимых программ. При этом работающей системе он не наносил никакого вреда.

Интересно, что завод в Натанзе не имел доступа к интернету. Он был изолирован от внешнего мира. Вирус должен был активировать заранее внедрённый на объект человек.

Центр эпидемии — Иран

Основная масса сообщений о заражении шла из Ирана. По времени это совпало с отчётом Иранского ядерного агентства перед международными структурами о внезапном сокращении общего количества газовых центрифуг на 800 штук. Экспертное сообщество немедленно связало два эти факта.

В итоге разразился международный скандал. Иранские власти немедленно обвинили США и Израиль в ведении кибервойны против страны. Один из высокопоставленных чиновников, курировавших информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.

Тут же встал вопрос о положении дел на иранской АЭС в Бушере. Слухи носились самые невероятные. В основном в стиле ‘ title=> « мы все умрём!».

Однако системы управления АЭС делались российскими фирмами. Это фактически исключало заражение или возможный перехват управления станции.

Вирус даже если туда и внедрился, не нанёс никакого ущерба.

Вслед за Ираном повалили сообщения из Китая, где вирус заразил тысячи промышленных систем. Правда, никаких техногенных катастроф это не вызвало, даже к снижению производства не привело.

Ключ к ящику Пандоры

Все, кто комментировал ситуацию со Stuxnet, отмечали важный момент: если кто-то решился написать подобного рода систему, то он по сути стал инициатором и первопроходцем в области кибервойны. За ним, безусловно, потянутся другие.

И действительно, в последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране.

Первый формально вообще не занимался зловредной деятельностью. Его задачей было выяснить топологию сетей и найти их уязвимые места. Но Duqu имел схожие со Stuxnet части программного кода, и многие посчитали, что вирусы работали в связке. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар.

Flame оказался ещё сложнее. Исследователи стали подозревать, что это вообще не что иное как платформа для разработки вирусов. Она занималась кибершпионажем: следила за абсолютно любыми действиями пользователя на заражённом компьютере и отсылала данные на удалённый сервер.

Работал вирус в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли.

Нет сомнений: если бы злоумышленникам удалось вывести из строя нефтяное оборудование, последствия для страны были бы непредсказуемыми.

Прикладная вирусология

После такой сенсации к проблеме заражения промышленных систем стали подходить « по науке».

В 2016 году на нескольких конференциях по безопасности были представлены вирусы, способные заразить PLC ( ПЛК, программный логический контроллер. — Прим.ред.) фирмы Siemens. Вредоносные программы устраивали DDoS-атаки и заражали другие контроллеры по сети. Смысл презентации заключался в том, чтобы ликвидировать « дыры» в работе безопасности контроллера. Как оказалось, это довольно просто. Нужно лишь активировать защиту от записи, которая препятствует любому изменению кода. Если пароль неизвестен, то червь не может инфицировать PLC.

К тому же, пока киберпророки восторгались новыми возможностями вирусов, реальность нанесла второй суровый удар. Федерация американских учёных, пристально следившая за ядерной программой Ирана, выяснила, что к концу 2010 года количество центрифуг не только вернулось к исходному значению, но даже несколько увеличилось. Проанализировав открытые данные, они пришли к выводу: мощность иранских центрифуг увеличилась на 60 процентов. Получилось, что после вирусной атаки Иран не затормозил свою ядерную программу, а ускорил её.

Позже эти данные подтвердили в МАГАТЭ. Есть пара версий, которые объясняют этот парадокс: либо после атаки центрифуги на заводе заменили на более мощные, либо плановую модернизацию центрифуг приняли за их вывод из строя.

В любом случае, первый кавалерийский наскок, сопровождавшийся шумом и истерикой, окончился полным пшиком. Хотя, возможно, следующие попытки превзойдут все ожидания.

Кто кого: вирус Stuxnet против промышленности Ирана

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Широкие массы интернет-пользователей узнали о вирусе Stuxnet благодаря журналисту Брайану Крепсу 15 июля 2010 года. Позже аналитики из американской разведки намекнули: целью вируса была ядерная программа Ирана.

По сообщению Daily Telegraph, тогдашний госсекретарь Хиллари Клинтон косвенно признавала, что вирус создали США.

Это не вирус, это какое-то кибероружие

По сообщениям крупнейших антивирусных компаний Symantec и « Лаборатория Касперского», вирус, по всей видимости, имел отношение к заражению промышленных контроллеров газовых центрифуг иранского завода по переработке ядерного топлива в Натанзе. Эксперт Symantec охарактеризовал вредоносную программу как кибероружие. И все сошлись во мнении, что над созданием зловреда « поколдовали» госорганы.

Это произвело фурор. Впервые компьютерный троян оказывал влияние не на виртуальную инфраструктуру, а на реально работающий ‘ title=>промышленный объект. Согласно заложенной в нём программе, он то повышал, то понижал частоту оборотов, на которых работали газовые центрифуги. Это должно было привести к отказу оборудования.

Stuxnet поразил воображение аналитиков, во-первых, своим гигантским размером. Начальная версия занимала полмегабайта, а последняя модификация — два мегабайта. Это резко контрастировало с обычными вирусами, размер которых обычно не превышал пары десятков килобайт.

Во-вторых, он отличался повышенной сложностью. Чтобы исследовать Stuxnet, ведущим специалистам в области антивирусной защиты понадобилось более полугода. И даже после этого они не были уверены, что смогли полностью изучить все возможности вредоносной программы.

Червяк на марше

Выяснилось, что Stuxnet заражает только две модификации контроллера Siemens, которые, как считалось, использовались на иранских газовых центрифугах. Чтобы заразиться вирусом, требовалось каким-то образом записать его в контроллер. И здесь обнаружилось самое интересное.

Stuxnet выводил из строя только те машины, на которых были установлены SCADA-система WinCC и средства программирования контроллеров Siemens. Если на компьютере их не было, вирус начинал заражать имеющиеся в сети машины, пока не обнаруживал необходимых программ. При этом работающей системе он не наносил никакого вреда.

Интересно, что завод в Натанзе не имел доступа к интернету. Он был изолирован от внешнего мира. Вирус должен был активировать заранее внедрённый на объект человек.

Центр эпидемии — Иран

Основная масса сообщений о заражении шла из Ирана. По времени это совпало с отчётом Иранского ядерного агентства перед международными структурами о внезапном сокращении общего количества газовых центрифуг на 800 штук. Экспертное сообщество немедленно связало два эти факта.

В итоге разразился международный скандал. Иранские власти немедленно обвинили США и Израиль в ведении кибервойны против страны. Один из высокопоставленных чиновников, курировавших информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.

Читать еще:  Call of Cthulhu — банально, аж страшно! Рецензия

Тут же встал вопрос о положении дел на иранской АЭС в Бушере. Слухи носились самые невероятные. В основном в стиле ‘ title=> « мы все умрём!».

Однако системы управления АЭС делались российскими фирмами. Это фактически исключало заражение или возможный перехват управления станции.

Вирус даже если туда и внедрился, не нанёс никакого ущерба.

Вслед за Ираном повалили сообщения из Китая, где вирус заразил тысячи промышленных систем. Правда, никаких техногенных катастроф это не вызвало, даже к снижению производства не привело.

Ключ к ящику Пандоры

Все, кто комментировал ситуацию со Stuxnet, отмечали важный момент: если кто-то решился написать подобного рода систему, то он по сути стал инициатором и первопроходцем в области кибервойны. За ним, безусловно, потянутся другие.

И действительно, в последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране.

Первый формально вообще не занимался зловредной деятельностью. Его задачей было выяснить топологию сетей и найти их уязвимые места. Но Duqu имел схожие со Stuxnet части программного кода, и многие посчитали, что вирусы работали в связке. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар.

Flame оказался ещё сложнее. Исследователи стали подозревать, что это вообще не что иное как платформа для разработки вирусов. Она занималась кибершпионажем: следила за абсолютно любыми действиями пользователя на заражённом компьютере и отсылала данные на удалённый сервер.

Работал вирус в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли.

Нет сомнений: если бы злоумышленникам удалось вывести из строя нефтяное оборудование, последствия для страны были бы непредсказуемыми.

Прикладная вирусология

После такой сенсации к проблеме заражения промышленных систем стали подходить « по науке».

В 2016 году на нескольких конференциях по безопасности были представлены вирусы, способные заразить PLC ( ПЛК, программный логический контроллер. — Прим.ред.) фирмы Siemens. Вредоносные программы устраивали DDoS-атаки и заражали другие контроллеры по сети. Смысл презентации заключался в том, чтобы ликвидировать « дыры» в работе безопасности контроллера. Как оказалось, это довольно просто. Нужно лишь активировать защиту от записи, которая препятствует любому изменению кода. Если пароль неизвестен, то червь не может инфицировать PLC.

К тому же, пока киберпророки восторгались новыми возможностями вирусов, реальность нанесла второй суровый удар. Федерация американских учёных, пристально следившая за ядерной программой Ирана, выяснила, что к концу 2010 года количество центрифуг не только вернулось к исходному значению, но даже несколько увеличилось. Проанализировав открытые данные, они пришли к выводу: мощность иранских центрифуг увеличилась на 60 процентов. Получилось, что после вирусной атаки Иран не затормозил свою ядерную программу, а ускорил её.

Позже эти данные подтвердили в МАГАТЭ. Есть пара версий, которые объясняют этот парадокс: либо после атаки центрифуги на заводе заменили на более мощные, либо плановую модернизацию центрифуг приняли за их вывод из строя.

В любом случае, первый кавалерийский наскок, сопровождавшийся шумом и истерикой, окончился полным пшиком. Хотя, возможно, следующие попытки превзойдут все ожидания.

Шпионский ярлык: история трояна Stuxnet

Содержание статьи

Середина июля была ознаменована кибератакой на промышленный сектор целых
государств. Естественно, наш журнал не мог пропустить такого события и
подготовил материал об этом инциденте.

Промышленный шпионаж

Мы привыкли, что киберпреступность пытается обмануть, взломать и обворовать
несчастных пользователей интернета. Но время всегда заставляет людей двигаться
дальше, за новыми результатами и новой прибылью. То же самое происходит и в
отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать
номера CC, но ведь есть еще огромная неизведанная ниша — промышленность, ее
технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар
лета — беспрецедентная атака на промышленные системы
SCADA
, Supervisory Control And
Data Acquisition, что переводится как «Диспетчерское Управление и Сбор Данных»
(по-нашему это аналог АСУ ТП — Автоматизированная Система Управления
Технологическим Процессом). Такие системы контролируют процессы на производстве,
нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие
комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна.
Именно на эту информацию и нацелилась свежая вредоносная программа, получившая
имя
Stuxnet
.

Stuxnet

Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно —
антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к
10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо
уведомить компании, чье имя было в ходе дела «опорочено», и изучить экземпляр).
Компании эти достаточно известны — Microsoft и Realtek. Специалисты VirusBlokAda
зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков
(.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости
поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые
червем драйвера имели действующий сертификат, заверенный Verisign и выданный на
имя Realtek. Такой оборот дела сильно усложняет процесс детектирования
вредоносного контента различными системами обнаружения и предотвращения
вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично
доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что
доверенный сертификат сильно продлил жизнь «малваре», прежде, чем ее обнаружили.
Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании
так же подключились к исследованию, как новой уязвимости, с помощью которой
распространялся червь, так и к боевой нагрузке.

Распространение

Механизм размножения червя, казалось бы, не особо-то и оригинальный — через
USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость,
которая позволяет загружать произвольную .DLL-библиотеку, как только флешка
будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке
лежит .DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с
червем, — .TMP) и .LNK-файл. Файл с расширением .LNK является обычным ярлыком.
Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в
стандартной оболочке или Total Commander автоматически выполнится лежащий рядом
.DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?

Как известно, ярлык указывает на исполняемый файл и при двойном щелчке
вызывает его. Но тут все без щелчков, да и .DLL-файл так не выполнить. Если
рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь
до нашей .DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели
управления! Эта-то деталь все и объясняет. Любой элемент панели управления — .CPL-
апплет. Но CPL — это, по сути, простая .DLL, поэтому ярлык для панели управления
особый, он как бы понимает, что имеет дело с .DLL. Кроме того, такой ярлык
пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того,
чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и
делает с помощью вызова LoadLibraryW().

Справедливости ради стоит отметить, что вызов этой функции автоматически
влечет за собой выполнение функции DllMain() из подгружаемой библиотеки.
Поэтому, если такой ярлычок будет указывать не на .CPL-апплет, а на злую
библиотеку со злым кодом (в функции DllMain()), то код выполнится
АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно
использовать и с помощью .PIF-ярлыков.

Боевая нагрузка

Кроме интересного метода распространения удивила и боевая нагрузка — никаких
ботнетов, краж банковских паролей, номеров CC. Все оказалось куда масштабнее.
Уязвимость .LNK провоцирует загрузку скрытого файла с именем

wtr4141.tmp,
лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб). Как
отметили специалисты из Symantec, очень важно на первых порах скрыть свое
присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости,
которая действует, как только пользователь увидит иконки, сработает и

wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в
kernel32.dll. Перехватываемые вызовы:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW

Хуки также вешаются и на некоторые функции из ntdll.dll:

Все эти функции обрабатываются со следующей логикой — если файл начинается с
«

wtr» и заканчивается на «.tmp» (или на «.lnk»), то удалить его из
возвращенного оригинальной функцией значения, а затем вернуть, что осталось.
Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто
не увидит файлы на флешке. После этого

wtr4141.tmp подгружает второй файл с
диска (

wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал,
извращенно — установкой хуков в ntdll.dll на вызовы:

  • ZwMapViewOfSection
  • ZwCreateSection
  • ZwOpenFile
  • ZwCloseFile
  • ZwQueryAttributesFile
  • ZwQuerySection

Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл
со специальным именем, на это дело срабатывают ранее установленные хуки и грузят
второй файл, уже реально существующий —

wtr4132.tmp, вернее, его
незакодированную часть, которая раскодирует вторую часть (по факту —
UPX-сжатие). Вторая часть представляет собой некие ресурсы, другие файлы,
которые вступают в дело после расшифровки и экспорта (аналогичным извращенным
методом с хуками на API функции).

Первым делом устанавливаются два драйвера — mrxcls.sys и mrxnet.sys (именно
из-за этих файлов червь получил такое название — Stuxnet). Устанавливаются они в
системную директорию, а функционал на них — руткит уровня ядра с той же логикой,
что и в первом файле. Это обеспечит защиту червя после перезагрузки и завершения
процесса

Драйвера эти, как уже было сказано, имеют легитимный сертификат Realtek,
поэтому их установка пройдет без проблем (на данный момент сертификат уже
отозван). Кроме руткита распаковываются файлы шаблона ярлыка и

wtr4141.tmp для
организации заражения других USB-устройств. Потом экспортируется код, который
инъектится в системные процессы и добавляет в реестр вышеотмеченные .SYS-файлы
руткита (HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxCls). Далее
раскодируются два .DLL-файла, которые заменяют существующие файлы системы SCADA
— Siemens Step 7.

Таким образом, все вызовы из системы SCADA переходят в поддельные библиотеки.
Там происходит «нужная» обработка, после чего вызовы передаются в оригинальные .DLL
(остальную часть функций вирь и вовсе эмулирует самостоятельно). Кроме всего
перечисленного, червь блокирует процессы антивирусов и пытается найти сервера
СУБД (MSSQL). Найдя таковые, он пробует выполнить вход с учетной записью
WinCCConnect и паролем по умолчанию — 2WSXcder. Это учетная запись от БД SCADA
типа Siemens Simatic WinCC. Как видно, червь заточен именно под продукт Siemens.
Если аутентификация прошла успешно, шпион выкачивает данные о процессах и прочую
секретную инфу. Кроме того, он не гнушается поискать в локальных файлах полезную
для шпионов информацию. Если удается обнаружить выход в интернет, то червь лезет
на один из командных серверов. Имена серваков такие:

Туда червь и пытался достучаться и «что-то» слить в зашифрованном виде.
Ребята из Symantec разобрались и с этой задачей. Оказалось, что шифрование
представляет собой побайтовую операцию XOR с 31-битным ключом, который был
прошит в одной из .DLL-библиотек. Ответ с сервера также приходит в
XOR-виде, правда, используется уже другой ключ из той же библиотеки. Троян
отсылает на сервер общую информацию о зараженной машине (версия винды, имя
компьютера, адреса сетевых интерфейсов, а также флаг наличия SCADA). В ответ от
командного центра могут приходить вызовы RPC для работы с файлами, создания
процессов, внедрения в процесс и загрузки новых библиотек и др.

Читать еще:  Отец биткоина, или Плутовской хай-тек-роман

Что это было?

Именно так… что же это было?! Простые блэкхаты не будут ввязываться в то, что
не принесет легких денег. Данные из SCADA-систем интересны лишь конкурентам.
Конкурентам в коммерческом или политическом планах. Если взглянуть на карту
распространения заразы (по данным лаборатории Касперского), то видно, что
эпицентр — Азия (а именно — Индия, Иран и Индонезия). Если взглянуть на
описанный функционал червя, то можно ужаснуться — контроль над .DLL и перехват
функций SCADA. Разве не круто — управлять индийской атомной электростанцией по
инету? Или проникнуть в иранскую ядерную программу? К тому же, мы имеем факт,
что драйвера руткита имеют легальный сертификат, который географически
принадлежит компании, базирующейся в той же зоне (в Тайланде)!

Этой историей занимаются не только антивирусные компании, но и
правительственные структуры (чтобы замести свои следы? :)). В результате
«захвата» указанных доменов и командных серверов удалось проанализировать
статистику стучащихся туда больных машин. В итоге данные Symantec практически
совпадают со сведениями Лаборатории Касперского — все те же страны. Кроме всего
этого уже подтвердились факты проникновения и в саму систему SCADA. Пока не так
много, около трех фактов (два из Германии и один из Ирана). Но ведь не все будут
публично говорить, что их поимели.

Что будет?

После всего случившегося, я думаю, возникнет неслабый интерес к безопасности
SCADA. До этого инцидента уже были и исследователи, и фирмы, которые
предупреждали о проблемах в безопасности и предлагали свои услуги, но этот
конкретный случай может помочь им очень неплохо заработать. Смею полагать, что
такая же модель червя годится и для ERP-систем, так как показанная схема
применима и для этой модели. ERP-системы отвечают за планирование и управление
бизнесом — деньгами, задачами, товарами и т.д., и т.п. (Я бы даже сказал, что
написать такого червя под ERP было бы легче, но раз была выбрана SCADA и регионы
Азии, то тут скорее попахивает политикой. ). Так что все эти бизнес- и
промышленные системы еще ждут своих героев (привет Александру Полякову aka
sh2kerr). Но вот что касается .LNK-уязвимости, то, например, троянец Zeus уже
стал использовать ее для своего размножения. Кроме того, ребята из Rapid7
сделали эксплойт для Metasploit, который способен работать через HTTP с помощью
WebDav.

При этом шеллкод забивается в .DLL-файл, и ярлык его подгружает. Патча на
момент написания статьи еще не было, а угроза весьма существенная — тут все
антивирусные компании говорят, что они прекрасно детектируют виря по сигнатурам,
поэтому самое время обратить внимание, что сигнатуры — отстой. Сигнатура DLL нам
не так интересна, а вот сигнатура, по которой определяется, что данный ярлык —
эксплойт, определенно может хромать. Возьмем ярлык от публичного PoC
(suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27
антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим
пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через
консоль:

nopy Java.lnk Java.lnk_

Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в
HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но
Java-ярлык — нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java —
не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине
лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением .LNK.
Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов,
для Java-ярлыка — 8, то есть 70% антивирусов перестали детектить эксплойт, и
среди этих антивирусов такие гиганты, как Symantec, Kaspersky, AVG, NOD32. Так
что антивирус тут — не панацея.

Это так. пять копеек от меня, чтобы там не расслаблялись, а вообще,
антивирусникам надо сказать спасибо за столь тщательную и интересную работу,
которую они проделали, чтобы помочь нам разобраться в этой угрозе. Спасибо Вам,
бойцам антивирусного фронта: AdBlokAda (первыми обнаружили и изучили), Symantec
(за подробный технический анализ в своем блоге), компании ESET и лично
Александру Матросову за их работу в московской лаборатории. Также спасибо
лаборатории Касперского и их блогу, в котором Александр Гостев делился своими
мыслями и красивыми картами :). Ну и спасибо тебе, мой читатель, переваривший
этот важный материал.

Duqu и Stuxnet как часть большого плана

«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet.

Детальный анализ полученной информации не только подтвердил предположения экспертов о наличии у них общего «автора», но и позволил говорить о существовании единой платформы, лежащей в их основе.

Платформа с условным именем «Tilded», которая, по мнению аналитиков «Лаборатории Касперского», использовалась для создания Stuxnet, Duqu, а также других вредоносных программ, могла быть разработана задолго до начала эпидемии Stuxnet. Такой вывод был сделан экспертами на основе детального анализа драйверов, предназначенных для заражения систем Duqu и Stuxnet, а также пока неизвестными вредоносными программами.

Общие корни вредоносных программам были выявлены в ходе анализа одного из инцидентов, связанных с Duqu. Во время исследования зараженной системы, атака на которую, предположительно, произошла в августе 2011 года, эксперты обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Однако были и отличия – например, дата подписания цифрового сертификата. Других файлов, которые можно было бы отнести к Stuxnet, на атакованном компьютере обнаружено не было.

Обработка полученной информации и дальнейший поиск в базе вредоносных программ «Лаборатории Касперского» позволили выявить еще один драйвер с похожими характеристиками. Изначально он был обнаружен более года назад, а скомпилирован данный файл был и вовсе в январе 2008 года, за год до создания драйверов, используемых Stuxnet. Всего эксперты «Лаборатории Касперского» нашли 7 типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались.

«Драйверы от пока неизвестной вредоносной программы нельзя отнести к активности Stuxnet и Duqu, – отмечает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – Методы распространения Stuxnet привели бы к гораздо большему числу заражений, а к более таргетированному троянцу Duqu их не позволяет отнести дата компиляции. Мы считаем, что эти драйверы использовались либо в ранних версиях Duqu, либо для заражения совершенно другими вредоносными программами, которые при этом имеют общую платформу и, скорее всего, единую команду создателей».

По версии экспертов «Лаборатории Касперского», киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.

Таким образом, Duqu и Stuxnet – это отдельные проекты, создававшиеся на основе единой платформы «Tilded», которая была разработана еще в конце 2007 – начале 2008 года. Скорее всего, они не были единственными, но цели и задачи других вариантов троянской программы пока не известны. Не исключено, что данная платформа продолжает развиваться. Причем тот факт, что троянец Duqu уже обнаружен антивирусными экспертами, потребует от злоумышленников внесения в нее очередных изменений.

Вести.net: очередная история с «хактивистами» и загадочный вирус Duqu

«Анонимы» отказались от атаки на мексиканский наркокартель Los Zetas, который держит в заложниках одного из «хактивистов». Акцию планировали провести 5 ноября. До этого планировалось в указанный день выложить большой объем компромата на членов Los Zetas и их пособников.

Ролик-предостережение с требованием освободить захваченного «анонима», появился еще в конце октября. Однако сразу после появления видео, «Анонимов» предупредили: мафиози не только не освободят заложника, но и предпримут ответные, очень жесткие шаги. Ведь компроматом на членов Los Zetas могут воспользоваться не только полиция, но и конкурирующие наркокланы.

Предупреждения оказались ненапрасными. По информации частной разведывательной компании Stratfor, наркобароны наняли собственных компьютерных специалистов, которые начали вычислять тех, кто стоит за угрозами. В итоге «Анонимы» решили не публиковать документы, чтобы не подвергать неоправданному риску жизни своих соратников. Неоправданному — хотя бы потому, что до конца неясно, «а был ли мальчик?» — действительно ли в руки Los Zetas попал член «Анонимов» или это был вымышленный повод для очередной громкой акции. По крайней мере, никаких подтверждающих эту информацию данных, кроме утверждений самих участников организации, нет.

Вирус Duqu, который сразу после появления в середине октября, назвали новым Stuxnet, распространяется через обыкновенный вордовский документ. Вернее, не совсем обычный. В данном случае док-файл – это специально подготовленный контейнер. Попав на компьютер и задействовав несколько раннее неизвестных уязвимостей в операционной системе Windows, он запускает скрытый в нем код, что в конечном итоге приводит к его установке. После этого вирус активируется и начинает сбор информации с зараженной машины, а так же компьютеров, подключенных к локальной сети, с целью дальнейшей передачи данных на командные серверы. Два из известных серверов – в Бельгии и Индии – на данный момент бездействуют.

Дальнейшее исследование вируса также показало, что Stuxnet и Duqu, если и не родные братья, но уж точно родственники. «Появилось еще больше доказательств того, что это связано с нашумевшим червем Stuxnet, – говорит руководитель российского исследовательского центра «Лаборатории Касперского» Сергей Новиков. – Похожие механизмы, похожий программный код, похожие принципы использования уязвимостей».

Однако сказать точно, один ли автор у обоих вирусов, пока нельзя. Но уже ясно, что, несмотря на ряд сходных характеристик, оба вируса отличаются в важном моменте – в цели атаки. «Это стопроцентно таргетированная атака, – уверен Сергей Новиков. – Цель абсолютна конкретна. В отличие от Stuxnet, который все-таки был массовой эпидемией, это именно очень точечные, выверенные атаки по конкретным объектам. Это вряд ли промышленные объекты, но опять же это может быть все что угодно — как сертификационные центры, так и различные государственные объекты».

Червь Stuxnet

Червь Stuxnet — это универсальный автономный инструмент промышленного шпионажа, он предназначен для получения доступа к операционной системе, отвечающей за обработку, сбор данных и оперативное диспетчерское управление промышленными объектами. Но, в отличие от большинства аналогичных вирусов, основным применением Stuxnet может стать не хищение данных, а повреждение промышленных автоматизированных систем. Черви подобного класса могут незаметно находиться в системе в спящем режиме и в заданный момент начать отдавать команды, способные вывести из строя промышленное оборудование.

Читать еще:  Intel Atom: маленький фаворит большой корпорации

Содержание

2017: Новые свидетельства причастности АНБ к созданию Stuxnet

В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group — группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.

Эксперты по безопасности Symantec обнаружили в последнем опубликованном Shadow Brokers архиве эксплойт к Windows, практически тождественный тому, что использовали создатели знаменитого Stuxnet — вируса, использованного для саботажа на иранском ядерном предприятии. [1]

Эксперт Symantec Лайам О’Мерху (Liam O’Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows. [2]

По мнению О’Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется «тесная связь», хотя доказать, что это действительно «тот самый» эксплойт, сейчас не представляется возможным.

Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.

Однако, как утверждает О’Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.

Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet — сигнатуры полностью совпадают.

По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.

«Лаборатория Касперского» еще в 2015 году заявила, что группировка Equation «взаимодействовала с другими влиятельными и группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства». [3]

В 2016 году в США вышел документальный фильм Алекса Гибни Zero Days («Уязвимость нулевых дней») [4] , посвященный истории Stuxnet. В этом фильме утверждается, что Stuxnet был крупным и секретным (и остающимся таковым) проектом американских (ЦРУ, АНБ и других) и израильских спецслужб, и его основной целью было — затормозить иранскую ядерную программу, в мирной природе которой имелись значительные сомнения. В фильме указывается, что именно из-за ошибки израильских программистов Stuxnet «утек» далеко за пределы предполагаемого ареала применения (его засекли в Беларуси).

Гвоздев добавил также, что эксперты весьма высоко оценивают качество кода в инструментах Equation Group. Тем загадочнее выглядит история с их предположительной кражей никому прежде неизвестными хакерами Shadow Brokers.

В последних выгрузках Shadow Brokers эксперты нашли немало других эксплойтов к ранее неизвестным уязвимостям в популярных программных продуктах, что свидетельствует о колоссальном размахе операций Equation Group.

Как написал, например, Кевин Бомон, «. Shadow Brokers только что забросили бомбу в сферу информбезопасности. Тут потребуется больше анализа, однако пока кое-что выглядит очень скверно». [5]

Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT, и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT — компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно. [6]

2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group

Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.

2012: Атаки Stuxnet на Иран проводились по приказу Обамы

В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.

Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.

Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.

По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».

В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.

Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.

Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.

«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».

Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.

«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».

2011: МИД РФ обвинил США и Израиль в развязывании кибервойны

В сентябре 2011 года Министерство иностранных дел РФ впервые высказало официальную позицию относительно распространения червя Stuxnet, нанесшего урон атомной индустрии Ирана. В МИД считают, что это козни США и Израиля.

Россия впервые озвучила обвинительные выводы относительно компьютерной эпидемии, вызванной распространением червя Stuxnet, обвинив в его культивировании США и Израиль. Россия назвала инцидент со Stuxnet «единственным доказанным примером идущей полным ходом кибервойны».

Как передает AFP, начальник отдела безопасности российского Министерства иностранных дел Илья Рогачев был категоричен, назвав происхождение вредоносного ПО Stuxnet, впервые появившегося в июне 2010 года и до сих пор озадачивающего ИБ-экспертов.

Как заявил Рогачев, «эксперты считают, что следы Stuxnet ведут непосредственно в Израиль и США».

«Мы считаем, что некоторые страны используют киберпространство для своих военно-политических целей. Единственно доказанным действием такого рода является распространение червя Stuxnet, который был запущен в 2010 году для дестабилизации урановых разработок в Иране», — добавил он.

Илья Рогачев четко дал понять, что США и Израиль причастны к атакам Stuxnet

Рогачев сделал этот комментарий в очень важное время. Именно на этой неделе Иран заявил, что обратился к России за помощью в строительстве второго ядерного объекта не территории страны в дополнение к уже имеющейся АЭС в Бушере. Эта АЭС вызвала большое напряжение в отношениях Ирана и США: последние заподозрили Иран в намерении стать новой ядерной державой.

Ранее в 2011 году представитель России в НАТО Дмитрий Рогозин заявил, что Stuxnet нанес достаточное повреждение бушерской АЭС, которое могло привести к появлению второго Чернобыля.

Появление Stuxnet заставило многие предприятия оценить потенциальный вред, который могут нанести кибератаки промышленным системам. После атаки появилось множество докладов на эту тему, выявивших множество уязвимостей в этом типе систем.

В отношении кибератак всегда бывает трудно определить, кто реально стоит за их организацией. Что касается этого червя, то многие эксперты по информационной безопасности считают, что за ним стоят США. Иран также обвинил Израиль в распространении этого вируса, но не привел достаточных доказательств.

2010: Белорусская компания обнаружила Stuxnet на иранских компьютерах

О появлении червя Stuxnet стало известно в июле 2010 года, после того как небольшая фирма из Белоруссии, занимающаяся вопросами информационной безопасности, обнаружила его на компьютерах своего иранского клиента [7] .

Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.

В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.

По мнению экспертов в области безопасности, атака была подготовлена специалистами очень высокой квалификации (скорее всего, спецслужбами одного из государств). Была поставлена цель разрушить что-то чрезвычайно масштабное. Возможно, речь шла об иранском ядерном реакторе в Бушере. Эксперты, изучавшие червя, сообщали, что он внедряет свой код в системы с программируемыми логическими контроллерами Siemens.

В конце 2010 года Иран заявил об аресте «шпионов», которые якобы были причастны к распространению червя, но их связи с иностранными державами не были детально представлены.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector