0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Неудержимый червь Stuxnet, или о плюшевом вредителе

Содержание

Червь Stuxnet

Червь Stuxnet — это универсальный автономный инструмент промышленного шпионажа, он предназначен для получения доступа к операционной системе, отвечающей за обработку, сбор данных и оперативное диспетчерское управление промышленными объектами. Но, в отличие от большинства аналогичных вирусов, основным применением Stuxnet может стать не хищение данных, а повреждение промышленных автоматизированных систем. Черви подобного класса могут незаметно находиться в системе в спящем режиме и в заданный момент начать отдавать команды, способные вывести из строя промышленное оборудование.

Содержание

2017: Новые свидетельства причастности АНБ к созданию Stuxnet

В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group — группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.

Эксперты по безопасности Symantec обнаружили в последнем опубликованном Shadow Brokers архиве эксплойт к Windows, практически тождественный тому, что использовали создатели знаменитого Stuxnet — вируса, использованного для саботажа на иранском ядерном предприятии. [1]

Эксперт Symantec Лайам О’Мерху (Liam O’Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows. [2]

По мнению О’Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется «тесная связь», хотя доказать, что это действительно «тот самый» эксплойт, сейчас не представляется возможным.

Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.

Однако, как утверждает О’Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.

Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet — сигнатуры полностью совпадают.

По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.

«Лаборатория Касперского» еще в 2015 году заявила, что группировка Equation «взаимодействовала с другими влиятельными и группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства». [3]

В 2016 году в США вышел документальный фильм Алекса Гибни Zero Days («Уязвимость нулевых дней») [4] , посвященный истории Stuxnet. В этом фильме утверждается, что Stuxnet был крупным и секретным (и остающимся таковым) проектом американских (ЦРУ, АНБ и других) и израильских спецслужб, и его основной целью было — затормозить иранскую ядерную программу, в мирной природе которой имелись значительные сомнения. В фильме указывается, что именно из-за ошибки израильских программистов Stuxnet «утек» далеко за пределы предполагаемого ареала применения (его засекли в Беларуси).

Гвоздев добавил также, что эксперты весьма высоко оценивают качество кода в инструментах Equation Group. Тем загадочнее выглядит история с их предположительной кражей никому прежде неизвестными хакерами Shadow Brokers.

В последних выгрузках Shadow Brokers эксперты нашли немало других эксплойтов к ранее неизвестным уязвимостям в популярных программных продуктах, что свидетельствует о колоссальном размахе операций Equation Group.

Как написал, например, Кевин Бомон, «. Shadow Brokers только что забросили бомбу в сферу информбезопасности. Тут потребуется больше анализа, однако пока кое-что выглядит очень скверно». [5]

Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT, и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT — компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно. [6]

2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group

Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.

2012: Атаки Stuxnet на Иран проводились по приказу Обамы

В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.

Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.

Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.

По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».

В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.

Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.

Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.

«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».

Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.

«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».

2011: МИД РФ обвинил США и Израиль в развязывании кибервойны

В сентябре 2011 года Министерство иностранных дел РФ впервые высказало официальную позицию относительно распространения червя Stuxnet, нанесшего урон атомной индустрии Ирана. В МИД считают, что это козни США и Израиля.

Россия впервые озвучила обвинительные выводы относительно компьютерной эпидемии, вызванной распространением червя Stuxnet, обвинив в его культивировании США и Израиль. Россия назвала инцидент со Stuxnet «единственным доказанным примером идущей полным ходом кибервойны».

Как передает AFP, начальник отдела безопасности российского Министерства иностранных дел Илья Рогачев был категоричен, назвав происхождение вредоносного ПО Stuxnet, впервые появившегося в июне 2010 года и до сих пор озадачивающего ИБ-экспертов.

Как заявил Рогачев, «эксперты считают, что следы Stuxnet ведут непосредственно в Израиль и США».

«Мы считаем, что некоторые страны используют киберпространство для своих военно-политических целей. Единственно доказанным действием такого рода является распространение червя Stuxnet, который был запущен в 2010 году для дестабилизации урановых разработок в Иране», — добавил он.

Илья Рогачев четко дал понять, что США и Израиль причастны к атакам Stuxnet

Рогачев сделал этот комментарий в очень важное время. Именно на этой неделе Иран заявил, что обратился к России за помощью в строительстве второго ядерного объекта не территории страны в дополнение к уже имеющейся АЭС в Бушере. Эта АЭС вызвала большое напряжение в отношениях Ирана и США: последние заподозрили Иран в намерении стать новой ядерной державой.

Ранее в 2011 году представитель России в НАТО Дмитрий Рогозин заявил, что Stuxnet нанес достаточное повреждение бушерской АЭС, которое могло привести к появлению второго Чернобыля.

Появление Stuxnet заставило многие предприятия оценить потенциальный вред, который могут нанести кибератаки промышленным системам. После атаки появилось множество докладов на эту тему, выявивших множество уязвимостей в этом типе систем.

В отношении кибератак всегда бывает трудно определить, кто реально стоит за их организацией. Что касается этого червя, то многие эксперты по информационной безопасности считают, что за ним стоят США. Иран также обвинил Израиль в распространении этого вируса, но не привел достаточных доказательств.

2010: Белорусская компания обнаружила Stuxnet на иранских компьютерах

О появлении червя Stuxnet стало известно в июле 2010 года, после того как небольшая фирма из Белоруссии, занимающаяся вопросами информационной безопасности, обнаружила его на компьютерах своего иранского клиента [7] .

Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.

В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.

Читать еще:  Divinity: Original Sin 2 — я свободен

По мнению экспертов в области безопасности, атака была подготовлена специалистами очень высокой квалификации (скорее всего, спецслужбами одного из государств). Была поставлена цель разрушить что-то чрезвычайно масштабное. Возможно, речь шла об иранском ядерном реакторе в Бушере. Эксперты, изучавшие червя, сообщали, что он внедряет свой код в системы с программируемыми логическими контроллерами Siemens.

В конце 2010 года Иран заявил об аресте «шпионов», которые якобы были причастны к распространению червя, но их связи с иностранными державами не были детально представлены.

Неудержимый червь Stuxnet, или о плюшевом вредителе

В последние дни все мировые СМИ внезапно вспомнили о черве WIN32/Stuxnet, обнаруженном еще в июне сего года. По компьютерным меркам трехмесячный срок – это как в обычной жизни несколько лет. Даже неторопливая Microsoft успела выпустить патч, закрывающий одну из четырех уязвимостей, присутствующих в Windows и используемых зловредом. Правда, не для всех версий операционной системы, а только для Vista и «семерки», тогда как 2000 и XP остались Stuxnet-неустойчивыми, и вся надежда только на сторонние антивирусные программы. Которые все равно понадобятся, благо остальные уязвимости живут и здравствуют.

И вдруг Stuxnet снова замелькал в заголовках новостных ресурсов. Оказывается, это не просто очередной «червяк», пусть и довольно заковыристо написанный (полмегабайта шифрованного кода, где используется сразу несколько языков программирования, от C/C++ до ассемблера), а цифровой шпион-диверсант. Он пробирается на промышленные объекты, где используются аппаратно-программные комплексы Siemens, получает доступ к системе Siemens WinCC, отвечающей за сбор данных и оперативное диспетчерское управление производством, и через нее пытается перепрограммировать логические контроллеры (PLC).

Вам уже страшно? Погодите, это только начало! Stuxnet заточен не под какие-то там цеха по разливу пива. Его главная цель – иранская атомная станция в городе Бушере! Якобы, именно под ее конфигурацию заточена вся злая сила червя, и он то ли уже успел сильно напортачить иранцам, раз они с августа не могут запустить станцию, то ли втихаря прошил контроллеры, и, когда АЭС заработает, даст команду на взрыв. И вот тогда…

Позволю себе процитировать несколько мнений знающих людей. Так, Евгений Касперский в своем блоге называет Stuxnet «шедевром малварно-инженерной мысли» и, в свою очередь, приводит выдержки из материала Александра Гостева, по мнению которого речь идет вообще об «оружии промышленного саботажа». Сделал его, понятное дело, израильский Моссад, дабы остановить работу Бушерской атомной станции.

Аппаратно-программные комплексы Siemens используются на очень разных производствах. Ладно, если речь идет о литье чугуна…

… но представьте, как дрогнут сердца сотен тысяч мужчин, если червь навредит линии по производству пива?

Аналитики ESET чуть менее эмоциональны. Они не уверены, что цель Stuxnet именно БАЭС, однако отдают должное качеству кода и красоте задумки. «Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше».

Оговорка про внешние носители очень важна. Как мы понимаем, системы управления заводами и атомными станциями не имеют доступа в Интернет, поэтому Stuxnet умеет заражать флэшки, и уже с них пробираться в закрытые сети. Службы безопасности? Да, они, конечно, работают, и порой – весьма эффективно. Однако наряду с банальным человеческим фактором (читаем – разгильдяйством) существуют довольно хитрые способы маскировки флэш-накопителей. Например, аккуратно подкупленный сотрудник может пронести на рабочее место мышку со встроенной флэш-памятью, и подменить ей казенную. Спросите, а зачем тогда вообще нужно распространение по Интернету? Так ведь для отвода глаз, чтобы те же руководители службы безопасности не врага в коллективе искали, а уверенно кивали на случайное проникновение извне. Между тем, для облегчения работы червя некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов Stuxnet был способен обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

ESET еще приводит чудесную табличку с географией зафиксированных заражений вирусом, которая, с одной стороны, подтверждает намеки Гостева, а с другой – заставляет любителей конспирологии еще активнее строчить комментарии в форумах и блогах. Шутка ли, зараза поражает крупнейшие развивающиеся страны, и для завершенности картины в таблице не хватает только Китая вместо Индонезии.

Вам уже страшно, как и Евгению Касперскому? Подождите. Давайте переведем дух.

Во-первых, надо понимать – почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.

Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции – грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так – червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них – в следующем пункте.

В-третьих, как удалось выяснить, для автоматизации электростанций ( в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC – это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным – какие такие PLC Stuxnet собрался перешивать в Бушере?

Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.

Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.

Так что оружие-то он оружие, но до реальных взрывов дойдет вряд ли. Разве что взрывов негодования при очередном визите в магазин или получении счета за электроэнергию. Все эти промышленные войны ведутся в конечном итоге за счет нас, потребителей.

При написании этой статьи были обижены в лучших чувствах сотни конспирологов

Шпионский ярлык: история трояна Stuxnet

Содержание статьи

Середина июля была ознаменована кибератакой на промышленный сектор целых
государств. Естественно, наш журнал не мог пропустить такого события и
подготовил материал об этом инциденте.

Промышленный шпионаж

Мы привыкли, что киберпреступность пытается обмануть, взломать и обворовать
несчастных пользователей интернета. Но время всегда заставляет людей двигаться
дальше, за новыми результатами и новой прибылью. То же самое происходит и в
отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать
номера CC, но ведь есть еще огромная неизведанная ниша — промышленность, ее
технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар
лета — беспрецедентная атака на промышленные системы
SCADA
, Supervisory Control And
Data Acquisition, что переводится как «Диспетчерское Управление и Сбор Данных»
(по-нашему это аналог АСУ ТП — Автоматизированная Система Управления
Технологическим Процессом). Такие системы контролируют процессы на производстве,
нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие
комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна.
Именно на эту информацию и нацелилась свежая вредоносная программа, получившая
имя
Stuxnet
.

Stuxnet

Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно —
антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к
10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо
уведомить компании, чье имя было в ходе дела «опорочено», и изучить экземпляр).
Компании эти достаточно известны — Microsoft и Realtek. Специалисты VirusBlokAda
зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков
(.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости
поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые
червем драйвера имели действующий сертификат, заверенный Verisign и выданный на
имя Realtek. Такой оборот дела сильно усложняет процесс детектирования
вредоносного контента различными системами обнаружения и предотвращения
вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично
доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что
доверенный сертификат сильно продлил жизнь «малваре», прежде, чем ее обнаружили.
Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании
так же подключились к исследованию, как новой уязвимости, с помощью которой
распространялся червь, так и к боевой нагрузке.

Распространение

Механизм размножения червя, казалось бы, не особо-то и оригинальный — через
USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость,
которая позволяет загружать произвольную .DLL-библиотеку, как только флешка
будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке
лежит .DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с
червем, — .TMP) и .LNK-файл. Файл с расширением .LNK является обычным ярлыком.
Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в
стандартной оболочке или Total Commander автоматически выполнится лежащий рядом
.DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?

Как известно, ярлык указывает на исполняемый файл и при двойном щелчке
вызывает его. Но тут все без щелчков, да и .DLL-файл так не выполнить. Если
рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь
до нашей .DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели
управления! Эта-то деталь все и объясняет. Любой элемент панели управления — .CPL-
апплет. Но CPL — это, по сути, простая .DLL, поэтому ярлык для панели управления
особый, он как бы понимает, что имеет дело с .DLL. Кроме того, такой ярлык
пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того,
чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и
делает с помощью вызова LoadLibraryW().

Читать еще:  Селфи-камера iPhone 11 не попала в топ-10 DxOMark

Справедливости ради стоит отметить, что вызов этой функции автоматически
влечет за собой выполнение функции DllMain() из подгружаемой библиотеки.
Поэтому, если такой ярлычок будет указывать не на .CPL-апплет, а на злую
библиотеку со злым кодом (в функции DllMain()), то код выполнится
АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно
использовать и с помощью .PIF-ярлыков.

Боевая нагрузка

Кроме интересного метода распространения удивила и боевая нагрузка — никаких
ботнетов, краж банковских паролей, номеров CC. Все оказалось куда масштабнее.
Уязвимость .LNK провоцирует загрузку скрытого файла с именем

wtr4141.tmp,
лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб). Как
отметили специалисты из Symantec, очень важно на первых порах скрыть свое
присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости,
которая действует, как только пользователь увидит иконки, сработает и

wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в
kernel32.dll. Перехватываемые вызовы:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW

Хуки также вешаются и на некоторые функции из ntdll.dll:

Все эти функции обрабатываются со следующей логикой — если файл начинается с
«

wtr» и заканчивается на «.tmp» (или на «.lnk»), то удалить его из
возвращенного оригинальной функцией значения, а затем вернуть, что осталось.
Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто
не увидит файлы на флешке. После этого

wtr4141.tmp подгружает второй файл с
диска (

wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал,
извращенно — установкой хуков в ntdll.dll на вызовы:

  • ZwMapViewOfSection
  • ZwCreateSection
  • ZwOpenFile
  • ZwCloseFile
  • ZwQueryAttributesFile
  • ZwQuerySection

Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл
со специальным именем, на это дело срабатывают ранее установленные хуки и грузят
второй файл, уже реально существующий —

wtr4132.tmp, вернее, его
незакодированную часть, которая раскодирует вторую часть (по факту —
UPX-сжатие). Вторая часть представляет собой некие ресурсы, другие файлы,
которые вступают в дело после расшифровки и экспорта (аналогичным извращенным
методом с хуками на API функции).

Первым делом устанавливаются два драйвера — mrxcls.sys и mrxnet.sys (именно
из-за этих файлов червь получил такое название — Stuxnet). Устанавливаются они в
системную директорию, а функционал на них — руткит уровня ядра с той же логикой,
что и в первом файле. Это обеспечит защиту червя после перезагрузки и завершения
процесса

Драйвера эти, как уже было сказано, имеют легитимный сертификат Realtek,
поэтому их установка пройдет без проблем (на данный момент сертификат уже
отозван). Кроме руткита распаковываются файлы шаблона ярлыка и

wtr4141.tmp для
организации заражения других USB-устройств. Потом экспортируется код, который
инъектится в системные процессы и добавляет в реестр вышеотмеченные .SYS-файлы
руткита (HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxCls). Далее
раскодируются два .DLL-файла, которые заменяют существующие файлы системы SCADA
— Siemens Step 7.

Таким образом, все вызовы из системы SCADA переходят в поддельные библиотеки.
Там происходит «нужная» обработка, после чего вызовы передаются в оригинальные .DLL
(остальную часть функций вирь и вовсе эмулирует самостоятельно). Кроме всего
перечисленного, червь блокирует процессы антивирусов и пытается найти сервера
СУБД (MSSQL). Найдя таковые, он пробует выполнить вход с учетной записью
WinCCConnect и паролем по умолчанию — 2WSXcder. Это учетная запись от БД SCADA
типа Siemens Simatic WinCC. Как видно, червь заточен именно под продукт Siemens.
Если аутентификация прошла успешно, шпион выкачивает данные о процессах и прочую
секретную инфу. Кроме того, он не гнушается поискать в локальных файлах полезную
для шпионов информацию. Если удается обнаружить выход в интернет, то червь лезет
на один из командных серверов. Имена серваков такие:

Туда червь и пытался достучаться и «что-то» слить в зашифрованном виде.
Ребята из Symantec разобрались и с этой задачей. Оказалось, что шифрование
представляет собой побайтовую операцию XOR с 31-битным ключом, который был
прошит в одной из .DLL-библиотек. Ответ с сервера также приходит в
XOR-виде, правда, используется уже другой ключ из той же библиотеки. Троян
отсылает на сервер общую информацию о зараженной машине (версия винды, имя
компьютера, адреса сетевых интерфейсов, а также флаг наличия SCADA). В ответ от
командного центра могут приходить вызовы RPC для работы с файлами, создания
процессов, внедрения в процесс и загрузки новых библиотек и др.

Что это было?

Именно так… что же это было?! Простые блэкхаты не будут ввязываться в то, что
не принесет легких денег. Данные из SCADA-систем интересны лишь конкурентам.
Конкурентам в коммерческом или политическом планах. Если взглянуть на карту
распространения заразы (по данным лаборатории Касперского), то видно, что
эпицентр — Азия (а именно — Индия, Иран и Индонезия). Если взглянуть на
описанный функционал червя, то можно ужаснуться — контроль над .DLL и перехват
функций SCADA. Разве не круто — управлять индийской атомной электростанцией по
инету? Или проникнуть в иранскую ядерную программу? К тому же, мы имеем факт,
что драйвера руткита имеют легальный сертификат, который географически
принадлежит компании, базирующейся в той же зоне (в Тайланде)!

Этой историей занимаются не только антивирусные компании, но и
правительственные структуры (чтобы замести свои следы? :)). В результате
«захвата» указанных доменов и командных серверов удалось проанализировать
статистику стучащихся туда больных машин. В итоге данные Symantec практически
совпадают со сведениями Лаборатории Касперского — все те же страны. Кроме всего
этого уже подтвердились факты проникновения и в саму систему SCADA. Пока не так
много, около трех фактов (два из Германии и один из Ирана). Но ведь не все будут
публично говорить, что их поимели.

Что будет?

После всего случившегося, я думаю, возникнет неслабый интерес к безопасности
SCADA. До этого инцидента уже были и исследователи, и фирмы, которые
предупреждали о проблемах в безопасности и предлагали свои услуги, но этот
конкретный случай может помочь им очень неплохо заработать. Смею полагать, что
такая же модель червя годится и для ERP-систем, так как показанная схема
применима и для этой модели. ERP-системы отвечают за планирование и управление
бизнесом — деньгами, задачами, товарами и т.д., и т.п. (Я бы даже сказал, что
написать такого червя под ERP было бы легче, но раз была выбрана SCADA и регионы
Азии, то тут скорее попахивает политикой. ). Так что все эти бизнес- и
промышленные системы еще ждут своих героев (привет Александру Полякову aka
sh2kerr). Но вот что касается .LNK-уязвимости, то, например, троянец Zeus уже
стал использовать ее для своего размножения. Кроме того, ребята из Rapid7
сделали эксплойт для Metasploit, который способен работать через HTTP с помощью
WebDav.

При этом шеллкод забивается в .DLL-файл, и ярлык его подгружает. Патча на
момент написания статьи еще не было, а угроза весьма существенная — тут все
антивирусные компании говорят, что они прекрасно детектируют виря по сигнатурам,
поэтому самое время обратить внимание, что сигнатуры — отстой. Сигнатура DLL нам
не так интересна, а вот сигнатура, по которой определяется, что данный ярлык —
эксплойт, определенно может хромать. Возьмем ярлык от публичного PoC
(suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27
антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим
пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через
консоль:

nopy Java.lnk Java.lnk_

Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в
HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но
Java-ярлык — нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java —
не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине
лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением .LNK.
Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов,
для Java-ярлыка — 8, то есть 70% антивирусов перестали детектить эксплойт, и
среди этих антивирусов такие гиганты, как Symantec, Kaspersky, AVG, NOD32. Так
что антивирус тут — не панацея.

Это так. пять копеек от меня, чтобы там не расслаблялись, а вообще,
антивирусникам надо сказать спасибо за столь тщательную и интересную работу,
которую они проделали, чтобы помочь нам разобраться в этой угрозе. Спасибо Вам,
бойцам антивирусного фронта: AdBlokAda (первыми обнаружили и изучили), Symantec
(за подробный технический анализ в своем блоге), компании ESET и лично
Александру Матросову за их работу в московской лаборатории. Также спасибо
лаборатории Касперского и их блогу, в котором Александр Гостев делился своими
мыслями и красивыми картами :). Ну и спасибо тебе, мой читатель, переваривший
этот важный материал.

Иностранная пресса о России и не только

Питер Бомонт | The Guardian

Вирус-червь Stuxnet предвещает начало новой эры в глобальной кибервойне

Хакерская атака на иранскую АЭС, а также инцидент на американской военной базе в 2008 году, лишь недавно преданный огласке, — все это свидетельствует о нарастающем распространении кибероружия, пишет The Guardian. Как сообщает корреспондент Питер Бомонт, в туалете на базе, с которой осуществлялась поддержка войны в Ираке, были разбросаны флэш-карты, намеренно зараженные вирусом. По данным газеты, это проделала некая иностранная разведка (какой страны, информированные источники не уточняют). Был сделан расчет на то, что кто-то из военных рано или поздно подберет флэшку и в нарушение правил подключит ее к служебному компьютеру. «В результате в компьютерную систему центрального штаба армии США попал саморазмножающийся вредный вирус-червь, и на его удаление ушло 14 месяцев», — пишет газета.

Этот инцидент от 2008 года поразительно похож на хакерскую атаку против иранских ядерных объектов с применением червя Stuxnet, пишет газета. По сообщает автор статьи, обе атаки были весьма изощренными и почти наверняка организованными неким государством, а не отдельными лицами, причем доставка червя к мишени осуществлялась шпионами. «По словам экспертов, главной мишенью Stuxnet была система управления производства Siemens, которая применяется в Иране широко, причем не только на ядерных объектах», — говорится в статье. Позавчера Иран подтвердил, что этот червь обнаружен на ноутбуках на АЭС в Бушере, но подчеркнул, что основная операционная система не заражена. Ввод АЭС в строй отложен; Иран отрицает, что причина в вирусе.

По мнению Джеймса Льюиса из Centre for Strategic and International Studies (Вашингтон), вредоносные программы уже применяются в качестве оружия. «Теперь в арсеналах военных появится потенциал для кибервойны. У пяти стран он уже есть, в том числе у России и Китая», — сказал Льюис.

Глава только что созданного Киберштаба США при Пентагоне, генерал Кейт Александер, недавно выступая в Конгрессе, подчеркнул, что за последние три года угроза кибервойны стремительно нарастает. Он описал две самых заметных атаки на государства: на Эстонию в 2007 году и на Грузию во время ее войны с Россией в 2008 году. «В обеих атаках винят Москву», — пишет газета. Александер ратует за заключение с Россией и тому подобными странами договоров об ограничении кибервоенных технологий.

Читать еще:  Gamescom 2018: Sable отправит игроков в пустыню умиротворения

Все за сегодня

Политика

Экономика

Наука

Война и ВПК

Общество

ИноБлоги

Подкасты

Мультимедиа

Червь Stuxnet – предвестник эпохи кибервойн?

Червь Stuxnet, представляющий собой вредоносную программу, мог быть создан государством.

ЛОНДОН, Британия. В июне 2009 года кто-то где-то тихо запустил в сеть компьютерный вирус, названный Stuxnet. Для вируса он был довольно большой, но тогда никто просто не заметил, как он просочился в киберпространство и начал свое заразное шествие по планете.

Спустя год этот вирус, или зловред, как называют такую разновидность вредоносных программ программисты, сделал что-то непонятное в Иране. Что он там натворил – не ясно, но на сей раз его заметили многие. Потому что Stuxnet, по их словам, меняет все.

Иранские руководители осудили проникновение червя, назвав это актом «компьютерного терроризма», осуществленным «деспотическими державами». Они могут быть правы, говорят эксперты, полагая, что эффективность этого червя и его сложность указывает на возможную кибератаку при участии государства, которая открывает новую эпоху войн в мире.

«По масштабам подготовки, планирования и организации Stuxnet превосходит все, что мы видели прежде», — заявил GlobalPost бостонский исследователь Роэль Шоуэнберг (Roel Schouwenberg), работающий в российской компании по обеспечению безопасности в Интернете «Лаборатория Касперского».

По словам Шоуэнберга, Stuxnet использует уязвимые места в компьютерах с программами Microsoft Windows, заражая сети и распространяясь через носители данных с USB входами. Этот червь охотится за вполне конкретным программным обеспечением, которое создано немецкой машиностроительной компанией Siemens для использования на электростанциях и на заводах.

Найдя соответствующую программу, зловред вносит в нее свои изменения, вызывая отключение оборудования и «создавая возможность для возникновения взрыва». В то же время он «играет» с программами обратной связи, и управляющие производственным процессом инженеры понятия не имеют о происходящем.

На своем пути следования это червь заражает тысячи других компьютеров. Большая часть пользователей не ощущает никаких особых побочных эффектов. В отличие от большинства червей-киберпреступников, Stuxnet не занимается кражей кредитных карт и информации о банковских счетах. Современные программные корректировки способны остановить его продвижение.

Пока нет никаких исчерпывающих сообщений о созданных этим зловредом крупных проблемах – а Иран постоянно и целенаправленно опровергает утверждения о том, что поражены его ядерные установки. Однако, как считают эксперты, потенциал Stuxnet огромен и вызывает тревогу.

«Мы знаем, что Stuxnet это очень вредоносная программа, и что на ее разработку ушли очень значительные средства, — говорит Шоуэнберг, — это также первый известный нам случай, когда проведена кибердиверсия. Учитывая эти факторы, вполне вероятно, что здесь не обошлось без участия государства».

Если целью Stuxnet является Иран, и если это дело рук специалистов, финансируемых государством, то Тегеран, вне всяких сомнений, уже составил список обычных подозреваемых, куда входит Израиль, Соединенные Штаты и Британия.

Но по словам главного исследователя финской компании по обеспечению безопасности в Интернете F-Secure Микко Хиппонена (Mikko Hypponen), пока нет убедительных доказательств того, что мишенью является Иран. На самом деле, сейчас, когда Иран вычислил зловреда и отрезал ему путь, на линии огня оказалась в основном Индия.

Вместе с тем, Хиппонен говорит о такой вещи как ключ регистрации внутри вредоносной программы, в котором присутствуют цифры 19790509. Их можно прочитать как 9 мая 1979 года. Может быть, это день рождения автора червя, размышляет финский специалист, но не исключено, что это тот день, когда Иран казнил иранского бизнесмена еврейского происхождения Хабиба Элганяна (Habib Elghanian), обвинив его в шпионаже в пользу Израиля.

Эксперт по кибербезопасности из лондонского аналитического центра Chatham House Рекс Хьюз (Rex Hughes) согласен с тем, что цель червя Stuxnet и его создателя мы, скорее всего, никогда не узнаем. Так было и прежде, когда совершались кибернападения на Эстонию и Грузию. В обоих случаях обвинили Россию, а Кремль эти обвинения бурно опровергал.

«Это весьма любопытно – такие знаковые события как Эстония, Грузия и теперь Stuxnet. Ни одно государство не признается в своей причастности, и нет 100-процентных по своей убедительности доказательств того, что спонсором всех этих нападений было государство», — говорит Хьюз.

По его словам, единственная кибератака, ответственность за которую взяло на себя государство, была совершена в 1982 году. Тогда представители администрации Рейгана признали, что использовали вредоносные программы, ставшие причиной мощного взрыва на газопроводе в советской Сибири. КГБ тогда заявил, что взрыв был случайным.

Хьюз, написавший доклад о необходимости заключения международного соглашения по кибервойнам, говорит о том, что хотя возможностями для нанесения мощных киберударов обладают многие страны и корпорации, сейчас трудно сказать, кто чем занимается.

«Проблема в том, что все это происходит в основном в мире шпионажа … все это секретные операции, черная магия какая-то», — отмечает он, добавляя при этом, что хотя изобретение Stuxnet было в основном просто «символическим» событием, этот червь действительно обладает возможностями для нанесения более мощного удара.

«Я лично сомневаюсь в том, что приближается электронное 11 сентября или кибернетический Перл-Харбор, — заявляет Хьюз, — думаю, вероятность такого события очень мала. Но это не значит, что какое-то странное явление, какое-то катастрофическое событие невозможно».

Stuxnet продолжает распространяться в киберпространстве, хотя ему уже вынесен приговор – говорят, что возможной датой его уничтожения может стать 24 июня 2012 года. Однако Шоуэнберг полагает, что может произойти нечто более страшное.

«Угроза важнейшим объектам инфраструктуры – это тот вопрос, который неоднократно обсуждался в прошлом. Сегодня, когда появился Stuxnet, эта угроза стала реальной, — говорит он, — это вполне может стать началом новой эпохи кибервойн. Но вопрос заключается в том, увидим ли мы это, или все будет происходить за пределами наших радаров».

Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.

Stuxnet: злобный червь, открытый белорусами

Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, — излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям «Компьютерных вестей» рассказал начальник отдела разработки антивирусного ядра белорусской компании «Вирусблокада» Сергей Уласень.

— Правда ли, что Вы как раз тот человек, который и обнаружил вирус?

— Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и «говорящая голова» в данном случае.

— Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?

— В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.

Stuxnet — троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей «нулевого дня». По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.

— Чем же этот троян так всех впечатлил, что о нем столько пишут?

— Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.

— И как вы поступили?

— После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.

Уязвимость «нулевого дня» — уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.

— Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?

— С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии — что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.

— А появились ли еще какие-то черви, использующие те же уязвимости?

— Появились. Например, Sality — достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.

— Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?

— Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.

ОДО «ВирусБлокАда» является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО «ВирусБлокАда» является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector