Различные факты о защите персональных данных. Шпионский ярлык: история трояна Stuxnet

Описание

9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:

• Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
• для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
• несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
• для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
• Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
• присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
• необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.

Воздействие на систему Siemens SIMATIC

Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.

SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.

SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.

Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).

Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.

Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.

Код Stuxnet в ПЛК позволяет:

• слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
• читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
• синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).

Так же Stuxnet пытается подключиться к базе данных WinCC, используя «пароль по-умолчанию».

Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.

Выводы

Указанные факты позволяют сделать следующие выводы:

• Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
• не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
• функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
• разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.

Все эти косвенные признаки могут указывать на причастность к разработке Stuxnet силовых ведомств или спецслужб каких-либо государств. Основная функция ВПО – распространение и автономная работа в замкнутой системе с последующим саботажем работы системы управления производственными процессами – не свойственна «традиционным» киберпреступникам, которые обычно преследуют цели «монетизации» прибыли (конечная цель – деньги) и, как правило, используют ВПО, разработанное программистами-одиночками. Именно по этим причинам Stuxnet называют кибероружием.

Версии

Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:

• Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
• Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
• АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
• участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
• Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
• Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.

Еще одна из версий о цели атаки – производство по обогащению урана в г. Натанзе (Иран). Эту версию косвенно подтверждают следующие факты:

• производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
• в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.

Послесловие

В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.

Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet - действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.

По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.

Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.

Подробные источники информации о Stuxnet:

Аналитический отчет компании Symantec

Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.

Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security

Про этого червя писали много. Но все же по странным причинам не так много, как могли бы, ведь речь идёт не просто об обычном вирусе. Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки. Его появление не только выявило очередные уязвимости в операционных системах Microsoft, но и устремило взоры специалистов по информационной безопасности в абсолютно новую для них область - безопасность промышленных систем. Раньше мало кто задумывался об этом, хотя некоторые компании предупреждали об этом ещё несколько лет назад. Причины вполне ясны: промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование и ПО, все процессы чётко регламентированы. Казалось бы, никакой опасности быть просто не может! Но как выясняется, это не так. Подобную «фантастическую» картину мы могли видеть в уже достаточно старом фильме «Хакеры». Разработчикам червя Stuxnet удалось без труда обойти эту, казалось бы, самую надёжную физическую защиту. Почему «разработчикам»? Потому что тут речь, несомненно, идёт не об одном человеке, а о целой группе, в составе которой кроме профессиональных программистов и эксплоитописателей были и инженеры, и специалисты по АСУ ТП, знающие специфику работы с промконтроллерами и другим периферийным оборудованием. Вопросов много, а ответов… несмотря на то, что прошло уже 4 месяца с момента первого обнаружения червя, чётких ответов пока нет. Причин этого несколько:

• Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
• Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
• Ну и последнее - поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.

Digital Security - одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.

Итак, попробуем разобраться по порядку…

Промышленная сеть: что это такое?

Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC - контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet - это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр. Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.

Сам контроллер - это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах - обычно собственной разработки производителя, информация о которой малодоступна - QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек - оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ - Автоматизированное Рабочее Место. АРМ - это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько - их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.

У многих малознакомых с АСУ ТП людей возникает вполне логичный вопрос: если есть полноценные компьютеры, которые могут всем управлять, то зачем еще и контроллеры? Ответ прост: им не доверяют. Компьютеры под управлением Windows имеют свойство «виснуть», и, собственно, Windows никак не претендует на звание Realtime OS. А у контроллеров своя операционная система, свое промышленное резервированное питание, и отказоустойчивость в разы выше, чем у любого персонального компьютера.

Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное - о проблемах, связанных с его лечением. Итак, Stuxnet…

Stuxnet - что это такое?

Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители - как и почему, будет рассказано немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.

Червь устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и содержит в себе специализированное ПО для выполнения основной задачи. Драйверы, которые троян устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. Известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют цифровую подпись для «тихой» установки драйверов руткита в целевую систему. В системах безопасности многих производителей файлы, подписанные известными фирмами, заведомо считаются безопасными, и наличие подписи дает возможность беспрепятственно, не выдавая себя, производить действия в системе. Кроме того, червь располагает механизмами контроля количества заражений, самоликвидации и дистанционного управления.

Кроме распространения посредством внешних носителей червь также успешно заражает компьютеры посредством соединения через локальную сеть. То есть оказавшись на компьютере вне промышленной сети, он анализирует все активные сетевые соединения и «пробивается» к промышленной сети всеми возможными способами. После внедрения в систему вредоносное ПО ищет в ней присутствие SCADA-системы фирмы Siemens. Причем им атакуются только системы SCADA WinCC/PCS7. Данных о заражении другой SCADA-системы от Siemens - Desigo Insight, которая широко используется для автоматизации зданий и жилых комплексов, аэропортов и т.д., у нас нет. Это говорит о «заточенности» червя на крупные промышленные и стратегические объекты.

Когда червь «понимает», что оказался на машине с WinCC, он заходит в систему, используя стандартные учётные записи. Стоит заметить, что официальный Siemens не рекомендует менять стандартные пароли на своих системах, так как «это может повлиять на работоспособность системы», и использование червем стандартных паролей гарантирует почти 100% успешной авторизации. Итак, вирус соединяется с WinCC и таким образом получает доступ к технологическому процессу. Но и это еще не все… Он «осматривается» в локальной сети АРМа. Найдя в ней другие АРМы, червь заражает и их, используя 0day уязвимости в службе печати Windows (кроме того, червь может получать права системы, в случае необходимости используя две другие уязвимости нулевого дня). Также червь видит в сети и контроллеры. Тут мы дошли, пожалуй, до самого главного и опасного его функционала: да, Stuxnet умеет перепрограммировать PLC, естественно не все, а только Simatic фирмы Siemens. И это не так мало, если учесть, что на этих контроллерах построен технологический процесс на огромном количестве объектов, в том числе стратегических и военных. Например, атомная станция в Иране (Бушер), которую многие эксперты считают «целью» этого кибероружия (именно так охарактеризовал червя Евгений Касперский), конечно, не использует контроллеры Siemens для управления самим реактором, но использует их в большом количестве для управления вспомогательным оборудованием. А этого вполне достаточно чтобы червь мог парализовать работу атомной станции. Причем сам процесс «парализации» проходит очень интересно. Троян не записывает в контроллеры мусор и не выводит их из строя. «Живя» в системе достаточно долгое время, он накапливает информацию о технологическом процессе, о режимах работы оборудования - о тех самых «уставках» температуры, давления, частоте работы двигателей о которых я уже говорил выше. И в какой-то момент троян их меняет. Пример: допустим, аварийная уставка по температуре охлаждающей жидкости в установке равна 75°С. Нормальная температура работы - 40-45°С. Изменение значения аварийной остановки в контроллере с 75 до 40’ приведёт к тому, что контроллер будет инициировать остановку агрегата по аварии в тот момент, когда он достигает своей нормальной рабочей температуры. Или ещё хуже - уставка меняется в другую сторону, и агрегат продолжает работать после перегрева до полного самоуничтожения. При этом на экране SCADA-системы оператор продолжает видеть нормальные значения и уставки, которые троян подменяет в реальном времени. И если это, например, установка, перекачивающая газ, управляемая САУ турбоагрегатами «последнего» поколения, то изменение уставок может привести к исчезновению с карты всей компрессорной станции вместе с прилегающими к ней районами.

В одной из версий червя, «разобранной» специалистами компании Symantec, найден функционал управления частотно-регулируемыми приводами (ЧРП) электродвигателей, причем двух конкретных производителей, при работе на определенной частоте. По последним данным, в Иране червь уже привел к выходу из строя большого количества центрифуг, используемых для обогащения урана. В управлении ими как раз применялись ЧРП. Читатель может задать логичный вопрос: нас должно волновать, что в Иране ломаются центрифуги? Ответ прост: Stuxnet может, например, вывести из строя сверхскоростные поезда «Сапсан», которые полностью построены на системах Simatic и используют в работе большое количество тех самых «частотников»… И не только «Сапсан», а огромное количество самых разных систем…

Еще одна интересная функциональная особенность вируса - искать активное Интернет-соединение и отсылать информацию на определенные адреса. По всей видимости, именно эта особенность стала причиной заявления специалистов антивирусной лаборатории Данилова о возможном использовании трояна в качестве инструмента для промышленного шпионажа. Также червь умеет обновлять себя через Интернет, и именно этим обусловлен тот факт, что у разных аналитиков «выловленные» копии вируса сильно отличаются как по размеру (примерно от 500к до более чем 2Мб), так и по функционалу.

Зачем все эти интернет-функции, когда промышленные сети не связаны с интернетом? Хочу вас расстроить: связаны. Не все, и не постоянно, но связаны. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на АРМе для дистанционного контроля и сбора статистики, на других - GSM-модемом для удаленной техподдержки или диспетчеризации. В некоторых случаях АСУ ТП и ERP-система предприятия вообще бывает «в одном флаконе»… Способов выхода во внешний мир много, и это непринципиально… главное - сам факт: многие промышленные сети связаны с сетями общего доступа на постоянной или временной основе.

Политика и ситуация «на местах»

На сегодняшний день все современные антивирусные программы успешно чистят компьютеры от червя Stuxnet. И, казалось бы, все хорошо: антивирусы лечат машины от червя, Microsoft выпустил обновления для устранения критических уязвимостей, которые использует червь для распространения, SIEMENS тоже выпустил «заплатку» для WinCC. Проблема решена? Нет… Антивирус очищает от зловреда только АРМ, то есть ту часть технологической сети, которая работает под управлением Windows. А как же контроллеры? А вот тут мы подходим к самому интересному…

Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать - вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.

Как же защититься от подобных действий персонала? Если CD/DVD приводы просто не устанавливаются в машины пользователей, то USB входы всегда есть по умолчанию. Элегантное решение нашли технические специалисты одного из коммерческих банков Санкт-Петербурга - все USB порты были залиты клеем из термопистолета. Но такое решение не всегда можно использовать, т.к. может существовать необходимость использования портов USB, например, для ключей защиты программных продуктов или для переноса информации инженерно-техническим персоналом. К тому же через USB зачастую работают средства пользовательского интерфейса и принтеры, так что физическое уничтожение портов не совсем уместно, вот почему не рекомендуется прибегать к таким радикальным мерам. Единственный способ уберечь системы от заражений, и не только Stuxnetом, но и другой заразой - это соблюдение персоналом регламентов предприятия и элементарных правил информационной безопасности. К сожалению, этому аспекту уделяют мало внимания, а зачастую и вовсе забывают об этом. По личному опыту знаю - персонал на большинстве объектов даже не задумывается о том, к каким последствиям может привести установленная на АРМе компьютерная игра, или принесенный с собой GSM-модем для «серфинга» с АРМа по сети Интернет. Среди персонала также часто наблюдается отсутствие элементарной компьютерной грамотности. Начальство же либо не знает о происходящем, либо закрывает на это глаза, хотя не должно ни в коем случае. Персонал, непосредственно работающий с АРМами и другими частями современной АСУ ТП, должен проходить соответствующее обучение и инструктаж, в том числе и по проблемам информационной безопасности, но этого, к сожалению, не происходит.
Именно этим объясняется то, что Stuxnet присутствует на большом количестве объектов и систем, но факт такого присутствия тщательно скрывается персоналом и руководителями «на местах». Нам известны факты такого сокрытия, когда руководство крупной компании после появления Stuxnet разослало по всем своим объектам инструкции и ПО для выявления и лечения вируса. И вирус действительно нашли на многих объектах, но НИКТО ЕГО НЕ ЛЕЧИТ! Причина: для успешной очистки системы от вируса необходима перезагрузка системы (систем), то есть остановка технологического процесса. Также настоятельно рекомендуется присутствие специалистов для выявления и возможного исправления изменений в контроллерах. Остановить установку, цех или все предприятие - дело непростое: это ЧП, которое нужно чем-то обосновывать. А обосновывать наличием вредоносного ПО нельзя, ведь именно руководители на местах отвечают за выполнение регламента и инструкций. Если червь попал в систему, значит инструкции не выполнялись, и у руководителя будут неприятности. А неприятностей никто не хочет… Объекты так и живут со Stuxnetом, и не только с ним, а мы все сидим на этой «пороховой бочке». Именно на «пороховой бочке», потому что никто не может гарантировать, что пока что «спящий» троян в какой-то момент не атакует любой из этих объектов или не появится новый экземпляр. По нашим данным, кроме ядерной программы Ирана Stuxnet уже успел навредить некоторым промышленным предприятиям в Китае и разным объектам других странах, и системы эти не имели отношения к ядерным программам.

Лечение

Как написано выше, Stuxnet успешно выявляется и лечится всеми современными антивирусными средствами. И, тем не менее, существуют свои тонкости: после очистки систем от червя необходимо проверить, чтобы программы и уставки в контроллерах соответствовали актуальным значениям, необходимым для нормальной работы АСУ. При необходимости программы должны быть откорректированы. В этом могут помочь специалисты отделов контрольно-измерительных приборов и автоматики КИПиА или производители АСУ ТП. Мы в Digital Security также можем в этом помочь. При лечении систем на базе Windows CE/Embedded ни в коем случае нельзя устанавливать антивирусное ПО непосредственно на компьютер с этой версией Windows. Систему необходимо остановить, через специальный адаптер подключить носитель к другому компьютеру с установленным антивирусным ПО и очистить. С официальными инструкциями по удалению червя Stuxnet можно ознакомиться на сайте Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view . Там же можно скачать и специальную утилиту для удаления Stuxnet, патч для WinCC и патч от Microsoft, которые необходимо установить, чтобы избежать повторного заражения. Если у вас возникнут вопросы - обратитесь за помощью к специалистам по информационной безопасности. Уместно будет заметить, что главный «виновник торжества» - фирма SIEMENS со своим «дырявым» ПО и замечательными рекомендациями о «недопустимости смены паролей» (интересно, зачем в таком случае нужно было тратить время на создание функции запроса паролей) очень немногословна в своих заявлениях. Компания утверждает, что по ее сведениям червь обнаружен всего чуть больше, чем у двух десятков ее клиентов, и случаев нарушения технологического процесса не наблюдалось. Здесь необходимо дать некоторые уточнения:

1. Говоря о количестве заражений, компания имеет в виду своих прямых клиентов, то есть объекты, которые «строил» непосредственно сам SIEMENS без посредников. Таких объектов действительно не так много, и речь идет о крупнейших объектах в мировом масштабе. По неофициальным данным Stuxnet заразил миллионы компьютеров, и десятки тысяч объектов по всему миру, и по данным антивирусного мониторинга продолжает заражение со скоростью в десятки тысяч машин в сутки.
2. Далеко не на всех предприятиях проведены проверки, и на многих объектах Stuxnet есть, но об этом никто не знает.
3. Ну и самое страшное: на многих объектах червь есть, об этом знают, но ничего не делают с этим. О причинах такого поведения, которое кроме как преступным не назвать, было написано выше.

1. Проверить на наличие Stuxnet и другого вредоносного ПО все промышленные системы. Господа руководители крупных компаний, простой директивы «на места» не достаточно - никто ничего не сделает! Необходимо либо отправить на объекты своих людей для принудительного выявления и лечения, либо обратиться за помощью к сторонним независимым специалистам.
2. Провести обновление ОС на АРМах последними доступными обновлениями и патчами.
3. На АРМы, которые по каким-либо причинам связаны с сетями общего пользования, необходимо установить антивирусное ПО и следить за его обновлениями.
4. Обеспечить систему резервными копиями ПО в начальном его состоянии для обеспечения возможности восстановления в случае повреждения вирусами или другими факторами.
5. Провести программу обучения персонала по проблемам информационной безопасности.
6. Проводить регулярный аудит систем АСУ ТП квалифицированными специалистами на соответствие требованиям безопасности. Такой аудит должен включать в себя минимум проверку сегментации сети, процедуры обновления, процесс контроля, осведомленность операторов АРМ и многое другое.

При подготовке использованы материалы компаний: ESET , SYMANTEC , Антивирусная лаборатория Касперского , Антивирусная лаборатория Данилова , Siemens , а также личный опыт автора, полученный при работе инженером-пусконаладчиком АСУ ТП.
Автор выражает особую благодарность инженерно-техническому персоналу Научно-производственной компании «ЛЕНПРОМАВТОМАТИКА» Digital Security ,являясь ведущим специалистом по информационной безопасности технологических систем.

Про вирус Stuxnet September 18th, 2010

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.

Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами

А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.

Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update : Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных, записи в блоге фирмы Symantec ,
в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.

Бонус : Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

Как Лаборатория Касперского расшифровала вредоносную программу, заблокировавшую программное обеспечение иранской системы управления обогащением ядерного топлива.

Компьютерные кабели вьются по полу. Загадочные блок-схемы нарисованы на различных досках, развешанных по стенам. В зале стоит муляж Бэтмана в натуральную величину. Этот офис может показаться ничем не отличающимся от любого другого рабочего места компьютерщика (geeky workplace), но на самом деле это передний край борьбы, а точнее кибервойны (cyberwar), в которой большинство сражений разыгрываются не в далёких джунглях или пустынях, а в пригородных офисных парках, подобных этому.

В качестве старшего научного сотрудника (senior researcher) Лаборатории Касперского, ведущей компании по компьютерной безопасности, базирующейся в Москве, Ройл Шувенберг (Roel Schouwenberg) проводит свои дни (и многие ночи) здесь, в американской штаб-квартире Лаборатории в городке Уоберн (Woburn) штата Массачусетс, сражаясь с самым коварным цифровым оружием, способным нарушить водоснабжение, нанести урон электростанциям, банкам и самой инфраструктуре, которые когда-то казались неуязвимыми для атак.

Стремительное признание таких угроз началось в июне 2010 года с обнаружением Стакснет (Stuxnet) , 500-килобайтного компьютерного червя, заразившего программное обеспечение по меньшей мере 14 промышленных объектов в Иране (4/5) , в том числе и завод по обогащению урана. Хотя компьютерный вирус зависит от невольной жертвы его установки, червь (worm) распространяется сам по себе и часто через компьютерную сеть.

Этот червь был беспрецедентно мастерски выполненным вредоносным кусочком кода, который атаковал в три этапа. Сначала он нацеливался на компьютеры и сети Microsoft Windows, неоднократно выполняя своё самовоспроизводство. Затем он искал программное обеспечение Siemens Step7, которое также работает на Windows-платформе и используется для программирования промышленных систем управления, которые управляют оборудованием, таким как центрифуги. Наконец, он компрометировал программируемые логические контроллеры. Авторы червя могли таким образом шпионить за промышленными системами и даже вызывать ускоренное вращение центрифуг с целью их разрушения, причём незаметно для человека-оператора на заводе. (Иран пока не подтвердил сообщения о том, что Stuxnet уничтожил некоторые из его центрифуг).

Как работает Stuxnet:

1. заражение системы через USB-флеш-накопитель,


2. поиск целевого программного обеспечения и оборудования от Siemens,


3. обновление вируса через Интернет; однако, если система не является целью, вирус ничего не делает,


4. компрометация,


5. захват управления,


6. дезинформация и вывод из строя оборудования.

Stuxnet может скрытно распространяться между компьютерами с ОС Windows, даже теми, которые не подключены к Интернету. Если работник, вставляет USB-флеш-накопитель в заражённую машину, то Stuxnet автоматически копируется на неё, а затем копируется на другие машины, однажды прочитавшие эту флешку. Отсюда любой сотрудник, ничего не подозревая, может заразить машину таким образом, что позволит «червям» распространиться по локальной сети. Эксперты опасаются, что эта вредоносная программа, возможно, «одичала и гуляет» по всему миру.

В октябре 2012 года американский министр обороны Панетта (Leon Panetta) предупреждал , что США уязвимы для «кибернетического Пёрл-Харбора» («cyber Pearl Harbor»), и возможны сходы под откос поездов, заражение воды и сбои в сетях электроэнергетики. В следующем месяце корпорация «Шеврон» (Chevron) подтвердила это предположение, став первой американской корпорацией признавшей, что Stuxnet проник на все её компьютеры.

Хотя авторы Stuxnet так и не были официально установлены, размер и сложность червя привели экспертов к убеждению, что он мог быть создан только при спонсорской поддержке государства. И, несмотря на секретность, утечка информации в прессе (leaks to the press) от официальных лиц в США и Израиле позволяет с уверенностью предположить, что эти две страны замешаны. С момента обнаружения Stuxnet Шувенберг и другие специалисты по компьютерной безопасности борются с рядом других боевых (weaponized) вирусов, такими как «Дюку» (Duqu), «Флейм» (Flame, англ. - пламя) и «Гаусс» (Gauss). Натиск вредоносных программ не показывает никаких признаков ослабления.

Это знаменует собой поворотный момент в геополитических конфликтах, когда апокалиптические сценарии, лишь однажды показанные в таких фильмах, как «Крепкий орешек - 4.0» («Жить свободно или умереть, сражаясь») (Live Free or Die Hard), в итоге становятся правдоподобными. «Художественный вымысел вдруг стал реальностью», - говорит Шувенберг (Schouwenberg). Но герой борьбы против зла не Брюс Уиллис, он 27-летний парень с потрёпанной прической «конский хвост» (ponytail). Этот Шувенберг говорит мне: «Мы здесь для того, чтобы спасти мир! Вопрос заключается лишь в том, есть ли в Лаборатории Касперского всё то, что нужно?»

На фотографии, выполненной Йелленом (David Yellen) и названной «Киберсыщик» (Cybersleuth), изображён Ройл Шувенберг (Roel Schouwenberg) из Лаборатории Касперского, который помог в расшифровке Stuxnet и ему подобных интернет-червей, самых сложных из когда-либо обнаруженных.

Вирусы не всегда были злыми. В 1990-х годах, когда Шувенберг был простым задиристым подростком (just a geeky teen), жившим в Нидерландах, а вредоносные программы (malware) обычно создавались хулиганами и хакерами (pranksters and hackers), т. е. людьми, желающими лишь вызвать сбой компьютера или изобразить каракули-граффити на вашей домашней странице AOL.

После обнаружения вирусов на своём собственном компьютере 14-летний Шувенберг связался с Лабораторией Касперского, одной из ведущих антивирусных компаний. Такие компании оцениваются в частности тем, как много вирусов они обнаружили первыми, и Kaspersky считается одной из лучших, хотя о её успехе ведутся споры. Некоторые обвиняют её в связях с российским правительством, но компания эти обвинения отрицает.

Через несколько лет после первого столкновения с вирусами Шувенберг по электронной почте спросил основателя компании Евгения Касперского, надо ли ему изучать математику в колледже, если он хочет стать специалистом по компьютерной безопасности. Касперский ответил тем, что предложил ему 17-летнему парню работу, которую тот взял. Проведя четыре года в компании в Нидерландах, он отправился в Бостон. Там Шувенберг узнал, что инженеру нужны специфические навыки для борьбы с вредоносными программами, потому что для анализа, а по существу обратного проектирования (reverse engineering) большинства вирусов, написанных для Windows, требуется знание языка ассемблера для процессоров Intel x86.

В течение следующего десятилетия Шувенберг стал свидетелем самых значительных изменений, происходящих когда-либо в отрасли. Ручное обнаружение вирусов уступило место автоматизированным методам, способным выявлять даже по 250 000 новых вредоносных файлов каждый день. Прежде всего банки столкнулись с самыми серьёзными угрозами, а призрак межгосударственных кибервойн (state-against-state cyberwars) всё ещё казался далёким. «Всё это было не просто разговорами», - говорит Омарчу (Liam O"Murchu), аналитик компании по компьютерной безопасности Symantec Corp. из Маунтин-Вью (Mountain View), штат Калифорния.

Всё изменилось в июне 2010 года, когда одна белорусская фирма по обнаружению вредоносных программ получила запрос от клиента на выявление причин самопроизвольной перезагрузки его компьютеров. Вредоносное программное обеспечение (malware) было подписано цифровым сертификатом, имитирующим его поступление из надёжной компании. Эта особенность привлекла внимание антивирусного сообщества, чьи программы автоматизированного обнаружения не могли справляться с такой угрозой. Это было первой пристрелкой Stuxnet в «дикой природе» (in the wild).

Опасность, которую представляют поддельные электронные подписи, была так страшна, что компьютерные специалисты по безопасности начали потихоньку обмениваться своими выводами и по электронной почте и на приватных онлайн-форумах. Такое положение дел не является необычным. (that’s not unusual). «Обмен информацией в компьютерной индустрии безопасности может быть классифицирован как чрезвычайная ситуация», - добавляет Хиппонен (Mikko H. Hypponen), главный научный сотрудник (chief research officer) фирмы по безопасности (security firm) F-Secure из Хельсинки, Финляндия. «Я не мог и подумать ни о каких других ИТ-секторах, где существует такое широкое сотрудничество между конкурентами». Тем не менее, компании конкурируют, например, в том, чтобы стать первыми при выявлении ключевых особенностей кибероружия (cyberweapon), а затем заработать на благодарном общественном мнении в качестве результата.

Прежде чем все узнали, на что был нацелен Stuxnet, исследователи Лаборатории Касперского и других компаний по безопасности выполнили обратный инжиниринг кода, «подобрали ключи», выявили истоки и направление распространения вируса, в том числе общее количество инфекций и их долю в Иране, а также ссылки на промышленные программы Siemens, используемые на объектах энергетики.

Шувенберг был больше всего впечатлён тем, что Stuxnet совершил не одно, а целых четыре проявления изощрённости (feat) «нулевого дня» (zero-day), т. е. взломов (haks), использующих уязвимости ранее неизвестных «сообществу белых шляп» (white-hat community), «белых хакеров». «Это не только новаторский приём, все они красиво дополняют друг друга, - говорит он. - Уязвимость LNK (файл ярлыка в Microsoft Windows) используется для распространения через USB-флеш-накопители (USB sticks). Уязвимость диспетчера очереди общей печати используется для распространения в сетях с общими принтерами, которые широко распространены в сетях с общим доступом, подключённых к Интернету (Internet Connection Sharing). Две другие уязвимости связаны с операциями, предназначенными для получения привилегий системного уровня, даже когда компьютеры полностью изолированы. Это выполнено просто блестяще».

Шувенберг и его коллеги из Лаборатории Касперского вскоре пришли к выводу, что код был довольно сложным и не мог быть разработан группой «чёрных хакеров» (black-hat hackers). Шувенберг считает, что команде из 10 человек понадобилось бы не менее двух-трёх лет, для того чтобы его создать. Вопрос состоял в том, кто же возьмёт ответственность за всё это?

Очень скоро стало ясно из самого кода, а также из рабочих отчётов, что Stuxnet был специально разработан для разрушения систем Siemens, работающих на иранских центрифугах по ядерной программе обогащения урана. Аналитики Лаборатории Касперского позднее поняли, что финансовая выгода не являлась целью. Это была политически мотивированная атака. «Тогда не было никаких сомнений в том, что спонсирование разработки вируса осуществлялось государством», - говорит Шувенберг. Это явление застало врасплох специалистов по компьютерной безопасности. «Мы все тут являемся инженерами, мы смотрим на код, - говорит Омарчу (O"Murchu) из Symantec. - Но это была первая реальная угроза, с которой мы столкнулись, ведущая к реальным политическим последствиям. Это было нечто, по поводу чего мы должны были прийти к какому-то согласию и общему мнению».

Краткая история вредоносных программ (malware)

1971. Экспериментальная самовоспроизводящаяся вирусная программа Creeper была написана Томасом (Bob Thomas) из компании Bolt, Beranek and Newman. Вирус заразил компьютеры DEC PDP-10 под управлением операционной системы Tenex. Creeper получил доступ через сеть ARPANET, предшественницу Интернета, и скопировал себя на удалённой системе, выдав там сообщение «Я рептилия (creeper), поймай меня, если сможешь!» Позже была создана программа Reeper («Жнец») для удаления Creeper.

1981. Вирус Elk Cloner, написанный для системы Apple II Скрентой (Richard Skrenta), привёл к первой крупномасштабной компьютерной вирусной эпидемии в истории.

1986. Вирус для загрузочного сектора Brain (он же пакистанский грипп, Pakistani flu), первый вирус для IBM PC-совместимых компьютеров, вышел на свободу и вызвал эпидемию. Он был создан в Лахоре, Пакистан, 19-летним Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амджадом Фарук Алви (Amjad Farooq Alvi).

1988. Червь Morris, созданный Моррисом (Robert Tappan Morris), заражал машины DEC VAX и Sun под управлением BSD Unix, подключённых к Интернету. Он стал первым червём, широко распространившимся «в дикой природе» («in the wild»).

1992. Вирус Michelangelo, опасность которого была раздута специалистом по компьютерной безопасности Макафи (John McAfee), предсказавшим, что 6 марта вирус уничтожит информацию на миллионах компьютеров, однако фактический ущерб был минимальным.

2003. Червь SQL Slammer или так называемый червь Sapphire атаковал уязвимости в Microsoft SQL-сервере и Microsoft SQL Server Data Engine и стал самым быстрым в распространении червём всех времён, он врезался в Интернет в течение 15 минут после высвобождения (release).

2010. Обнаружен червь Стакснет (Stuxnet). Это первый известный червь, атакующий SCADA-системы, т. е. автоматизированные системы управления технологическими процессами (АСУ ТП).

2011. Обнаружен червь Дюку (Duqu). В отличие от близкого к нему Stuxnet он был предназначен только для сбора информации, а не для вмешательства в производственные процессы.

2012. Обнаружен Flame, используемый для кибершпионажа в Иране и других странах Ближнего Востока.

В мае 2012 года Лаборатория Касперского получила запрос от Международного союза по электросвязи (International Telecommunication Union), учреждения ООН, которое управляет информационными и коммуникационными технологиями, на исследование фрагмента вредоносной программы, которая подозревалась в уничтожении файлов нефтяных компаний на компьютерах в Иране. В то время Шувенберг и его коллеги уже искали вариации вируса Stuxnet. Они знали, что в сентябре 2011 года венгерские специалисты обнаружили вирус Duqu, который был разработан для кражи информации в промышленных системах управления.

Выполняя просьбу ООН, автоматизированная система Касперского определила ещё один вариант Stuxnet. Сначала Шувенберг и его группа пришли к выводу, что система сделала ошибку, потому что вновь обнаруженный вирус (malware) не показал очевидного сходства со Stuxnet. Однако после погружения в код более глубоко они обнаружили следы другого файла, называемого Flame, который очевидно был начальной итерацией Stuxnet. Сначала Flame и Stuxnet рассматривались как полностью независимые вредоносные программы, но теперь исследователи поняли, что Flame был на самом деле предшественником Stuxnet, который как-то остался незамеченным.

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet. Специалисты по безопасности поняли, как выразился Шувенберг, что «…опять за этим, скорее всего, стоит государство».

Для анализа Flame специалисты Лаборатории Касперского использовали методику, называемую ими «сточным колодцем» (sinkhole). Она обеспечивает контроль над командно-управляющим сервером домена Flame таким образом, что когда Flame пытается связаться с сервером своей домашней базы, на самом деле вместо этого он отправляет информацию на сервер Касперского. Трудно было определить, кому принадлежат серверы Flame. «Со всеми доступными украденными кредитными картами и интернет-прокси, - говорит Шувенберг, - атакующим действительно очень легко оставаться незамеченными».

В то время как Stuxnet был предназначен для вывода из строя оборудования, целью Flame было просто шпионить за людьми. Распространившись с USB-флешки, он может заражать принтеры, работающие совместно в одной сети. Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документе, и всё это не будучи обнаруженным.

«Действительно, разработчики Flame пошли на многое для того, чтобы избежать его обнаружения программами обеспечения безопасности», - говорит Шувенберг. Он приводит пример: Flame не просто передаёт собранную информацию всю сразу на свой командно-управляющий сервер, т. к. сетевые менеджеры могут заметить внезапную утечку. «Данные отправляются мелкими кусочками, для того чтобы достаточно долго избегать снижения пропускной способности», - говорит он.

Наиболее впечатляет то, что Flame может обмениваться данными с любыми Bluetooth-совместимыми устройствами. В самом деле злоумышленники могут украсть информацию или установить другие вредоносные программы не только в пределах стандартного 30-метрового диапазона Bluetooth, но и дальше вовне. «Bluetooth-винтовка» (Bluetooth rifle), направленная антенна, подключённая к компьютеру с Bluetooth-поддержкой, имеет возможность осуществлять передачу данных на дальность до 2 километров.

Но самая тревожная особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame. «То, что Flame распространяется через Windows Updates, является более значимым, чем сам Flame», - говорит Шувенберг, который считает, что, возможно, есть только 10 программистов в мире, способных запрограммировать такое поведение. «Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, - говорит Хиппонен из компании F-Secure. - Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».

Если правительство США действительно стоит за этим червём, то этот обход шифрования от Microsoft может создать некоторую напряжённость между компанией и её крупнейшим клиентом - федералами. «Я предполагаю, что Microsoft провёл телефонный разговор между Биллом Гейтсом, Стивом Балмером и Бараком Обамой, - говорит Хиппонен, - и мне хотелось бы послушать этот разговор».

Выполняя реверсивный инжиниринг (анализ) вируса Flame, Шувенберг и его команда настроили свою методику на «сходство алгоритмов», позволяющую обнаруживать варианты вирусов, созданные на единой платформе. В июле они обнаружили новый вирус Gauss. Его целью тоже было кибернаблюдение (cybersurveillance).

Перенесённый с одного компьютера на другой USB-флешкой Gauss ворует файлы и собирает пароли, по неизвестным причинам нацеливаясь на учётные данные ливанских банков. Эксперты полагают, что это было сделано или для отслеживания операций, или для выкачивания денег с определённых счетов. «USB-модуль захватывает информацию из системы, шифрует и сохраняет эту информацию на своей USB-флешке, - объясняет Шувенберг. - Затем, когда этот USB-флеш-накопитель вставляется в гаусс-инфицированный компьютер, Gauss захватывает с USB-флешки собранные данные и отправляет их на командно-управляющий сервер (command-and-control server)».

В то время, когда инженеры Лаборатории Касперского обманули вирус Gauss при его общении с его собственными серверами, эти серверы вдруг «упали» (went down). Ведущие инженеры считают, что авторы вредоносной программы сумели быстро замести свои следы. Лаборатория Касперского собрала уже достаточно информации для защиты своих клиентов от Gauss, но в тот момент это было пугающим. «Мы уверены, что сделай мы что-нибудь не так, и хакеры оседлали бы нас»,- говорит Шувенберг.

Последствия применения вирусов Flame и Stuxnet выходят за рамки спонсируемых государством кибератак. «Профессиональные злоумышленники смотрят на то, что делает Stuxnet, и говорят: «Это отличная идея, давайте её копировать»», - говорит Шувенберг.

«В итоге получается так, что национальные государства тратят миллионы долларов на разработку различных видов киберинструментария (cybertools), и это является тенденцией, которая будет только нарастать», - говорит Джеффри Карр, основатель и генеральный директор фирмы по компьютерной безопасности «Тайя Глобал» (Taia Global) из Маклина, штат Вирджиния. Хотя Stuxnet и смог временно замедлить в Иране программу обогащения урана, он не достиг своей конечной цели. «Кто бы ни потратил миллионы долларов на Stuxnet, Flame, Duqu и т. п., всё это деньги, потраченные впустую. Сейчас эти вредоносные программы уже публично доступны и могут быть подвергнуты обратному инжинирингу, т. е. подробному анализу», - говорит Карр.

Хакеры могут просто использовать конкретные компоненты и методики, доступные из Интернета, для своих атак. Преступники могут использовать кибершпионаж (cyber espionage), например, для того чтобы украсть данные о клиентах из банка или просто посеять хаос, являющийся частью более сложной проделки (prank). «Очень много разговоров ведётся о государствах, пытающихся атаковать нас, но мы находимся в ситуации, когда мы уязвимы для армии 14-летних подростков с двухнедельной подготовкой», - говорит Шувенберг.

Уязвимость является большой проблемой, особенно для промышленных компьютеров. Всё, что нужно для того чтобы найти путь, например, к системам водоснабжения США, - это возможность поиска терминов в Google. «Мы видим, что многие промышленные системы управления, подключены к Интернету, - говорит Шувенберг, - и они не меняют паролей по умолчанию, так что, если вы знаете правильные ключевые слова, вы сможете найти нужные панели управления».

Компании не спешат инвестировать ресурсы, необходимые для обновления систем промышленного управления. Лаборатория Касперского выявила важнейшие инфраструктурные компании, работающие под управлением устаревших 30-летних операционных систем. В Вашингтоне политики призывают к законам, требующим такие компании поддерживать лучшие практики безопасности. Однако принятие одного такого законопроекта о кибербезопасности не увенчалось успехом в августе 2012 года на том основании, что он был бы слишком дорогостоящим для бизнеса. «Чтобы полностью обеспечить необходимую защиту нашей демократии, закон о кибербезопасности должен быть принят конгрессом, - заявил недавно Панетта. - Без него мы уже уязвимы и дальше будем оставаться уязвимыми».

Тем временем, охотники за вирусами из Лаборатории Касперского и других антивирусных компаний будут продолжать борьбу. «Ставки только всё выше, выше и выше, - говорит Шувенберг.- Мне очень любопытно посмотреть на то, что произойдёт через 10 или 20 лет. Как история оценит наши решения, которые мы приняли сейчас?»

Компьютерный вирус "Стакснет" /Stuxnet/, который был обнаружен на компьютерах сотрудников иранской АЭС в Бушере, стал первой из существующих вредоносных программ, способной инфицировать системы управления промышленных предприятий. Сложность вируса также делает его единственным в своем роде: многочисленные эксперты в один голос утверждают, что они впервые сталкиваются с чем-либо подобным. Впрочем, как отмечается в докладе компании "Симантек", американского производителя антивирусных программ, лишь время покажет, станет ли "Стакснет" прародителем нового поколения вирусов, конечной целью которых будет вывод из строя не компьютерных систем, а непосредственно объектов в физическом мире, или останется "диковинкой" из числа тех, что появляются раз в десятилетие.

Ведущие компании из разных стран, специализирующиеся на информационной безопасности и противодействии вирусам, уже несколько месяцев изучают "Стакснет" и распространяют многостраничные отчеты, посвященные принципам его работы. Однако до сих пор не найдены ответы на вопросы о том, кто, зачем и когда разработал эту уникальную программу-червя, появление которой СМИ в последние недели все чаще связывают с иранской ядерной программой. О том, действительно ли был "Стакснет" создан для того, чтобы саботировать работу бушерской АЭС или других промышленных предприятий Ирана, приходится судить преимущественно по косвенным фактам.

Впервые об обнаружении данного вируса 17 июня 2010 года сообщила белорусская компания "ВирусБлокАда", специализирующаяся на создании программного обеспечения /ПО/, предназначенного для защиты от атак хакеров. Однако ряд сведений говорит о том, что распространение "Стакснет" началось гораздо раньше. Так, в докладе "Симантек", говорится о том, что одна из ранних версий вируса, в которой отсутствовал ряд свойств, выявленных в более поздних вариантах "Стакснет", была датирована июнем предыдущего года. Некоторые эксперты даже утверждают, что атака должна была уже достичь своей цели к январю 2009 года. Это дало ряду специалистов повод высказать предположение о том, что конечной целью вируса могла быть не сама иранская АЭС /или не только она/, а комбинат по обогащению урана в Натанзе.

Этой точки зрения придерживается, в частности, Франк Ригер из немецкой фирмы "Джи-эс-эм-кей криптофон", разрабатывающей решения по обеспечению безопасности данных на мобильных устройствах и шифрованию голосовых переговоров. В статье, опубликованной немецкой газетой "Франкфуртер альгемайне цайтунг", Ригер ссылается на сообщения, появившиеся на сайте организации "Викиликс", специализирующейся на "утечках" секретной информации. Так, "Викиликс" пишет, что в начала июля 2009 года "источник, близкий к иранской программе ядерных исследований, на условиях конфиденциальности сообщил нам, что на заводе в Натанзе произошла серьезная авария, которая держится в секрете". "У "Викиликс" есть основания доверять данному источнику, хотя контакт с ним впоследствии был утерян, – говорится в сообщении организации. – Как правило, мы не публикуем подобную информацию, если она не получает дополнительного подтверждения, однако, согласно сообщениям иранского информационного агентства ИСНА и британской вещательной корпорации Би-би-си, 19 июля 2009 глава Организации по атомной энергии Ирана /ОАЭИ/ Голям Реза Агазеде подал в отставку".

При этом, в статистических сообщениях ОАЭИ, относящихся к указанному периоду, отмечается существенное уменьшение до этого неуклонно увеличивавшегося числа действующих центрифуг на предприятии в Натанзе в период с мая по ноябрь 2009 года. Последний факт может свидетельствовать о не получившем официального подтверждения техническом сбое на комбинате, так как установка центрифуг – долгий и кропотливый процесс. Смонтированная установка должна в течение длительного периода времени /до года/ находиться в вакууме, чтобы в процессе ее работы могло быть получено ядерное топливо высокой степени чистоты, однако если что-то пойдет не так, то процесс придется повторить. Тем не менее, уменьшение количества центрифуг может говорить и о проведении работ по обслуживанию части оборудования. Однако даже если на заводе действительно произошел сбой, это еще не подтверждает версии о том, что в нем повинен вирус.

Еще одно сообщение о задержках в ходе работ по осуществлению ядерной программы ИРИ поступило относительно недавно. Пуск бушерской АЭС, который сначала был запланирован на март 2010 года, был сперва отложен до 21 августа, затем до октября, а на прошлой неделе нынешний глава ОАЭИ Али Акбар Салехи заявил агентству ИСНА, что "сердце станции забьется к началу ноября". При этом в понедельник, 4 октября, Салехи выступил с пояснениями, отметив, что к сообщениям о распространении вируса "Стакснет" в Иране задержка не имеет никакого отношения. "Перед загрузкой в реактор ядерного топлива в резервуаре при реакторе была обнаружена небольшая течь, которая уже заделана. Это и отложило на несколько дней процесс загрузки топлива, предшествующий запуску реактора", – цитирует Салехи другое иранское агентство – ИРНА.

При этом, сведения о том, какова была цель, которую должен /или должен был/ в конечном итоге поразить вирус, содержатся в самой программе. Как отмечает Ральф Лангнер, специалист по информационной безопасности из Германии, целью "червя" является лишь одно конкретное предприятие, структура которого прописана в коде вируса, что позволяет ему, собрав соответствующие сведения, "убедиться" в том, что он попал именно туда, куда задумывал его создатель.

Вирус проникает в системы диспетчерского контроля и сбора данных /SCADA/. Именно анализируя их структуру, как по отпечаткам пальцев, вирус может установить, что достиг цели. Таким образом, принцип распространения вируса довольно примечателен. В то время как целью большинства вредоносного ПО является поражение как можно большего числа машин и нанесение максимального вреда /выведением из строя компонентов операционной системы/, "Стакснет" не должен причинять значительного беспокойства сотрудникам всех пораженных предприятий.

Тем не менее, сверить схемы оборудования, специфицированные в коде вируса, с теми, что применяются на иранских ядерных объектах, по понятным причинам, вряд ли удастся. Однако если целью "Стакснет" все же являлась АЭС в Бушере или комбинат в Натанзе, встает вопрос о том, откуда авторам вируса стала известна схема организации SCADA на одном из данных предприятий.

Тот факт, что вирус может собирать различные сведения о новой "среде обитания" и обмениваться информацией с удаленным сервером, ранее приводил экспертов к выводу о том, что его главная цель – промышленный шпионаж. Однако для осуществления основной миссии "Стакснет" не требуется выход в Интернет, тем более, что в закрытых внутренних сетях большинства предприятий, где существуют требования повышенной безопасности, доступ во всемирную сеть попросту отсутствует. Вирус может действовать автономно – распространяться по внутренней сети и заражать съемные носители информации /так называемые "флэшки"/. Именно таким образом он мог попасть в систему бушерской АЭС, если бы один из сотрудников станции, чей персональный компьютер был заражен, подключил бы зараженный носитель к одному из компьютеров станции /данное действие, впрочем, явилось бы вопиющим нарушением правил обеспечения безопасности на таком объекте/.

Попадая в целевую систему, "Стакснет" вмешивается в работу одного из компонентов SCADA – программируемого логического контроллера /PLC/, используемого для автоматизации промышленных процессов. К какому именно эффекту приводят команды, которые "Стакснет" отдает системам управления предприятия, можно только догадываться, однако на прошедшей 29 сентября в канадском Ванкувере конференции "Вайрус бьюллетин 2010" сотрудник компании "Симантек" Лиам О"Мурку продемонстрировал работу вируса на простом примере. Зрители могли наблюдать, как логический контроллер подключенный к простому насосу, регулирует давление газа в надутом воздушном шарике, не давая ему лопнуть. Однако после заражения "Стакснет" ограничения на подачу воздуха были сняты, в результате чего шарик с громким хлопком взорвался. По словам О"Мурку, именно способность вируса влиять на работу промышленных механизмов, в чем раньше вирусы "замечены не были", и вызывает у специалистов наибольшую тревогу.

Следует, впрочем, отметить, что "Стакснет" может перепрограммировать лишь PLC производства немецкой компании "Сименс". Речь идет об оборудовании отнюдь не последнего поколения, в то время как на современных высокотехнологичных производствах применяются более новые и более дорогие решения. Используется ли на иранских ядерных объектах оборудование "Сименс", достоверно не известно, однако именно эта компания начала работы по сооружению АЭС в Бушере в 1974 году, после чего они были надолго заморожены после исламской революции 1979 года в стране. Строительством нынешней АЭС занималась российская госкорпорация "Росатом", однако "Сименс" в последние годы осуществляла поставки своих технологических решений в Иран, что не исключает теоретической возможности их использования в Бушере или Натанзе.

География распространения вируса также наводит на определенные мысли. Согласно отчету за август текущего года словацкой компании "И-эс-и-ти", работающей на рынке защиты информации и разработки антивирусов, на Иран приходится 52,17 проц. случаев заражения, 17,4 проц. – на Индонезию, 11,7 проц. – на Индию. По сообщению компании "Сименс", вирус был обнаружен в компьютерных системах 14 промышленных предприятий Германии, однако никакого вреда он не нанес и в производственный цикл не вмешивался. Эти данные были опубликованы многими СМИ, однако и они не дают возможности окончательно связать "Стакснет" конкретно с Ираном. Данные, собранными разными компаниями, сильно расходятся, в основном из-за того, что преимущественно учитываются случаи обнаружения вируса на компьютерах, оснащенных антивирусным ПО соответствующей фирмы. Кроме того, не существует подобных сведений за более долгий период, прошедший с момента появления вируса. Тем не менее, службы компьютерной безопасности Ирана сообщили как минимум о 30 тыс. зараженных машин в стране. Данные цифры, возможно, не позволяют поставить Иран на первое место среди стран, где зарегистрирован "Стакснет", однако дают основания говорить о том, что в ИРИ этот вирус никак не редкость.

Что касается создателей вируса, то анализ кода программы, проведенный на данный момент, не выявил каких- либо однозначных "персональных" или "национальных" штрихов в почерке людей, занимавшихся его программированием. Единственной зацепкой являются слова "мирт" /myrtus/ и "гуава" /дерево семейства миртовые/, являющиеся названиями директории и файла в коде программы. Эти слова могут быть ссылкой на имя супруги персидского царя Артаксеркса – Эсфири, которая также пользовалась именем Хадасса, что на иврите означает "мирт". В ветхозаветной Книге Эсфирь, описывается, как царица помешала планам персов "убить, погубить и истребить всех иудеев". Данная аналогия позволила некоторым газетным обозревателям прийти к выводу о том, что разработкой вируса занимались специалисты израильских спецслужб, неоднократно заявлявших о том, что бушерская АЭС является для них приоритетной целью. Хотя убедительность такого "доказательства", по крайней мере, весьма сомнительна, проводимые Израилем военные операции действительно нередко называются в честь событий или героев Ветхого Завета. Кроме того, эксперты сходятся во мнении, что создать
"Стакснет" не мог хакер-одиночка, так как похищение сертификатов безопасности, тщательное тестирование программы, многоуровневое шифрование и проработка различных сценариев заражения с запасными вариантами потребовали бы слишком много усилий. В компании "Симантек" отмечают, что разработка программы подобного уровня могла быть проделана лишь командой высококлассных специалистов при весьма существенной финансовой поддержке, вплоть до государственной. Впрочем, иранские СМИ 2 октября цитировали слова министра информации ИРИ /руководителя иранских спецслужб/, Хейдара Мослехи, заявившего, что власти Ирана "задержали нескольких западных шпионов", которые могли способствовать распространению вируса в стране. Таким образом, вскоре Иран сможет озвучить свою версию того, кем и с какой целью был разработан "Стакснет", которая пополнит ряды существующих теорий.

На данном этапе изучения вируса и обстоятельств его распространения возникает больше вопросов, чем ответов. Однако эксперты сходятся во мнении, что сам факт появления такой программы, даже если она пока не нанесла значительного вреда, может стать основой для создании оружия нового поколения, которое будет применяться в "кибервойнах" между различными государствами. Кроме того, уже в ближайшие месяцы ожидается появление вирусов, которые для проникновения на компьютеры будут использовать те же уязвимые места операционной системы "Майкрософт Уиндоус" /большинство из них до сих пор не закрыты/, что и "Стакснет", однако, скорее всего, будут значительно более простыми и преследовать более "приземленные" цели – такие, как похищение личной информации, а также номеров и паролей банковских карт. Как стало известно корр. ИТАР-ТАСС, весной будущего года масштабный аналитический доклад, посвященный проблемам "киберконфликтов", в котором значительное внимание будет посвящено прецеденту вируса "Стакснет", планирует опубликовать Лондонский международный институт стратегических исследований.