Выход из строя столь большого количества центрифуг заставил задуматься - а не является ли это следствием какой-то диверсии спланированной при помощи недавно появившегося компьютерного вируса Stuxnet - который именно в Иране получил довольно большое распространение по сравнению с другими государствами, что может служить доказательством того, что разработчики вируса метили именно в Иран. И, как получается, непосредственно в завод по обогащению урана, используя известные уязвимости его операционной системы и пресловутый «человеческий фактор».
Но заказчик - неизвестен, гипотетический исполнитель - якобы сотрудник концерна «Сименс» (Siemens), вставивший инфицированный флеш-накопитель в управляющую систему производства. Ущерб же, причиненный ядерной программе Ирана, в данном случае сопоставим с ущербом от пресловутого удара израильских ВВС в 1981 году, как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия.
Как свидетельствуют результаты проведенного расследования, именно кибернетические атаки как раз и могут стать идеальным инструментом столь масштабного повреждения оборудования - они стремительны, высокоэффективны в своей разрушительности и, в то же время, абсолютно анонимны
При этом следует отметить, что вирус Stuxnet атакует на уровне логических контроллеров (контроллеры - компьютеры, занимающиеся управлением крупных производственных и энергетических комплексов), заражая программную основу системы. В списке его целей - преобразователи частотно регулируемых приводов (VFD). Среди обнаруженных в теле вируса активируемых частот есть и такие, которые могут влиять на электронное оборудование иранских центрифуг IR-1. Хотя само по себе это обстоятельство еще ничего не значит.
Чего на самом деле добивались разработчики вируса, неизвестно. Если они ставили перед собой именно задачу физического разрушения центрифуг, то их план не сработал, так как вирус Stuxnet этого не обеспечил. Но если они намеревались повредить те или иные узлы центрифуг или вывести их из строя на длительное время, то, возможно, они даже преуспели, так как нанесенный вирусом урон оказался внезапным и весьма ощутимым. Следует отметить, что когда персонал осознал, что с работой центрифуг происходит что-то неладное и отключил подачу на них электроэнергии, - было уже поздно, а обстановка в цеху напоминала последствия террористического акта, связанного с применением множества взрывных устройств одновременно.
Официально Иран не признал, что завод оказался под ударом компьютерного вируса. Однако на самом высшем уровне подтверждается, что кибератаки на его ядерные объекты ведутся. Так, в конце ноября 2010 г. президент Махмуд Ахмадинежад заявил, что у «ограниченного числа центрифуг» возникли проблемы с программным обеспечением в электронике.
В то же время Глава организации по атомной энергии Ирана доктор Али Акбар Салехи обозначил дату, когда вирус Stuxnet появился на иранских ядерных объектах, - это середина 2009 года. Следовательно, время, которое потребовалось вредоносному вирусу на прохождение пути от первых зараженных персональных компьютеров до заводских цехов составляет более одного года.
При этом в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе. И до этого данная довольно устаревшая модель центрифуг часто выходила из строя (порядка 10 % ежегодно), но замена столь большой партии, как в 2010 г., заставила задуматься, начать расследование и глубокое научное изучение этого вопроса.
Разумеется, завод по обогащению урана - это закрытое предприятие с ограниченным доступом, высоким уровнем режима секретности системы управления и контроля и не соединен с Интернетом. По оценкам специалистов, добраться до управляющих компьютеров вирус мог только через персональные компьютеры специалистов завода - сначала заразив их домашние компьютеры, или через компьютеры людей, как-то связанных с заводом, а потом уже посредством их флешек вирус мог попасть на компьютеры систем управления.
Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры кибернетических войн. Над разгадкой тайны вируса Stuxnet, поразившего завод по обогащению урана Ирана, бьются специалисты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Следует отметить, что вирус Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал только в конце сентября 2010 г.
По вполне понятным и логичным причинам разработчики вируса Stuxnet предпочитают держаться в тени. Однако специалисты акцентируют внимание на том, что совершенно очевидно, - сложность этого вируса можно назвать беспрецедентной, а создание подобного проекта требует огромных интеллектуальных и финансовых инвестиций, а значит, под силу лишь структурам государственного масштаба. Эксперты сходятся во мнении, что этот вирус не является плодом усилий просто «группы энтузиастов». Лоран Эсло, руководитель отдела систем безопасности фирмы Symantec, предполагает, что над созданием вируса Stuxnet работали как минимум до 10 человек на протяжении шести-девяти месяцев. Франк Ригер, технический директор GSMK, поддерживает своего коллегу: по его словам, вирус создавала команда опытных программистов, а разработка заняла около полугода. Ригер называет и ориентировочную стоимость создания вируса Stuxnet: она составляет не менее $ 3 млн. О диверсионном предназначении вируса говорит Евгений Касперский, генеральный директор «Лаборатории Касперского»: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы и в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Тильман Вернер, участник содружества специалистов в области интернет-безопасности, уверен: хакеры-одиночки на такое не способны.
«Stuxnet настолько совершенен с технической точки зрения, что следует исходить из того, что в разработке вредоносной программы принимали участие специалисты из госструктур или что они, по крайней мере, оказывали какую-то значимую помощь в ее создании», - утверждает Вернер.
Специалисты отмечают, что вирус Stuxnet проникает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флешкой. С этого момента инфицированный компьютер сам становится источником заразы.
А «червь» внутри него (у вируса Stuxnet отмечают шесть различных способов проникновения и закрепления в операционной системе компьютера) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Вирус Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно нормально по отношению к поглотившей его системе, никак не вредит ни ей самой, ни ее партнерам, пока не наткнется на признаки цели, для охоты на которую он создан, - программы управления производством концерна «Сименс». И тогда он превращается в жестокого хищника-разрушителя.
Специализация вируса Stuxnet - это компьютерные программы крупномасштабных систем управления промышленными предприятиями SCADA (Supervisory Control and Data Acquisition), т. е. «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте- и газопроводов, военных заводов, предприятий гражданской инфраструктуры и т. п.
Вирус Stuxnet, обладая необходимыми исходными возможностями системного администратора и зная уязвимые места операционной системы, которые не знает, кроме него и его создателей, никто, поднимает себя в сложившейся управленческой иерархии до уровня инициирования команд, фактически захватывает власть в системе и переадресует ее на выполнение собственной разрушительной цели.
Первым делом он меняет компьютеру «голову» и перепрограммирует программу PLC (Programmable Logic Controler - программируемый логический контроллер), отвечающую за логику. И начинает сам отдавать команды.
По мнению специалиста по промышленной безопасности в концерне «Сименс» Ральфа Лангнера, вирус Stuxnet может изменить параметры работы «оперативного блока 35», ведущего мониторинг критических производственных ситуаций, требующих срочной реакции в 100 миллисекунд. Если так, озверевшему «червю» ничего не стоит привести систему к разрушительной аварии.
Взяв управление на себя, вирус Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он диверсант. Как только исходный код PLC перестает выполняться, утверждает Ральф Лангнер, можно ожидать, что вскоре какое-то звено взорвется, разрушится. И, скорее всего, это окажется что-то важное.
Эксперты сходятся во мнении, что разработка и внедрение такого сложного вируса - задача непосильная ни хакеру, ни группе хакеров, ни какой-либо частной структуре. Это явно дело рук государства. Только государство могло себе позволить запустить такого дорогостоящего «червя», тем самым фактически рассекретив его, только ради крайне важной для него цели и только потому, что не могло больше ждать.
В связи с этим тот же Ральф Лангнер высказывает логичное предположение, что вирус Stuxnet уже, скорее всего, сделал свое дело. Все же «червь», хоть явно и не шпионская программа, но кое-какую информацию дает, в том числе для широкой публики, хотя бы самим фактом своего существования.
Проблемы концерна «Сименс»
Широко известным фактом является то, что Бушерскую АЭС построили специалисты российского «Атомстройэкспорта» по российским технологиям и с использованием компьютерных систем управления производством концерна «Сименс».
Следует отметить, что, по оценке специалистов, вирус Stuxnet поражает лишь конкретный тип контроллеров концерна «Сименс», а именно SIMATIC S7, который, по сведениям МАГАТЭ (Международное агентство по атомной энергии), используется Ираном. При этом порядка 60 % компьютеров, зараженных вирусом Stuxnet, находится в Иране, а остальные 40 % - в странах, так или иначе связанных с ним: Индонезии, Индии и Пакистане.
Важной деталью рассматриваемого вопроса является то, что именно концерн «Сименс» принимал активное участие в 70-х гг. прошлого века в обеспечении высокотехнологическим оборудованием ядерной программы Ирана. После победы исламской революции концерн прекратил работу в стране, но затем немцы вернулись, и Иран стал для них одним из крупнейших заказчиков специфического оборудования. Однако после введения международных санкций, с большой неохотой и под жестким давлением правительства Германии, концерн «Сименс» объявил о прекращении контрактов с Ираном. На этот факт до сих пор ссылаются представители концерна в ответ на то и дело возникающие упреки. Однако вскоре их поймали на поставках запрещенного оборудования и комплектующих двойного назначения, которые могут быть использованы для установки на ядерных объектах Ирана, о чем речь пойдет ниже.
Версия программной поддержки
Как и во всем мире предприятия ядерного цикла, завод по обогащению урана - предприятие закрытое и имеет большие ограничения, в том числе связанные с доступом посторонних на свою территорию. Но некоторые представления о специфике производственного процесса у организаторов диверсии были. Так, в 2007–2008 гг. завод посещали инспекторы МАГАТЭ - тогда иранские власти еще не закрыли перед ними двери. Специалисты узнали немало интересной информации даже из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 г. Службы безопасности сработали тогда на удивление непрофессионально. Так, на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows; стало точно известно, какие центрифуги используются в Натанзе (в обход эмбарго на поставки запрещенного оборудования Иран закупал центрифуги в Пакистане); а компьютерное управление моторами центрифуг производится с помощью контроллеров концерна «Сименс». Владея этой информацией, необходимо было только решить, каким надежным образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к Интернету. И авторы вируса Stuxnet разработали хитроумное решение:
Так как под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение (собственно система управления), то управленческие программы «пишутся» на них под заказ, следовательно, разработчики впоследствии занимаются их плановой поддержкой и регулярно доставляют на производство файлы обновлений. Наиболее возможным способом доставки информации в закрытую сеть завода являются внешние носители. Хакеры «закинули» вирус Stuxnet в шесть иранских компаний - разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было делом техники ввиду того, что они подключены к Интернету, и их сотрудники пользуются электронной почтой. Как и следовало ожидать, расчет на то, что рано или поздно вирус попадет по назначению, полностью оправдался: зараженные компьютеры, которые управляют производством, в какой-то момент подали команду на раскручивание центрифуг до тех пор, пока часть из них не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и обесточил их.
Израильский след
Иран превратился в объект повышенного международного внимания, когда западные страны начали всячески предпринимать шаги по срыву его ядерных программ, направленных, по их мнению, на создание своего ядерного оружия. В этих условиях проводится работа по развалу его экономики при одновременной атаке военно-промышленного и научного секторов. Такой вывод содержится в вышедшей в Евросоюзе книге специалиста в области разведки Ивонника Деноэля «Секретные войны Моссада». В этом издании впервые подробно рассказывается об операции по срыву работы центрифуг по обогащению урана с помощью компьютерного вируса.
Первые данные о подземном заводе по обогащению урана в г. Натанзе западные спецслужбы получили в 2002 году, когда агенты германской разведки завербовали иранского бизнесмена, чья компания принимала участие в создании этого объекта. Исходя из слов автора - иранец согласился предоставить карты, фотографии, техническое описание и иные сведения об этом объекте в обмен на обещание вывезти его позднее из страны и предоставить немецкое гражданство. Однако, отмечает Деноэль, иранская контрразведка разоблачила этого агента в 2004 г. и ликвидировала его. Тем не менее его супруга смогла вывезти из Ирана в Германию портативный компьютер погибшего мужа.
«Компьютер стал подлинной пещерой Али-Бабы, а немецкой разведке потребовались месяцы, для того чтобы изучить попавшие в ее руки документы», - замечает автор книги.
Вслед за этим в 2006 г. на заводе в Натанзе и ядерном центре Исфахана последовала «подозрительная» серия взрывов, когда из строя были выведены трансформаторы во время запуска газовых центрифуг, на которых происходит обогащение урана. В результате в Натанзе были повреждены до 50 центрифуг.
Между тем в 2009 году на ядерном объекте Израиля «Димона» в пустыне Негев была создана совместная с США группа специалистов по мониторингу израильской ядерной программы. Одновременно израильские спецслужбы создали на основе полученной разведкой документации точную рабочую копию иранского обогатительного завода в Натанзе. Данные работы облегчались тем, что как в «Димоне», так и в Натанзе использовалась французская ядерная технология. Деноэль пишет, что израильским спецслужбам удалось приобрести на мировом «черном рынке» центрифуги, аналогичные которым использует Иран для обогащения урана.
В результате, как считают независимые специалисты, создание Израилем «зеркального Натанза» с его производственным циклом позволяет ему в реальном времени следить за прогрессом в ключевой области иранской ядерной программы - работами по обогащению урана. По данным автора, именно центрифуги завода в Натанзе и стали объектом атаки западных спецслужб, использовавших для этого компьютерные сети.
Как сообщает Деноэль, в 2008 г. осуществлявший сделки с Ираном, немецкий машиностроительный концерн «Сименс» «согласился на сотрудничество с Министерством внутренней безопасности США с целью помочь его специалистам найти уязвимые места в компьютерной системе вооруженных сил Ирана». Этому способствовал тот факт, что «Сименс» участвовал в создании компьютеров, которые занимаются управлением крупных производственных и энергетических комплексов (контроллеры). Как оказалось, компьютерное оборудование немецкой компании использовалось иранцами и на заводе в г. Натанзе.
Одновременно спецслужбами Израиля и США была организована группа по созданию компьютерного вируса Stuxnet, начавшая работу в «Димоне». В этой связи газета «Нью-Йорк таймс» писала, что без воссоздания производственного процесса иранского завода в Натанзе в израильском ядерном центре вирус Stuxnet не смог бы сработать с высокой эффективностью. При этом Израиль привлек к работам ранее ушедших на пенсию ученых и техников, работавших в ядерном секторе в 50–60-х гг. – настолько специфичным, да и, более того, довольно устарелым оказался производственный процесс в Натанзе. Но именно эти специалисты-ветераны обладали необходимыми знаниями для воссоздания технологических процессов иранской ядерной программы.
Операция по промышленному саботажу в Иране имела несколько уровней. Так, в июне 2009 г. специалисты США и Израиля создали и запустили в Интернет упрощенную версию вируса Stuxnet, источник происхождения которого невозможно было определить. Первоначально данный вирус позволял похищать хранящуюся в компьютерах информацию, идентификационные номера, пароли и кодовые слова, сведения о конфигурации сетей.
Спустя несколько недель вслед за первым появлением в мировой Сети вируса Stuxnet была выпущена его сложная версия, направленная на атаку иранских производственных объектов. Именно ее направили специалисты США и Израиля в сети завода в г. Натанзе, где он взял под контроль систему управления центрифугами. Согласно Деноэлю, вирус вынуждал контрольные программы сообщать о «нормальной работе», проникая в то же время все глубже в производственные системы.
«Тем самым в компьютерной системе Натанза была создана виртуальная действительность, которая не позволяла иранским специалистам заподозрить факт вирусной атаки», - отмечает автор книги.
Все говорит о том, что в 2010 г. был отдан приказ о начале атаки, и вирус, взяв под контроль управление центрифугами, заставил их увеличить скорость вращения ротора с 1 000 оборотов в секунду до 1 400. При достижении подобной скорости происходит поломка и выход из строя центрифуги.
О том, что на заводе в г. Натанзе происходят какие-то события, немедленно сообщили инспекторы МАГАТЭ. Обычно на этом предприятии, где были развернуты 8 700 центрифуг, количество выходивших из строя не превышало 10 % в год. Однако в течение трех месяцев 2010 г. иранские техники заменили до 2 тыс. центрифуг, сообщили представители МАГАТЭ. Как считают западные аналитики, технологическая атака позволила отбросить назад на 24 месяца прогресс в работах по обогащению урана. Так, по мнению бывшего главы «Моссад» Меира Дагана, «успешная операция задержала начало производства Ираном обогащенного оружейного урана на несколько лет».
Тем не менее, по словам Деноэля, эта операция не смогла остановить ядерную энергетическую программу Ирана. Поврежденные центрифуги были заменены, а согласно данным западных разведок, Тегеран имеет до 8 тысяч резервных центрифуг.
Материалы расследования
Согласно статистическим данным, собранным до событий 2010 г., имевшиеся в распоряжении Тегерана резервные центрифуги - это довольно устаревшая модель (IR-1), и они также часто выходят из строя. Так, еще в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе по обогащению урана.
Опубликованные данные МАГАТЭ подтверждают, что в начале 2010 г. на заводе происходило нечто странное. В цеху (технологический модуль A26) было отключено 11 из 18 каскадов центрифуг - всего 1 804 машины. В других цехах ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.
Монтаж модуля A26 производился в 2008 г. Это второй модуль, собранный на заводе. По состоянию на июнь 2009 г., 12 из 18 каскадов этого модуля обогащали уран. В августе 2009 г. обогащением занималось 10 каскадов, а в ноябре только шесть.
Такое уменьшение числа каскадов, обогащающих уран, подтверждает, что на модуле A26 возникли существенные проблемами. А в период между ноябрем 2009 г. и концом января 2010 г. (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.
В то же время следует отметить, что сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим событием. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на этом заводе выходит из строя до 10 % от общего количества установленных центрифуг, т. е. по 800–900 машин ежегодно.
Не исключено, что центрифуги модуля A26 отказали по «естественным» причинам, хотя количество вышедших из строя машин достаточно велико и превышает годовую норму отказов.
Есть и другое объяснение, исключающее всякий внешний саботаж, - это качество установки узлов центрифуг в модуле A26, которое может быть низким, что могло дать о себе знать. Так, известно, что центрифуги первого иранского модуля (A24) работают устойчиво. Но на втором модуле (A26) качество работ при установке узлов центрифуг, проводимых после введения международного запрета (на поставку соответствующего специфического оборудования), могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска второго модуля.
Есть и третья версия. Так, первый модуль (A24) мог быть изготовлен из официально закупленных импортных составляющих, а второй (A26) - из неизвестно как попавших в Иран комплектующих. В этом случае, массовый выход центрифуг второго модуля из строя не должен вызывать особого удивления.
При этом следует отметить, что эксперты фирмы Symantec определили, что вирус Stuxnet среди прочего атакует частотные преобразователи, которые выпускались иранской компанией Fararo Paya и финской Vacon. Соответствующие последовательности команд в теле вируса эксперты обозначили как «A» и «B». Частотные преобразователи на центрифугах нужны для системы управления моторами, которая позволяет с большой точностью задавать скорости вращения роторов центрифуг.
Преобразователи, в которые целил вирус Stuxnet, имеют ограниченную сферу применения, в том числе и предназначены для установки на центрифугах. Многие специалисты после сообщения фирмы Symantec» поверили в то, что вирус был разработан для борьбы с ядерной программой Ирана.
В то же время Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.
(Окончание следует)
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...
- В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.
- Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.
- Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
- Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.
- Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.
- Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами
- А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update
: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.
Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября - исследователей из фирмы Symantec, а также исследователей из Касперского.
Расследование вируса StuxNet продолжает развиваться.
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».
Федеральное бюро расследования США оказывает сильное давление на высокопоставленных должностных лиц, подозреваемых в раскрытии конфиденциальной информации об участии правительства США в использовании Stuxnet для совершения атак. Об этом сообщает Washington Post.
Сотрудники ФБР и Прокуратуры США проводят анализ аккаунтов электронной почты, записи телефонных разговоров подозреваемых, а также допрашивают действующих и бывших должностных лиц с целью найти доказательства, указывающие на связь с журналистами.
Stuxnet был специально разработан для атак на конкретную конфигурацию программируемых логических контроллеров Siemens, используемых на заводе по обогащению урана в иранском городе Нантанз.
В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group - группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.
Эксперт Symantec Лайам О"Мерху (Liam O"Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows.
По мнению О"Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется "тесная связь", хотя доказать, что это действительно "тот самый" эксплойт, сейчас не представляется возможным.
Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.
Однако, как утверждает О"Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.
Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet - сигнатуры полностью совпадают.
По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.
Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT , и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT - компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно.
2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group
Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.
2012: Атаки Stuxnet на Иран проводились по приказу Обамы
В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.
Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.
Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.
По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».
В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.
Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.
Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.
«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».
Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.
«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».
2011: МИД РФ обвинил США и Израиль в развязывании кибервойны
Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.
В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.
Не успел мир толком разобраться с грозным червем Stuxnet, разработанным явно не без помощи государственных спецслужб, как в Сети появился DUQU, использующий тот же исходный код. По мнению Берда Киви, у основательно доработанного наследника есть все шансы превзойти родителя, но что именно станет его целью?
Во время Второй мировой войны имел однажды место такой случай. Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Очень уж британцам было нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.
Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США...
Конечно же, произошло это совсем не случайно и не по недоразумению. Просто глава ФБР Эдгар Гувер — в годы войны ставший еще и главным контрразведчиком страны — был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его же контролем. А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.
Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой Дикий Билл) велел своим сотрудникам собрать на Гувера суровый компромат. А когда таковой был добыт, все проблемы разведки с ФБР стали решаться легко и просто — элементарным методом под названием «циничный и беспощадный шантаж». Но это уже совсем другая история...
Предупреждения об угрозе
Этот забавный эпизод мы сегодня вспоминаем вот по какой причине. Под конец октября сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе — вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).
На фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet. Напомним, в минувшем году он просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.
И хотя документальных — или тем более официальных — подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают на разведки государств, приложивших к нему руку, а именно США и Израиля.
Иначе говоря, налицо следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (если «отжать» все многословные рекомендации, то получается, что, в общем-то, никак, кроме регулярного обновления штатных антивирусов).
С одной стороны, конечно, было бы странно, если бы никакой реакции не последовало вообще — учитывая крайне нервное отношение общества к появлению Stuxnet. С другой же стороны, совершенно неясно, каким образом одни структуры государства способны реально защищать от других — более мощных, эффективных и засекреченных.
Готовых ответов на подобные вопросы, естественно, ни у кого нет. Но чтобы лучше понять суть проблемы и масштаб обозначившейся угрозы, имеет смысл поподробнее рассмотреть историю появления Дуку и особенности устройства этой интересной программы.
История явления DUQU
Хотя первой официальной публикацией о выявлении новой вредоносной программы, несущей в себе известные признаки Stuxnet, стал отчет антивирусной фирмы Symantec от 17 октября этого года, реальная история обнаружения DUQU антивирусным сообществом началась на полтора месяца раньше.
Причем основную роль сыграли венгерские исследователи и испанский антивирусный проект VirusTotal. VirusTotal.com — это веб-сервис, организованный в свое время фирмой Hispasec из Малаги, где осуществляется «тотальный анализ» присылаемых сюда подозрительных файлов с помощью множества самых разных антивирусных движков. На выходе предоставляется список имен опознания, присвоенных данному вредоносному коду разными компаниями (если, конечно, такой код был уже кем-то выявлен ранее). Ныне VirusTotal является как бы совместным предприятием всего антивирусного сообщества. На данный момент число набранных вскладчину антивирусных программ составляет 43, а всякий новый выявленный образец кода-вредителя оперативно рассылается всем компаниям и лабораториям, принимающим участие в работе сервиса.
Именно здесь и произошло «первое свидание» DUQU с антивирусным сообществом, когда 1 сентября 2011 года некий неизвестный источник из Венгрии прислал в VirusTotal на предмет сканирования подозрительный файл под именем ~DN1.tmp. Наиболее известные антивирусные программы не увидели в этом файле ничего подозрительного, однако два менее популярных движка, BitDefender и AVIRA (точнее, четыре работающие на них антивирусные программы), детектировали его как вредоносный троянец-шпион. Вскоре после этого начального детектирования данный файл был добавлен в базы данных многих антивирусных фирм. Однако абсолютно ничего примечательного в связи с этим далее не случилось — просто обычное пополнение базы.
Затем, 9 сентября и снова, похоже, из Венгрии на сканирование в Virustotal был прислан еще один, теперь уже «настоящий» файл DUQU. Почему именно этот файл-драйвер следует считать «более настоящим» главным модулем DUQU, нежели предыдущего троянца, будет разъяснено подробнее в следующем разделе, посвященном многомодульной структуре этой программы. Здесь же важно отметить лишь то, что при первичном сканировании ни одна из 43 антивирусных программ, участвующих в проекте Virustotal, не детектировала данный файл как вредоносный.
Это очень примечательный факт, свидетельствующий о том, насколько профессионально и тщательно авторы программы DUQU делают свою шпионскую работу. Как покажет последующее изучение, именно этот, главный модуль DUQU несет в своем коде явное и неоспоримое сходство с кодом Stuxnet (первый файл-троянец не имел с ним ничего общего), но при этом авторы новой программы сумели изменить код до такой степени, что он абсолютно успешно прошел тесты на [не]выявление при анализе всеми мало-мальски популярными в мире антивирусными средствами...
Накапливаемые в базах Virustotal признаки файлов свидетельствуют, что этот же модуль-драйвер, но уже под другим именем и под маркой иной компании-изготовителя, еще раз поступал на сканирование в Virustotal 18 сентября. И опять, судя по всему, из Венгрии. И вновь, как это было и с первым драйвером, никаких выявлений вредоносной сути кода не произошло вплоть до 18 октября — когда, наконец, был опубликован официальный отчет Symantec. После которого сразу у всех, что называется, внезапно открылись глаза.
Отчет Symantec сам по себе представляется весьма примечательным документом, наглядно отражающим довольно «скользкую» природу как антивирусного бизнеса, так вообще занятий по защите информации в условиях непростых реалий нашего мира.
С одной стороны, отчет однозначно констатирует, что DUQU несет в себе очевидное фамильное сходство с Stuxnet (по убеждению аналитиков, авторы обеих программ при их создании и компиляции явно пользовались одним и тем же исходным кодом). С другой стороны, американская компания Symantec тщательно избегает любых упоминаний о том, что наиболее очевидным автором Stuxnet считаются спецслужбы США. Более того, к документу Symantec приложен еще более обширный аналитический отчет, полученный от другой «иностранной лаборатории с сильными международными связями», которая, собственно говоря, и выявила как DUQU, так и его сходство с Stuxnet. Однако название и госпринадлежность этой замечательной лаборатории «не раскрываются по ее просьбе».
Наконец, еще одна «страшная тайна», скрытая в отчете Symantec, это реальное название тайваньской фирмы, цифровая подпись которой подтверждает подлинность файла-драйвера DUQU. Именно эта особенность программы-шпиона, собственно, и была одной из главных причин, по которой все 43 антивирусных теста не выявили файл как вредоносный. Точно такая же особенность — похищенные у законных владельцев подлинные цифровые сертификаты — была и фирменной фишкой для обеспечения невидимости Stuxnet.
Но эта тайна, впрочем, раскрылась очень быстро, когда финская антивирусная компания F-Secure по имевшемуся у нее образцу DUQU идентифицировала данную тайваньскую фирму как C-Media Electronics Incorporation. Странное же замалчивание этого факта в отчете Symantec объясняется, скорее всего, тем, что сертификат для C-Media выдавал сертификационный сервис VeriSign — а владельцем его является... Symantec. Данный сертификат имел срок действия до августа 2012 года, однако VeriSign отозвал его сразу же, едва в Symantec занялись изучением вредоносной программы,
полученной от коллег.
Как только в прессе поднялся шум вокруг новоявленного «DUQU, сына Stuxnet», а таинственность его первооткрывателя стала порождать всевозможные безответственные спекуляции, авторы исходного отчета все же решились выйти из тени. Через несколько дней, 21 октября, на сайте CrySyS, венгерской «Лаборатории криптографии и системной безопасности» (Cryptography and System Security при Будапештском университете технологий и экономики) появился очень краткий пресс-релиз с официальным подтверждением их непосредственного участия в истории:
«Наша лаборатория участвовала в обнаружении вредоносной программы DUQU в рамках международного сотрудничества. В процессе углубленного ознакомления с функциональностью этой программы мы установили, что данная угроза почти идентична Stuxnet. После тщательного анализа образцов мы подготовили подробный отчет о программе DUQU, получившей это название от нас. Мы сразу же предоставили исходный отчет в компетентные организации… Но мы не можем раскрыть никакой дополнительной информации конкретно о данном случае».
Иначе говоря, венгерские исследователи решительно не пожелали раскрывать сведений о том, в чьих конкретно компьютерах они обнаружили образцы этой шпионской программы (основываясь на датах компиляции полученного от венгров кода, в Symantec заключили, что атаки с применением этой программы проводятся по меньшей мере с декабря 2010-го. То есть всего пять месяцев спустя после того, как был обнаружен червь Stuxnet).
Похожий сценарий с умалчиваниями о местах выявления заражений стал повторяться и далее, когда антивирусные фирмы начали объявлять, что файлы с признаками DUQU обнаружены, помимо двух случаев в Венгрии, также в Австрии, Великобритании, Индонезии, Иране, Судане... Скорее всего, список стран продолжает расти и поныне. Но каков именно профиль организаций и предприятий, пораженных DUQU, — никто, во-первых, не раскрывает. А, во-вторых, те, кто даже знают что-то определенное, не могут усмотреть какой-либо системы. Судя по всему, цели для внедрения шпионской программы выбираются сугубо индивидуально и по каким-то особым принципам, ведомым лишь тем, кто подсаживает этот код в машины.
И, что самое интересное, практически всегда удается выявлять только факт заражения системы главным модулем DUQU, но больше нигде не видно детектированного в самом начале троянца-шпиона. Для того чтобы понять вероятный смысл происходящего, пора рассмотреть, как этот DUQU устроен изнутри.
Устройство DUQU и его особенности
Уже на самом начальном этапе выявления DUQU, сопровождавшегося публикацией имен разных файлов, так или иначе относящихся к этой программе, возникла довольно серьезная путаница. И вот с чем она связана.
Модульная структура DUQU предполагает наличие как минимум трех типов существенно разных программ, функционально друг с другом практически не связанных. Во-первых, непременно должен быть так называемый файл-установщик, осуществляющий доставку главного модуля DUQU в машину-жертву (сам главный модуль такой функции не имеет, но, что интересно, ни на одной из машин, зараженных DUQU, ничего похожего на файл-установщик пока выявить не удалось). Во-вторых, собственно главный модуль DUQU, также имеющий отчетливую составную конструкцию из собственных модулей-компонентов (о выполняемых ими троянских функциях речь пойдет чуть ниже). И, в-третьих, собственно вредоносная программа для шпионского сбора и похищения информации в зараженной системе. Ее в разных источниках называют либо «расширенный кейлоггер», либо «инфостилер», но суть от этого не меняется. К слову, этот модуль работает вполне независимо от уже упомянутых двух, которые обеспечивали его незаметное внедрение в компьютер.
Что бы там ни говорили в Иране, но Stuxnet смог здорово притормозить развитие ядерной программы этой страны. На что же натаскивается сейчас DUQU?
Все то, что говорится в прессе и отчетах антивирусных исследований относительно близкого родства между DUQU и Stuxnet, относится лишь к основному модулю (не занимающемуся хищениями информации). Но при этом само название DUQU, которое совокупная программа получила от венгров, пошло от характерного имени файлов вида ~Dqx.tmp, где временно хранит собираемые в зараженной системе данные модуль-кейлоггер. Иначе говоря, характерный префикс DQ в именах выявляемых файлов на самом деле не имеет почти никакого отношения к работе главного модуля DUQU. Можно говорить, что взаимосвязь основного модуля и кейлоггера друг с другом установлена на основе того факта, что оба они выявлены на одной машине, а главный модуль функционально способен загружать в машину из сети любые другие компоненты.
Что же представляет собой этот главный модуль? В его составе обычно выделяют три основных компонента:
1. Драйвер, встраивающий свою библиотеку DLL в системные процессы;
2. Зашифрованный файл DLL (с системным расширением PNF), который также имеет дополнительный модуль и скрытно работает через сеть с удаленным сервером команд и управления
3. Настроечный конфигурационный файл (также зашифрован).
Подобно ранее изученному Stuxnet, главный модуль DUQU использует весьма изощренную и во многом уникальную технологию, обеспечивающую сокрытие своих компонентов в оперативной памяти, а не на жестком диске машины, — дабы эффективно избегать обнаружения антивирусными средствами. Обе программы, DUQU и Stuxnet, используют особый драйвер ядра, который расшифровывает нужные зашифрованные файлы и встраивает их в уже работающие процессы. Такого рода «инъекции» в работающую память — это действительно очень эффективный способ избегать выявления, потому что здесь не происходит обращения к диску. А именно на последнее обычно и реагируют антивирусы.
Помимо этих методов обеспечения невидимости в системе, первые из исследованных вариантов программы DUQU были сконфигурированы для работы в течение 36 дней, после чего главный модуль автоматически удаляет себя из зараженной системы. Из анализа последующих образцов стало ясно, что этот период работы не является жестко заданным, так что в других случаях самоуничтожение может происходить и раньше, и позже.
Около года тому назад по результатам анализа Stuxnet экспертами «Лаборатории Касперского» было сделано заключение, что программа состоит фактически из двух разных частей — несущей платформы и самостоятельного отдельного модуля, отвечающего за работу с PLC, т.е. программируемыми логическими контроллерами для диверсионного управления промышленными процессами.
По сути дела, Stuxnet в виде кода воплощал собой нечто типа боевой ракеты из реальной жизни, где имеется модуль-ракетоноситель (собственно червь) и его боеголовка (то есть модуль PLC). На основании такой конструкции тогда же было предположено, что часть Stuxnet, отвечающая за его распространение и заражение системы, может быть использована вновь и вновь с самыми различными «боеголовками».
Ныне же, наблюдая за происходящим вокруг DUQU, можно заключить, что примерно такой сценарий разворачивается и здесь. За тем лишь исключением, что «боеголовки» у DUQU пока не обнаружено. Единственное, что иногда удавалось засечь, это лишь сравнительно безобидный шпион-кейлоггер для предварительной «разведки на местности». Однако по самой природе своей эта программа способна доставить в зараженную систему любую «боеголовку» и запустить ее против любой цели.
В отличие от Stuxnet, который без разбора заражал огромное множество машин, но при этом искал совершенно определенную систему, DUQU, по наблюдениям антивирусных экспертов, избирательно заражает очень небольшое количество весьма специфических систем по всему миру. Но для каждой из систем DUQU может использовать существенно разные модули — с разными именами, разной длиной файлов и разными значениями чек-сумм.
Еще одна их характерных особенностей DUQU заключается в том, что здесь код не имеет функции размножения или самораспространения. Иначе говоря, вредоносная программа не является компьютерным червем или вирусом в общепринятом смысле этих терминов. С другой стороны, ни на одной из зараженных систем по сей день так и не удалось найти модуль-инсталлятор (дроппер), то есть остается неясным, с помощью каких механизмов основной модуль DUQU внедряется в систему. А значит, неизвестно, является ли этот инсталлятор самовоспроизводящимся и какие именно уязвимости защиты он использует. На текущий момент именно это считается главным недостающим звеном во всей головоломке. Потому что именно файл полагают ключом к успешному решению загадки DUQU и отысканию эффективного антидота.
Уже известные (весьма унылые) результаты всеобщей борьбы с угрозами типа Stuxnet, реально способными выводить из строя промышленные предприятия и критически важные инфраструктуры, невольно наводят на мысль, что и с противостоянием угрозам типа DUQU в итоге получится примерно то же самое.
Чтобы более выпукло и наглядно проиллюстрировать, к чему ныне свелась защита компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера (Ralph Langner) — широко известного ныне специалиста в данной области, в свое время первым разобравшегося с «начинкой боеголовки» Stuxnet.
В последних числах сентября Лангнеру довелось принимать участие в промышленной конференции WeissCon, где выступал некто Марти Эдвардс (Marty Edwards) — нынешний глава структуры ICS-CERT, в составе правительства США отвечающей за компьютерную безопасность индустриальных систем управления. Суть удивительного доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости — путем исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.
Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак.
Такой подход, по свидетельству эксперта, самым радикальным образом — примерно на 90% — сокращает число уязвимостей, поскольку подавляющее большинство так называемых «моментов» в безопасности, с которыми сталкивается индустрия, — это не баги программирования, а конструктивные дефекты системы.
До того как разразилась гроза с выявлением Stuxnet, уязвимостью официально именовали следующее: «Дефект или слабость в конструкции системы, в ее реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы». Ну а теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что многие проблемы вдруг просто взяли и исчезли. Остались одни только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то ныне все стало легко и просто. По крайней мере, для организации ICS-CERT. Ну а остальным, заключает с горечью Лангнер, не полегчало, потому что в итоге совершенно не принципиально — атаковали вашу систему через «баг» или «особенность». Последствия останутся неприятными, а порой и катастрофическими.
Возвращаясь же к DUQU, надо подчеркнуть, что аналитиков антивирусных фирм, опубликовавших подробности об этой программе, больше всего поразило дальнейшее поведение ее неведомых создателей. После такой широкой огласки, казалось бы, те должны были тихо исчезнуть из виду или хотя бы на время затаиться. Но ничего подобного не произошло. Уже на следующий день после публикации стали детектироваться все новые и новые модули DUQU с совсем свежими датами компиляций и множеством совершенно новых внешних признаков.
Иначе говоря, шпионы доходчиво продемонстрировали, что намерены и дальше делать эту свою работу — чего бы там не предпринимали структуры компьютерной безопасности.
Почти как во времена Дикого Билла и Эдгара Гувера.
Я профессиональный программист и по образованию физик, так что все что изложено в этой статье не домыслы, я все это могу сделать сам, своими собственными ручонками. Да и информации по теме располагаю гораздо большей, чем могу изложить на этой, не профильной для меня информационной площадке.
Так что если будете возражать на форуме, подумайте кому вы возражаете.
Это Вам не « с перевала», где я смотрюсь дилетантом, в этой теме я профессионал, так что внимайте с уважением.
Начнем с столетней давности
В 1905 году при прохождении воинской колонны по «Египетскому» мосту в Петербурге произошло его обрушение из-за сильной как тогда говорили «раскачки». Сейчас бы мы сказали из-за резонанса.
Основная версия заключается в том, что конструкция моста не выдержала слишком ритмичных колебаний от слаженного шага военных, отчего в ней произошел резонанс. Эта версия была включена в школьную программу по физике в качестве наглядного примера резонанса.
Кроме того, была введена новая военная команда «идти не в ногу», она даётся строевой колонне перед выходом на любой мост.
История поучительна и в том плане, что столкнувшись с неизвестным явлением военные оперативно в нем разобрались и приняли адекватные меры к его предотвращению в будущем.
Нам бы сейчас такую вдумчивость и оперативность.
Авария на Саяно-Шушенской ГЭС
В современной России, через сто лет произошла аналогичная катастрофа. В результате аварии энергоагрегата №2 Саяно-шушенской ГЭС 17 августа 2009года произошло разрушение машинного зала и полная остановка работы ГЭС, авария унесла 75 человеческих жизней (на мосту ни один человек не погиб).
Официально причина аварии в акте комиссии по расследованию обстоятельств аварии сформулирована так:
Вследствие многократного возникновения дополнительных нагрузок переменного характера на гидроагрегат, связанных с переходами через не рекомендованную зону, образовались и развились усталостные повреждения узлов крепления гидроагрегата, в том числе крышки турбины. Вызванные динамическими нагрузками разрушения шпилек привели к срыву крышки турбины и разгерметизации водоподводящего тракта гидроагрегата.
Если переводить на понятный язык, то энергоагрегат (гидравлическая турбина соединенная с электрогенератором), разрушился из-за длительной работы в областях нагрузки на которых присутствуют резонансы электромеханической системы.
Сто лет тому назад, специалисты разобрались с ситуацией и сделали выводы, которым все следуют до сих пор, команду «расстроить шаг» никто и никогда уже не отменит.
А вот в нынешнее время с причинами не разобрались, и выводов не сделали.
Область резонансов в документе обтекаемо называется «не рекомендованной зоной». Чиновникам не хватило смелости даже назвать все своими именами, не то что сделать выводы. События между тем развивались далее.
Вирус Stuxnet
Stuxnet стал первым компьютерным вирусом, нанесшим вред физическим объектам. Из-за него в 2010 году вышли из строя многие центрифуги на ядерных объектах Ирана. Кибернападение на иранский завод по обогащению урана в Нетензе задержало развитие ядерной программы Ирана на несколько лет.
Военные аналитики признают, что Stuxnet стал новой вехой в развитии кибероружия. Из виртуального пространства оно перешло в реальность, так как атака подобного вируса поражает не информационные а физические, реально существующие объекты.
Разрушение центрифуг вирусом Stuxnet производилось методом резонанса электромеханической конструкции центрифуги. Объясню на пальцах, газовая центрифуга имеет быстровращающийся вал (20-50 тысяч оборотов в минуту), который крутит электромотор. Электромотором управляет контроллер, если этот контроллер перепрограммировать так, чтобы он периодически изменял частоту вращения вала центрифуги (у профессионалов называется «биения частоты»), то при определенных частотах «биения» система войдет в резонанс и подшипники оси вала и сам корпус центрифуги разрушится.
Причем это будет выглядеть как обычная поломка не связанная с работой электроники и программ контроллера управления электромотором. Сначала будет повышаться вибрация, затем начинают откручиваться гайки крепления корпусных деталей, затем разбиваются подшипники и система в конце концов клинит и теряет герметичность.
Вирус Stuxnet, попадая на объект именно это и делал, перепрограммировал контроллер управления электромотором Simatic S7 таким образом, чтобы он выдавал напряжение с частотой биений, кратной резонансным частотам вращающегося вала центрифуги.
Процесс нарастания амплитуды резонанса может длиться часами, если не днями, поэтому для обслуживающего персонала это выглядело как дефект конструкции самой центрифуги.
Иранцы так и не поняли, что их центрифуги разрушал вирус до тех пор, пока программисты из Белоруссии не обнаружили сам вирус и не разобрались с его функциональной нагрузкой. Только после этого вирус Stuxnet обрел мировую известность и Иран признал, что его ядерный объект целенаправленно атаковался на протяжении как минимум года именно этим кибероружием.
Что случилось на Саяно-шушенской ГЭС
Авария на втором гидроагрегате Саяно-шушенской ГЭС произошла из-за резонанса, как это было в начале двадцатого века Петербурге, как это было годом позже в Иране. И более того, можно утверждать что в резонанс оборудование было введено преднамеренно, используя методы реализованные в вирусе Stuxnet.
Дело в том, что в момент аварии агрегатом управляла автоматика. Ручное управление для выдачи постоянной мощности было отключено и агрегат работал в режиме компенсаций пульсаций нагрузки в энергосистемы западной Сибири.
При вводе в эксплуатацию оборудования проверяются резонансные частоты и в актах приемки указываются режимы в которых запрещается эксплуатация оборудования.
Украинские специалисты в марте 2009 года сняли эти важнейшие параметры с второго агрегата (во время планового ремонта) куда и в какие руки эти данные попали неизвестно, но предположить можно.
Имея эти данные совсем не тяжело раскачать систему агрегата через микроконтроллер управления ГРАРМ так, чтобы она постепенно, за несколько часов, вогнала в зону резонанса турбоагрегат с электрогенератором на одном валу.
После чего на корпусе начали от вибраций отворачиваться шпильки удерживающие крышку турбины, что и послужило непосредственной причиной катастрофы.
Работой турбины и генератора в автоматическом режиме управляет специальная система, называется системой группового регулирования активной и реактивной мощности (ГРАРМ).
Электронная часть шкафа управления ГРАРМ выполнена на основе PC-совместимой микроЭВМ фирмы Fastwell
Эта система была активирована в момент аварии на втором агрегате. Система была смонтирована и запущена в эксплуатацию в начале 2009 года, незадолго до аварии. Разработана и смонтирована данная система фирмой «ПромАвтоматика» на базе импортного оборудования.
Естественно ни о какой Информационной безопасности тогда не думали, эта система имела прямой выход в Интернет, резонансные частоты агрегата были известны.
Дальнейшее я думаю объяснять не надо, случилось то, что случилось…
Коллеги из Израиля и США успешно опробовали кибероружие для разрушения инфраструктурных объектов на практике, после этого конечно нужно создавать специальный род войск для его использования, что США и сделали в том же 2009 году организовав Киберкомандование со штатом сотрудников (бойцов) в 10 000 человек.
Кибероружие
Компьютерные вирусы в третьем тысячелетии стали тоже оружием и получили название «Кибероружие», более того во многих странах это оружие выделяется в отдельный род войск, обобщенным названием которого с легкой руки американцев стало название «Киберкомандование».
Командующий этими вооруженными силами получил совсем фантастическое название, не поверите, в США его называют – «КиберЦарь», да именно русское слово используется для официального названия американского командующего.
Это оружие уже применялось в необъявленной войне США и Израиля против Ирана, Скорее всего оно применялось и в России, на Саяно-Шушенской ГЭС, есть его след и в аварии на Индийском проекте передачи в лизинг атомных подводных лодок.
Там снова засветилась та же питерская фирма, она была разработчиком оборудования пожаротушения, которое в результате самопроизвольного срабатывания привело к гибели людей на ходовых испытаниях…. но это отдельная тема.
