Описание
9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:
- Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
- для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
- несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
- для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
- Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
- присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
- необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.
Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.
SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.
SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.
Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).
Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.
Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.
Код Stuxnet в ПЛК позволяет:
- слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
- читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
- синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).
Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.
Выводы
Указанные факты позволяют сделать следующие выводы:
- Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
- не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
- функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
- разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.
Версии
Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:
- Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
- Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
- АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
- участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
- Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
- Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.
- производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
- в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.
В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.
Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet - действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.
По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.
Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.
Подробные источники информации о Stuxnet:
Аналитический отчет компании Symantec
В последние дни все мировые СМИ внезапно вспомнили о черве WIN32/Stuxnet, обнаруженном еще в июне сего года. По компьютерным меркам трехмесячный срок - это как в обычной жизни несколько лет. Даже неторопливая Microsoft успела выпустить патч, закрывающий одну из четырех уязвимостей, присутствующих в Windows и используемых зловредом. Правда, не для всех версий операционной системы, а только для Vista и «семерки», тогда как 2000 и XP остались Stuxnet-неустойчивыми, и вся надежда только на сторонние антивирусные программы. Которые все равно понадобятся, благо остальные уязвимости живут и здравствуют.
И вдруг Stuxnet снова замелькал в заголовках новостных ресурсов. Оказывается, это не просто очередной «червяк», пусть и довольно заковыристо написанный (полмегабайта шифрованного кода, где используется сразу несколько языков программирования, от C/C++ до ассемблера), а цифровой шпион-диверсант. Он пробирается на промышленные объекты, где используются аппаратно-программные комплексы Siemens, получает доступ к системе Siemens WinCC, отвечающей за сбор данных и оперативное диспетчерское управление производством, и через нее пытается перепрограммировать логические контроллеры (PLC).
Вам уже страшно? Погодите, это только начало! Stuxnet заточен не под какие-то там цеха по разливу пива. Его главная цель - иранская атомная станция в городе Бушере! Якобы, именно под ее конфигурацию заточена вся злая сила червя, и он то ли уже успел сильно напортачить иранцам, раз они с августа не могут запустить станцию, то ли втихаря прошил контроллеры, и, когда АЭС заработает, даст команду на взрыв. И вот тогда…
Позволю себе процитировать несколько мнений знающих людей. Так, Евгений Касперский в своем блоге называет Stuxnet «шедевром малварно-инженерной мысли» и, в свою очередь, приводит выдержки из материала Александра Гостева, по мнению которого речь идет вообще об «оружии промышленного саботажа». Сделал его, понятное дело, израильский Моссад, дабы остановить работу Бушерской атомной станции.
Аппаратно-программные комплексы Siemens используются на очень разных производствах. Ладно, если речь идет о литье чугуна…
… но представьте, как дрогнут сердца сотен тысяч мужчин, если червь навредит линии по производству пива?
Аналитики ESET чуть менее эмоциональны. Они не уверены, что цель Stuxnet именно БАЭС, однако отдают должное качеству кода и красоте задумки. «Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше».
Оговорка про внешние носители очень важна. Как мы понимаем, системы управления заводами и атомными станциями не имеют доступа в Интернет, поэтому Stuxnet умеет заражать флэшки, и уже с них пробираться в закрытые сети. Службы безопасности? Да, они, конечно, работают, и порой - весьма эффективно. Однако наряду с банальным человеческим фактором (читаем - разгильдяйством) существуют довольно хитрые способы маскировки флэш-накопителей. Например, аккуратно подкупленный сотрудник может пронести на рабочее место мышку со встроенной флэш-памятью, и подменить ей казенную. Спросите, а зачем тогда вообще нужно распространение по Интернету? Так ведь для отвода глаз, чтобы те же руководители службы безопасности не врага в коллективе искали, а уверенно кивали на случайное проникновение извне. Между тем, для облегчения работы червя некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов Stuxnet был способен обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).
ESET еще приводит чудесную табличку с географией зафиксированных заражений вирусом, которая, с одной стороны, подтверждает намеки Гостева, а с другой - заставляет любителей конспирологии еще активнее строчить комментарии в форумах и блогах. Шутка ли, зараза поражает крупнейшие развивающиеся страны, и для завершенности картины в таблице не хватает только Китая вместо Индонезии.
Вам уже страшно, как и Евгению Касперскому? Подождите. Давайте переведем дух.
Во-первых, надо понимать - почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.
Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции - грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так - червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них - в следующем пункте.
В-третьих, как удалось выяснить, для автоматизации электростанций (в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC - это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным - какие такие PLC Stuxnet собрался перешивать в Бушере?
Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.
Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.
Так что оружие-то он оружие, но до реальных взрывов дойдет вряд ли. Разве что взрывов негодования при очередном визите в магазин или получении счета за электроэнергию. Все эти промышленные войны ведутся в конечном итоге за счет нас, потребителей.
При написании этой статьи были обижены в лучших чувствах сотни конспирологов
Я профессиональный программист и по образованию физик, так что все что изложено в этой статье не домыслы, я все это могу сделать сам, своими собственными ручонками. Да и информации по теме располагаю гораздо большей, чем могу изложить на этой, не профильной для меня информационной площадке.
Так что если будете возражать на форуме, подумайте кому вы возражаете.
Это Вам не « с перевала», где я смотрюсь дилетантом, в этой теме я профессионал, так что внимайте с уважением.
Начнем с столетней давности
В 1905 году при прохождении воинской колонны по «Египетскому» мосту в Петербурге произошло его обрушение из-за сильной как тогда говорили «раскачки». Сейчас бы мы сказали из-за резонанса.
Основная версия заключается в том, что конструкция моста не выдержала слишком ритмичных колебаний от слаженного шага военных, отчего в ней произошел резонанс. Эта версия была включена в школьную программу по физике в качестве наглядного примера резонанса.
Кроме того, была введена новая военная команда «идти не в ногу», она даётся строевой колонне перед выходом на любой мост.
История поучительна и в том плане, что столкнувшись с неизвестным явлением военные оперативно в нем разобрались и приняли адекватные меры к его предотвращению в будущем.
Нам бы сейчас такую вдумчивость и оперативность.
Авария на Саяно-Шушенской ГЭС
В современной России, через сто лет произошла аналогичная катастрофа. В результате аварии энергоагрегата №2 Саяно-шушенской ГЭС 17 августа 2009года произошло разрушение машинного зала и полная остановка работы ГЭС, авария унесла 75 человеческих жизней (на мосту ни один человек не погиб).
Официально причина аварии в акте комиссии по расследованию обстоятельств аварии сформулирована так:
Вследствие многократного возникновения дополнительных нагрузок переменного характера на гидроагрегат, связанных с переходами через не рекомендованную зону, образовались и развились усталостные повреждения узлов крепления гидроагрегата, в том числе крышки турбины. Вызванные динамическими нагрузками разрушения шпилек привели к срыву крышки турбины и разгерметизации водоподводящего тракта гидроагрегата.
Если переводить на понятный язык, то энергоагрегат (гидравлическая турбина соединенная с электрогенератором), разрушился из-за длительной работы в областях нагрузки на которых присутствуют резонансы электромеханической системы.
Сто лет тому назад, специалисты разобрались с ситуацией и сделали выводы, которым все следуют до сих пор, команду «расстроить шаг» никто и никогда уже не отменит.
А вот в нынешнее время с причинами не разобрались, и выводов не сделали.
Область резонансов в документе обтекаемо называется «не рекомендованной зоной». Чиновникам не хватило смелости даже назвать все своими именами, не то что сделать выводы. События между тем развивались далее.
Вирус Stuxnet
Stuxnet стал первым компьютерным вирусом, нанесшим вред физическим объектам. Из-за него в 2010 году вышли из строя многие центрифуги на ядерных объектах Ирана. Кибернападение на иранский завод по обогащению урана в Нетензе задержало развитие ядерной программы Ирана на несколько лет.
Военные аналитики признают, что Stuxnet стал новой вехой в развитии кибероружия. Из виртуального пространства оно перешло в реальность, так как атака подобного вируса поражает не информационные а физические, реально существующие объекты.
Разрушение центрифуг вирусом Stuxnet производилось методом резонанса электромеханической конструкции центрифуги. Объясню на пальцах, газовая центрифуга имеет быстровращающийся вал (20-50 тысяч оборотов в минуту), который крутит электромотор. Электромотором управляет контроллер, если этот контроллер перепрограммировать так, чтобы он периодически изменял частоту вращения вала центрифуги (у профессионалов называется «биения частоты»), то при определенных частотах «биения» система войдет в резонанс и подшипники оси вала и сам корпус центрифуги разрушится.
Причем это будет выглядеть как обычная поломка не связанная с работой электроники и программ контроллера управления электромотором. Сначала будет повышаться вибрация, затем начинают откручиваться гайки крепления корпусных деталей, затем разбиваются подшипники и система в конце концов клинит и теряет герметичность.
Вирус Stuxnet, попадая на объект именно это и делал, перепрограммировал контроллер управления электромотором Simatic S7 таким образом, чтобы он выдавал напряжение с частотой биений, кратной резонансным частотам вращающегося вала центрифуги.
Процесс нарастания амплитуды резонанса может длиться часами, если не днями, поэтому для обслуживающего персонала это выглядело как дефект конструкции самой центрифуги.
Иранцы так и не поняли, что их центрифуги разрушал вирус до тех пор, пока программисты из Белоруссии не обнаружили сам вирус и не разобрались с его функциональной нагрузкой. Только после этого вирус Stuxnet обрел мировую известность и Иран признал, что его ядерный объект целенаправленно атаковался на протяжении как минимум года именно этим кибероружием.
Что случилось на Саяно-шушенской ГЭС
Авария на втором гидроагрегате Саяно-шушенской ГЭС произошла из-за резонанса, как это было в начале двадцатого века Петербурге, как это было годом позже в Иране. И более того, можно утверждать что в резонанс оборудование было введено преднамеренно, используя методы реализованные в вирусе Stuxnet.
Дело в том, что в момент аварии агрегатом управляла автоматика. Ручное управление для выдачи постоянной мощности было отключено и агрегат работал в режиме компенсаций пульсаций нагрузки в энергосистемы западной Сибири.
При вводе в эксплуатацию оборудования проверяются резонансные частоты и в актах приемки указываются режимы в которых запрещается эксплуатация оборудования.
Украинские специалисты в марте 2009 года сняли эти важнейшие параметры с второго агрегата (во время планового ремонта) куда и в какие руки эти данные попали неизвестно, но предположить можно.
Имея эти данные совсем не тяжело раскачать систему агрегата через микроконтроллер управления ГРАРМ так, чтобы она постепенно, за несколько часов, вогнала в зону резонанса турбоагрегат с электрогенератором на одном валу.
После чего на корпусе начали от вибраций отворачиваться шпильки удерживающие крышку турбины, что и послужило непосредственной причиной катастрофы.
Работой турбины и генератора в автоматическом режиме управляет специальная система, называется системой группового регулирования активной и реактивной мощности (ГРАРМ).
Электронная часть шкафа управления ГРАРМ выполнена на основе PC-совместимой микроЭВМ фирмы Fastwell
Эта система была активирована в момент аварии на втором агрегате. Система была смонтирована и запущена в эксплуатацию в начале 2009 года, незадолго до аварии. Разработана и смонтирована данная система фирмой «ПромАвтоматика» на базе импортного оборудования.
Естественно ни о какой Информационной безопасности тогда не думали, эта система имела прямой выход в Интернет, резонансные частоты агрегата были известны.
Дальнейшее я думаю объяснять не надо, случилось то, что случилось…
Коллеги из Израиля и США успешно опробовали кибероружие для разрушения инфраструктурных объектов на практике, после этого конечно нужно создавать специальный род войск для его использования, что США и сделали в том же 2009 году организовав Киберкомандование со штатом сотрудников (бойцов) в 10 000 человек.
Кибероружие
Компьютерные вирусы в третьем тысячелетии стали тоже оружием и получили название «Кибероружие», более того во многих странах это оружие выделяется в отдельный род войск, обобщенным названием которого с легкой руки американцев стало название «Киберкомандование».
Командующий этими вооруженными силами получил совсем фантастическое название, не поверите, в США его называют – «КиберЦарь», да именно русское слово используется для официального названия американского командующего.
Это оружие уже применялось в необъявленной войне США и Израиля против Ирана, Скорее всего оно применялось и в России, на Саяно-Шушенской ГЭС, есть его след и в аварии на Индийском проекте передачи в лизинг атомных подводных лодок.
Там снова засветилась та же питерская фирма, она была разработчиком оборудования пожаротушения, которое в результате самопроизвольного срабатывания привело к гибели людей на ходовых испытаниях…. но это отдельная тема.
«Не знаю, каким оружием будут сражаться в третьей мировой войне, но в четвертой в ход пойдут камни и дубинки»
Альберт Эйнштейн
В конце сентября стало известно, что вирус Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы и пресловутый «человеческий фактор», Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Заказчик – неизвестен. Исполнитель – нерадивый сотрудник Siemens, вставивший инфицированный флэш-накопитель в рабочую станцию. Ущерб, нанесенный ядерным объектам Ирана, сопоставим с ущербом от атаки израильских ВВС.Мир заговорил о войнах нового поколения. Кибернетические атаки могут стать идеальными инструментами следующих войн – они стремительны, эффективны в своей разрушительности и, как правило, анонимны. Сегодня государства в спешном порядке договариваются о совместной стратегии противостояния кибернетическим угрозам. Что будет завтра? К сожалению, наиболее реалистичным ответом на этот вопрос до сих пор остается невеселый афоризм Эйнштейна.
Иран беспомощен перед техно-угрозой
Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры технологических войн. Над разгадкой Stuxnet – вируса, поразившего ядерные объекты Ирана – бьются эксперты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал в конце сентября, когда стало известно о задержке запуска первой в Иране Бушерской АЭС. Несмотря на то, что Али Акбар Салехи (Ali Akbar Salehi) , глава Организации по атомной энергии Ирана, заявил, что задержка с пуском АЭС никак не связана с деятельностью вируса, Марк Фитцпатрик (Mark Fitzpatrick) , сотрудник Международного института стратегических исследований отметил, что это звучит «не очень серьезно», а Иран cклонен замалчивать реальные проблемы на АЭС. Спустя некоторое время «проговорился» Махмуд Джафари (Mahmoud Jafari), менеджер отдела проектов станции в Бушере. По его словам, Stuxnet «поразил несколько компьютеров, но не нанес какой-либо ущерб основной операционной системе станции». Sapienti sat. Ядерные объекты Ирана в Натанзе также пострадали весьма серьезно: 1368 из 5000 центрифуг были выведены из строя в результате действий Stuxnet. Когда Махмуда Ахмадинеджада после сессии Генассамблеи ООН прямо спросили о технологических проблемах с ядерной программой, он лишь пожал плечами и ничего не ответил. Отметим, что по данным New York Times, ущерб от действий вируса в Иране сравним, разве что, с атакой израильских ВВС.Автора! Автора!
По вполне понятным причинам разработчики Stuxnet предпочитают держаться в тени, однако совершенно очевидно, что сложность вируса можно назвать беспрецедентной. Создание подобного проекта требует огромных интеллектуальных и финансовых инвестиций, а значит, под силу лишь структурам масштаба государственных. Все эксперты сходятся во мнении, что вирус не является плодом усилий «группы энтузиастов». Лоран Эсло, руководитель отдела систем безопасности Symantec предполагает, что над созданием Stuxnet работали, как минимум, от шести до десяти человек на протяжении шести-девяти месяцев. Франк Ригер (Frank Rieger), технический директор GSMK поддерживает своего коллегу - по его словам, вирус создавала команда из десяти опытных программистов, а разработка заняла около полугода. Ригер называет и ориентировочную сумму создания Stuxnet: она составляет не менее $3 млн. О военных целях вируса говорит Евгений Касперский, генеральный директор «Лаборатории Касперского»: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Тильман Вернер (Tillmann Werner), участник содружества специалистов в области интернет-безопасности Honeynet Project , уверен: хакеры-одиночки на такое не способны. «Stuxnet настолько совершенен с технической точки зрения, что следует исходить из того, что в разработке вредоносной программы принимали участие специалисты из госструктур, или что они, по крайней мере, оказывали какую-то помощь в ее создании», - утверждает Вернер.
В процессе анализа Stuxnet некоторые СМИ сделали вывод, что за созданием вируса стоит Израиль. Первым заговорил о причастности Израиля к атаке на Иран Джон Марков (John Markoff) , журналист New York Times, сообщив, что аналитики особо отметили название одного из фрагментов кода «myrtus» («мирт»). В переводе на иврит, «мирт» звучит как «адас», что, в свою очередь, созвучно с именем «Адасса», принадлежащем Эстер (Эсфирь) – героине еврейской истории, спасшей свой народ от уничтожения в Персидской империи. Проводя аналогию с древней Персией, на территории которой расположен современный Иран, некоторые аналитики полагают, что Израиль оставил «визитную карточку» в коде вируса. Впрочем, по мнению целого ряда экспертов, эта версия не выдерживает никакой критики и напоминает сюжет дешевого детектива – слишком уж примитивный «почерк», как для проекта такого масштаба.
Вместе с тем следует подчеркнуть, что еще прошлым летом (напомним, распространение Stuxnet началось в 2009 г.) ресурс WikiLeaks сообщил о серьезной ядерной аварии в Натанзе. Вскоре после этого стало известно, что глава Организации по атомной энергии Ирана Голам Реза Агазаде (Gholam Reza Aghazadeh) ушел в отставку без объяснения причин. Примерно в это же время в СМИ появились высказывания израильских политиков и военных о возможном противостоянии с Ираном на технологическом фронте. Кроме того, Израиль скорректировал прогнозируемую дату получения Ираном атомной бомбы, отодвинув ее на 2014 год, а полномочия Меира Дагана (Meir Dagan) , главы «Моссада», были продлены ради его участия в неназванных «важных проектах».
Человеческий фактор
Примечательна история первичного заражения, положившая начало распространению вируса. Очевидно, что системы автоматизированного управления подобного уровня не подключены к Сети. Эксперт из Киберцентра НАТО в Эстонии Кеннет Гирс (Kenneth Geers) на одной из конференций о безопасности высказал предположение, что успех атаки Stuxnet зависел исключительно от контактов с нужными с людьми и… элементарных USB-накопителей. «Можно заплатить кому-то, кто запустит трояна в закрытую систему, или подменить флешку, которая предназначалась только для внутреннего пользования», - размышляет Гирс. – «Достаточно вставить в стандартный USB-разъем компьютера инфицированную флешку, и Stuxnet тут же автоматически перескакивает на операционную систему, и никакие антивирусные программы и прочие меры защиты ей не помеха». И действительно, «слабым звеном» оказался человеческий фактор – Stuxnet был занесен в систему посредством обычного USB-накопителя, который по неосторожности вставил в рабочую станцию нерадивый сотрудник. Примечательно, что после заявлений министра разведки Ирана Гейдара Мослехи (Heydar Moslehi) о задержании «ядерных шпионов» (ими оказались совершенно непричастные российские техники), руководство Siemens признало, что вирус занесли сотрудники компании, подчеркнув непреднамеренный характер заражения. Следует отметить, что Stuxnet поражает лишь конкретный тип контроллеров Siemens, а именно SIMATIC S7, который, по сведениям МАГАТЭ, используется Ираном.Кибервойна. Поле битвы – Земля?
На конференции Virus Bulletin 2010, проходившей в Ванкувере (Канада), внимание публики привлек краткий доклад Лайама О Мерчу (Liam O Murchu) , одного из ведущих экспертов Symantec по IT-безопасности. Аналитик провел эксперимент, разъясняющий опасность кибер-угрозы лучше сотен формальных отчетов. О Мерчу установил на сцене воздушный насос, работающий под управлением операционной системы производства Siemens, инфицировал контролирующую насос рабочую станцию вирусом Stuxnet и запустил процесс в действие. Насос быстро надул воздушный шар, но процесс не остановился – шар надувался до тех пор, пока не лопнул. «Представьте, что это не воздушный шар, а иранская атомная электростанция», - сказал эксперт, поставив точку в вопросе о «серьезности» кибервойн.
Коллеги О Мерчу полностью разделяют его опасения. Исследователь Trend Micro Поль Фергюсон (Paul Ferguson) заявил, что с созданием Stuxnet в мире появилось полноценное кибер-оружие, которое выходит за рамки традиционных деструктивных схем (кража номеров кредитных карт и т.д.) и способно привести к серьезным авариям на очень опасных промышленных объектах. Фергюсон подчеркивает, что сейчас аналитики будут «буквально запугивать правительство для того, чтобы то начало принимать серьезные меры безопасности».
И действительно, глава только что созданного Киберштаба США при Пентагоне, генерал Кит Александер (Keith Alexander) , выступая в Конгрессе, публично заявил, что за последние несколько лет угроза кибервойны растет стремительными темпами. Александер напомнил о двух кибер-атаках на целые государства – на Эстонию (в 2007 г., после демонтажа «Бронзового солдата») и на Грузию (в 2008 г., во время войны с Россией).
Президент Эстонии Тоомас Хендрик Ильвес (Toomas Hendrik Ilves) в интервью Berliner Zeitung поднимает вопрос о кибернетических угрозах на самом высоком уровне. Эстонский президент подчеркивает: решение НАТО разместить Центр кибербезопасности именно в Таллине (напомним, он открылся в мае 2008 года) связано с тем, что Эстония является одной из наиболее компьютеризированных стран в Европе, а также первым государством, подвергшимся полномасштабной кибератаке в 2007 году. После атаки, парализовавшей инфраструктуру целой страны, министр обороны Эстонии Яак Аавиксоо (Jaak Aaviksoo) даже потребовал от НАТО приравнять эти киберналеты к военным акциям. Схожие тезисы сегодня высказывает и президент: «Вирус Stuxnet продемонстрировал, насколько серьезно мы должны относиться к кибербезопасности, поскольку при помощи подобных продуктов может быть разрушена жизненно важная инфраструктура. В случае с Ираном вирус был, похоже, нацелен против ядерной программы, однако аналогичные вирусы могут разрушить нашу экономику, которая управляется при помощи компьютеров. Это должно обсуждаться в НАТО: если ракета разрушает электростанцию, в силу вступает параграф 5. Но как действовать в случае атаки компьютерных вирусов?» - спрашивает Тоомас Хендрик Ильвес. Предложение президента находится в русле нынешних тенденций: «Как ЕС, так и НАТО должны разработать единую политику, включая правовые нормы, которые станут основой для коллективной защиты против угрозы в киберпространстве», - считает глава государства.
С Тоомасом Хендриком Ильвесом полностью соглашается первый заместитель министра обороны США Уильям Линн (William J. Lynn) . В интервью «Радио Свобода» Линн попробовал ответить на поднятый Ильвесом вопрос: «Если удар затронул существенные элементы нашей экономики, мы, вероятно, должны считать его нападением. Но если результатом взлома было похищение данных, то это, возможно, не нападение. Между этими двумя крайностями множество других вариантов. Чтобы внятно сформулировать политическую линию, мы должны решить, где пролегает граница между взломом и нападением или между шпионажем и кражей данных. Полагаю, и в правительстве, и вне его идет дискуссия на эту тему, и я не думаю, что дискуссия эта уже исчерпана».
Кроме того, ключевым моментом выступления Уильяма Линна стало публичное оглашение пяти принципов, на которых зиждется новая стратегия кибербезопасности Соединенных Штатов. Цитируем замминистра обороны США без купюр:
«Первый из этих принципов заключается в том, что мы должны признать киберпространство тем, чем оно уже стало – новой зоной военных действий. Точно так же, как сушу, море, воздушное и космическое пространство, мы должны рассматривать киберпространство как сферу наших действий, которую мы будем защищать и на которую распространим свою военную доктрину. Вот что побудило нас создать объединенное Киберкомандование в составе Стратегического командования.
Второй принцип, о котором я уже упоминал - оборона должна быть активной. Она должна включать две общепринятые линии пассивной обороны – собственно, это обычная гигиена: вовремя ставить заплаты, обновлять свои антивирусные программы, совершенствовать средства защиты. Нужна также вторая линия обороны, которую применяют частные компании: детекторы вторжения, программы мониторинга безопасности. Все эти средства, вероятно, помогут вам отразить примерно 80 процентов нападений. Оставшиеся 20 процентов – это очень грубая оценка – изощренные атаки, которые невозможно предотвратить или остановить посредством латания дыр. Необходим гораздо более активный арсенал. Нужны инструменты, которые способны определять и блокировать вредоносный код. Нужны программы, которые будут выявлять и преследовать внутри вашей собственной сети вторгшиеся в нее зловредные элементы. Когда вы нашли их, вы должны иметь возможность заблокировать их общение с внешней сетью. Иными словами, это больше похоже на маневренную войну, чем на линию Мажино.
Третий принцип стратегии кибербезопасности – это защита гражданской инфраструктуры.
Четвертый – США и их союзники должны принять меры коллективной обороны. На предстоящем саммите НАТО в Лиссабоне будут приняты важные решения на этот счет.
Наконец, пятый принцип – США должны оставаться на передовых рубежах в разработке программного продукта».
Весьма примечательна реакция Дмитрия Рогозина , постоянного представителя России при НАТО, на происходящие в Альянсе процессы. Судя по всему, Россия крайне обеспокоена предстоящим саммитом НАТО в Лиссабоне, который состоится 20 ноября, ведь именно на нем планируется прояснить дилемму, считается ли атака на военные и правительственные компьютерные сети члена НАТО поводом для того, чтобы задействовать 5-ю статью Вашингтонского договора и ответить коллективным военным ударом. Рогозин в характерном для себя стиле пишет: «Мы, наконец, узнаем, допустимо ли для НАТО ударить по квартирам хакеров ядреной бомбой или предполагается, что кибервойна все-таки не выйдет за пределы киберпространства. В последнем сценарии у меня есть большие основания усомниться. Буквально на наших глазах в западной периодике разворачивается грандиозный скандал в связи с распространением компьютерного червя под названием Stuxnet. Я привык к чтению и отправке SMS на латинице, поэтому сразу прочел название вируса как русский глагол формы будущего времени: «стухнет». Будьте уверены, стухнет или отвалится что-нибудь у кого-нибудь обязательно, причем у тех, кто этот вирус запустил. Как известно, кто посеет ветер, тот пожнет бурю». Не решаясь комментировать литературно-творческие изыскания г-на Рогозина, отметим, что в двух крупнейших хакерских атаках на целые государства (Эстонию и Грузию) обвиняли именно Россию – возможно, именно этим вызвана столь бурная реакция впечатлительного полпреда.
Таким образом, на фоне истерии, спровоцированной Stuxnet, ряд государств заявили о необходимости формирования совместной политики по предотвращению кибератак. Приведет ли это к желаемому результату, даже если предположить, что будет выработан (и подписан) некий документ, регламентирующий использование деструктивных технологий? IT Business week это представляется крайне сомнительным, уж слишком велики соблазны, предлагаемые высокими технологиями: анонимность, безопасность (для атакующего), беспрецедентное соотношение «стоимость/эффективность». А значит, Stuxnet был только первой ласточкой эпохи техно-социальной революции, которая началась совсем не так, как мечталось.
Теги:
- вирус
- Stuxnet
- Иран
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...
- В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.
- Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.
- Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
- Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.
- Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.
- Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами
- А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update
: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.
Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября - исследователей из фирмы Symantec, а также исследователей из Касперского.
Расследование вируса StuxNet продолжает развиваться.
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».
Федеральное бюро расследования США оказывает сильное давление на высокопоставленных должностных лиц, подозреваемых в раскрытии конфиденциальной информации об участии правительства США в использовании Stuxnet для совершения атак. Об этом сообщает Washington Post.
Сотрудники ФБР и Прокуратуры США проводят анализ аккаунтов электронной почты, записи телефонных разговоров подозреваемых, а также допрашивают действующих и бывших должностных лиц с целью найти доказательства, указывающие на связь с журналистами.
Stuxnet был специально разработан для атак на конкретную конфигурацию программируемых логических контроллеров Siemens, используемых на заводе по обогащению урана в иранском городе Нантанз.
