Червь Stuxnet создан для саботажа на ядерных предприятиях

Discussion in 'Мировые новости. Обсуждения.' started by elimS2, 24 Sep 2010.

  1. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    Странно что на форуме до сих пор эта новость не упоминается. Поиск по слову Stuxnet выдал только 4 новости, последняя из них с датой 5 августа. А ведь с тех пор этот интересный червь успели порядочно поковырять и по находить вкусной начинки. Хочется почитать комментарии и обсуждения людей, которые интересуются информационной безопасностью.

    Если уже новость тут была - извиняюсь

    Сама новость:

    [​IMG]

    Прочитав такой заголовок, я бы подумал, что речь идет о попытке привлечь внимание «проходящего мимо» читателя — но нет, такой заголовок соответствует содержанию статьи целиком и полностью. Дело в том, что специалист по информационной безопасности из Германии, Ральф Ленгнер, подверг червя детальному анализу. Результаты анализа весьма впечатляют — забегая наперед, скажу, что этот самый Ленгнер предполагает, что за созданием червя может стоять целое государство, а не какой-то там хакер-студент или их группа.

    Конечно, частенько и один талантливый студент может сделать то, над чем целые НИИ работают длительное время, не получая результат. Но здесь, скорее всего, не тот случай. Напомню, что Stuxnet предназначен в первую очередь для ПК с программным обеспечением компании Siemens, которое обычно используется в различных промышленных системах управления производственными процессами. И это касается не мелких предприятий, а целых ядерных заводов. В коде Stuxnet содержится участок, который, теоретически, может позволить злоумышленникам получить доступ к тем самым системам управления. Stuxnet предназначен для атаки компонентов управления предприятием (SCADA), которые используются на химических, ядерных и прочих крупных (крупнейших) предприятиях.

    Ленгнер не голословен — сделав такое заявление на одной из конференций по информационной безопасности на производстве, он также опубликовал детальный анализ участков кода вируса на собственном сайте. Причем «безопасник» сделал это еще на прошлой неделе, хотя известно об этом стало только сейчас.

    «Stuxnet является 100%-но направленной атакой, которая направлена на нарушение хода обычных промышленных процессов в обычном же, а не виртуальном, мире», — говорит Ральф Ленгнер.

    Три крупнейших специалиста по информационной безопасности из США, включая Майкла Ассанте, согласны с теорией Ленгнера. До сих пор код червя изучен недостаточно, слишком уж он сложен, однако работы продолжают вестись.

    Интересно, что специалисты пришли к общему мнению, что иранский ядерный завод Bushehr является главной целью для этого червя — в принципе, несложно догадаться, кому же не терпится уничтожить подобное предприятие в этой стране. Правда, червь обнаруживается по всему миру, а не только в Иране, так что его можно назвать чрезвычайно эффективным. На ПК Stuxnet проникает посредством использования трех уязвимостей (в ОС Windows), из которых с июня месяца закрыта только одна.

    Эксперты по безопасности также называют Stuxnet первым виртуальным супер-оружием, созданным для уничтожения реальных объектов.

    Дата: 23 сентября 2010, 01:02
    Источник: http://habrahabr.ru/blogs/infosecurity/104794/#habracut​


    Добавлю еще информации:

    Вот на блоге касперкого еще с июля начали копать этого червя, подписан на их ленту, с интересом читал:

    www.securelist.com/ru/blog/34291/Mirt_i_guava_Epizod_1
    www.securelist.com/ru/blog/34293/Mirt_i_guava_Epizod_2
    www.securelist.com/ru/blog/34302/Mirt_i_guava_Epizod_3
    www.securelist.com/ru/blog/34307/Mirt_i_guava_Epizod_4
    www.securelist.com/ru/blog/34310/Mirt_i_guava_Epizod_5
    www.securelist.com/ru/blog/34355/Mirt_i_guava_Epizod_MS10_061

    Обсуждение на dirty.ru: http://dirty.ru/comments/289154:
    И еще:

    И еще ссылки на интересные статьи:
    http://malaya-zemlya.livejournal.com/584125.html

    http://malaya-zemlya.livejournal.com/586908.html :

    Довольно интересно читать обсуждение, комментарии ко всем этим статьям из всех вышеперечисленных ссылок, где всплывает та или иная информация. В самих статьях куча ссылок на различные интересные источники, по которым можно бесконечно переходить. Пока не надоест

    В общем что скажете? =)
     
    #1 elimS2, 24 Sep 2010
    Last edited: 24 Sep 2010
    3 people like this.
  2. Mr.Crazy

    Mr.Crazy New Member

    Joined:
    12 Aug 2010
    Messages:
    19
    Likes Received:
    1
    Reputations:
    0
    Кому.. они не понравились.
    Фанаты СТАЛКЕРА, вышли на охоту? за новыми сюжетами;)
     
  3. 0ldbi4

    0ldbi4 Elder - Старейшина

    Joined:
    14 Apr 2008
    Messages:
    264
    Likes Received:
    51
    Reputations:
    10
    Прочитал.. интересно. На самом деле работа на высшем уровне. И как его обнаружили то)
     
  4. Rubaka

    Rubaka Elder - Старейшина

    Joined:
    2 Sep 2007
    Messages:
    263
    Likes Received:
    150
    Reputations:
    28
    интересно было читать!
     
  5. ubi

    ubi Elder - Старейшина

    Joined:
    25 Dec 2009
    Messages:
    308
    Likes Received:
    76
    Reputations:
    19
    как то страшно становится когда какие то люди могут рулить ядерными заводами, что будет дальше?:)
     
  6. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    Да, этот уровень уже по круче, уровня создания ботнетов. Очень тонкая работа. Четыре неизвестных на время написания червя уязвимости, подписанные сертификаты - вроде как впервые в истории среди вредоносного софта (антивирусы по умолчанию софт с подписанным сертификатом вносит в группу "доверенные") ну и сама начинка.
     
    #6 elimS2, 24 Sep 2010
    Last edited: 24 Sep 2010
  7. ubi

    ubi Elder - Старейшина

    Joined:
    25 Dec 2009
    Messages:
    308
    Likes Received:
    76
    Reputations:
    19
    а кто же за этим стоит всё таки :confused:
    Usa?
     
  8. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    думаю тому, кому был не выгоден ядерный статус Ирана. Россия как раз поддерживает, насколько знаю, а вот США во всю против
     
    1 person likes this.
  9. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403
    Они недооценивают одиночек, вспомним обкуренного психа одиночку который похекал Пентагон в поисках информации о зеленых человечках.
     
  10. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    Тут еще немного информации:
    http://www.computerra.ru/own/kiwi/564744/

    А вот размышления по поводу того, какова цель у Stuxnet и кем он был написан:
    http://www.computerra.ru/own/kiwi/565316/

    По-своему содержательный ключ к поискам ответов на все вопросы вокруг Stuxnet дает следующий комментарий одного из специалистов, занимавшихся «вскрытием червя» или, выражаясь иначе, обратной инженерной разработкой вредоносной программы: «Это то, что создает государство, если единственной альтернативой остается начало войны».

    Переформулируя суть наблюдения чуть более развернуто, можно сказать так: если считать, что война — это продолжение политики жестко-силовыми методами, а компьютерный червь Stuxnet — это, как вполне очевидно для специалистов, созданное неким государством кибероружие, то большинство тайн вокруг этой вредоносной программы наверняка связано с нюансами сложных межгосударственных отношений в каком-нибудь горячем регионе планеты.

    Вычислить этот регион и даже конкретное государство, против которого была направлена атака Stuxnet, оказывается совсем несложно. Как уже говорилось, в механизм распространения червя его создателями заложен счетчик, искусственно ограничивающий ареал распространения инфекции. Согласно же данным компании Symantec, тщательно регистрирующей все известные случаи заражения компьютеров этим червем, география распространения напасти в августе 2010 года выглядела следующим образом. Иран — 62 867 инфицированных машин, Индонезия — 13 336, Индия — 6 552, США — 2 913, Австралия — 2 436, Великобритания — 1 038, Малайзия — 1 013 и Пакистан — 993.

    Иначе говоря, если пересчитывать в относительных долях, а не в абсолютных цифрах, то на Иран приходится почти 70% всех зараженных систем... Ответ, как говорится, очевиден.

    Ну а если цель атаки ясна, то становится намного проще ответить и на вопрос о том, кто может стоять за созданием Stuxnet. Два главных и самоочевидных политических противника Ирана — это, конечно, США и Израиль. Обе страны не только известны своей жесткой позицией относительно ядерных амбиций иранского государства, но и располагают достаточным техническим потенциалом для создания и применения кибероружия уровня Stuxnet. Но хотя эти факты помогают ощутимо сузить поиск, из них, строго говоря, совершенно не следует, что червя наверняка сделали израильтяне или американцы.

    Для более весомых гипотез определенно требуются дополнительные детали. Надеяться, что такие детали или подсказки будут как-то добыты из тела препарированного червя — дело в общем-то сомнительное и безнадежное. Как свидетельствуют специалисты, авторы подобных программ могут намеренно встраивать в коды программ ложные следы и указатели, запутывающие тех, кто пытается отыскать источник.

    По этой причине куда более продуктивным путем изысканий представляется — для начала — поиск конкретного объекта, против которого была направлена атака Stuxnet. Учитывая обостренную скрытность Ирана во всем, что касается его ядерной программы, сделать это тоже не так-то просто. Но кое-что все же известно.

    Например, Ральф Лангнер, обильно цитировавшийся выше эксперт Siemens по безопасности промышленных систем управления, предполагает, что целью червя могла быть Бушерская АЭС. Эта десятилетиями достраиваемая электростанция является, вероятно, самым знаменитым объектом иранской ядерной программы. Лангнер же в поддержку своей гипотезы напоминает, что в минувшем августе объявленный пуск объекта в очередной раз был сорван без внятного объяснения причин, а также указывает на публиковавшийся в СМИ скриншот с экрана одного из управляющих компьютеров в Бушере. Снимок, как считается, был сделан в феврале 2009 года, отображает схему работы электростанции и свидетельствует, что для управления используются Windows и программное обеспечение Siemens. То есть компоненты именно той среды, которую атакует Stuxnet. Иных аргументов в поддержку гипотезы Лангнера, в общем-то, нет.

    Куда более обоснованную и правдоподобную версию выдвинул другой немецкий специалист по компьютерной безопасности — технический директор берлинской фирмы GSMK Франк Ригер (Frank Rieger). Согласно результатам анализа Ригера, вероятной целью атаки червя была не Бушерская АЭС, как ныне предполагает большинство, а фабрика по обогащению урана в Натанзе. Этот мощно укрепленный и спрятанный глубоко под землёй завод, по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС.

    В поддержку своего предположения Ригер приводит впечатляющий набор сведений из доступных ему публикаций прессы и свидетельств специалистов. Цепочка доводов начинается с анализа свойств самого червя. Хотя у антивирусных фирм нет единого мнения, когда именно Stuxnet появился (в Symantec признаки инфекции отследили лишь до января 2010, а в «Лаборатории Касперского» — до июля 2009 года), по имеющимся у немецкого эксперта данным, распространение Stuxnet происходило уже в январе 2009 года.

    Полгода спустя, 17 июля 2009 года, известный сайт WikiLeaks опубликовал довольно туманную новость следующего содержания:

    «Две недели тому назад один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил WikiLeaks о серьезной ядерной аварии, произошедшей недавно в Натанзе. Натанз является главным объектом в иранской ядерной программе по обогащению урана. У WikiLeaks имеются основания доверять этому источнику, однако контакт с ним оказался утрачен. Обычно в WikiLeaks не принято упоминать подобного рода инциденты без дополнительных подтверждений информации. Однако сегодня, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава IAEO или Иранской организации по атомной энергии, ушел в отставку при загадочных обстоятельствах. Согласно этим сообщениям, вопрос об отставке был поднят двадцать дней назад.»
    Последующая перекрестная сверка этих сведений с информацией из архивов новостного агентства Ирана ISNA подтверждает, что Агазаде действительно ушел с поста главы Организации по атомной энергии Ирана именно тогда. При этом, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, количество функционирующих центрифуг в Натанзе существенно (на несколько тысяч) упало в то же время, когда WikiLeaks сообщила о серьезной аварии на объекте.

    Наконец, по совсем уж интересному совпадению, примерно тогда же, 7 июля 2009 года, израильский новостной сайт ynet-news.com, связанный с известной и хорошо информированной газетой Yediot Ahronot, опубликовал материал о возможной кибервойне Израиля против иранской ядерной программы. Содержащиеся в этом материале сведения настолько любопытны, что имеет смысл привести наиболее содержательный фрагмент публикации в дословном пересказе.

    Как рассказывает безымянный автор этой статьи, в конце девяностых годов компьютерный специалист из Shin Bet, израильской спецслужбы внутренней безопасности, хакнул компьютер-мейнфрейм, управляющий работой крупного топливного склада Пи-Глилот к северу от Тель-Авива. Поначалу это компьютерное проникновение мыслилось спецслужбой как своего рода дежурная проверка средств охраны на стратегически важном объекте. Но затем, по зрелом размышлении над важностью достигнутого результата, это также указало израильтянам на огромный потенциал подобных хайтек-проникновений, обеспечивающих пути к реально серьезным диверсиям.

    «Попав однажды внутрь компьютерной системы Pi Glilot, мы неожиданно обнаружили, что — не говоря уже о доступе к секретным данным — мы можем также устроить преднамеренные взрывы, просто перепрограммируя подачу топлива в трубопроводах», — поделился воспоминаниями один из ветеранов тех памятных учений в спецслужбе Шин-Бет.

    С этого знаменательного момента, собственно, и принято отсчитывать историю израильской кибервоенной программы, которая ныне, десятилетие спустя, рассматривается независимыми экспертами как наиболее вероятное направление усилий Израиля по обузданию ядерных амбиций его архипротивника Ирана.

    По свидетельству осведомленных в этих делах источников, привлекательность кибератак особо возросла по тем причинам, что, с одной стороны, возможности Израиля для обычных авиаударов по удаленным и укрепленным атомным объектам Ирана существенно ограничены, а с другой стороны — главный союзник, США, ныне явно не желает ввязываться в еще одну открытую войну на Ближнем Востоке. Если же цитировать одного из недавно ушедших в отставку руководителей сил безопасности Израиля, то избранная стратегия звучит так: «Мы пришли к выводу, что для достижения наших целей ключевая уязвимость Ирана — в его компьютерных сетях... Поэтому мы стали действовать соответствующим образом».

    Кибервоенные подразделения структурно упрятаны глубоко внутри разведывательных спецслужб Израиля, которые имеют богатейший опыт в традиционных методах саботажа и диверсий, а их операции тщательно прикрыты официальным режимом секретности и цензурой. Эти силы могут привлекать для своей работы самые ценные технологические достижения коммерческих фирм Израиля, многие из которых входят в число мировых хайтек-лидеров, а в руководстве которых зачастую сидят ветераны элитных компьютерных подразделений военной разведки.

    Как охарактеризовал данную ситуацию Скотт Борг (Scott Borg), директор американской фирмы US Cyber Consequences Unit, консультирующей вашингтонские правительственные ведомства по вопросам кибербезопасности, «Если судить по моим контактам с израильскими специалистами на разнообразных международных форумах, Израиль сегодня вполне определенно располагает продвинутыми возможностями для кибератак».

    Когда его попросили — чисто гипотетически — описать возможные сценарии атак Израиля против Ирана через компьютерные сети, Борг заметил, что вредоносное ПО, к примеру, можно было бы встроить в систему для того, чтобы нарушить, захватить или вообще уничтожить управление каких-нибудь критически важных объектов вроде заводов по обогащению урана.

    Подобного рода атаки, отметил Борг, могут быть очень быстрыми. Но их можно делать и латентными — когда вредоносные программы прокрадываются незаметно и, затихнув, ожидают некой внешней команды. Либо они могут иметь в себе заранее запрограммированный механизм для автоматического удара в тот момент, когда зараженный объект достигает наиболее критичного уровня активности.

    Иранские ядерные объекты, скорее всего, изолированы от сетей и компьютеров внешнего мира, продолжил Борг, так что хакерам не удалось бы получить к ним непосредственный доступ. Поэтому израильтянам потребовалось бы замаскировать свое вредоносное ПО в каких-то программах, используемых иранцами, или же избирательно и тайно внедрить его в портативные устройства, приносимые на объект каким-нибудь, скажем, сотрудником из технического обслуживания, не ведающим, что он делает. «Зараженной USB-флэшки для этого было бы вполне достаточно», — заметил Борг.

    То, что подобные вещи реально происходят, не подлежит сомнению. В 2008 году иранский бизнесмен Али Аштари (Ali Ashtari) был казнен властями Ирана как израильский шпион, обвиненный в поставках «зараженного» коммуникационного оборудования для одного из секретных военных проектов Ирана. По этому поводу в иранских СМИ цитировался один из начальников сил безопасности, сообщивший, что действия Аштари «привели к краху всего проекта с необратимыми повреждениями». Израиль, как обычно, полностью уклонился от комментариев по данному поводу.

    Одно из важнейших преимуществ кибервойны — это возможности действовать скрытно и попутно все отрицать. Для Израиля это особенно важно в случае атак против иранской ядерной программы, которая, как упорно настаивает Тегеран, является сугубо мирной затеей. С другой стороны, эффективность наносимых киберударов довольно сложно адекватно оценить, потому что атакованная сеть зачастую может скрыть масштабы повреждений или, наоборот, подделать симптомы понесенного урона. Военные же удары, в свою очередь, имеют немедленный и поддающийся оценкам физический эффект...

    На этом пассаже цитирование израильской публикации пора закончить. Впечатленный ею Франк Ригер обращает особое внимание, что в данной статье описан не только общий принцип работы Stuxnet, но даже упомянуты зараженные USB-флешки как главное средство внедрения червя. В ретроспективе же, глядя из дня сегодняшнего, весь этот материал, по мнению Ригера, очень похож на своего рода завуалированное объявление — сделанное как для союзников, так и для неприятеля — об уже одержанной тайной победе...

    Возвращаясь к свойствам препарированного червя, эксперт отмечает, что — судя по текущему состоянию анализа — имеются веские основания расценивать атаку Stuxnet как синхронизированную и распределенную на множество идентичных узлов (внедренные черви этого типа не нуждаются, вообще говоря, в интернете, но при этом обладают возможностями для пиринговой связи друг с другом). На ядерной электростанции вроде Бушерской АЭС имеется не так много идентичных SPS-узлов, поскольку в систему объединено большое множество подсистем различного рода. С другой стороны, фабрика центрифуг по обогащению урана состоит из тысяч идентичных узлов, которые объединены в структуры, именуемые каскадами. Каждый из этих узлов по необходимости повторяет своих соседей, поскольку для увеличения численности центрифуг обогащения так устроено массивное масштабирование системы. При такой архитектуре червю Stuxnet потребовалось бы заразить каждую из центрифуг, а затем вызвать лавину массовых отказов оборудования. (Имеются неофициальные свидетельства, что именно это и произошло в Натанзе).

    Подводя итог своим изысканиям, Франк Ригер уверенно предполагает, что целью атаки Stuxnet был ядерный объект в Натанзе. И вполне очевидно, что диверсия увенчалась успехом, эффективно сократив технические возможности фабрики по обогащению урана.

    Вполне возможно, что мир никогда не узнает наверняка, какого рода авария произошла в Натанзе — если, конечно, сам Иран не выступит на сцену и честно все не расскажет. Пока что это представляется маловероятным.

    Аналогично, никто и никогда, скорее всего, не признается в авторстве червя Stuxnet — нового класса вредоносных программ, сконструированных для физического поражения целей на уровне реального оружия. При этом не вызывает сомнения, что со временем специалисты по SCADA-системам наверняка смогут установить, какую именно технику разрушает Stuxnet.

    Скорее всего, этот же результат укажет и на наиболее вероятных авторов данной вредоносной программы. Но, как заметил в своих комментариях Ральф Лангнер, создателей червя это вряд ли волнует. Они наверняка знают, что никто их за это в тюрьму не отправит.
     
    1 person likes this.
  11. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403
    Везде противоречивые новости, я читал, что Россия в пятерке стран по количеству зараженных машин, а у нас даже меньше 1К.

    Еще я смотрел видео интервью с лабораторией касперского, там спецы говорили смотря как написан код вируса, можно косвенно определить его регион написания. Поскольку у вирусописателей разных стран сложились свои стили написания малвари.

    Ждем новых подробностей.
     
  12. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    Где-то читал, вроде на блоге касперского - код написан специально так, чтоб не можно было определить с какого региона.

    По поводу разного количества заражений - я думаю это зависит от того, какая компания дает отчет. например какой-то украинский антивирус может быть популярным в Украине, но в Иране может быть установлен среди едениц (например эмигрантов-украинцев). Соответсвенно статистика этого антивируса будет говорить что на Украине куда больше заражений чем в Иране.


    По поводу новых подробностей - буду обновлять эту тему, если буду натыкаться на интересные статьи, новости, дополнения
     
  13. PvgValo

    PvgValo Active Member

    Joined:
    1 Aug 2009
    Messages:
    548
    Likes Received:
    160
    Reputations:
    57
    Спасибо за то что собрал в одном месте много информации. И написано все очень интересно. :)
     
  14. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    195
    Likes Received:
    159
    Reputations:
    11
    На здоровье =) именно эту цель и преследовал - собрать в одном месте наиболее полную информацию.
     
Loading...