2017/04/20 08:02:04

Червь Stuxnet

Червь Stuxnet - это универсальный автономный инструмент промышленного шпионажа, он предназначен для получения доступа к операционной системе, отвечающей за обработку, сбор данных и оперативное диспетчерское управление промышленными объектами. Но, в отличие от большинства аналогичных вирусов, основным применением Stuxnet может стать не хищение данных, а повреждение промышленных автоматизированных систем. Черви подобного класса могут незаметно находиться в системе в спящем режиме и в заданный момент начать отдавать команды, способные вывести из строя промышленное оборудование.

Содержание

Код Stuxnet, обширный и изощренный, размером более 500 килобайт, сумел проникнуть в устройства и сети Windows, несколько раз копируя себя, прежде чем искать дополнительное программное обеспечение. Он был нацелен на программируемые логические контроллеры (ПЛК), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования.

Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями (OT). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету, что делает их более уязвимыми для атак киберпреступников, государств и хакеров.

2017: Новые свидетельства причастности АНБ к созданию Stuxnet

В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group — группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.

Эксперты по безопасности Symantec обнаружили в последнем опубликованном Shadow Brokers архиве эксплойт к Windows, практически тождественный тому, что использовали создатели знаменитого Stuxnet — вируса, использованного для саботажа на иранском ядерном предприятии. [1]

Хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group — группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах

Эксперт Symantec Лайам О'Мерху (Liam O'Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows.[2]

По мнению О'Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется "тесная связь", хотя доказать, что это действительно "тот самый" эксплойт, сейчас не представляется возможным. ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.

Однако, как утверждает О'Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.

Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet — сигнатуры полностью совпадают.

По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.

"Лаборатория Касперского" еще в 2015 году заявила, что группировка Equation "взаимодействовала с другими влиятельными и группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства". [3]

В 2016 году в США вышел документальный фильм Алекса Гибни Zero Days ("Уязвимость нулевых дней") [4] , посвященный истории Stuxnet. В этом фильме утверждается, что Stuxnet был крупным и секретным (и остающимся таковым) проектом американских (ЦРУ, АНБ и других) и израильских спецслужб, и его основной целью было - затормозить иранскую ядерную программу, в мирной природе которой имелись значительные сомнения. В фильме указывается, что именно из-за ошибки израильских программистов Stuxnet "утек" далеко за пределы предполагаемого ареала применения (его засекли в Беларуси).

«
Операция Stuxnet — или как ее предположительно называли разработчики, "Олимпийские игры", — по сути обернулась провалом, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Всерьез задержать ядерную программу Ирана с ее помощью не удалось, зато всем стало известно, что кибероружие - это больше не городская легенда или научно-фантастический сюжет, а реальность. И довольно безрадостная, учитывая, что применение кибероружия никакими международными договорами не регулируется.
»

Гвоздев добавил также, что эксперты весьма высоко оценивают качество кода в инструментах Equation Group. Тем загадочнее выглядит история с их предположительной кражей никому прежде неизвестными хакерами Shadow Brokers.

«
"Брокеры" в своих сообщениях так старательно демонстрируют свое невладение английским языком, что это уже выглядит клоунадой, — замечает Дмитрий Гвоздев. — Возникает вопрос, не была ли пресловутая "кража" санкционированным сливом. Однако, каким бы заманчивым ни было подобное предположение, что-либо утверждать однозначно пока нельзя.
»

В последних выгрузках Shadow Brokers эксперты нашли немало других эксплойтов к ранее неизвестным уязвимостям в популярных программных продуктах, что свидетельствует о колоссальном размахе операций Equation Group.

Как написал, например, Кевин Бомон, "...Shadow Brokers только что забросили бомбу в сферу информбезопасности. Тут потребуется больше анализа, однако пока кое-что выглядит очень скверно". [5]

Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT, и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT — компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно. [6]

2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group

Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.

2012: Атаки Stuxnet на Иран проводились по приказу Обамы

В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.

Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.

Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.

По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».

В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.

Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.

Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.

«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».

Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.

«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».

2011: МИД РФ обвинил США и Израиль в развязывании кибервойны

В сентябре 2011 года Министерство иностранных дел РФ впервые высказало официальную позицию относительно распространения червя Stuxnet, нанесшего урон атомной индустрии Ирана. В МИД считают, что это козни США и Израиля.

Россия впервые озвучила обвинительные выводы относительно компьютерной эпидемии, вызванной распространением червя Stuxnet, обвинив в его культивировании США и Израиль. Россия назвала инцидент со Stuxnet «единственным доказанным примером идущей полным ходом кибервойны».

Как передает AFP, начальник отдела безопасности российского Министерства иностранных дел Илья Рогачев был категоричен, назвав происхождение вредоносного ПО Stuxnet, впервые появившегося в июне 2010 года и до сих пор озадачивающего ИБ-экспертов.

Как заявил Рогачев, «эксперты считают, что следы Stuxnet ведут непосредственно в Израиль и США».

«Мы считаем, что некоторые страны используют киберпространство для своих военно-политических целей. Единственно доказанным действием такого рода является распространение червя Stuxnet, который был запущен в 2010 году для дестабилизации урановых разработок в Иране», - добавил он.

Илья Рогачев четко дал понять, что США и Израиль причастны к атакам Stuxnet

Рогачев сделал этот комментарий в очень важное время. Именно на этой неделе Иран заявил, что обратился к России за помощью в строительстве второго ядерного объекта не территории страны в дополнение к уже имеющейся АЭС в Бушере. Эта АЭС вызвала большое напряжение в отношениях Ирана и США: последние заподозрили Иран в намерении стать новой ядерной державой.

Ранее в 2011 году представитель России в НАТО Дмитрий Рогозин заявил, что Stuxnet нанес достаточное повреждение бушерской АЭС, которое могло привести к появлению второго Чернобыля.

Появление Stuxnet заставило многие предприятия оценить потенциальный вред, который могут нанести кибератаки промышленным системам. После атаки появилось множество докладов на эту тему, выявивших множество уязвимостей в этом типе систем.

В отношении кибератак всегда бывает трудно определить, кто реально стоит за их организацией. Что касается этого червя, то многие эксперты по информационной безопасности считают, что за ним стоят США. Иран также обвинил Израиль в распространении этого вируса, но не привел достаточных доказательств.

2010: Белорусская компания обнаружила Stuxnet на иранских компьютерах

О появлении червя Stuxnet стало известно в июле 2010 года, после того как небольшая фирма из Белоруссии, занимающаяся вопросами информационной безопасности, обнаружила его на компьютерах своего иранского клиента[7].

Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.

В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.

По мнению экспертов в области безопасности, атака была подготовлена специалистами очень высокой квалификации (скорее всего, спецслужбами одного из государств). Была поставлена цель разрушить что-то чрезвычайно масштабное. Возможно, речь шла об иранском ядерном реакторе в Бушере. Эксперты, изучавшие червя, сообщали, что он внедряет свой код в системы с программируемыми логическими контроллерами Siemens.

В конце 2010 года Иран заявил об аресте «шпионов», которые якобы были причастны к распространению червя, но их связи с иностранными державами не были детально представлены.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания