Атака StuxNet, оценка угрозы вирусной атаки
В последнее время во всех СМИ и на телевидение активно муссируется тема атаки компьютерного вируса StuxNet на компьютеры АЭС «Бушер». Но каша в голове журналистов и желание побыстрее рассказать о том, в чем ты ничего не понимаешь, приводит к интересным курьезам. Хотя сам вирус был обнаружен в середине июня 2010 года, а дата компонентов кода содержит информацию от 3 февраля 2010 года, большую известность вирус приобрел только после публикации отчета Symantec, с детальным описанием кода вируса, и начавшейся истерии в интернет-блогах заинтересованных лиц.
А что же на самом деле делает этот вирус, и чем он так плох, я бы хотел рассказать подробнее. А рассказать и правда есть о чем, очень примечателен механизм заражения:
- Вирус использует сразу же несколько механизмов проникновения, причем использует четыре неизвестных до настоящего времени дыры безопасности ОС Windows а так же механизм проникновения от вируса Conficker aka Kido.
- Вирус имеет цифровую подпись Microsoft, которая удостоверяет файл. Цифровая подпись используется производителями ПО для системных файлов и драйверов, для обозначения файлов, которым можно доверять с точки зрения ОС. В данном случае были использованы две цифровые подписи компаний RealTek и MicronJ, которые были украдены у этих компаний. Тут стоит пояснить о том, что украсть цифровые подписи, не такой простой процесс. Для того что бы Вы могли подписать сертификатом безопасности файл, надо получить свой сертификат, а для того что бы получить его, надо иметь возможность скопировать его с защищенного компьютера, на котором он хранится. Так же стоит отметить, что обе компании, чьи сертификаты были украдены, располагаются на разных этажах одного и того же здания в Китае. Возможно, правда, сертификаты были украдены с помощью троянской программы.
- Вирус написан на Ассемблере и на С, что говорит о хорошей квалификации вирусных писателей.
- Является так же ботнет-вирусом — вирусом управляемым извне, который может передавать информации и получать команды на исполнение от «центра управления». При этом используется уникальный метод обмена информации: вирус обновляется с помощью технологии Peer2Peer. То есть достаточно обновить одну копию вредоносного кода, для того что бы запустить механизм обновления всех остальных версий без участия «центра управления», дальше копии вирусов будут обновлять сами себя.
- Вирус атакует промышленные системы, системы управления производством и контрольные центры промышленных линий, использующие языки управления SIMATIC WinCC / SIMATIC PCS 7, разработанные компанией Siemens. При этом вирус умеет реплицировать себя в программируемые микроконтроллеры. После активации в такой системе вирус встраивается в системы управления между контролерами и системой автоматики, управляемой этими контроллерами. Оценивая поток проходящих команд на автоматику, вирус ведет подробный разбор происходящего и подменяет определенные команды, вызывая сбои в системе работы автоматических систем. Для заражения вирус использует таблицы Memory Mapped IO.
- Вирус работает только с двумя типами контроллеров производства Siemens и протоколом связи PROFIBUS (Process Field Bus).
- В этой связи хочется отметь, что вирус впервые был обнаружен специалистами белорусской компании ВирусБлокАда, после чего уже исследован компанией Symantec.
Можно с уверенностью говорить о том, что этот вирус написан специально для конкретного «заказчика», с целью атаки на конкретный объект. По всей видимости, это объекты на территории Ирана — АЭС «Бушер» и ,возможно, завод по обогащению урана. Вирусописатели были прекрасно осведомлены об оборудовании и средствах «общения» оборудования с внешним миром. Также стоит отметить, что по утверждению компании Siemens, критическую ошибку вирус вызывает только в случае сочетания технологической цепочки оборудования компании, в остальных случаях ошибки не носят критического характера.
Такой код был написан командой очень квалифицированных специалистов и может быть расценен как успешная кибератака. И напрашивается вывод, что это успешная кибератака служб специального назначения на конкретный объект инфраструктуры государства с диверсионной целью.
По сообщениям наших блогеров, знакомых с иранским вопросом и фарси, масштаб заражения иранских систем можно описать как фатальныйй, вирус проник по многим заводами, активно вмешиваясь в системы управления. Если судить по блогам, то по оценкам иранских граждан, знакомых с проблемой, заражено до 60% процентов всего оборудования в Иране. В то же время Иранские СМИ лишь кратко описывают ситуацию и утверждают, что Агентство по Атомной энергии Ирана успешно справилось с проблемой и занимается зачисткой остатков.
В этой связи хочется отметить, что небольшая «паранойя» органов, занимающихся Информационной Безопасностью в России, а так же создание отраслевых и государственных стандартов, собственные исследования и требования к локализации производства стратегических компонентов весьма оправданы. Однако стоит отметить, на иранских объектах работает масса специалистов из России, которые прекрасно знакомы с системами, подобным иранским. По всей видимости, подобные системы так же используются у нас в стране на подобных производствах. И я думаю, что специалисты привезли с собой экземпляры «иранской» заразы, которая живет на наших производственных мощностях. Надеюсь, что наша ядерная программа использует опыт собственных разработок, возможно, воспринимаемых как «велосипед» собранный на коленке.
Комментарии