Червь Stuxnet знаменует собой начало новой эры кибервойн

Эксперты "Лаборатории Касперского" провели исследование червя Stuxnet и пришли к неутешительному выводу, что данная вредоносная программа знаменует собой начало новой эры кибервойн.

Специалисты антивирусной компании отмечают, что на данный момент нет достаточной информации, позволяющей идентифицировать организаторов атаки или цель, на которую она направлена. Однако несомненно, что это технически сложная атака, за которой стоит хорошо финансируемая, высококвалифицированная команда, обладающая глубокими знаниями в области технологии SCADA. По мнению аналитиков "Лаборатории Касперского", подобная атака могла быть осуществлена только с поддержкой и с одобрения суверенного государства.

"Я думаю, что это поворотный момент - теперь мы живем в совершенно новом мире, потому что раньше были только киберпреступники, а теперь, боюсь, пришло время кибертерроризма, кибероружия и кибервойн, - сказал Евгений Касперский, соучредитель и генеральный директор "Лаборатории Касперского". - Эта вредоносная программа предназначена не для кражи денег, рассылки спама или воровства личных данных - нет, этот зловред создан для вывода из строя заводов, повреждения промышленных систем. Девяностые были десятилетием кибервандалов, двухтысячные - эпохой онлайн-преступников, теперь наступает эра цифрового терроризма".

Изучив червя, эксперты "Лаборатории Касперского" обнаружили, что он использовал четыре различные неизвестные ранее уязвимости "нулевого дня" (zero-day) и два действительных сертификата (выпущенных компаниями Realtek и JMicron), которые позволили зловреду долгое время избегать попадания на экраны антивирусных радаров. Конечной целью червя был доступ к системам предприятий Simatic WinCC SCADA, которые используются для мониторинга и управления промышленными, инфраструктурными и сервисными процессами. Подобные системы широко применяются в нефтепроводах, электростанциях, крупных системах связи, аэропортах, судах и даже на военных объектах по всему миру.

"Лаборатория Касперского" считает, что Stuxnet представляет собой прототип кибероружия, создание которого повлечет за собой новую всемирную гонку вооружений. На сей раз это будет гонка кибервооружений.

kaspersky.ru/

Stuxnet таки добрался до иранского ядерного завода в Бушехре

Сегодня появилась новость о том, что официальное новостное агентство Ирана сообщило о поражении некоторых компьютерных систем ядерного иранского завода комплексным червем Stuxnet. Ранее специалисты заявляли, что этот вредоносный код «заточен» под промышленные объекты, и сразу же нашлись эксперты, утверждающие, что этот червь и был создан для поражения иранского ядерного завода. Понятно, что спекуляции на эту тему ведутся во множестве СМИ, от очень серьезных изданий до «желтой» прессы, однако пока нет никаких доказательств тому, что Stuxnet создан для Ирана.

Махмуд Джафари, глава ядерного завода Бушехра, утверждает, что хотя червь и поразил некоторые компьютерные системы производства, но не причинил никакого вреда главным системам завода.

Сейчас существует два главных мнения экспертов по компьютерной безопасности, насчет этого червя. Первое — «Stuxnet не обязательно создан кем-то для поражения промышленных мощностей Ирана» и второе — «Stuxnet создан силами не одного хакера, а целым комплексом специалистов, прекрасно разбирающихся в функционировании промышленного проприетарного ПО, особенно ПО».

Последнее мнение основано на том факте, что Stuxnet, во-первых, имеет чрезвычайно сложную структуру, над которой до сих пор работают эксперты. Во-вторых, в коде Stuxnet отсутствуют индивидуальные «метки», которые присущи практически любому ПО, создаваемому отдельными личностями. В общем, вероятность того, что Stuxnet создан каким-либо одиноким хакером, равна нулю.

И еще — те же эксперты (например, Поль Фергюсон из TrendMicro) считают, что с появлением такого червя, как Stuxnet, в мире появилось действительно серьезное кибер-оружие, которое не ворует чьи-то там номера кредитных карт, а способно привести к очень серьезной аварии на очень опасных промышленных объектах. Такой тип угрозы, согласно тому же Фергюсону, является «абсолютно новым, и это причина того, что многие эксперты начали буквально запугивать правительство для того, чтобы то начало принимать серьезные меры безопасности».

Stuxnet привлек внимание и отечественных специалистов. «Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания. Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность», — прокомментировал ситуацию Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset.

Стоит отметить, что слухи о направленности Stuxnet на Иран вполне могут оказаться полностью беспочвенными, поскольку наиболее распространен пока этот вирус в США, затем уж в Иране. Россия пока на третьем месте.

Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset, предоставил новую статистику по распространению вируса, за что ему огромное спасибо. Вот самая новая статистика, где видно, что Иран таки лидирует в указанном списке:

Iran — 52,2%
Indonesia — 17,4%
India — 11,3%

И наконец, мнение Александра о том, для чего был «заточен» вирус: «Мое личное мнение Бушер мог быть лишь одной из целей, но ничто не указывает на то, что она единственная или основная. Например, в Германии было зафиксировано несколько случаев заражений на АЭС. Я согласен с мнением моего коллеги высказанное сегодня в нашем англоязычном блоге (http://blog.eset.com/2010/09/25/cyberwar-cyberhisteria)».

http://habrahabr.ru/blogs/infosecurity/104973/

ESET выпускает аналитический отчет о черве для промышленного шпионажа Win32/Stuxnet

Москва, 24 сентября 2010 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о выходе аналитического отчета «Stuxnet Under the Microscope». В исследовании рассмотрены технические особенности внутреннего устройства червя Win32/Stuxnet, характер его распространения, а также цели, преследуемые создателями вредоносной программы.

Червь Win32/Stuxnet был обнаружен специалистами ESET в начале июля 2010 года. В отличие от большинства вредоносных программ, которые ежедневно появляются в сети Интернет и нацелены на широкий спектр компьютеров, Win32/Stuxnet рассчитан на узкий круг корпоративных систем. Задача данного червя состоит во внедрении вредоносного функционала в промышленные информационные системы класса SCADA.

«Мы впервые столкнулись со столь хорошо спроектированной и продуманной до мелочей вредоносной программой, – говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. – Каждый нюанс работы Win32/Stuxnet преследует определенную цель. Червь располагает механизмами контроля количества заражений и самоликвидации. Атаки с использованием столь сложного ПО готовятся очень длительное время. Без всякого сомнения, Win32/Stuxnet имеет целевую направленность».

Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше.

Некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов вредоносное ПО было способно обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

«Одной из главных трудностей в процессе анализа стал большой объем кода, – говорит Евгений Родионов, старший специалист по анализу сложных угроз российского представительства ESET. – Только изучив устройство каждого из многочисленных компонентов червя, складывается целостная картина и понимание его возможностей. Наиболее интересной частью работы стало обнаружение незакрытых Microsoft уязвимостей, которые использовались червем в процессе заражения для локального повышения привилегий».

Отчет «Stuxnet Under the Microscope» подготовлен совместными усилиями специалистов ESET из штаб-квартиры в Сан-Диего, вирусной лаборатории в Братиславе и Центра вирусных исследований и аналитики российского представительства ESET. Русскоязычная версия отчета будет опубликована в октябре.

http://www.esetnod32.ru/.company/news/?id=8047&year=2010

Кто и зачем сделал Stuxnet?

Скажем прямо, первая же версия, родившаяся лично у меня, как только была получена карта заражений и стал понятен принцип работы червя, так и осталась единственной, и все последующие «находки» и сторонние факты только добавляли кирпичиков именно к ней, а не к каким-то другим версиям. Но чтобы не раздувать истерии (а то и международных скандалов) — лучше было помолчать.

Однако постепенно, когда все больше и больше фактов стало проникать в СМИ, тем все чаще и чаще эта же версия стала муссироваться уже и там. Сначала все тише, но в последние дни пару дней она стала основной. Правда, пока еще не озвучена массово, но думаю вот-вот и это произойдет.

Последний гвоздик забил вчера Ральф Лангнер, рассказавший о том, что конкретно делает Stuxnet с Siemens PLC. Кто не читал — читайте, но вкратце вывод прост — Stuxnet является оружием промышленного саботажа (а не шпионажа) и явно был создан для атаки на одну единственную конкретную цель. Да, со всеми своими наворотами и зеродеями — ради одного «снайперского» выстрела.

Который, вероятно, достиг цели.

Сегодня еще один исследователь собрал все факты в кучу и вывалил полученные мысли. Что же, это действительно на все 100% то, о чем думал все это время и я. Поэтому ограничусь все лишь переводом ключевых мест идеи.

Хотя, если отвечать на вопрос «Кто?» — Моссад. «Зачем?» — Бушерская атомная электростанция в Иране.

Иран является одним из наиболее пострадавших от червя регионов. Судя по динамике данных о заражениях — примерно в мае-июне Иран был лидером по числу заражений, потом больше заражений стало в Индии, но понятно почему — просто там больше компьютеров.

Какое производство в Иране, является самой привлекательной военной целью? Бушерская атомная электростанция.

Стацию в Бушере начали строить еще в 1970-е. Строительство вела компания Siemens. В 1979 году Siemens прекратил работы в этой стране (из-за революции). Впоследствии Siemens вернулся в Иран, и это был один из его крупнейших рынков. В январе этого года Siemens снова обьявил о прекращении сотрудничества с Ираном. Используется ли на Бушерской АЭС софт Siemens для управления процессами — официально неизвестно (см. P.S.). Однако этим летом Siemens попался на поставке комплектующих в Бушер.

Мысли об участии в этой истории российской компании «Атомстройэкспорт» оставим за рамками. Отметим только, что у компании есть проекты в Индии (еще одной из стран, наиболее пострадавших от червя), а еще их сайт содержит iframe на эксплоиты, зачищенные пару лет назад.

Израиль является одной из наиболее заинтересованных в уничтожении Бушерской АЭС стран. Как известно, Иран подозревают в том, что на этой станции под видом ядерного топлива иранцы будут клепать запасы для производства собственного ядерного оружия. Которое, конечно они тут же нацелят на Израиль.

Израиль входит в число стран, обладающих серьезнейшими специалистами по IT-безопасности, в том числе использованию таких технологий и для атак, и для шпионажа. Все было сказано еще год назад.

Asked to speculate about how Israel might target Iran, Borg said malware —- a commonly used abbreviation for «malicious software» —- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians. «A contaminated USB stick would be enough,» Borg said.

Самая клевая часть теории, которую я не знал, но просто идеально легла в тему. В книге Эштар в Библии рассказывается о том, как Эштар (бывшая женой персидского царя) сообщает Царю о заговоре против евреев. Царь в ответ разрешает евреям защитить себя и убить своих врагов. Имя Эштар данное ей при рождении — Hadassah, что переводится как «Мирт».

Наличие в коде Stuxnet строчки «b:myrtussrcobjfre_w2k_x86i386guava.pdb» привело к тому, что весь цикл публикаций о нем я и назвал «Мирт и Гуава». Гуава — растение из семейства миртовых. Растение — a plant. Электростанция — a plant.

Бушерская АЭС должна была начать работу в августе этого года. 21 августа началась загрузка топлива, однако тут же резко застопорилась. Фактически, ее запуск был отложен. По официальной причине — «из-за сильной жары». Однако, температура в Иране в это время была абсолютно в пределах климатических норм. Задержка в запуске станции составила три недели.

Загрузка топлива в реактор займет месяца три. После этого он начнет работать.



http://www.rosbalt.ru/2010/09/21/773666.html

Всё это конечно интересно, но кто им сказал что на Бушере стоит Винда??? Скорей всего там стоит юниксовое ПО, а ему всё это по барабану.. и опять же, какие модели Симён-с, там стоят.. опять же, неужели все думают что отключение Иракских РЛС(французского про-ва) за полчаса до первого налёта во время первой войны, иранцев ничему не научило?? Бред. ИМХО.
SIMATIC S7-400 смотрите.

komandor, это не критерий, вполне возможна ситуация что у Ирана нет своего Чубайса и Кириешки...

Операционная система Бушерской АЭС выдержала атаку вируса-червя

Компьютерный вирус Stuxnet, проникший в компьютеры иранской атомной станции в Бушере в конце прошлой недели, не нанес вреда основной системе АЭС.

«Вирус поразил несколько компьютеров, но не нанес какой-либо ущерб основной операционной системе станции», приводит «Эксперт-онлайн» слова менеджера отдела проектов станции Махмуда Джафари.

Компьютерный вирус-червь проник в системы, контролирующие работу ряда иранских предприятий. Главной целью кибератаки, по мнению местных специалистов, стала Бушерская АЭС — первое в Иране предприятие по производству атомной энергии, которое вскоре готово заработать. Официальные лица Ирана считают, что данная атака является частью спланированной электронной войны против стратегических объектов страны. «Против Ирана начата электронная война. Вирус заразил в нашей стране почти 30 тысяч IP-адресов», — заявил глава Совета по информационной технологии министерства промышленности Ирана Махмуд Лиайи. Иранские представители уже обвинили в вирусной атаке российских и израильских хакеров.

Вредоносный компьютерный код, получивший название Stuxnet, появился в июле 2010 года и с тех пор неоднократно использовалась в хакерских атаках в Иране, Индонезии, Индии и США. Червь способен вывести из строя системы немецкой компании Siemens, которая изготовляла оборудование для иранской ядерной программы.
http://news.km.ru/operaczionnaya_sistema_bushersko

komandor, такую инфу надо в хайд прятать

ок, чето затупил

А у вас часом файла mrxnet.sys не завалялось? : )

ethermind, можешь поделиться??
а то я наверно опять или пропил, или потерял.. как триппер в последний раз..

Откуда он у меня? Я ж не атомная станция : )

Кстати, а что там за дыра с автозапуском? Может кто поделится хорошим лончером? : )

эт со съёмных дисков чтоль?? Не смеши))

Атаковавшему АЭС червю Stuxnet не позволили начать обратный отсчет
"Кибероружие нового поколения!" "Хакеры захватили контроль над АЭС". "Самый сложный вирус за всю историю".

Как отмечают Вести, подобными заголовками пестрят крупнейшие онлайновые и оффлайновые СМИ. Причина переполоха - подтверждение иранскими властями факта заражения нескольких компьютеров на АЭС в городе Бушере вирусом Stuxnet.

После предварительного анализа эксперты признали, что ни с чем подобным раньше не сталкивались. Цель Stuxnet - не компьютеры обычных пользователей, а машины, контролирующие промышленные объекты, и в том числе - атомные электростанции. В частности, заражению вирусом-червем подверглись несколько АЭС, включая Бушерскую.

Поразительной была и техническая реализация Stuxnet. Вирус использовал так называемые уязвимости "нулевого дня" - незадокументированные и ранее неизвестные для вирусных аналитиков "дыры" в программном обеспечении. В случае же Stuxnet было задействовано сразу 4 таких дыры. Помимо этого червь использовал неподдельные идентификаторы программ, позволившие ему обходить защиту, как операционной системы, так и антивирусов.

К тому же, пугал не только размер самого вируса, он был в десятки раз больше обычных, но и его сложность. По уверениям экспертов, чтобы разобраться с ним потребуется очень много времени.

"Требовались очень специфические знания, как в операционной системе Windows, так и в программировании промышленных систем, а также в аппаратном обеспечении. Поэтому перед нами не вирус, который может сделать обычный хакер, сидя дома. Это явно группа, состоящая, как минимум из 5 человек. Для того чтобы написать такой вирус могло потребоваться около полугода", - считает Джерри Иган из Symantec.

И хотя помимо Ирана вирус был обнаружен и в других странах, вирусные аналитики уверены, что целью Stuxnet была если и не конкретная АЭС, то уж точно определенная страна. Ведь именно на Иран приходится 60% заражений новым червём.

В пользу иранской версии говорит и тот факт, что конкретной целью атаки было программное обеспечение компании Siemens, отвечающее за функционирование атомной станции. Программное обеспечение очень специфическое, реализации которого, к тому же, очень сильно зависит от конкретного объекта.

Несмотря на то, что вирусная атака была вовремя предотвращена, до сих пор нет ясности, что могло бы произойти, если бы начался "обратный отсчёт". В числе возможных последствий сбой в системе охлаждения или другой критически важной подсистемы АЭС, каждый из которых мог привести к катастрофе.

В чём сходятся эксперты, так это в том, что появление Stuxnet ознаменовало третью эпоху гонки кибервооружений. На смену любителям, пишущим вирусы ради развлечений, а потом и киберпреступников, вымогающих деньги, пришли люди, воспринимающие Интернет, как поле боя. Многие СМИ высказали предположения, что реальным автором вируса является одна из крупнейших мировых спецслужб.

Если даже это так, то авторы недооценили силы интернет-общественности. Ведь Stuxnet был обнаружен не службами безопасности, а антивирусными аналитиками. И на проходящей сейчас в Ванкувере конференции по компьютерной безопасности Virus Bulletin специалисты компании "Лаборатория Касперского" должны сделать сразу несколько докладов, посвященных Stuxnet.

вот я как сис.адин не могу понять одного........почему нельзя собрать сеть, поставить по, и потом вырубить нах оттуда инет и все юсб, сд, флоппики ....оставить только клаву и мышку...а для управления рс-232 порт....и пущай ломают скоко влезет.

и что за операционка там стоит будет вообще все равно ...

black_knight, ну наверно потому же что на персидском тоже есть слово "شاید" что означает "авось"

авось не рванет ?

Таки простой прапорщик у нас умней чем вся служба Безпеки Бушера.. он бы сразу сказал" Я с Интернетом не пил, так что я его не знаю.. и ставить ничего не будем!!")

Во-первых, надо понимать – почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.

Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции – грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так – червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них – в следующем пункте.

В-третьих, как удалось выяснить, для автоматизации электростанций ( в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC – это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным – какие такие PLC Stuxnet собрался перешивать в Бушере?

Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.

Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.

Источник

Тоже статейка на енту тему. Советую почитать Кликать тут