[Gramazeka]

Боевой червь Stuxnet - начало новой эры кибервойн!



Вполне рядовая, на первый взгляд, компьютерная инфекция, обнаруженная прошедшим летом, оказалась опаснейшим кибероружием, способным на уничтожение целей в физическом мире.


В последних числах сентября канадский Ванкувер принимал у себя конференцию по компьютерной безопасности Virus Bulletin, ежегодно кочующую по разным городам Северной Америки и Западной Европы. Среди докладов нынешней конференции, вне всяких сомнений, самый большой интерес привлекают два независимых выступления от Kaspersky Lab и Symantec, посвященные одной и той же теме: беспрецедентно изощренному компьютерному «гипер-червю» Stuxnet.

Если обрисовать предмет в нескольких словах, то Stuxnet представляет собой прежде неведомый публике класс программного обеспечения, уже разработанного на государственном уровне для военных наступательных кибератак. Эта программа использовала для невидимого внедрения одновременно четыре разных и еще непропатченных дыры в защите систем (zero-day exploits), два похищенных у известных изготовителей подлинных сертификата для легального встраивания своих кодов в операционную систему и действительно очень умный механизм самостоятельного многоэтапного распространения.

Механизм, который начинается с заражения обычных Windows-ПК инфицированной USB-флешкой, а заканчивается встраиванием собственного смертоносного кода в ПО Siemens S7 SPS для промышленных систем управления предприятиями. Программа Stuxnet проникла в десятки тысяч промышленных компьютерных систем по всему миру, но, к великому счастью, практически ни одной из них это ничем не грозит. Эксперты по кибербезопасности убеждены, что Stuxnet — это высокоточное, сугубо избирательное оружие, остро заточенное под поиск и уничтожение одной-единственной конкретной цели.

В принципе, у специалистов к настоящему времени даже есть общее понимание, что именно это была за цель. Но поскольку никаких официальных заявлений на данный счет ни одним государством не сделано (да и вряд ли они вообще появятся), имеет смысл поподробнее разобраться с деталями и логикой всей этой захватывающей истории.

Впервые Stuxnet попал в поле зрения антивирусных фирм в середине июня 2010, когда не самая известная фирма компьютерной безопасности VirusBlokAda из Беларуси обнаружила этого червя в компьютерах, принадлежащих одному их иранскому клиенту. Названием для вредоносной программы послужило имя одного из файлов, обнаруженных в теле червя, а всемирную известность Stuxnet обрел примерно месяц спустя. Потому что в июле корпорация Microsoft подтвердила, что данный червь активно заражает компьютеры под ОС Windows, работающие в составе крупномасштабных систем управления промышленными предприятиями.

Такого рода системы управления часто обозначают акронимом SCADA — англоязычным сокращением от словосочетания «supervisory control and data acquisition», т.е. «диспетчерское управление и сбор данных». SCADA-системы ныне управляют в индустрии работой чего угодно — от электростанций и заводского производства до нефтепроводов и военных объектов.

С этого момента червь Stuxnet стал объектом обширных и пристальных исследований специалистов по компьютерной безопасности. Которые довольно скоро и вполне единодушно были вынуждены признать, что ничего подобного им в своей практике видеть прежде не доводилось. Тогда же в июле Stuxnet был классифицирован как гиперусложненная вредоносная программа, созданная, вероятнее всего, целой командой опытных разработчиков по заказу какого-то государства.

Оценка одного из пораженных инженеров, занимавшегося «препарированием» червя, звучала примерно так: «После десяти лет ежедневных занятий обратной инженерной разработкой кодов, я еще никогда не встречался ни с чем, что хотя бы близко было похоже на ЭТО». Небывало огромный для подобного типа программ (размер исполняемого кода составляет порядка полумегабайта), обильно зашифрованный и слишком сложный для быстрого понимания его назначения, этот червь чрезвычайно удивил специалистов.

По словам другого антивирусного эксперта, в сравнении с червем Stuxnet все прочие примечательные атаки последнего времени, вроде приснопамятной Aurora, в ходе которой были хакнуты сети Google и десятков других ведущих компаний, выглядят просто детскими игрушками.

При всей своей перегруженности программа Stuxnet написана чрезвычайно хорошо и грамотно. Она очень, очень тщательно заточена под то, чтобы ничего не поломать и не нарушить в заражаемых ею системах, чтобы не было видно абсолютно никаких внешних признаков инфицирования, а самое главное, она делает все для гарантирования того, чтобы ее окончательная миссия, которая манипулирует параметрами и кодами в управляющем компьютере SPS, была запущена и выполнена лишь в том случае, когда имеется полная уверенность, что это именно та самая система, на которую программа изначально была нацелена.

Однако понимание всех этих нюансов пришло, конечно же, далеко не сразу. Поначалу специалисты фирм Symantec и Kaspersky Lab, примерно одновременно и всерьез взявшихся за борьбу с червем, обнаружили лишь один опасный zero-day-баг. Это была дыра в защите от подсоединяемых к ПК USB-устройств, получившая название LNK, и срабатывала она для инфицирования почти любых компьютеров — в независимости от версии операционной системы Windows, начиная с ископаемой Win 2000 и до наиболее современной, предположительно весьма безопасной Windows 7.

Еще через несколько недель исследований специалисты обеих антивирусных фирм независимо друг от друга обнаружили, что Stuxnet в действительности использует для внедрения далеко не одну, а четыре прежде неизвестных zero-day-уязвимостей (баг спулера печати и два EoP-бага, повышающих привилегии). Одновременное использование сразу четырех zero-day-багов — это очень и очень необычное свойство вредоносной программы, никогда прежде не наблюдавшееся специалистами ни в Symantec, ни у Касперского.

Соответственно, не доводилось им видеть и поведение столь продвинутого червя в работе. Попадая в корпоративную сеть — на первом этапе через зараженное USB-устройство — Stuxnet использовал баги, повышающие его привилегии (EoP), чтобы получить доступ администратора к другим ПК, разыскивал системы, в которых работают программы управления WinCC и PCS 7 SCADA, захватывал эти системы, используя баг спулера печати, а затем пытался применять принятый по умолчанию фабричный пароль Siemens для захвата управления программным обеспечением SCADA.

После чего червь получал возможность перепрограммировать так называемую программу PLC (programmable logic control — программируемый логический контроллер), чтобы диктовать всем управляемым системой механизмам новые команды и инструкции.

Попутно следует подчеркнуть, что опаснейшие коды атакующего червя для всякой зараженной системы выглядели совершенно легитимными, поскольку люди, стоявшие за созданием Stuxnet, предварительно похитили по крайней мере два цифровых сертификата, принадлежащие компаниям Realtek Semiconductor и JMicron Technology. Драйверы и программы этих фирм давно и прочно прописаны в операционных системах компьютеров, поэтому действия правильно подписанных кодов Stuxnet не вызывали абсолютно никаких сигналов тревоги.

Еще один интересный нюанс — это один из способов, которым атакующая сторона минимизировала риски обнаружения своей программы. В каждом USB-устройстве, куда подсаживался Stuxnet, работал счетчик, который контролировал число заражаемых устройством машин и не позволял инфицировать больше трех компьютеров. Другими словами, атакующие, судя по всему, таким образом пытались ограничить масштабы распространение червя, дабы он оставался как можно ближе к объекту, против которого был направлен.

[Gramazeka]

Функционирование червя Stuxnet рассчитано на полностью автономную работу программы и не требует ни подключений к интернету для получения дополнительных инструкций, ни управления со стороны человека вообще. В программе выявлено настолько много разных типов выполняемых функций, что для экспертов очевидно — созданием этого продукта занималась команда людей с богатым опытом в самых разных областях: от конструирования невидимых руткитов и эксплуатации багов проникновения до работы с базами данных.

Вредоносное ПО написано на множестве разных языков. С одной стороны, это C, C++ и другие объектно-ориентированные языки высокого уровня. А с другой — коды STL (Statement List), низкоуровневый язык типа ассемблера, используемый в системах управления промышленными процессами. Плюс вообще впервые наблюдаемый специалистами руткит PLC, скрывающий вредоносный STL-код. Если же говорить о работе червя со SCADA-системами вообще, то в первую очередь следует подчеркнуть, что эта область приложения компьютеров отличается очень высоким уровнем специализации.

Иначе говоря, по свидетельству специалистов, разработчики Stuxnet в своем распоряжении непременно должны были иметь для тестирования именно то реально применяемое аппаратное обеспечение, под которое затачивалось их кибероружие. Ибо все признаки свидетельствуют, что они в точности и в деталях знали нюансы работы техники на том конкретном объекте, который был избран целью атаки.

Начиная с этого момента разбора представляется наиболее логичным от наблюдений и свидетельств антивирусных экспертов из Symantec и Kaspersky Lab перейти к результатам анализа, выполненного специалистом по безопасности компьютерных промышленных систем из фирмы Siemens. Ибо Stuxnet был несомненно заточен против ПО именно этой компании, уверенно доминирующей на рынке SCADA-систем, а весьма уважаемый германский специалист по безопасности промышленных систем Ральф Лангнер (Ralph Langner), работающий в Siemens, недавно опубликовал в Сети результаты своих исследований, посвященных интересным свойствам невиданного прежде гипер-червя из киберпространства.

Поначалу, как и у экспертов из антивирусных фирм, первой идеей Лангнера было то, что Stuxnet написали для похищения промышленных секретов — каких-нибудь фирменных формул, рецептов или схем, которые могут быть использованы конкурентами для производства контрафактной продукции. Однако, углубившись в анализ свойств червя, обнаружил Лангнер нечто существенно иное.

Червь Stuxnet действительно занят непрерывными поисками, однако разыскивает он очень специфические установочные параметры системы, нечто вроде ее «отпечатков пальцев», которые говорят, что именно работает под управлением PLC или программируемого логического контроллера. Как уже говорилось, промышленные SCADA-системы весьма специфичны для каждой конкретной фабрики.

Они состоят из множества небольших узлов, измеряющих температуру, давление, потоки жидкостей и газов, они управляют вентилями, моторами, и всем прочим хозяйством, необходимым для поддержания нередко опасных промышленных процессов в рамках их норм безопасности и в пределах эффективности.

Таким образом, оба компонента систем — аппаратные модули конфигурации и программное обеспечение — являются специфическим набором, изготовляемым для каждой конкретной фабрики. Ну а с точки зрения червя Stuxnet все эти вещи выглядят как «отпечаток пальцев». И лишь только в том случае, если идентифицирована надлежащая конфигурация, он начинает делать больше, много больше, нежели просто тихо распространять себя в поисках цели.

(Именно эта особенность программы свидетельствует об одной принципиально важной вещи: атакующая сторона очень точно знала конфигурацию выбранной цели. Она наверняка должна была иметь поддержку инсайдера или группы инсайдеров внутри фабрики, либо какой-то еще способ доступа к программной части и аппаратной конфигурации избранного для атаки объекта.)

Среди шагов, которые, как обнаружил Лангнер, делает Stuxnet при обнаружении искомой цели, оказались изменения в фрагментах программного кода Siemens, известного как «оперативный Блок 35». Этот важный компонент программы Siemens занимается мониторингом критических производственных операций — вещей, которые требуют срочной реакции в пределах 100 миллисекунд. Вмешиваясь в работу Блока 35, Stuxnet может, к примеру, легко вызвать аварийный сбой в работе, ведущий к саморазрушению промышленного процесса. Так, во всяком случае, это видит Лангнер.

В частности, в его аналитической работе пошагово демонстрируется, что именно происходит с системой, когда Stuxnet находит свою цель по ее «отпечаткам». Как только Stuxnet выявляет критически существенную функцию, срабатывающую в модуле PLC, вредоносная программа берет управление системой на себя. Один из самых последних кодов, который Stuxnet отправляет в обреченную систему, носит выразительное название «DEADF007».

Ну а затем очевидно начинается фейерверк, хотя точное назначение захваченных программой функций остается неизвестным, говорит Лангнер. Это может быть и перевод скорости вращения турбины на максимально возможные обороты, и отключение системы смазки, или еще какие-то жизненно важные для нормальной работы функции системы (конкретная природа повреждений, вызываемых червем, просто неизвестна, потому что со стороны по коду SPS нельзя увидеть, что именно делают задаваемые параметры, не видя схему той конкретной фабрики, которой управляет система).

Что бы это ни было, говорит Лангнер, анализ показывает, что Stuxnet отменяет защитные функции и подает в систему свои, фатальные команды: «Как только исходный код PLC перестает выполняться, можно ожидать, что вскоре какая-то вещь взорвется. И скорее всего, это окажется что-то крупное».

По свидетельству Лангнера, «Stuxnet — это стопроцентно целенаправленная кибератака, нацеленная на уничтожение некоего промышленного процесса в физическом мире. Это явно не имеет отношения к шпионажу и похищениям информации, как полагали некоторые. Это абсолютно диверсионная атака».

Поскольку ныне практически все исследователи, изучающие червя, вполне единодушны в выводах о том, что Stuxnet был сконструирован чрезвычайно изощренным и умелым мастером — скорее всего, специалистами государственной спецслужбы — и был создан для разрушения чего-то большого и важного, то теперь остается выяснить лишь два «простых» вопроса: (а) что за государство стоит за Stuxnet и (б) против какого объекта была направлена диверсия?

На сегодняшний день имеется достаточное количество фактов и доводов для того, чтобы (не наверняка, конечно, но) с высокой степенью достоверности ответить на оба этих вопроса

[Gramazeka]

ТОП-5 самых злостных киберпреступлений



Украина становится одним из центров мировой киберпреступности. Используя различные махинации в интернете, хакерские банды с участием граждан нашей страны заполучили в этом году как минимум $200 млн. Именно такой ущерб, если суммировать все данные опубликованные в СМИ, был нанесен зарубежным пользователям за девять месяцев нынешнего года.


Примечательно, что киберпреступления с участием украинцев обычно происходят за пределами родины. Так, за весь прошлый год со счетов украинских банков было похищено 12,9 млн. грн. Наши хакеры орудуют в основном в США и Великобритании, а ловят их, как правило, в международных аэропортах при возвращении с курортов на родину.

ТОП-5 наиболее злостных киберпреступлений 2010 года

№1
Наиболее громким делом этого года с участием отечественных хакеров стали махинации с помощью псевдоантивирусного программного обеспечения. Некие Бьорн Сундин и Шайлешкумар Джаин вместе с другими неназванными лицами управляли созданной ими компанией Innovative Marketing Ukraine с офисом в Киеве. Эта компания размещала в сети лжерекламу, которая сообщала пользователям, что их компьютеры заражены вирусами, и предлагала установить собственное «антивирусное» ПО. В результате компания смогла заработать на доверчивых пользователях более $100 млн. Всего от ее деятельности пострадали свыше миллиона человек из 60 стран.

Компания Innovative Marketing, которая прекратила свою деятельность по решению суда больше года назад, распространяла такие решения, как DriveCleaner и ErrorSafe. Их стоимость составляла от $30 до 70.

№ 2
На втором месте оказалась международная преступая группировка, о прекращении незаконной деятельности в Украине которой СБУ сообщила вчера. Злоумышленники похищали через компьютерные сети денежные средства с зарубежных банковских учреждений с их дальнейшей легализацией.

СБУ завершила свой этап международной спецоперации, которая проводилась во взаимодействии с правоохранительными органами США, Великобритании и Нидерландов. К деятельности группировки причастны около 20 человек - жителей разных регионов Украины, пять из которых были задержаны сотрудниками СБУ.

Преступники осуществляли поражение вредным программным обеспечением компьютеров жертв, с которых осуществляется управление расчетными счетами, и похищали персональные коды доступа. Используя полученную информацию, преступники незаконно перечисляли похищенные деньги на счета украинских банковских учреждений или переводили в наличность на территории Украины с использованием международных электронных платежных систем.

По предварительным оценкам, нанесенные таким способом убытки достигают свыше $40 млн.

№ 3
Третье место по праву досталось 28-летнему украинцу Сергею Сторчаку, которого еще в мае в аэропорту Дели (Индия) задержала местная полиция. Его подозревают в мошеннических операциях с платежными карточками американских граждан. По данным американской стороны, Сергей Сторчак вместе с еще 10 хакерами незаконно подключался к беспроводным сетям магазинов США. Мошенники переписывали данные кредитных и дебетовых карт, после чего успешно делали их копии и снимали с карточек американцев значительные суммы денег.

Молодого человека долгое время искал по всему миру Интерпол. Сторчак был задержан в то время, когда он вместе с группой друзей собирался вылететь в Украину после отдыха на Гоа.

В ФБР уже назвали приблизительную сумму, которую успел заработать украинец вместе с «коллегами»: около $40 млн.

№ 4
Еще один подозреваемый в хакерских злодеяниях украинец был арестован в августе во Франции по запросу американских властей. Предполагалось, что он является участником преступной сети CarderPlanet, которую в США подозревают в махинациях с кредитными картами. Речь идет о 27-летнем Владиславе Хорохорине, имеющем гражданство Украины и Израиля и проживающем в Москве.

Предполагаемый хакер, известный также под ником BadB, был арестован в ходе совместной операции французских властей и американских спецслужб, когда собирался вылететь из Ниццы в Москву.

Обвинения против Хорохорина были выдвинуты американскими судебными властями еще в ноябре 2009 года. По их данным, он занимался похищением и перепродажей данных кредитных карт граждан США.

Против Хорохорина выдвинуты обвинения в мошенничестве и в краже с отягчающими обстоятельствами. Если он будет признан виновным по обоим пунктам, то ему по совокупности грозит до 12 лет тюрьмы. Кроме того, каждое из этих двух обвинений подразумевает штраф в размере до $ 250 тысяч.

№ 5
Еще одна группа компьютерных хакеров была арестована в конце сентября в Великобритании по подозрению в краже средств с банковских счетов. Ее членами оказались 20 выходцев из Украины, Латвии, Грузии, Белоруссии и Эстонии, которые по данным следствия орудовали в Великобритании почти год с октября 2009 года по сентябрь 2010 года. Об этом, как передает «Прайм-Тасс», сообщили в среду источники в британских правоохранительных органах.

Задержанных подозревают в мошенничестве, результатом которого стала кража миллионов фунтов стерлингов со счетов вкладчиков крупнейших британских банков HSBC, RBS, Barclay´s и Lloyds TSB.

Пока удалось установить факт кражи 6 млн. фунтов стерлингов (около $9 млн). Однако общая сумма похищенного, по мнению следователей, намного больше.

Преступники использовали вирус Zeus, которым им удалось заразить тысячи компьютеров в Великобритании. Эта программа похищала пароли, необходимые для получения доступа к личным банковским счетам через интернет. Завладев этими данными, мошенники незаметно снимали деньги со счетов.

Из числа задержанных восьмерым предъявлено обвинение в сговоре с целью мошенничества и отмывании денег, двоим - только обвинения в мошенническом сговоре.

Еще девять человек были арестованы по тому же делу, но отпущены под залог. Возраст задержанных от 23 до 34 лет.

Виктория Власенко, Станислав Юрасов, proit

[MaxBNuts]

У этой книги есть краткое изложение ?

[Chaquico]

С интересом прочитал, но

Цитата:

На сегодняшний день имеется достаточное количество фактов и доводов для того, чтобы (не наверняка, конечно, но) с высокой степенью достоверности ответить на оба этих вопроса

Самое то интересное осталось без ответа

[Gramazeka]

По данным Главного управления разведки (ГУР) Минобороны Украины, червь был создан
в израильских компьютерных лабораториях для атаки на иранскую АЭС в Бушере.

[HQ]

Крайне любопытно, конечно. А также любопытно, зачем кому-то было так это устрашающе расписывать

[Prolim]

вот почитаешь такое, и сразу понимаешь, что живёшь в 21 веке...

[BadHabits]

Раньше я весь бр хотел в банке хранить,теперь буду в серябряных ложках...грядет эра кибервойн.

[HQ]

Цитата:

Сообщение от BadHabits

Раньше я весь бр хотел в банке хранить,теперь буду в серябряных ложках...грядет эра кибервойн.

5* post