15 Декабря, 2010

Stuxnet

Юрий Зайцев
Сообщение#1 посвящается нашумевшей теме. Обнаружил корпоративной сетке Stuxnet. Решил собрать (не без помощи секьюрлаба) обзорную информацию об данном фрукте.

10 июля 2010 г. белорусская антивирусная компания VirusBlokAda (VBA) сообщила о появлении новой вредоносной программы. US-CERT получила уведомление об атаке с использованием 0-day уязвимости в операционных системах семейства Windows корпорации Microsoft. Уязвимы оказались все ОС в линейке от Microsoft Windows XP до Microsoft Windows 7 и Microsoft Windows Server 2008.
15 июля 2010 г. данные об уязвимости попадали в публичный доступ.
16 июля 2010 г. корпорация Microsoft выпустила уведомление безопасности, в котором было подтверждено наличие уязвимости. 19 июля 2010 г. в публичном доступе появляется эксплойт.
20 июля 2010 появились первые заявления кампаний разработчиков антивирусных продуктов о распространении сетевого червя Stuxnet . По результатам исследований данного вируса был сделан вывод, что он предназначен для атаки на ПО контроля технологическими процессами (SCADA), которые работают под управлением SIMATIC WinCC разработки корпорации Siemens.
23 сентября 2010 г. появились заявления экспертов в области компьютерной безопасности о том, что Stuxnet имеет целевую направленность. И даже были сделаны смелые заявления, что истинной целью вируса является атомная электростанция в Бушере (Исламская Республика Иран), строительство которой осуществлялось с участием российских специалистов, и пуск был намечен на 21 августа 2010 г., но так и не был произведен . В поддержку данной гипотезы было выдвинуто несколько фактов. Анализ программного кода вируса подтвердил, что Stuxnet поражает не все подряд системы SIMATIC WinCC, а лишь те, которые настроены на работу с определённым программируемым логическим контроллером. Кроме того, наибольшее распространение вирус получил в США и Иране, что на порядок выше чем в других странах (57% и 30% соответственно от всех случаев заражения зарегистрировано к 20 июля). Исходя из этого, уже можно делать определенные предположения о пути распространения вируса.
26 сентября 2010 г. в средствах массовой информации появляются заявления о заражении вирусом ЭВМ атомной станции в Бушере .

Анализ открытых данных об этой атаке позволил выделить ее три ключевых особенности:
1. Вирус Stuxnet имел целевую направленность и был создан профессионалами. В его программном коде использовано 4 уязвимости нулевого дня и подлинные цифровые сертификаты фирм Realtek и JMicron, что позволило классифицировать атаку как уникальную в своем роде. Общая стоимость только схожих уязвимостей на «черном рынке» без разработки программного кода превышает 2 млн. рублей. По некоторым заявлениям создание подобного информационного оружия под силу только крупным корпорациям или даже государствам .
2. Зараженная автоматизированная система была закрыта от доступа из внешних информационных сетей и интернет. Заражение было осуществлено через USB-порт внутренним нарушителем (с умыслом или без него). Это свидетельствует о провале службы безопасности объекта, а также системы компьютерной безопасности и антивирусной защиты ПО объекта.
3. Факт обнаружения заражения уже сам по себе является доказательством того, что атака была осуществлена . Если вирус незаметно проник в систему, то он мог быть обнаружен только по результатам своей разрушительной деятельности. В связи с этим вызывают сомнения заявления официальных представителей ядерной промышленности, что атака не повлияла на подготовку АЭС к пуску (запуск откладывался с 21 августа 2010 г.). Ведь только 14 сентября 2010 компания Microsoft выпустила патч MS10-061, предотвращающий заражение компьютера по сети с помощью уязвимости в службе «диспетчер печати» (Print Spooler) OC Windows, еще две уязвимости нулевого дня, относящиеся к классу Elevation of Privilege по состоянию на начало октября 2010 года не были закрыты официальными патчами.

Из всего этого можно сделать вывод, что рассмотренный случай в сфере компьютерной безопасности представлял собой случай профессионально подготовленной атаки, которую с полной уверенностью можно считать одним из проявлений кибервойны. Обсуждение же возможных целей, а также политического, социального и экономического эффекта данного инцидента выходит за рамки данного сообщения. Уже позже в конце ноября 2011 г. последовали комментарии иранского руководства, о том что, вирус все же повредил несколько центрифуг для обогащения урана.
или введите имя

CAPTCHA