рейтинг блогов

Про вирус Stuxnet

топ 100 блогов malaya_zemlya18.09.2010Технологии Теги: Буш Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

  • В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

  • Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.

  • Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

  • Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

  • Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

  • Он умеет принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами

  • А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. Подробности. Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.


  • Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

    Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная, стояла на строящемся реакторе в Бушере. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1.
    Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
    (Update: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

    Про вирус Stuxnet

    Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных статьях, фабричные пароли к базам данным лежали на форумах. P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.

    Следим, короче, за новостями. На следующей неделе - презентация Ральфа Ландера на конференции по системым промышленного управления, 29 сентября - статья исследователей из фирмы Symantec, а также статья исследователей из Касперского.

    Еще:Статья в Infoworld, статья в Википедии, записи в блоге фирмы Symantec,
    в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.

    Бонус: Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

    Оставить комментарий



    Архив записей в блогах:
    Информация о моделях S1 и S2 появилась в сети в феврале, сейчас же стали известны некоторые подробности о новинках. Оба планшета работают под управлением Android 3,0. S1 имеет 9,4-дюймовый дисплей, оснащен двумя камерами, чипом Tegra 2. Серфинг в ...
    Убийца Бертран Канта (фр. Bertrand Cantat; род. 5 марта 1964, По, Франция) более известный как музыкант, поэт, лидер и вокалист французской рок-группы Noir Désir музыкальные видео которой в конце востмидесятых часто показывались на первом коммерческом телеканале в этой стране под ...
    Утренний пост про изнасилование взглядом замотивировал меня создать пятничный пост с роликом, который можно смотреть, пялиться на всякие там части тела и где можно бесконечно насиловать взглядом занимающихся (обязательно непристойно улыбаясь). Приятного пятничного просмотра и хорошего ...
    Вышла из дома, сажусь в машину и вижу у соседнего подъезда стоит скорая, гнилая-гнилая. Такая может и не довезти пациента до больницы. Сняла для Минздрава РФ. Я его регулярно читаю, может и он когда заглянет на мою страницу. Только вот Минздрав РФ, похоже, преследует други ...
    Прочитано в grazhrep у yu_kurochkin   К стыду своему, забыл о годовщине ДТП на Ленинском проспекте, а ведь 25 февраля исполнился как раз год со дня трагического происшествия, расследование которого взял под свой контроль Президент ...