рейтинг блогов

Про вирус Stuxnet

топ 100 блогов malaya_zemlya18.09.2010Технологии Теги: Буш Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

  • В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

  • Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.

  • Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

  • Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

  • Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

  • Он умеет принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами

  • А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. Подробности. Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.


  • Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

    Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная, стояла на строящемся реакторе в Бушере. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1.
    Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
    (Update: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

    Про вирус Stuxnet

    Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных статьях, фабричные пароли к базам данным лежали на форумах. P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.

    Следим, короче, за новостями. На следующей неделе - презентация Ральфа Ландера на конференции по системым промышленного управления, 29 сентября - статья исследователей из фирмы Symantec, а также статья исследователей из Касперского.

    Еще:Статья в Infoworld, статья в Википедии, записи в блоге фирмы Symantec,
    в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.

    Бонус: Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

    Оставить комментарий



    Архив записей в блогах:
    Креатифф анонимной блогерши из Малайзии. Другие статьи: Губастенькие Рукотворчество Палец в главной роли Аниматология может быть ...
    Нельзя в реформировании школы идти по пути расслоения её грантами, кампаниями (то компьютеризация сельских школ, то подачки спортинвентарём, то премии за различные всероссийские образовательные шоу итп). Все школы должны иметь одинаковую, в ...
    Завтра мусульмане будут отмечать праздник жертвоприношения Курбан-Байрам. Обычно в этот день в городских мечетях и на прилегающих к ним территориях собирается огромное количество людей. Часто из-за этого происходит несанкционированное ...
    Якобы за нарушение правил сообщества. Почитала - ничего и близко не стояло к нарушениям. Отправила письмо, обратно пришел ответ - давайте фотку морды лица с кодом, именем и ником. Отправила, жду... Есть у кого такой опыт? С какого вообще его блокируют, если нарушений не было? ...
    Не могу. Вернее, уже почти решила удержаться и написать пост только для френдов, что и сделала вчера ночью. Но тред продолжился. Я не могу, не могу это таить. Сначала сюда. http://bakushinskaya.livejournal.com/640041.html?thread=24469545#t24469545 Потом под кат. Ведь недаром же я ...