Русские хакеры стали брендом нашего времени. Судя по заголовкам мировой прессы, коварные взломщики почти всемогущи и способны хоть вытащить на свет подноготную Всемирного антидопингового агентства, хоть усадить в Белый дом Дональда Трампа.

При этом не слышно истерии по поводу хакеров из других стран. А между тем всего несколько лет назад хакеры учинили успешную диверсию на ядерном объекте.

Ядерная программа Ирана вызывала и вызывает острую реакцию у ряда стран, в первую очередь у Израиля и США. Исламская Республика упорно стремилась вступить в ядерный клуб, но эти попытки вызывали только холодную ярость в Вашингтоне и Тель-Авиве: со времён исламской революции Тегеран рассматривали как опасного врага. Разумеется, и там и там хватает ястребов, которые предпочли бы разбомбить любую стоящую на пути проблему, однако в 2000-е годы оставшимся анонимными разведчикам пришёл в голову гораздо более тонкий план воздействия на атомный проект аятолл.

Военная операция была бы чрезвычайно затратной, вызвала бы очевидные проблемы на международной арене, к тому же всегда существует риск неожиданной неудачи. Завод по обогащению урана в Натанзе был хорошо защищён, и даже бомбардировка не гарантировала его полного уничтожения. Однако нетривиальный подход удалось найти.

Для уничтожения иранской атомной программы был разработан оригинальный компьютерный вирус, получивший название Stuxnet. Вирус был заточен для работы с компьютерами строго определённой конфигурации, то есть он не начинал крушить первую попавшуюся систему, в которую попал. Оказавшись на новом компьютере, Stuxnet начинал сканировать программное обеспечение, отыскивая автоматизированные системы управления, используемые в ядерной промышленности. Такие системы специфичны для каждого завода - система датчиков, управления разными узлами и агрегатами везде своя. Stuxnet искал строго определённую цель. Если он не находил такую, то просто "засыпал" в ожидании возможности переместиться дальше.

Интересно, что, по данным американской прессы, израильтяне построили целый комплекс, имитировавший иранские установки для обогащения урана. На "имитационных центрифугах" отрабатывали внедрение в систему и саму атаку. Разработчики вируса понимали, что второго шанса у них не будет, так что первый удар должен быть убойным.

Однако иранцы, само собой, держали отключёнными от сети компьютеры, управлявшие ядерными объектами. Поэтому Stuxnet распространялся только через флеш-накопители. При этом электронный диверсант использовал украденные сертификаты крупной уважаемой компании Realtek - для обмана антивирусов. Вирус при всей своей сложности очень компактный и, попав на компьютер, практически не отсвечивал: ни у кого просто не возникало повода его разыскивать.

Само собой, распространяться таким образом вирус мог очень долго. Однако хакеры имели возможность ждать: строительство атомной станции или разработка ядерного оружия - дело небыстрое. Рано или поздно кто-то должен был совершить оплошность.

Первоначально целью кибератаки стали иранские фирмы, занимающиеся разработкой программ для промышленных предприятий. Разведка представляла, какие компании могут быть вовлечены в ядерную программу, поэтому вирус внедряли в первую очередь в фирмы, имеющие связи с ними. При этом так и остались туманными обстоятельства самого первого заражения, так что, вероятно, сыграла свою роль старая добрая агентурная разведка: кто-то же должен был в первый раз вставить заражённую флешку в компьютер. Правда, отследить одиссею Stuxnet не могли даже создатели. Этот вирус был чрезвычайно хорошо написан, с тем чтобы не нанести никакого вреда системе, не отвечающей нужным параметрам, и не оставить ни малейших признаков внедрения. Впоследствии оказалось, что своими неисповедимыми путями вирус заразил несколько промышленных компьютеров в Германии, но не пришёл в действие, поскольку не обнаружил совпадения параметров с теми, что искал.

Летом 2010 года очередная копия Stuxnet наконец обнаружила себя на компьютере, управляющем иранской ядерной центрифугой. И вот тут вирус развернулся по полной программе.

Stuxnet оказался маленьким техническим шедевром. Просто взломать программное обеспечение центрифуг было бы недостаточно: да, на какое-то время их пришлось бы остановить, но затем вирус ждал бы быстрый и бесславный конец. Однако суть конструкции этого вируса состояла в том, что он перехватывал управление заражённым компьютером и сам начинал отдавать команды, но так, чтобы у живых операторов сохранялась иллюзия контроля над ситуацией.

Для этого вирус некоторое время провёл внутри системы, собирая информацию о технологических процессах и текущем режиме работы оборудования. Накопив достаточно сведений, "червь" принялся за работу. Получив контроль над иранскими ядерными центрифугами, Stuxnet начал потихоньку менять им режим работы. Иранские центрифуги рассчитаны на определённую скорость оборотов. Stuxnet потихоньку менял частоту вращения, заставляя центрифуги работать в критическом режиме. Центрифуги резко разгонялись и так же резко тормозили. При этом операторы пребывали в блаженном неведении о происходящем, поскольку показатели, выходящие на их экраны, вирус фальсифицировал. Процесс занял несколько месяцев: разработчики вируса, очевидно, полагали, что за это время удастся как следует износить максимальное количество центрифуг.

В результате в один прекрасный момент иранские центрифуги в Натанзе начали массово выходить из строя. В короткий срок 1368 из имевшихся у страны аятолл центрифуг просто сломались без возможности восстановления.

Это был этапный момент в практике информационных войн. Компьютерный вирус причинил физический вред. Хакеры не просто украли или уничтожили данные, но изувечили существующее в реальном мире промышленное оборудование. Разрушительный эффект от применения вируса был сравним с воздушной бомбардировкой, при этом ни одна настоящая ракета никуда не полетела, более того, даже сам факт атаки долгое время оставался под сомнением. Глава Организации по атомной энергии Ирана Голам Реза Агазаде без объяснения причин подал в отставку, центрифуги остановились, а ядерная программа Ирана оказалась отброшена на годы назад. В Иране эта история вызвала жёсткий разбор полётов, в ходе которого даже задерживались "ядерные шпионы", которые в итоге оказались непричастны к аварии.

Однако история вируса-диверсанта на этом не кончилась.

Летом 2010 года Сергей Уласень, специалист из небольшой белорусской фирмы "ВирусБлокАда", обнаружил неизвестного червя и сделал его описание достоянием широкой публики. Компания, где работал Уласень, работала в том числе с клиентами из Ирана, и те обратились к нему за помощью со своими заражёнными компьютерами. Уласень, уже подозревая, что с компьютером что-то не то, прочесал его особенно тщательно и в итоге вышел на искомый вирус. Что поразило специалистов по безопасности, так это наличие реальных сертификатов, позволявших изображать "честную" программу. Другое обстоятельство, сделавшее пойманный вирус героем дня, - его узкоспециализированное предназначение.

В ближайшие месяцы Stuxnet изучили буквально под микроскопом и разобрали на байты. Общий вывод был практически единодушным: это не вирус, написанный хакером-одиночкой, и не продукт творчества хулиганов. Судя по интеллектуальным усилиям, вложенным в разработку вируса, речь идёт об изощрённо написанной полноценной боевой программе, создававшейся группой специалистов в течение длительного срока.

Причём разработчики имели источники, снабжавшие их разведывательными данными о цели, которую предстоит атаковать, и ресурсы, характерные не для сетевых хулиганов, а для спецслужб. Более того, вирус существовал во множестве модификаций и уже давно путешествовал по планете, заразив десятки тысяч компьютеров.

Впоследствии выдвигались более или менее обоснованные версии насчёт действительных масштабов кибератак. Дело в том, что конкретно атака, предпринятая Stuxnet, имела неприятные для Ирана, но всё же не абсолютно убойные последствия. Однако Stuxnet разрушил лишь конкретную цель, в то время как потенциальных задач для такого вируса может быть значительно больше. Управление промышленными объектами, транспортной инфраструктурой - разнообразные автоматизированные системы в наше время внедрены буквально повсюду. Как показал пример Ирана, инфильтрация достаточно искусно написанного червя может быть проведена незаметно. А дальнейшие события ограничиваются только фантазией авторов вируса.

класс уязвимостей, который называется 0day. 0day- термин, который обозначает уязвимости (иногда и сами зловредные программы), против которых защитные механизмы антивирусов и других программ для защиты компьютера бессильны. Такое понятие появилось потому, что злоумышленники, которые обнаружили уязвимость в программе или операционной системе, проводят свою атаку сразу же не позднее первого ("нулевого дня") дня информированности разработчика об обнаруженной ошибке. Естественно, это означает, что разработчик не успевает вовремя исправить уязвимость , что распространяет сложные эпидемии зловредных программ, которые не поддаются своевременному лечению. На данный момент различные злоумышленники фокусируют свое внимание именно в нахождении таких уязвимостей. Прежде всего, они обращают внимание на такое программное обеспечение , которое получило широкое распространение. Заражая такое программное обеспечение зловредным кодом, злоумышленник гарантировано получит максимальную отдачу от своих действий. При этом антивирусные программы будут бессильны, так как они не смогут определить зловредный код, который находится в популярной программе. Одним из таких примеров был назван пример выше, когда вирус поражал служебные файлы Delphi и тем самым внедрял свой код в различные программы, которые были откомпилированы в этом компиляторе. Так как такие программы были широкого использования, большое количество пользователей было заражено. Все это дало понять злоумышленникам, что такие атаки являются достаточно эффективными и их можно использовать и в дальнейшем. Впрочем, нахождение 0day уязвимости - это достаточно трудоемкий процесс. Для того, чтобы найти такую уязвимость , злоумышленники прибегают к различным стрессовым тестам программного обеспечения, разбору кода на части, а также поиску в программном коде разработчика различных ошибок. Но если эти действия приносят успех, и уязвимость будет найдена, то можно считать, что злоумышленники обязательно ею воспользуются. На сегодняшний день самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows , связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости, Stuxnet использовал еще три, ранее известные, уязвимости. Уязвимости "нулевого дня" также позволяют злоумышленникам создавать вредоносные программы, которые могут обходить защиту антивирусов, что также является опасным для обычного пользователя. Кроме такого рода уязвимостей (0day), существуют также и вполне обычные уязвимости, которыми постоянно пользуется злоумышленник . Другой опасной разновидностью уязвимостей являются уязвимости, которые используют Ring 0 операционной системы. Ring 0 используется для написания различных системных драйверов. Это специальный уровень, из которого можно осуществить полный контроль над операционной системой. Злоумышленник в этом случае уподобляется программисту, который пишет драйвер для операционной системы, ведь в этом случае написание зловредной программы и драйвера является идентичным случаем. Злоумышленник с помощью системных функций и вызовов пытается придать своей зловредной программе функции прохождения в Ring 0.

Опасность кражи персональных данных с мобильных телефонов

Если подобное сказали буквально лет 7 назад, то тогда, скорее всего, такому факту просто не поверили бы. Сейчас же опасность кражи персональных данных пользователей мобильных телефонов крайне высока. Существует большое множество зловредных программ, которые занимаются именно кражей персональных данных с мобильных телефонов пользователей. А еще совсем недавно никто и не мог предположить, что мобильные платформы заинтересуют злоумышленников. История вирусов начинается с 2004 когда. Именно этот год считается точкой отсчета для мобильных вирусов. При этом вирус , созданный в этом году, был подобран под систему Symbian. Он являлся демонстрацией самой возможности существования вирусов на платформе операционной системы Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр вируса Worm .SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно "бродить" по мобильным телефонам во всем мире. Это доставило неприятности обычным пользователям смартфонов, но эпидемии по сути не произошло, так как у антивирусных компаний тоже были исходные коды этого вируса и именно тогда начались первые выпуски антивирусов под мобильные платформы. Впоследствии стали распространяться различные сборки этого вируса, которые, впрочем, не приносили огромного вреда. Далее последовал первый бэкдор (зловредная программа , которая открывает доступ в систему извне). Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину. Впоследствии появилась еще одна зловредная программа для мобильных платформ. Программа представляет собой SIS- файл - приложение -инсталлятор для платформы Symbian. Ее запуск и установка в систему приводят к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно, в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать. Все это было подхвачено различными любителями в написании зловредных программ, которые начали плодить всевозможные модификации на старые вирусы, а также пытаться создавать свои собственные. Впрочем, на тот момент все зловредные программы под мобильные платформы были достаточно примитивными и не могли сравниться со своими аналогами зловредных программ на компьютере. Достаточно много шума наделала программа под названием Trojan.SymbOS Lockhunt. Эта программа являлась трояном. Он эксплуатирует "доверчивость" (отсутствие проверок целостности файлов). После запуска, вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещаются файл gavno. app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система , исходя только из расширения файла gavno. app , считает его исполняемым - и зависает, пытаясь запустить " приложение " после перезагрузки. Включение смартфона становится невозможным. После этих вирусов, в основном, идут однотипные вирусы, которые могут передавать сами себя посредством различных технологий.

Сама уязвимость мобильных платформ достаточно высокая, так как нет таких средств, которые надежно бы защищали мобильные платформы. К тому же необходимо учитывать и то, что современные мобильные платформы уже вплотную подбираются к обычным операционным системам, а значит и алгоритмы воздействия на них остаются похожими. Кроме того, у мобильных платформ есть два достаточно специфических метода передачи данных, которых нет у компьютеров - это технология Bluetooth и MMS . Bluetooth - технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек. ММS - относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса

Как Лаборатория Касперского расшифровала вредоносную программу, заблокировавшую программное обеспечение иранской системы управления обогащением ядерного топлива.

Компьютерные кабели вьются по полу. Загадочные блок-схемы нарисованы на различных досках, развешанных по стенам. В зале стоит муляж Бэтмана в натуральную величину. Этот офис может показаться ничем не отличающимся от любого другого рабочего места компьютерщика (geeky workplace), но на самом деле это передний край борьбы, а точнее кибервойны (cyberwar), в которой большинство сражений разыгрываются не в далёких джунглях или пустынях, а в пригородных офисных парках, подобных этому.

В качестве старшего научного сотрудника (senior researcher) Лаборатории Касперского, ведущей компании по компьютерной безопасности, базирующейся в Москве, Ройл Шувенберг (Roel Schouwenberg) проводит свои дни (и многие ночи) здесь, в американской штаб-квартире Лаборатории в городке Уоберн (Woburn) штата Массачусетс, сражаясь с самым коварным цифровым оружием, способным нарушить водоснабжение, нанести урон электростанциям, банкам и самой инфраструктуре, которые когда-то казались неуязвимыми для атак.

Стремительное признание таких угроз началось в июне 2010 года с обнаружением Стакснет (Stuxnet) , 500-килобайтного компьютерного червя, заразившего программное обеспечение по меньшей мере 14 промышленных объектов в Иране (4/5) , в том числе и завод по обогащению урана. Хотя компьютерный вирус зависит от невольной жертвы его установки, червь (worm) распространяется сам по себе и часто через компьютерную сеть.

Этот червь был беспрецедентно мастерски выполненным вредоносным кусочком кода, который атаковал в три этапа. Сначала он нацеливался на компьютеры и сети Microsoft Windows, неоднократно выполняя своё самовоспроизводство. Затем он искал программное обеспечение Siemens Step7, которое также работает на Windows-платформе и используется для программирования промышленных систем управления, которые управляют оборудованием, таким как центрифуги. Наконец, он компрометировал программируемые логические контроллеры. Авторы червя могли таким образом шпионить за промышленными системами и даже вызывать ускоренное вращение центрифуг с целью их разрушения, причём незаметно для человека-оператора на заводе. (Иран пока не подтвердил сообщения о том, что Stuxnet уничтожил некоторые из его центрифуг).

Как работает Stuxnet:


  1. заражение системы через USB-флеш-накопитель,

  2. поиск целевого программного обеспечения и оборудования от Siemens,

  3. обновление вируса через Интернет; однако, если система не является целью, вирус ничего не делает,

  4. компрометация,

  5. захват управления,

  6. дезинформация и вывод из строя оборудования.

Stuxnet может скрытно распространяться между компьютерами с ОС Windows, даже теми, которые не подключены к Интернету. Если работник, вставляет USB-флеш-накопитель в заражённую машину, то Stuxnet автоматически копируется на неё, а затем копируется на другие машины, однажды прочитавшие эту флешку. Отсюда любой сотрудник, ничего не подозревая, может заразить машину таким образом, что позволит «червям» распространиться по локальной сети. Эксперты опасаются, что эта вредоносная программа, возможно, «одичала и гуляет» по всему миру.

В октябре 2012 года американский министр обороны Панетта (Leon Panetta) предупреждал , что США уязвимы для «кибернетического Пёрл-Харбора» («cyber Pearl Harbor»), и возможны сходы под откос поездов, заражение воды и сбои в сетях электроэнергетики. В следующем месяце корпорация «Шеврон» (Chevron) подтвердила это предположение, став первой американской корпорацией признавшей, что Stuxnet проник на все её компьютеры.

Хотя авторы Stuxnet так и не были официально установлены, размер и сложность червя привели экспертов к убеждению, что он мог быть создан только при спонсорской поддержке государства. И, несмотря на секретность, утечка информации в прессе (leaks to the press) от официальных лиц в США и Израиле позволяет с уверенностью предположить, что эти две страны замешаны. С момента обнаружения Stuxnet Шувенберг и другие специалисты по компьютерной безопасности борются с рядом других боевых (weaponized) вирусов, такими как «Дюку» (Duqu), «Флейм» (Flame, англ. - пламя) и «Гаусс» (Gauss). Натиск вредоносных программ не показывает никаких признаков ослабления.

Это знаменует собой поворотный момент в геополитических конфликтах, когда апокалиптические сценарии, лишь однажды показанные в таких фильмах, как «Крепкий орешек - 4.0» («Жить свободно или умереть, сражаясь») (Live Free or Die Hard), в итоге становятся правдоподобными. «Художественный вымысел вдруг стал реальностью», - говорит Шувенберг (Schouwenberg). Но герой борьбы против зла не Брюс Уиллис, он 27-летний парень с потрёпанной прической «конский хвост» (ponytail). Этот Шувенберг говорит мне: «Мы здесь для того, чтобы спасти мир! Вопрос заключается лишь в том, есть ли в Лаборатории Касперского всё то, что нужно?»

На фотографии, выполненной Йелленом (David Yellen) и названной «Киберсыщик» (Cybersleuth), изображён Ройл Шувенберг (Roel Schouwenberg) из Лаборатории Касперского, который помог в расшифровке Stuxnet и ему подобных интернет-червей, самых сложных из когда-либо обнаруженных.

Вирусы не всегда были злыми. В 1990-х годах, когда Шувенберг был простым задиристым подростком (just a geeky teen), жившим в Нидерландах, а вредоносные программы (malware) обычно создавались хулиганами и хакерами (pranksters and hackers), т. е. людьми, желающими лишь вызвать сбой компьютера или изобразить каракули-граффити на вашей домашней странице AOL.

После обнаружения вирусов на своём собственном компьютере 14-летний Шувенберг связался с Лабораторией Касперского, одной из ведущих антивирусных компаний. Такие компании оцениваются в частности тем, как много вирусов они обнаружили первыми, и Kaspersky считается одной из лучших, хотя о её успехе ведутся споры. Некоторые обвиняют её в связях с российским правительством, но компания эти обвинения отрицает.

Через несколько лет после первого столкновения с вирусами Шувенберг по электронной почте спросил основателя компании Евгения Касперского, надо ли ему изучать математику в колледже, если он хочет стать специалистом по компьютерной безопасности. Касперский ответил тем, что предложил ему 17-летнему парню работу, которую тот взял. Проведя четыре года в компании в Нидерландах, он отправился в Бостон. Там Шувенберг узнал, что инженеру нужны специфические навыки для борьбы с вредоносными программами, потому что для анализа, а по существу обратного проектирования (reverse engineering) большинства вирусов, написанных для Windows, требуется знание языка ассемблера для процессоров Intel x86.

В течение следующего десятилетия Шувенберг стал свидетелем самых значительных изменений, происходящих когда-либо в отрасли. Ручное обнаружение вирусов уступило место автоматизированным методам, способным выявлять даже по 250 000 новых вредоносных файлов каждый день. Прежде всего банки столкнулись с самыми серьёзными угрозами, а призрак межгосударственных кибервойн (state-against-state cyberwars) всё ещё казался далёким. «Всё это было не просто разговорами», - говорит Омарчу (Liam O"Murchu), аналитик компании по компьютерной безопасности Symantec Corp. из Маунтин-Вью (Mountain View), штат Калифорния.

Всё изменилось в июне 2010 года, когда одна белорусская фирма по обнаружению вредоносных программ получила запрос от клиента на выявление причин самопроизвольной перезагрузки его компьютеров. Вредоносное программное обеспечение (malware) было подписано цифровым сертификатом, имитирующим его поступление из надёжной компании. Эта особенность привлекла внимание антивирусного сообщества, чьи программы автоматизированного обнаружения не могли справляться с такой угрозой. Это было первой пристрелкой Stuxnet в «дикой природе» (in the wild).

Опасность, которую представляют поддельные электронные подписи, была так страшна, что компьютерные специалисты по безопасности начали потихоньку обмениваться своими выводами и по электронной почте и на приватных онлайн-форумах. Такое положение дел не является необычным. (that’s not unusual). «Обмен информацией в компьютерной индустрии безопасности может быть классифицирован как чрезвычайная ситуация», - добавляет Хиппонен (Mikko H. Hypponen), главный научный сотрудник (chief research officer) фирмы по безопасности (security firm) F-Secure из Хельсинки, Финляндия. «Я не мог и подумать ни о каких других ИТ-секторах, где существует такое широкое сотрудничество между конкурентами». Тем не менее, компании конкурируют, например, в том, чтобы стать первыми при выявлении ключевых особенностей кибероружия (cyberweapon), а затем заработать на благодарном общественном мнении в качестве результата.

Прежде чем все узнали, на что был нацелен Stuxnet, исследователи Лаборатории Касперского и других компаний по безопасности выполнили обратный инжиниринг кода, «подобрали ключи», выявили истоки и направление распространения вируса, в том числе общее количество инфекций и их долю в Иране, а также ссылки на промышленные программы Siemens, используемые на объектах энергетики.

Шувенберг был больше всего впечатлён тем, что Stuxnet совершил не одно, а целых четыре проявления изощрённости (feat) «нулевого дня» (zero-day), т. е. взломов (haks), использующих уязвимости ранее неизвестных «сообществу белых шляп» (white-hat community), «белых хакеров». «Это не только новаторский приём, все они красиво дополняют друг друга, - говорит он. - Уязвимость LNK (файл ярлыка в Microsoft Windows) используется для распространения через USB-флеш-накопители (USB sticks). Уязвимость диспетчера очереди общей печати используется для распространения в сетях с общими принтерами, которые широко распространены в сетях с общим доступом, подключённых к Интернету (Internet Connection Sharing). Две другие уязвимости связаны с операциями, предназначенными для получения привилегий системного уровня, даже когда компьютеры полностью изолированы. Это выполнено просто блестяще».

Шувенберг и его коллеги из Лаборатории Касперского вскоре пришли к выводу, что код был довольно сложным и не мог быть разработан группой «чёрных хакеров» (black-hat hackers). Шувенберг считает, что команде из 10 человек понадобилось бы не менее двух-трёх лет, для того чтобы его создать. Вопрос состоял в том, кто же возьмёт ответственность за всё это?

Очень скоро стало ясно из самого кода, а также из рабочих отчётов, что Stuxnet был специально разработан для разрушения систем Siemens, работающих на иранских центрифугах по ядерной программе обогащения урана. Аналитики Лаборатории Касперского позднее поняли, что финансовая выгода не являлась целью. Это была политически мотивированная атака. «Тогда не было никаких сомнений в том, что спонсирование разработки вируса осуществлялось государством», - говорит Шувенберг. Это явление застало врасплох специалистов по компьютерной безопасности. «Мы все тут являемся инженерами, мы смотрим на код, - говорит Омарчу (O"Murchu) из Symantec. - Но это была первая реальная угроза, с которой мы столкнулись, ведущая к реальным политическим последствиям. Это было нечто, по поводу чего мы должны были прийти к какому-то согласию и общему мнению».

Краткая история вредоносных программ (malware)

1971. Экспериментальная самовоспроизводящаяся вирусная программа Creeper была написана Томасом (Bob Thomas) из компании Bolt, Beranek and Newman. Вирус заразил компьютеры DEC PDP-10 под управлением операционной системы Tenex. Creeper получил доступ через сеть ARPANET, предшественницу Интернета, и скопировал себя на удалённой системе, выдав там сообщение «Я рептилия (creeper), поймай меня, если сможешь!» Позже была создана программа Reeper («Жнец») для удаления Creeper.

1981. Вирус Elk Cloner, написанный для системы Apple II Скрентой (Richard Skrenta), привёл к первой крупномасштабной компьютерной вирусной эпидемии в истории.

1986. Вирус для загрузочного сектора Brain (он же пакистанский грипп, Pakistani flu), первый вирус для IBM PC-совместимых компьютеров, вышел на свободу и вызвал эпидемию. Он был создан в Лахоре, Пакистан, 19-летним Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амджадом Фарук Алви (Amjad Farooq Alvi).

1988. Червь Morris, созданный Моррисом (Robert Tappan Morris), заражал машины DEC VAX и Sun под управлением BSD Unix, подключённых к Интернету. Он стал первым червём, широко распространившимся «в дикой природе» («in the wild»).

1992. Вирус Michelangelo, опасность которого была раздута специалистом по компьютерной безопасности Макафи (John McAfee), предсказавшим, что 6 марта вирус уничтожит информацию на миллионах компьютеров, однако фактический ущерб был минимальным.

2003. Червь SQL Slammer или так называемый червь Sapphire атаковал уязвимости в Microsoft SQL-сервере и Microsoft SQL Server Data Engine и стал самым быстрым в распространении червём всех времён, он врезался в Интернет в течение 15 минут после высвобождения (release).

2010. Обнаружен червь Стакснет (Stuxnet). Это первый известный червь, атакующий SCADA-системы, т. е. автоматизированные системы управления технологическими процессами (АСУ ТП).

2011. Обнаружен червь Дюку (Duqu). В отличие от близкого к нему Stuxnet он был предназначен только для сбора информации, а не для вмешательства в производственные процессы.

2012. Обнаружен Flame, используемый для кибершпионажа в Иране и других странах Ближнего Востока.

В мае 2012 года Лаборатория Касперского получила запрос от Международного союза по электросвязи (International Telecommunication Union), учреждения ООН, которое управляет информационными и коммуникационными технологиями, на исследование фрагмента вредоносной программы, которая подозревалась в уничтожении файлов нефтяных компаний на компьютерах в Иране. В то время Шувенберг и его коллеги уже искали вариации вируса Stuxnet. Они знали, что в сентябре 2011 года венгерские специалисты обнаружили вирус Duqu, который был разработан для кражи информации в промышленных системах управления.

Выполняя просьбу ООН, автоматизированная система Касперского определила ещё один вариант Stuxnet. Сначала Шувенберг и его группа пришли к выводу, что система сделала ошибку, потому что вновь обнаруженный вирус (malware) не показал очевидного сходства со Stuxnet. Однако после погружения в код более глубоко они обнаружили следы другого файла, называемого Flame, который очевидно был начальной итерацией Stuxnet. Сначала Flame и Stuxnet рассматривались как полностью независимые вредоносные программы, но теперь исследователи поняли, что Flame был на самом деле предшественником Stuxnet, который как-то остался незамеченным.

Flame в общей сложности был размером 20 Мбайт, т. е. примерно в 40 раз больше, чем Stuxnet. Специалисты по безопасности поняли, как выразился Шувенберг, что «…опять за этим, скорее всего, стоит государство».

Для анализа Flame специалисты Лаборатории Касперского использовали методику, называемую ими «сточным колодцем» (sinkhole). Она обеспечивает контроль над командно-управляющим сервером домена Flame таким образом, что когда Flame пытается связаться с сервером своей домашней базы, на самом деле вместо этого он отправляет информацию на сервер Касперского. Трудно было определить, кому принадлежат серверы Flame. «Со всеми доступными украденными кредитными картами и интернет-прокси, - говорит Шувенберг, - атакующим действительно очень легко оставаться незамеченными».

В то время как Stuxnet был предназначен для вывода из строя оборудования, целью Flame было просто шпионить за людьми. Распространившись с USB-флешки, он может заражать принтеры, работающие совместно в одной сети. Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документе, и всё это не будучи обнаруженным.

«Действительно, разработчики Flame пошли на многое для того, чтобы избежать его обнаружения программами обеспечения безопасности», - говорит Шувенберг. Он приводит пример: Flame не просто передаёт собранную информацию всю сразу на свой командно-управляющий сервер, т. к. сетевые менеджеры могут заметить внезапную утечку. «Данные отправляются мелкими кусочками, для того чтобы достаточно долго избегать снижения пропускной способности», - говорит он.

Наиболее впечатляет то, что Flame может обмениваться данными с любыми Bluetooth-совместимыми устройствами. В самом деле злоумышленники могут украсть информацию или установить другие вредоносные программы не только в пределах стандартного 30-метрового диапазона Bluetooth, но и дальше вовне. «Bluetooth-винтовка» (Bluetooth rifle), направленная антенна, подключённая к компьютеру с Bluetooth-поддержкой, имеет возможность осуществлять передачу данных на дальность до 2 километров.

Но самая тревожная особенность Flame это то, как он впервые проник на компьютеры: через обновление операционной системы Windows 7. Пользователь думает, что он просто загружает законный патч от Microsoft, а на самом деле вместо этого устанавливает Flame. «То, что Flame распространяется через Windows Updates, является более значимым, чем сам Flame», - говорит Шувенберг, который считает, что, возможно, есть только 10 программистов в мире, способных запрограммировать такое поведение. «Это техническая изощрённость (feat), которая весьма изумляет, потому что здесь было взломано шифрование мирового класса, - говорит Хиппонен из компании F-Secure. - Вам обязательно необходимы суперкомпьютеры и множество специалистов для того, чтобы сделать это».

Если правительство США действительно стоит за этим червём, то этот обход шифрования от Microsoft может создать некоторую напряжённость между компанией и её крупнейшим клиентом - федералами. «Я предполагаю, что Microsoft провёл телефонный разговор между Биллом Гейтсом, Стивом Балмером и Бараком Обамой, - говорит Хиппонен, - и мне хотелось бы послушать этот разговор».

Выполняя реверсивный инжиниринг (анализ) вируса Flame, Шувенберг и его команда настроили свою методику на «сходство алгоритмов», позволяющую обнаруживать варианты вирусов, созданные на единой платформе. В июле они обнаружили новый вирус Gauss. Его целью тоже было кибернаблюдение (cybersurveillance).

Перенесённый с одного компьютера на другой USB-флешкой Gauss ворует файлы и собирает пароли, по неизвестным причинам нацеливаясь на учётные данные ливанских банков. Эксперты полагают, что это было сделано или для отслеживания операций, или для выкачивания денег с определённых счетов. «USB-модуль захватывает информацию из системы, шифрует и сохраняет эту информацию на своей USB-флешке, - объясняет Шувенберг. - Затем, когда этот USB-флеш-накопитель вставляется в гаусс-инфицированный компьютер, Gauss захватывает с USB-флешки собранные данные и отправляет их на командно-управляющий сервер (command-and-control server)».

В то время, когда инженеры Лаборатории Касперского обманули вирус Gauss при его общении с его собственными серверами, эти серверы вдруг «упали» (went down). Ведущие инженеры считают, что авторы вредоносной программы сумели быстро замести свои следы. Лаборатория Касперского собрала уже достаточно информации для защиты своих клиентов от Gauss, но в тот момент это было пугающим. «Мы уверены, что сделай мы что-нибудь не так, и хакеры оседлали бы нас»,- говорит Шувенберг.

Последствия применения вирусов Flame и Stuxnet выходят за рамки спонсируемых государством кибератак. «Профессиональные злоумышленники смотрят на то, что делает Stuxnet, и говорят: «Это отличная идея, давайте её копировать»», - говорит Шувенберг.

«В итоге получается так, что национальные государства тратят миллионы долларов на разработку различных видов киберинструментария (cybertools), и это является тенденцией, которая будет только нарастать», - говорит Джеффри Карр, основатель и генеральный директор фирмы по компьютерной безопасности «Тайя Глобал» (Taia Global) из Маклина, штат Вирджиния. Хотя Stuxnet и смог временно замедлить в Иране программу обогащения урана, он не достиг своей конечной цели. «Кто бы ни потратил миллионы долларов на Stuxnet, Flame, Duqu и т. п., всё это деньги, потраченные впустую. Сейчас эти вредоносные программы уже публично доступны и могут быть подвергнуты обратному инжинирингу, т. е. подробному анализу», - говорит Карр.

Хакеры могут просто использовать конкретные компоненты и методики, доступные из Интернета, для своих атак. Преступники могут использовать кибершпионаж (cyber espionage), например, для того чтобы украсть данные о клиентах из банка или просто посеять хаос, являющийся частью более сложной проделки (prank). «Очень много разговоров ведётся о государствах, пытающихся атаковать нас, но мы находимся в ситуации, когда мы уязвимы для армии 14-летних подростков с двухнедельной подготовкой», - говорит Шувенберг.

Уязвимость является большой проблемой, особенно для промышленных компьютеров. Всё, что нужно для того чтобы найти путь, например, к системам водоснабжения США, - это возможность поиска терминов в Google. «Мы видим, что многие промышленные системы управления, подключены к Интернету, - говорит Шувенберг, - и они не меняют паролей по умолчанию, так что, если вы знаете правильные ключевые слова, вы сможете найти нужные панели управления».

Компании не спешат инвестировать ресурсы, необходимые для обновления систем промышленного управления. Лаборатория Касперского выявила важнейшие инфраструктурные компании, работающие под управлением устаревших 30-летних операционных систем. В Вашингтоне политики призывают к законам, требующим такие компании поддерживать лучшие практики безопасности. Однако принятие одного такого законопроекта о кибербезопасности не увенчалось успехом в августе 2012 года на том основании, что он был бы слишком дорогостоящим для бизнеса. «Чтобы полностью обеспечить необходимую защиту нашей демократии, закон о кибербезопасности должен быть принят конгрессом, - заявил недавно Панетта. - Без него мы уже уязвимы и дальше будем оставаться уязвимыми».

Тем временем, охотники за вирусами из Лаборатории Касперского и других антивирусных компаний будут продолжать борьбу. «Ставки только всё выше, выше и выше, - говорит Шувенберг.- Мне очень любопытно посмотреть на то, что произойдёт через 10 или 20 лет. Как история оценит наши решения, которые мы приняли сейчас?»

Название угрозы

Имя исполняемого файла:

Тип угрозы:

Поражаемые ОС:

Stuxnet Virus

(random).exe

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)



Метод заражения Stuxnet Virus

Stuxnet Virus копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe . Потом он создаёт ключ автозагрузки в реестре с именем Stuxnet Virus и значением (random).exe . Вы также можете найти его в списке процессов с именем (random).exe или Stuxnet Virus .

Если у вас есть дополнительные вопросы касательно Stuxnet Virus, пожалуйста, заполните и мы вскоре свяжемся с вами.


Скачать утилиту для удаления

Скачайте эту программу и удалите Stuxnet Virus and (random).exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Stuxnet Virus в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.


Скачайте утилиту для удаления Stuxnet Virus от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Stuxnet Virus .. Утилита для удаления Stuxnet Virus найдет и полностью удалит Stuxnet Virus и все проблемы связанные с вирусом Stuxnet Virus. Быстрая, легкая в использовании утилита для удаления Stuxnet Virus защитит ваш компьютер от угрозы Stuxnet Virus которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Stuxnet Virus сканирует ваши жесткие диски и реестр и удаляет любое проявление Stuxnet Virus. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Stuxnet Virus. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Stuxnet Virus и (random).exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Stuxnet Virus.

Удаляет все записи реестра, созданные Stuxnet Virus.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Stuxnet Virus и удалить Stuxnet Virus прямо сейчас!

Оставьте подробное описание вашей проблемы с Stuxnet Virus в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Stuxnet Virus. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Stuxnet Virus.

Как удалить Stuxnet Virus вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Stuxnet Virus, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Stuxnet Virus .

Чтобы избавиться от Stuxnet Virus , вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.

4. Сбросить настройки браузеров

Stuxnet Virus иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Stuxnet Virus. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

    Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".

    Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".

    Выберите вкладку Дополнительно

    Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.

    Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

    После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: Сбросить настройки браузеров в Инструменты

Для Google Chrome

    Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

    В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .

    Запустите Google Chrome и будет создан новый файл Default .

    Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Mozilla Firefox

    Откройте Firefox

    В меню выберите Помощь > Информация для решения проблем .

    Кликните кнопку Сбросить Firefox .

    После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Середина июля была ознаменована кибератакой на промышленный сектор целых
государств. Естественно, наш журнал не мог пропустить такого события и
подготовил материал об этом инциденте.

Промышленный шпионаж

Мы привыкли, что киберпреступность пытается обмануть, взломать и обворовать
несчастных пользователей интернета. Но время всегда заставляет людей двигаться
дальше, за новыми результатами и новой прибылью. То же самое происходит и в
отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать
номера CC, но ведь есть еще огромная неизведанная ниша - промышленность, ее
технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар
лета - беспрецедентная атака на промышленные системы
, Supervisory Control And
Data Acquisition, что переводится как "Диспетчерское Управление и Сбор Данных"
(по-нашему это аналог АСУ ТП - Автоматизированная Система Управления
Технологическим Процессом). Такие системы контролируют процессы на производстве,
нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие
комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна.
Именно на эту информацию и нацелилась свежая вредоносная программа, получившая
имя .

Stuxnet

Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно -
антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к
10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо
уведомить компании, чье имя было в ходе дела "опорочено", и изучить экземпляр).
Компании эти достаточно известны - Microsoft и Realtek. Специалисты VirusBlokAda
зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков
(.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости
поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые
червем драйвера имели действующий сертификат, заверенный Verisign и выданный на
имя Realtek. Такой оборот дела сильно усложняет процесс детектирования
вредоносного контента различными системами обнаружения и предотвращения
вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично
доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что
доверенный сертификат сильно продлил жизнь "малваре", прежде, чем ее обнаружили.
Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании
так же подключились к исследованию, как новой уязвимости, с помощью которой
распространялся червь, так и к боевой нагрузке.

Распространение

Механизм размножения червя, казалось бы, не особо-то и оригинальный - через
USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость,
которая позволяет загружать произвольную.DLL-библиотеку, как только флешка
будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке
лежит.DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с
червем, - .TMP) и.LNK-файл. Файл с расширением.LNK является обычным ярлыком.
Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в
стандартной оболочке или Total Commander автоматически выполнится лежащий рядом
.DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?

Как известно, ярлык указывает на исполняемый файл и при двойном щелчке
вызывает его. Но тут все без щелчков, да и.DLL-файл так не выполнить. Если
рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь
до нашей.DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели
управления! Эта-то деталь все и объясняет. Любой элемент панели управления - .CPL-
апплет. Но CPL - это, по сути, простая.DLL, поэтому ярлык для панели управления
особый, он как бы понимает, что имеет дело с.DLL. Кроме того, такой ярлык
пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того,
чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и
делает с помощью вызова LoadLibraryW().

Справедливости ради стоит отметить, что вызов этой функции автоматически
влечет за собой выполнение функции DllMain() из подгружаемой библиотеки.
Поэтому, если такой ярлычок будет указывать не на.CPL-апплет, а на злую
библиотеку со злым кодом (в функции DllMain()), то код выполнится
АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно
использовать и с помощью.PIF-ярлыков.

Боевая нагрузка

Кроме интересного метода распространения удивила и боевая нагрузка - никаких
ботнетов, краж банковских паролей, номеров CC. Все оказалось куда масштабнее.
Уязвимость.LNK провоцирует загрузку скрытого файла с именем ~wtr4141.tmp,
лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб). Как
отметили специалисты из Symantec, очень важно на первых порах скрыть свое
присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости,
которая действует, как только пользователь увидит иконки, сработает и
~wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в
kernel32.dll. Перехватываемые вызовы:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW

Хуки также вешаются и на некоторые функции из ntdll.dll:

  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile

Все эти функции обрабатываются со следующей логикой - если файл начинается с
"~wtr" и заканчивается на ".tmp" (или на ".lnk"), то удалить его из
возвращенного оригинальной функцией значения, а затем вернуть, что осталось.
Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто
не увидит файлы на флешке. После этого ~wtr4141.tmp подгружает второй файл с
диска (~wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал,
извращенно - установкой хуков в ntdll.dll на вызовы:

  • ZwMapViewOfSection
  • ZwCreateSection
  • ZwOpenFile
  • ZwCloseFile
  • ZwQueryAttributesFile
  • ZwQuerySection

Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл
со специальным именем, на это дело срабатывают ранее установленные хуки и грузят
второй файл, уже реально существующий - ~wtr4132.tmp, вернее, его
незакодированную часть, которая раскодирует вторую часть (по факту -
UPX-сжатие). Вторая часть представляет собой некие ресурсы, другие файлы,
которые вступают в дело после расшифровки и экспорта (аналогичным извращенным
методом с хуками на API функции).

Первым делом устанавливаются два драйвера - mrxcls.sys и mrxnet.sys (именно
из-за этих файлов червь получил такое название - Stuxnet). Устанавливаются они в
системную директорию, а функционал на них - руткит уровня ядра с той же логикой,
что и в первом файле. Это обеспечит защиту червя после перезагрузки и завершения
процесса ~wtr4141.tmp.

Драйвера эти, как уже было сказано, имеют легитимный сертификат Realtek,
поэтому их установка пройдет без проблем (на данный момент сертификат уже
отозван). Кроме руткита распаковываются файлы шаблона ярлыка и ~wtr4141.tmp для
организации заражения других USB-устройств. Потом экспортируется код, который
инъектится в системные процессы и добавляет в реестр вышеотмеченные.SYS-файлы
руткита (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). Далее
раскодируются два.DLL-файла, которые заменяют существующие файлы системы SCADA
- Siemens Step 7.

Таким образом, все вызовы из системы SCADA переходят в поддельные библиотеки.
Там происходит "нужная" обработка, после чего вызовы передаются в оригинальные.DLL
(остальную часть функций вирь и вовсе эмулирует самостоятельно). Кроме всего
перечисленного, червь блокирует процессы антивирусов и пытается найти сервера
СУБД (MSSQL). Найдя таковые, он пробует выполнить вход с учетной записью
WinCCConnect и паролем по умолчанию - 2WSXcder. Это учетная запись от БД SCADA
типа Siemens Simatic WinCC. Как видно, червь заточен именно под продукт Siemens.
Если аутентификация прошла успешно, шпион выкачивает данные о процессах и прочую
секретную инфу. Кроме того, он не гнушается поискать в локальных файлах полезную
для шпионов информацию. Если удается обнаружить выход в интернет, то червь лезет
на один из командных серверов. Имена серваков такие:

  • mypremierfutbol.com
  • todaysfutbol.com

Туда червь и пытался достучаться и "что-то" слить в зашифрованном виде.
Ребята из Symantec разобрались и с этой задачей. Оказалось, что шифрование
представляет собой побайтовую операцию XOR с 31-битным ключом, который был
прошит в одной из.DLL-библиотек. Ответ с сервера также приходит в
XOR-виде, правда, используется уже другой ключ из той же библиотеки. Троян
отсылает на сервер общую информацию о зараженной машине (версия винды, имя
компьютера, адреса сетевых интерфейсов, а также флаг наличия SCADA). В ответ от
командного центра могут приходить вызовы RPC для работы с файлами, создания
процессов, внедрения в процесс и загрузки новых библиотек и др.

Что это было?

Именно так… что же это было?! Простые блэкхаты не будут ввязываться в то, что
не принесет легких денег. Данные из SCADA-систем интересны лишь конкурентам.
Конкурентам в коммерческом или политическом планах. Если взглянуть на карту
распространения заразы (по данным лаборатории Касперского), то видно, что
эпицентр - Азия (а именно - Индия, Иран и Индонезия). Если взглянуть на
описанный функционал червя, то можно ужаснуться - контроль над.DLL и перехват
функций SCADA. Разве не круто - управлять индийской атомной электростанцией по
инету? Или проникнуть в иранскую ядерную программу? К тому же, мы имеем факт,
что драйвера руткита имеют легальный сертификат, который географически
принадлежит компании, базирующейся в той же зоне (в Тайланде)!

Этой историей занимаются не только антивирусные компании, но и
правительственные структуры (чтобы замести свои следы? :)). В результате
"захвата" указанных доменов и командных серверов удалось проанализировать
статистику стучащихся туда больных машин. В итоге данные Symantec практически
совпадают со сведениями Лаборатории Касперского - все те же страны. Кроме всего
этого уже подтвердились факты проникновения и в саму систему SCADA. Пока не так
много, около трех фактов (два из Германии и один из Ирана). Но ведь не все будут
публично говорить, что их поимели…

Что будет?

После всего случившегося, я думаю, возникнет неслабый интерес к безопасности
SCADA. До этого инцидента уже были и исследователи, и фирмы, которые
предупреждали о проблемах в безопасности и предлагали свои услуги, но этот
конкретный случай может помочь им очень неплохо заработать. Смею полагать, что
такая же модель червя годится и для ERP-систем, так как показанная схема
применима и для этой модели. ERP-системы отвечают за планирование и управление
бизнесом - деньгами, задачами, товарами и т.д., и т.п. (Я бы даже сказал, что
написать такого червя под ERP было бы легче, но раз была выбрана SCADA и регионы
Азии, то тут скорее попахивает политикой…). Так что все эти бизнес- и
промышленные системы еще ждут своих героев (привет Александру Полякову aka
sh2kerr). Но вот что касается.LNK-уязвимости, то, например, троянец Zeus уже
стал использовать ее для своего размножения. Кроме того, ребята из Rapid7
сделали эксплойт для Metasploit, который способен работать через HTTP с помощью
WebDav.

При этом шеллкод забивается в.DLL-файл, и ярлык его подгружает. Патча на
момент написания статьи еще не было, а угроза весьма существенная - тут все
антивирусные компании говорят, что они прекрасно детектируют виря по сигнатурам,
поэтому самое время обратить внимание, что сигнатуры - отстой. Сигнатура DLL нам
не так интересна, а вот сигнатура, по которой определяется, что данный ярлык -
эксплойт, определенно может хромать. Возьмем ярлык от публичного PoC
(suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27
антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим
пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через
консоль:

nopy Java.lnk Java.lnk_

Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в
HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но
Java-ярлык - нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java -
не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине
лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением.LNK.
Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов,
для Java-ярлыка - 8, то есть 70% антивирусов перестали детектить эксплойт, и
среди этих антивирусов такие гиганты, как Symantec, Kaspersky, AVG, NOD32. Так
что антивирус тут - не панацея.

Это так… пять копеек от меня, чтобы там не расслаблялись, а вообще,
антивирусникам надо сказать спасибо за столь тщательную и интересную работу,
которую они проделали, чтобы помочь нам разобраться в этой угрозе. Спасибо Вам,
бойцам антивирусного фронта: AdBlokAda (первыми обнаружили и изучили), Symantec
(за подробный технический анализ в своем блоге), компании ESET и лично
Александру Матросову за их работу в московской лаборатории. Также спасибо
лаборатории Касперского и их блогу, в котором Александр Гостев делился своими
мыслями и красивыми картами:). Ну и спасибо тебе, мой читатель, переваривший
этот важный материал.