Stuxnet. Истерия продолжается…

    Уже много раз обсуждалась тема червя Stuxnet на Хабре. Казалось бы, осветили данное событие со всех сторон, однако все же много важных моментов осталось за кадром. Дело в том, что за всем этим «желтоватым» информационным шумом, фигурирующем сейчас в СМИ, не видно сути. А ведь до сих пор никто не может ответить точно на вопрос, зачем и кому могла быть выгодна такая атака. Прямых фактов не у кого нет, а фигурируют лишь домыслы, сделанные на довольно шатком фундаменте косвенных улик. Но давайте поговорим обо всем по порядку.

    На конференции VB’2010, которая прошла в Ванкувере на прошлой неделе, очень много говорили об этой атаке, причем с разных ракурсов. Наиболее интересным по данной теме было выступление «An indepth look into Stuxnet» от исследователя из Symantec, Liam O'Murchu. В рамках его доклада была проведена любопытная демонстрация, которая показывала результат эксплуатации SCADA-системы.



    Какова цель атаки Stuxnet? На этот вопрос никто не можетответить до сих пор, потому что, несмотря на все статистические индикаторы, не понятно, какой объект мог являться истинной целью злоумышленников, а, быть может, этих целей было несколько, или задачей было поразить как можно больше объектов использующих системы SCADA от Siemens. Обсуждая функциональные возможности Win32/Stuxnet, стоит учитывать следующие факторы:

    — Наличие функционала, позволяющего ему отправлять интересующие злоумышленников параметры системы на удаленный сервер;
    — Возможность обновлять себя и расширять свой функционал с удаленного сервера.

    Учитывая эти факты, цели злоумышленников могли изменяться, как от каждой конкретной пораженной червем системы, так и в зависимости от временного периода развития атаки. Такие выводы сильно затрудняют поиск истинных мотивов создателей Win32/Stuxnet. Так же стоит учесть, что внимание к себе этот червь привлек только в конце июня 2010. Но существует информация, указывающая на то, что эта атака уже имеет свое развитие на протяжении длительного времени (примерно около года). Например, специалистами Symantec был обнаружен экземпляр червя, датированный июнем 2009 года, причем по своим возможностям он более скромен.

    Теперь давайте обратимся к статистическим данным. На сегодняшний день наиболее насыщенным регионом, с точки зрения числа инцидентов, являются азиатские страны. По нашим статистическим данным, распределение с начала обнаружения и до конца сентября выглядит следующим образом:

    image

    image

    Статистика других антивирусных компаний также указывает на то, что Иран, является наиболее активной зоной. Стоит, конечно, учитывать, что все эти данные сделаны лишь на основе количества рабочих станций с установленным тем или иным антивирусным продуктом. Но, тем не менее, статистическая выборка сделана за достаточно длительный временной период, что снижает возможность ошибки.

    На основе этих данных некоторые пытаются делать выводы о том, что Иран является основной целью вирусописателей. На самом деле, эти данные не говорят о целях ровным счетом ничего. Но по цифрам можно сделать предположение о том, что, возможно, первые экземпляры червя были активированы именно в Азии, а мошенники не могли контролировать число заражений. Дело в том, что в последней версии Win32/Stuxnet уже имеется в наличии функционал позволяющий, контролировать количество заражений. Может быть, именно эта версия распространялась в других регионах, что позволило злоумышленникам начать контролировать его распространение.

    И напоследок, хочется порассуждать на тему стоимости такого рода атаки, и кто бы мог за всем этим стоять. Вредоносная программа Win32/Stuxnet реализована на высоком техническом уровне во многих случаях со знанием того, как обходятся современные защитные средства. Тщательно продуманная объектно-ориентированная архитектура, модульная система и большой объем кода, позволяет сделать выводы о том, что над этой разработкой работала целая группа профессионалов (примерно около 5-7 человек). В качестве основного механизма распространения применялась уязвимость нулевого дня MS10-046. Эта уязвимость в LNK/PIF файлах позволяющая выполнить произвольный код. Использовалась червем для распространения через внешние носители.

    Так же присутствовал второй эшелон из уязвимостей, который эксплуатировался при распространении уже внутри локального сетевого сегмента:

    MS10-061 – уязвимость в сервисе Print Spooler, которая позволяет выполнить удаленно произвольный код;
    MS08-067 – уязвимость в RPC, которая уже давно закрыта и использовалась для своего распространения червем Conficker. В данном случае, этот вектор распространения использовался как дополнительный;
    — (отсутствует Vendor-ID) уязвимость в win32k.sys, позволяющая повысить локальные привилегии на системах Win2000/WinXP. Использовалась червем при недостаточных привилегиях в процессе инсталляции.
    — (отсутствует Vendor-ID) уязвимость в Task Scheduler, позволяющая повысить локальные привилегии на системах Vista/Win7.

    Обе эти незакрытые уязвимости уже стали появляться в продаже и, вероятнее всего, получат в ближайшее время широкое распространение. Сейчас еще нет ни официальных бюллетеней на эти уязвимости, ни официальной информации о том, когда они будут закрыты.

    Еще одной интересной уязвимостью нулевого дня является CVE-2010-2772. На этот раз она была найдена в системах Siemens Simatic WinCC и PCS 7 SCADA. Заключается она в жестко прошитом пароле для доступа к базе данных Microsoft SQL из программы WinCC.

    Учитывая все это, только стоимость технической реализации Win32/Stuxnet достигает суммы превышающей 500.000 Евро. Это очень большие вложения, и, учитывая тот факт, что прямой схемы монетизации данная вредоносная программа не имеет, вероятнее всего, злонамеренное ПО было создано какой-то влиятельной или правительственной организацией. Истинные мотивы и цели создания Win32/Stuxnet могут раскрыть только самим авторы этой атаки, но, судя по всему, их так никто и не поймает.

    Сейчас основными источниками технической информации по червю Win32/Stuxnet, являются два исследовательских отчета:
    Stuxnet Under the Microscope, ESET;
    W32.Stuxnet Dossier, Symantec.
    ESET NOD32
    85.13
    Company
    Share post

    Comments 34

      +4
      Захватывающий сюжет)
        +1
        Сюжетец аккурат для «Хакеры 2.0», конечно же, с Джоли в главной женской роли. :)
        –3
        Одно могу сказать, это не Таджикистан… Вспомнился анекдот на эту тему… Про вирус, который просил удалить какие-нибудь важные данные и переслать этот вирус своим знакомым)
          0
          malaya-zemlya.livejournal.com/589347.html
          Раскрылась новое обстоятельство, от которого, правда, дело не проясняется: оказывается, сырой вариат виря был у Symantec в базе подозрительного кода аж с июля 2009 года. Тогда на него никто не обратил внимания. Сейчас начали искать детские фото знаменитости, и нашли. Он был юн, неопытен, и не умел подделывать подписи на дравйверах. Контрафактные драйвера появились только прошлой зимой. IMHO, серьезный аргумент против теории едиовременного точечного удара. Если ракета цели достигла, то зачем воровать для нее новый ключ? А если не дошла, то одного ключа не хватит. И почему когда первый ключ был отозван в середине этого лета, откуда-то сразу появился червь с ключем от другой фирмы? Это вообще странно. К тому моменту Stuxnet уже палился некоторыми антивирусами. Взяли и выкинули сертификат на ветер.
            +4
            в компьютерре тоже довольно подробно рассматривался вопрос.), там предполагают, что атака была против конкретной фабрики в Натанзе, и завершилась успехом, поэтому глава Иранской организации по атомной энергии ушел в отставку
            …фабрика центрифуг по обогащению урана состоит из тысяч идентичных узлов, которые объединены в структуры, именуемые каскадами. Каждый из этих узлов по необходимости повторяет своих соседей, поскольку для увеличения численности центрифуг обогащения так устроено массивное масштабирование системы. При такой архитектуре червю Stuxnet потребовалось бы заразить каждую из центрифуг, а затем вызвать лавину массовых отказов оборудования. (Имеются неофициальные свидетельства, что именно это и произошло в Натанзе).
              +1
              чёрт, ссылку-то и не дал
                0
                я, кстати, согласна с Киви. то есть, по крайней мере, ход его мыслей вполне логично выстроен.
                –18
                насчет правительственной или «влиятельной» организации вы загнули :) большинство так называемых хацкеров — студенты и остальные человеки, возраст большей части которых не превышает 27 лет. часть из которых может только на васме флудить или писать не приносящие ничего PoC'ы. в данном примере работали скажем студенты cо cвязями(внутри uground тусовки)/деньгами, в группе ~3 человек, хотя цель их творения до сих пор непонятна. если бы заказывала какая нибудь достаточно серьезная, предположим, правительственная организация — последствия были бы совсем другими.
                  +9
                  Четыре зиродея, два валидных сертификата, глубокое понимание SCADA систем (как программной так и аппаратной частей), инсайд, позволяющий идентифицировать целевую систему по набору айдишников и ассоциированных с ними значений и т.п… Хм, действительно, очень похоже на студенческое поделие.
                  +1
                  Ну пока суд да дело, Greatis выпустили бесплатную специализированную утилиту для удаления Stuxnet: greatis.com/security/stuxnet_remover.html

                  Исходя из «особенностей» работы их продукта UnHackMe, а также не менее «особенного» сервиса проверки имени файла в базе вредоносных, не дам 100% гарантии на полную функциональность данной утилиты, но потуги и шаги в эту сторону, без сомнения, заслуживают похвалы.

                  Касательно незакрытых уязвимостей — ну не всё так плохо, уже есть KB2286198 и KB2347290 — не надо паниковать :)

                  Кстати, есть цикл статей «Мирт и Гуава» от Kaspersky Lab на www.securelist.com — это в дополнение к референсам. Не найдёте сами — могу покопаться и дать ссылки.
                    +1
                    Кстати, кто-то из участников конференции может нормально пояснить ролик из статьи? Очень плохое качество звука — не смог разобрать перевод, и что там должно было произойти за «три секунды» и к чему там надувающийся и лопающийся шарик.

                    Или это был презерватив, который должен был защитить SCADA от вируса? Тогда, конечно, очень наглядно и понятно!
                      0
                      Предполагаю, что насос изначально был запрограммирован на работу циклами не более 3 секунд, шарик не успевал лопаться. После запуска вируса программа изменилась, шарик стал лопаться.
                      +1
                      Лично мне кажется, что история связанная с Stuxnet`ом слишком уж притянута за уши. Интересно посмотреть на список объектов, которые были подвержены нападению (или на которые были запланированы). На опасных производствах, как правило, устанавливают полноценную АСУТП (РСУ+ПАЗ), а не SCADA-подобные системы. Мне кажется, что нужно более четко определять куда вирус просочился и на что нацелен. А то получается, на производстве стоит и РСУ, и ПАЗ и еще и SCADA система, занимающаяся, к примеру, сбором информации, вирус попал на станцию SCADA, и все начинают говорить, А!, опасность производству, но на самом деле это же не так еще есть и РСУ и ПАЗ. Я даже написал статью о современных АСУ ТП, потому что когда я слышу о вирусе Stuxnet, сразу такое ощущение, что мелковозрастные хакеры уже получили доступ ко всем производствам галактики.
                        +1
                        Приятно видеть специалиста, но я всё же рекомендую внимательно читать первоисточники, а не вольные пересказы журналистов (даже у Берда Киви в материале полно ляпов).

                        Мои 5 риалов:
                        1. Червь был заточен под конкретный PLC (или группу однотипных PLC) конкретного производства. У разработчиков явно была копия «хардвари» и «блоков» проекта Step7 атакуемого производственного объекта.
                        2. Червь вполне мог пролезть на «инженерную станцию», ибо зачастую эти станции — просто ноутбуки разработчиков, которые на них что только не творят в свободное время (и игры, и интернет). Мой ноут тоже такой :), недавно только закупили специализированный ноутбук SIMATIC Field PG, на котором соблюдаем «карантин». Впрочем, мне пока на опасных производствах не доводилось работать :)
                        3. Червь загружает вредоносный код в PLC в момент его программирования с инженерной станции путём перехвата трафика между станцией и PLC (заодно червь перехватывает обратный трафик и скрывает свой код). Таким образом, все пароли на проект идут лесом.
                        4. Если с незаражённой станции попытаться глянуть зараженный червем блок в PLC, то Step действительно ругнётся, что блоки в локальном проекте и в PLC не совпадают. Вот только очень редко другой инженер при этом откроет блок из «онлайна» (из PLC), чтобы посмотреть чего там не то, а скорее пнёт другого инженера (с заражённым ноутом), чтобы тот внёс нужные изменения или слил свежую версию проекта (заражённую червем ;). Да и вообще, как правило, при работе над сложной системой несколько разработчиков делают каждый свой кусок, а блоки, отвечающие за последовательность работы программы в целом пишет более опытный мега-инженер, настолько уверовавший в своё всемогущество, что позволил себе днём ранее почитать на своём ноуте свежее ТЗ, которое какой-то неизвестный местный притащил ему на флешке.

                        дисклеймер: всё вышеописанное является вымыслом, все совпадения с реальностью случайны и не имели место в действительности :)
                          0
                          Да, с вашим взглядом на ситуацию согласен. Но тут несколько моментов, во-первых, к системам ПАЗ (а на опасных производствах тем более) отношение всегда предельно серьезное. А во-вторых, вирус может причинить вред системе двумя способами: или организовать удаленное управление асу (ну, это из области фантастики, как правило к внешним сетям станции не подключены), или не выполнить свою функцию (а для этого надо знать как работает именно эта конкретная асу тп, т.е. злоумышленник (а не вирус) должен внести вредоносные изменения в проект).
                            0
                            ну так злоумышленники знали, как работает конкретная асу, и написали средство доставки вредоносных изменений :)
                        +1
                        Интересно, а как оценили стоимость вируса в 500.000 Евро?
                          0
                          Труд команды кодеров + стоимость уязвимостей нулевого дня и сертификатов на черном рынке.
                            0
                            а у вас нет каких-то приблизительных расценок? Интересно прикинуть :)
                              0
                              Кажется уязвимость с ярлыками стоит порядка 20 000 $, остальные где-то по 5 000 $. Вообще, конечно, с оценкой в 500 000 $. перегнули явно…
                                0
                                м.б. потенциальная выгода при более рациональном использовании?
                                  +3
                                  Ну почему же. Вот возьмем среднее — 6 девелоперов. Судя по описанию они весьма квалифицированы, но мы возьмем их оклад в $75k/год — средняя зп разработчика на западе. Вирус разрабатывался с 2009 года, для удобства будем считать что ровно год. Следовательно 6 человеко-лет будут стоить 75 * 6 = 450k. А учитывая расходы на инфраструктуры девелопмента и прочее, то легко получим и 0.5млн евро.

                                  Естественно данная оценка весьма груба, но указанная сумма набирается без проблем.
                                    0
                                    Вы забыли про Siemens Simatic WinCC и PCS 7 SCADA, а так же сопутствующее железо для тестов.
                              0
                              — Возможность обновлять себя и расширять свой функционал с удаленного сервера.

                              И что же мешает найти злоумышленников, имея такую информацию? Меня лично этот вопрос беспокоит больше, чем поднятые в статье.
                                0
                                За инструкциями червяк стучался на следующие сайты:
                                www.mypremierfutbol.com
                                www.todaysfutbol.com
                                домены зарегены анонимно. на момент изучения антивирусниками DNSы указывали в совершенно «левые» места…

                                Как будем искать?
                                  0
                                  какой-то червь по определенным правилам генерировал домен на который надо было заходить и вроде бы даже в антивирусной компании нарегали имен чтобы захватить контроль над ботами.
                                    –1
                                    Это вы с конфикером перепутали, там так было.
                                    0
                                    будем смотреть, каким образом произведена оплата за них и в случае банковских карт искать владельцев карт? Будем смотреть записи доменов в бэкапах? Следователям виднее, вряд ли я смогу сказать что-то новое.
                                      0
                                      владельцы карт наверняка какие-нибудь домохозяйки с вирусованными под завязку компами :)
                                  0
                                  Снова упали продажи антивирусов?
                                    0
                                    времена холодных воин прошли. сейчас время высоких технологий.
                                      0
                                      «Уже много раз обсуждалась тема червя Stuxnet на Хабре»
                                      или уже без корвалола
                                      «На Хабре уже много раз обсуждалась тема червя Stuxnet»?
                                        +2
                                        Фундамент для 2012 года =)
                                          0
                                          А где Китай? В других странах?
                                          Это так, на заметку.

                                          Only users with full accounts can post comments. Log in, please.