Хакеры проникли в системы атомной электростанции в Иране. Кто может за этим стоять?

Original author: Патрик Фитцджеральд (Patrick Fitzgerald) и Эрик Чин (Eric Chien), Symantec
  • Translation
Еще летом этого года аналитики Symantec зафиксировали за 72 часа около 14,000 уникальных IP адресов, инфицированных данным червем. Тогда массовая общественность не придала этому особого значения. Но уже тогда ученых заинтересовал тот факт, что 60 процентов зараженных систем находилось не где нибудь, а в Иране.

Активно обсуждать угрозу начали, когда иранские власти подтвердили факт проникновения Stuxnet в системы атомной электростанции в Бушере. Этот инцидент является почти классическим примером успешной компьютерной атаки и образцом того, как эти атаки будут использоваться в будущем.
Успешное проведение атаки позволило нападающим украсть конфиденциальные документы с описанием архитектуры и данных об использовании системы SCADA (автоматизированной системы управления рабочим процессом).

Начнем с того, что мы не знаем, кто стоит за этой атакой, и история свидетельствует о том, что лишь в редких случаях удается определить организаторов атак. Однако, если бы месяц назад кто-нибудь предложил этот тип атаки, хотя мы бы и согласились с тем, что такая атака теоретически возможна, большинство специалистов отбросило бы перспективность ее проведения как замысел, который больше подходит для сценария фильма. Более того, подобные атаки редко предаются огласке.
Мы знаем, что за этой атакой стоят не любители, но их конечная мотивация непонятна.
Основные факты в этом случае следующие:
  • Нападающие выявили и использовали т.н. «уязвимость нулевого дня», существующую во всех версиях Microsoft Windows. Всего использовалось целых четыре уязвимости такого рода
  • Они разработали и использовали «руткит» (специальная программа) для того, чтобы скрыть свое присутствие в системе.
  • Атака была направлена на специализированное программное обеспечение, которое используется для контроля за промышленным оборудованием и процессами; при этом были использованы глубокие знания внутренних механизмов работы данного ПО.
  • Хакеры подписывали свои файлы, используя действующие цифровые сертификаты, выпущенные третьей стороной, которая не принимала участия в атаке. Действие одного цифрового сертификата закончилось в июне, но версия с новой цифровой подписью появилась уже в июле; она была подписана с использованием цифрового сертификата другой компании. Обе этих компании — Тайваньские. Возможно, хакеры украли персональные ключи, или им удалось каким-то образом подписать свои файлы. В распоряжении нападающих могут быть и другие взломанные цифровые подписи.
  • Хакеры не использовали характерных инструментов для проведения направленной атаки. Вместо этого, вирус распространяется через USB-носители и может инфицировать любой компьютер, использующий операционную систему Windows.
«Уязвимость нулевого дня», руткит для скрытия своего присутствия в системе, двоичный код основных файлов, украденные цифровые сертификаты, глубокое знание программного обеспечения SCADA – все это является инструментами проведения атаки. Объединение этих факторов делает этот вид атаки чрезвычайно редким, если не беспрецедентным.

«Волк-одиночка»
Рассмотрим возможность организации данной атаки прототипом хакера, сидящего в мамином подвале. Его мотивом может быть жажда славы. Путем кражи интеллектуальной собственности, волк-одиночка может стремиться продемонстрировать свои навыки взлома систем или работать за денежное вознаграждение. Хотя подобный сценарий и возможен, нападающий украл два цифровых сертификата, использовал «уязвимость нулевого дня», и владеет неимоверно глубокими знаниями системы SCADA. Для того, чтобы накопить такие ресурсы для атаки, необходимо, чтобы хакер был очень терпеливым и хорошо мотивированным. Организовать такую атаку за выходные невозможно. Возможность организации атаки волком-одиночкой маловероятна.

«Недовольный сотрудник»
Глубокое знание системы SCADA дало основания некоторым наблюдателям утверждать, что атака могла быть проведена инсайдером, например, недовольным сотрудником компании, которая использует данное программное обеспечение. Однако, вероятность того, что среднестатистический недовольный сотрудник смог выявить «уязвимость нулевого дня», а также выкрасть два цифровых сертификата, мала.

«Действия коммерческих конкурентов»
Еще одной версией организации атаки являются действия конкурента, который любой ценой пытается получить преимущества перед компаниями, которые стали объектом атаки хакеров. Конкуренты могут использовать документацию об архитектуре производственных систем для воссоздания секретных производственных процессов или даже санкционирования отказа работы систем конкурентов. Исторически, подобные атаки организовывались нанятыми хакерами. Однако, такие атаки, обычно, являются достаточно узконаправленными. В данном случае, угроза слепо распространяется на все компьютеры, использующие ОС Windows, независимо от того, принадлежат ли эти компьютеры целевой компании или нет, установлена ли на компьютере система SCADA или нет. Если данная атака является примером коммерческого шпионажа, нападающие могли расчитывать приблизится к целевым системам и через последовательное заражение USB-носителей, надеясь в финале заразить целевую SCADA систему. Тот факт, что вирус со временем заразит множество других компьютеров по всему миру, вероятно, рассматривался нападающими как побочный ущерб, и они надеялись достигнуть цели атаки до того, как угроза вируса попадет в поле зрения компаний, которые разрабатывают антивирусное ПО.

«Государственный шпионаж»
В последнее время были случаи, когда правительства обвиняли в санкционировании атак хакеров за пределами границ их государств. Правительство может пытаться украсть государственные или военные секреты. Если данная атака была организована правительством, ее мотивация может быть похожа на мотивы коммерческих конкурентов, а целью может быть получение военных секретов. Сложность и качество инструментов, которые были использованы в данной атаке, дает основания некоторым наблюдателям утверждать, что только у государства есть достаточные ресурсы для проведения такой атаки. Однако, факт использования второго цифрового сертификата кажется несколько странным. Логичным выглядит предположить, что после успешного проведения атаки, государство ушло бы в прикрытие и не использовало понапрасну второй цифровой сертификат. Вместо этого, подписав очень похожий двоичный файл, злоумышленники дали возможность компаниям, занимающимся безопасностью систем, моментально определить код второго украденного сертификата, что сделало невозможным его повторное использование при взломе систем.

«Националистические, политические, религиозные и другие подобные мотивы»
Часто атаки, приписываемые государствам, на самом деле проводятся гражданами, которые руководствуются националистическими, политическими, религиозными или другими мотивами. Хакеры, объединенные единой целью, могут направить свои усилия на страну, организацию или компанию, которых они считают своими врагами. У таких групп хакеров часто есть достаточно выдержки и знаний для формирования подобного инструментария для атаки. Более того, преследуя цель проведения долгосрочной атаки, нападающие могут усовершенствовать используемые инструменты атаки после того как предыдущий инструментарий был обезврежен или обнаружен. Для этого, при помощи новых украденных цифровых сертификатов повторно подписываются файлы, хранящиеся на дисках, изменяются двоичные файлы для предупреждения их идентификации средствами безопасности, переносятся центры управления и контроля на другие хостинговые сервера после того, как предыдущие выводятся из строя.
«Терроризм»

Одной из наиболее мрачных мотиваций для проведения данной атаки может быть терроризм. Если нападающим удастся установить контроль над электростанцией или другими ключевыми объектами, они могут спровоцировать хаос, закрытие данного объекта или нанести ущерб путем нарушения стандартных процессов на данном объекте. Этот сценарий кажется более схожим на сюжет из фильма, и, хотя для большинства атак мы сразу же отбрасываем терроризм как возможную мотивацию, принимая во внимание объем и качество использованного инструментария для проведения атаки, в данном случае, можно рассматривать терроризм как одну из возможных мотиваций.

Выводы
Большинство специалистов по безопасности, когда смотрят фильмы в стиле «экшн», в которых искусный хакер вымогает от организаций или даже стран выкуп за ненанесение им вреда, просто отбрасывают подобную возможность как фантазию. Однако, случай со Stuxnet очень похож на последний голливудский блокбастер. Это первый преданный огласке случай, когда была показана возможность установления контроля над производственными процессами и передачи управления ими в руки злоумышленников. Данный случай также демонстрирует, что в нашем взаимосвязанном мире ИТ безопасность важна как никогда ранее, и что даже те сценарии, которые ранее считались невероятными, теперь должны приниматься во внимание.

Хотя мы пока не знаем личности нападающих, они все-таки оставили одну улику. Один из драйверов вируса содержит в себе строку с названием проекта: “b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb”. Гуава– это дерево семейства миртовых. Почему именно гуава или миртовые? Пусть этот вопрос станет отправной точкой для дальнейших изысканий.
Symantec
45.51
Company
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 8

    0
    — Товарищ генерал, шифр «Гуава» к запуску готов!
    — Выполняйте.
      0
      только не шифр, а проект…
      0
      Интересный вопрос. А зачем к этой системе был доступ из интернета? Он там правда так нужен?
        0
        А для заражения не обязательно нужен интернет, USB вполне годится!
          0
          а как иначе получить украденное?
          +1
          Ключевое слово — windows. Почему сочетание слов «SD» и «фотоаппарат» вполне нормальное, а сочетание слов «USB флешка и windows» почти автоматически ассоциируется с словом «зоопарк»?
            +1
            Ребята, как-то подзапоздали вы с изысканиями. Уже тема обсосана с ног до головы. А на счёт «отправной точки» — дык конкуренты уже давно «отправились».
              0
              Ну по техническим деталям мы уже всё рассказали во многих сми задолго до открытия этого блога — начиная с частоты колебания центрифуг на ядерных заводах и заканчивая фальшивыми утилитами для удаления этого хитрого червя — это правда. Тем не менее лирическое послесловие имеет право на существование :)

            Only users with full accounts can post comments. Log in, please.