Triton — самый убийственный вирус

Привет, Хабр! Это любительский перевод сообщения «Triton is the world’s most murderous malware, and it’s spreading» by Martin Giles, опубликованного 5 марта 2019 г. Все иллюстрации созданы Ariel Davis.
Спойлер: в кибератаках в очередной раз обвиняют российских хакеров. Учтите, что это всего лишь перевод.


image Вирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии. Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.


Как опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, заставляющее кровь стынуть в жилах.

Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф. Предполагается, что они вмешаются при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили.

Вредоносное ПО позволяет контролировать системы безопасности удаленно. Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Ответ системы безопасности в июне 2017 г. привел к остановке производства. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы.

Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Они обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Он целился в модель контроллера Triconex, созданный французской компанией Schneider Electric.

В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.

Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.
«Мы знали что мы не можем полагаться на целостность систем безопасности. Это было хуже некуда»
Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта или водоочистных сооружений и заканчивая атомными энергетическими станциями.

Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.

Создатели Triton сейчас охотятся за новыми жертвами. Dragos, фирма, которая специализируется на индустриальной кибербезопасности, утверждает: за последний год появились свидетельства, доказывающие, что группа хакеров использует одни и те же методы цифровой разведки, для обнаружения целей за пределами ближнего востока, включая Северную Америку. Они создают варианты кода, позволяющие ставить под угрозу большее количество систем безопасности.

Боевая готовность


Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)

В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой. Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены.

Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. С тех пор они обнаружили путь в корпоративную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.

С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.

Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Хакеры также обнаружили или «уязвимость нулевого дня» (прежде неизвестный баг) во встроенной в Triconex программе. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.

Результаты могли быть устрашающими. Худшая промышленная авария также связана с утечкой ядовитых газов. В декабре 1984 года производящий пестициды завод Union Carbide (Бхопал, Индия) выпустил огромное облако токсичных паров — это убило тысячи людей. Причины: плохое обслуживание и человеческий фактор. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.

Ещё большая боевая готовность


Не так много случаев было, когда хакеры пытались нанести физический вред используя киберпространство. Например, Stuxnet — сотни центрифуг иранской АЭС вышли из-под контроля и самоуничтожились (2010). Другой пример, CrashOverride — удар хакеров по энергетической системе Украины (2016). (Наша боковая панель содержит резюме этих и некоторых других киберфизических атак.)*

Однако даже самые из пессимистичных кибер-Кассандр не видели такого вредоносного ПО как Triton.
«Просто казалось, что целиться в системы безопасности тяжело морально и действительно трудно технически», объясняет Джо Словик, бывший офицер ВМС США, ныне работающий в Dragos.
Другие эксперты тоже были шокированы, увидев новости о коде-убийце.
«Даже Stuxnet и другие вирусы никогда не имели такого вопиющего и однозначного намерения травмировать людей», говорит Бредфорд Хегрет, консультант в Accenture, специализирующийся на промышленной кибербезопасности.
image

Скорее всего не случайно, что вредоносное ПО дало о себе знать, когда хакеры из таких стран, как Россия, Иран и Северная Корея, усилили исследование секторов «критически важной инфраструктуры». Нефтегазовые компании, электроэнергетические компании, транспортные сети жизненно необходимы современной экономике.

В своей речи в прошлом году Ден Коатс, директор национальной разведки США, предупредил, что угроза кибератаки, парализующей жизненно важную инфраструктуру Америки, возрастает. Он провел параллели с зарегистрированным национальной разведкой США возрастанием киберактивности террористических групп перед 11 сентября 2001.
«Почти два десятилетия спустя, я здесь, чтобы сделать предупреждение, огни снова мигают красным. Сегодня цифровая инфраструктура, обслуживающая нашу страну, буквально находится под атакой», сказал Коатс.
Вначале казалось, что Triton — работа Ирана, который является заклятым врагом Саудовской Аравии. В отчете, опубликованном в прошлом октябре, FireEye, компанией, работающей в сфере информационной безопасности и участвующей в расследовании с самого начала, преступником была обвинена другая страна: Россия.

Хакеры тестировали элементы кода, с целью сделать его обнаружение непосильной задачей для антивируса. FireEye обнаружили забытый хакерами файл в корпоративной сети и получили возможность отследить другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.

Этот адрес был зарегистрирован в ЦНИИ Химии и Механики в Москве, государственной организации, фокусирующейся на ключевой инфраструктуре и промышленной безопасности. FireEye также сообщал о доказательстве, которое указывало на вовлеченность профессора этого института. И всё же, в отчете было отмечено, что FireEye не удалось найти доказательств, которые бы могли однозначно указать на причастие института к разработке Triton.

Исследователи все еще копаются в происхождении вируса, так что гораздо больше теорий может возникнуть о хакерах-авторах. Гатманис, тем временем, хочет помочь компаниям извлечь важные уроки из подобного опыта саудовского завода. На январской конференции по промышленной безопасности S4X19 он обрисовал некоторые из них. Например, жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.

Это может звучать как безнадежный случай, но Гатманис утверждает, что это не так.
«Я был на многих американских заводах, которые были в разы менее зрелыми [в своем подходе к кибербезопасности], чем эта организация», объясняет Гатманис.



Triton: a timeline


2014
Хакеры получают доступ к корпоративной сети завода в Саудовской Аравии

Июнь 2017
Первая остановка производства

Август 2017
Вторая остановка производства

Декабрь 2017
Публикуется информация о кибератаке

Октябрь 2018
FireEye сообщает о том, что скорее всего Triton был создан в российской лаборатории

Январь 2019
Появляется больше информации об инциденте



Другие эксперты замечают, что хакеры, работающие на правительство, готовы преследовать относительно неопределенные и сложные для взлома цели. Системы обеспечения безопасности разработаны специально для защиты разнообразных процессов, так что программирование вирусного ПО требует большого количества времени и кропотливой работы. Schneider Electric’s Triconex контроллер, например, имеет множество различных моделей, и каждая из них может иметь другую версию встроенного ПО.

Факт того, что хакеры пошли на такие большие затраты для разработки Triton, стал тревожным звонком для Schneider и других производителей систем безопасности, таких как Emerson (США) и Yokogawa (Япония). Schneider получил похвалу за то, что публично поделился подробностями об атаке хакеров, включая освещение ошибки нулевого дня, которая впоследствии была исправлена. Однако во время январской презентации Гатманис раскритиковал компанию за то, что она не могла взаимодействовать со следователями сразу после атаки.

Schneider заверили, что сотрудничали с компанией, оказавшейся под кибератакой, так же плотно, как и с Министерством внутренней безопасности США и иными агентствами, проводившими расследование. Было нанято больше людей, а также была усилена безопасность встроенного ПО и используемых протоколов.

Эндрю Клинг, руководитель Schneider, говорит, что важный урок, извлеченный из этого происшествия, в том, что компаниям и производителям оборудования необходимо уделять больше внимания областям, компрометация которых может привести к катастрофе, даже если атака по ним кажется очень маловероятной. Например, редко используемые программные приложения и старые протоколы, которые управляют взаимодействиями приборов.
«Вы можете подумать, никого никогда не будет беспокоить нарушение [некоторого] неясного протокола, который даже не задокументирован, — говорит Клинг, — но вы должны спросить, каковы будут последствия, если они это сделают?»
image

Иное будущее?


В течение последнего десятилетия компании добавляют связь с интернетом и сенсоры во все виды промышленного оборудования. Собираемые данные используются для всего; начиная с профилактики, которая означает использование машинного обучения для лучшего предсказания, когда же это профилактическое обслуживание понадобится, заканчивая тонкой отладкой процессов на производстве. Также сделан большой шаг для управления процессами удаленно, используя смартфоны и планшеты.

Все это может сделать бизнес гораздо более эффективным и продуктивным, что объясняет, почему, согласно ARC Group, следящей за рынком, ожидается потратить около 42 млрд. долларов на промышленное интернет-оборудование; например, интеллектуальные датчики и автоматизированные системы управления. Но также очевидны риски: чем больше оборудования подключено, тем больше целей для атак получают хакеры.

Чтобы удержать злоумышленников, производства обычно полагаются на стратегию, известную как «глубокая защита»: создаётся несколько уровней безопасности, используются брандмауэры, чтобы отделить корпоративные сети от интернета. Задача других уровней — предотвратить доступ хакеров к сетям предприятия и к промышленным системам управления.

Методы защиты также включают в себя антивирусные инструменты для обнаружения вирусов и всё чаще ПО для ИИ, который пытается распознать аномальное поведение внутри IT-систем.

Кроме того, в качестве окончательной защиты используются системы контроля безопасности и физические отказоустойчивые системы. Наиболее важные системы обычно имеют несколько физических копий для защиты от отказа какого-либо элемента.

Эта стратегия доказала свою надёжность. Но рост числа хакеров, обладающих временем, деньгами и мотивацией, достаточными, чтобы нацелиться на критически важную инфраструктуру, а также увеличение роста соединенных с интернетом систем — всё это означает, что прошлое не может быть надежным руководством для будущего.

Россия, в частности, продемонстрировала желание использовать ПО в качестве оружия против физических целей, которые она может использовать для тестирования кибероружия. Внедрение Triton в Саудовской Аравии показывает, что полные решимости хакеры готовы потратить годы на поиск способов пробраться через все эти уровни защиты.

К счастью, нападавшие на предприятие в Саудовской Аравии были перехвачены, а мы узнали гораздо больше о том, как они работали. Это отрезвляющее напоминание, что хакеры, как и другие разработчики, тоже совершают ошибки. Что если непреднамеренно внесенный баг вместо безопасного отключения систем, «обезвредит» системы безопасности, и это произойдет именно в тот момент, когда какая-либо ошибка или же человеческий фактор сделают жизненно важный процесс бесполезным?

Эксперты, работающие в таких местах, как Национальная лаборатория США в Айдахо, призывают компании пересмотреть все свои процессы в свете появления Triton и других киберфизических угроз, а также радикально сократить или же устранить вовсе цифровые пути, благодаря которым хакеры могут получить доступ к жизненно важным процессам.

Компаниям придется пойти на издержки, но Triton — это напоминание, что риски растут. Гатманис считает, что новые атаки с использованием смертоносных вирусов практически неизбежны.
«Хотя это и было впервые, — говорит Гатманис, — я был бы сильно удивлен, обернись это первым и последним случаем»


*Некоторые заслуживающие внимания киберугрозы (осторожно, политика)

2010 — Stuxnet

Разработанный Американским агентством нац. безопасности вместе с израильской разведкой, вирус представлял собой компьютерного червя — код, который копирует себя с компьютера на компьютер без вмешательства человека. Вероятнее всего, что он, пронесенный контрабандой на USB-накопителе, предназначался для программируемых логических контроллеров, которые управляют автоматизированными процессами. Вирус спровоцировал разрушение центрифуг, использовавшихся для обогащения урана на заводе в Иране.

2013 — Havex

Havex был разработан для наблюдения за контролирующими оборудование системами. Предположительно, это позволяло хакерам выяснить как именно организовать атаку. Код — троян удаленного доступа (RAT), позволяющий хакерам управлять компьютерами удаленно. Вирус предназначался для тысяч американских, европейских и канадских предприятий, особенно в энергетической и нефтехимической областях.

2015 — BlackEnergy

BlackEnergy, другой троян, некоторое время «вращался в криминальном мире», но затем был адаптирован российскими хакерами для запуска атаки по нескольким украинским энергокомпаниям. В декабре 2015 года он помог спровоцировать отключения электроэнергии. Вирус использовали для сбора информации о системах энергетических компаний и кражи учетных данных сотрудников.

2016 — CrashOverride

Также известен как Industroyer. Этот вирус тоже был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети. Вирус копировал протоколы («языки связи»), которые различные элементы энергосистемы использовали для взаимодействия друг с другом. Это позволяет показать, что предохранитель замкнут, в то время как на самом деле он разомкнут. Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия.
Поделиться публикацией

Комментарии 193

    +12
    Фуух блин, я уже подумал что мы все умрем!
    Прочитайте заголовок:
    Triton — самый убийственный вирус, и он распространяется

    А оказывается это всего лишь ПО.
      +4
      Так в хабах же «Информационная безопасность», а не «Здоровье гика».

      По теме поста — второй Stuxnet?
        0
        Не посмотрел на хаб. Ну, пока не второй, его же нашли, а про Stuxnet насколько я помню узнали уже после.
          0

          С мобилки хабы не отображаются.

          0
          А оказывается это всего лишь ПО.

          Которое может быть использовано для убийства, которое разрабатывается с целью убийства, и которое даже использовалось в попытке кого-либо убить — всего лишь ПО?

          Учитывая, что уровень безопасности в инфраструктуре огромного количества компаний находится на зачаточном уровне, это крайне неприятно.

          Я вот обычный гражданин. И я просто тупо ничего не могу сделать с тем, что у меня пропадет электричество, горячая вода, отопление зимой просто потому, что в у городского коммунального провайдера вирус в сети. А ведь может быть и хуже.
          И ни мои налоги ни лозунги на Хабре на это не повлияют.
            –1
            Если очень нужно, резервными средствами можно запастись заранее: бойлер и (сложнее) небольшой генератор. Хоть на серьёзный случай опытные люди запасают еду-воду-спички и инструмент по мелочам.
              +2
              То есть вы даже не хотите воспринимать это как зло, предпочитаете прятать голову в песок?
              На спичках в городской квартире зимой долго не протянешь.
                0
                Что значит не хочу воспринимать? Ситуацией надо управлять, но в меру своих возможностей. Есть возможность повлиять на отключения — надо повлиять. Нет возможности, но в то же время не получается пересидеть без — значит, надо делать соответствующие резервы. А, если просто сидеть и называть ситуацию злом, это и есть прятать голову в песок.
              0
              Бензиновый или работающий на газу генератор, батарея, солнечная панель — и пропажа электричества на какое-то время уже не так страшна.
              Пару лет назад в наших краях зимой прошел дождь при минусовой температуре воздуха.
              Опоры электросетей ломало, как спички.
              Восстанавливали электроснабжение месяц.
              Скажу вам — жить можно.

              Вот с центральным отоплением посложнее.
              У меня есть твердотопливный котёл. Мне проще.

              Но представьте, в России есть населённые пункты, которые не газифицированы.
              Есть места, где вместо водопровода — колодец на соседней улице.
              Страшно сказать — туалет в конце огорода :))
              И баня на дровах.
              Так что всё относительно, и не так печально, как оно кажется.
                +3
                В высокоэтажном многоквартирном доме? солнечная панель? А куда ее ставить?
                  –7
                  В Киеве?
                  На крышу Рады.
                    –2
                    Судя по минусам — лучше всё-таки в подвалы Рады.
                    0
                    На балкон.
                    +4
                    Но представьте, в России есть населённые пункты, которые не газифицированы.

                    Точнее сказать регионы.
                      0
                      Но представьте, в России есть населённые пункты, которые не газифицированы.
                      Есть места, где вместо водопровода — колодец на соседней улице.
                      Страшно сказать — туалет в конце огорода :))
                      И баня на дровах.
                      Так что всё относительно, и не так печально, как оно кажется.


                      Не хватает картинки " я здесь живу"
                      Лет 20 так жил.
                      0
                      потому, что в у городского коммунального провайдера вирус в сети.

                      А это — следствие экономии на инфраструктуре и специалистах.
                        –1
                        А давайте, чтобы соседи не экономили не будем мелочиться, а сразу бахнем танками и ядерными ракетами?
                        Ну серьезно…
                          +1
                          И какие есть варианты? С учётом того, что тарифы регулируются государством, и просто так поднять их для повышения уровня специалистов/инфраструктуры государство не даст.
                      +18
                      Русские хакеры, остановитесь, сколько можно!
                      ЦНИИ Химии и Механики в Москве

                      Вот где оказывается работают русские хакеры!

                      А если серьезно: это довольно странно. Если верить заявлениям, и русский след есть, то получается русские хакеры которые создали очень мощный вирус, настолько глупы, что оставляют следы и используют кириллицу? С другой стороны, не доверять этим заявлениям у меня причин тоже нет.
                        +17
                        Это, как обычно, «highly likely russia». Что с CrashOverride, что с BlackEnergy, что с Triton.

                        Кириллические имена в коде? Уже бред…
                        «Забытый хакерами файл в корпоративной сети»… ну да, все ясно, это русские хакеры, никто другой в сети ничего оставить не мог.
                          –14
                          Ихтамнет. ИТ-версия
                            +14
                            Насколько я в курсе, ни в одном из перечисленных мною случаев не было предоставлено никаких доказательств, даже мифических «кириллических букв в коде». Забавно, ведь на основании латинских букв можно сделать вывод и «highly likely» англоязычных хакерах.

                            Вообще любое утверждение о «косвенных уликах» попахивает разводом.
                              –2
                              Голосом Караченцева:

                              — Сдаётся мне, Били, это была пропаганда…
                                0
                                Тогда уж голосом Ярмольника…
                                  0
                                  Хм, точно. Давно не смотрел эту фильму.
                              0

                              del

                                +1
                                Кириллические имена в коде? Уже бред…

                                ошметок дебаг инфы с кириллическими путями — легко мог быть. особенно если самого червя писали одни люди, а пэйлоад, который собссно рулит техпроцессом — совсем другие, химики-технологи с зачатками навыков программирования, которым дали готовую дырочку в корп.сеть.

                                ну и да, никогда не стоит недооценивать глубину глубин человеческой глупости. как будете сомневаться, бывают ли вообще подобные идиоты — вспомните любителей шпилей…
                                  +7

                                  Давайте подискутируем


                                  1. Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.
                                    2 Не знаю что вы вкладываете в понятие "пэйлоад", но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И "химики-технологи с зачатками навыков программирования" в таких командах не значатся, не тот уровнь. Если вы внимательно прочитаете статью, то увидите что там был подбор софта под версии контроллеров, что уже предполагает серьезную компетенцию.
                                    3 Даже в самом докладе указано "изощрённое кибероружие создано и размещено "группой решительных и терпеливых хакеров", сложно представить что бы такие люди оставили хвосты
                                    4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).
                                    5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.
                                    +1
                                    3 Даже в самом докладе указано «изощрённое кибероружие создано и размещено „группой решительных и терпеливых хакеров“, сложно представить что бы такие люди оставили хвосты


                                    Очень часто инструмент создают одни, пользуются — другие. Перед использованием — немного потренировались на локалке. Или умышленно подкинули дезу.
                                      +3
                                      Еще раз читаем "… создано и размещено...", ключевое слово «размещено». Задача на много времени/денег, и по вашему после этого там по системе раскидываются файлы «здесь_был_Вася»? Речь идет о взломе контроллеров оборудования, там вообще кириллицей не пахнет.
                                      Каким образом тестирование в локалке связано с кириллицей не очень понятно, видимо что то из открытий британских ученых…
                                        +4

                                        Господа, не ссорьтесь.
                                        То был Моссад — ну кому еще нужно гадить арабам. И русскоязычные ребята там есть. Так что могли и оставить что-то кириллическое — ну не на иврите же им там писать — неудобно. Да и для дезы самое то.

                                      +1
                                      Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.

                                      и IP адресов с геолокацией в РФ там предостаточно? :)

                                      Не знаю что вы вкладываете в понятие «пэйлоад», но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И «химики-технологи с зачатками навыков программирования» в таких командах не значатся, не тот уровнь.

                                      а причем тут взлом к собссно управлению техпроцессом? :)
                                      или вы наивно полагаете, что хакеры в курсе что надо поправить в параметрах техпроцесса неизвестной производственной линии, чтобы произошел выброс большого кол-ва отравляющего вещества? :) ну вот есть у вас две сотни ПЛК, у каждого пара десятков входных и пара десятков выходных сигналов, все это как-то рулится скада системой которая находится фиг знает где. хакер вот прям сразу же скажет что и где нужно покрутить, чтобы произошел выброс?

                                      4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).

                                      да причем тут специалисты ИБ? специалист ИБ сможет разобраться в техпроцессе и изменить его параметры для вызова аварии с серьезными последствиями?

                                      5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.

                                      какой дебаггер, какие логи? вы вообще читаете что вам пишут?
                                      собрал кто-то экзешник debug версии, не release, потренировался локально, залил его через предоставленную ему дырку, поизучал через него техпроцесс, и забыл удалить за собой следы.
                                        +5
                                        и IP адресов с геолокацией в РФ там предостаточно? :)

                                        Не знаю, как Вам, но мне в своё время вдолбили в голову первое правило — "никогда не производи атаку с IPшников своей страны. Найди уязвимый сервер в Китае (тогда ещё не было Большого Файрвола), Чили, или каком-нибудь ещё Тимбукту (таких в Интернете стотыщмиллионов!), поломай, и производи все действия с него. Лучше, если таких хопов будет три-пять."


                                        Так что либо российские хакеры — кромешные идиоты — ходить со своих IP, либо хакеры — кто угодно только НЕ российские.

                                          +4
                                          Плюс не надо забывать, что в институтах любят использовать устаревшее ПО, в котором дыр бывает больше, чем в швейцарском сыре.
                                            +2
                                            В моё время китайские университеты были просто раздольем. Там дыра на дыре сидела и дырой погоняла. Надо найти хоп — идёшь в китайский сегмент, первый же попавшийся сервер твой.
                                            +3
                                            Именно так, ну очень сильные сомнения, что люди с огромным опытом сетевых технологий, реверс инжиниринга и запутывания кода не знают как использовать VPN и как удалять отладочные символы. Даже в коммерческой компании попадание отладочной информации в публичный доступ это нонсенс, есть автоматические триггеры удаления всего чего не нужно. А тут продвинутые хакеры с русскими путями на диске и IP института?
                                              0
                                              повторюсь: с чего вы взяли, что вероятный технолог, который собссно и разбирался что и куда надо подкрутить чтобы все поломалось сразу и сильно — крутой спец в безопасности?
                                              ну и да, если вы считаете эксцесс исполнителя невозможным «ну просто потому что нельзя быть таким идиотом» — вспомните «любителей шпилей».
                                                0
                                                Вот я и говорю — если посмотреть, сколько идиотов в местах, где их, по логике ну никак не должно быть (кибернападение/безопасность, служба внешней разведки, ваш вариант) — хочется завернуться в белую простыню, и, рыдая, уползти на кладбище. Куда катится этот мир!
                                                  +3
                                                  Я не считаю такое невозможным. Я сравниваю вероятность такого вопиющего прокола с вероятностью намеренного вброса. По своему опыту работы в сфере безопасности далеко не первый год. В наше время любой дурак использует VPN, а тем более распространители малвари.
                                                    0
                                                    я лично встречал малварь, которая в качестве командного сервера пользовала вполне себе московский хостинг, который ессно оплату услуг принимал отнюдь не в битках. жила на компе несколько месяцев, благодаря просрочившемуся антивирю (на который все забили). замечена была случайно — когда кулхацкер поставил ammyyadmin через малварь, зачем — хз.
                                                    жаль не удалось из хостера вытянуть каких-либо подробностей о его клиенте — культурно послал меня «в органы»…
                                                0

                                                Перед финалом выборов во Франции в 2017 был масштабный слив электронной почты штаба Макрона. Некоторые письма потом ещё и правили, но забыли удалить метаинфу, из-за чего все узнали даже имя и место работы одного из хакеров. Догадались, откуда он был?:)

                                                0
                                                Давно известно что американские хакеры, атакуют американские объекты с ip адресов российских, встраивают в код кириллицу и распространяют исходники, чтоб ни у кого сомнений не осталось.
                                                +1
                                                Вот только одно с другим не стыкуется. Среди отладочных символов нету IP-адресов.

                                                А кем надо быть, чтобы сломать чужой сервер, зайти на него и написать там в текстовом файле свой IP-адрес — я даже не знаю…
                                                  0
                                                  А как Вы предлагаете получать логи системы и сетевого обмена? Либо складывать их на диске с вероятностью того, что кто-то заметит уменьшение свободного места, либо транслировать их онлайн на свой комп на прокси с вероятностью, что кто-то заметит увеличение трафика.
                                                  А может быть, этот айпишник вообще в исключениях файрволла обнаружили. Журналисты такие журналисты.
                                                    0

                                                    Да, исключения файервола — уже больше похоже на правду. Идиоты, которые ломают чужие системы без использования прокси — и правда встречаются (впрочем, с равным успехом сервер НИИ также мог быть взломан и использован в качестве прокси). Но в таком случае не понятно какую такую кириллическую надпись журналисты обнаружили рядом.


                                                    Журналисты такие журналисты.

                                                    Ну так потому тут в комментариях работу журналистов и критикуют.

                                                      0
                                                      Вообще вставлять ОДИН IP было бы глупо (тупо может смениться/закрыться дырка/быть выключен в нужный момент), нужно или 5-10 с разных точек или ни одного что бы не вызвать подозрений. Обычно просто отключают фаервол либо эксплуатируют P2P соединения.
                                                        0
                                                        А там их и могло быть с десяток, просто остальные не из России и поэтому их решили замолчать или считать проксями.
                                                          0
                                                          Конечно, все же и так ясно :)
                                                    0
                                                    1 Рассказать вам про ТОР или использование взломанных компов как прокси?
                                                    2 Давайте включим мозг или что там у вас. Кто то взламывает сеть, это однозначно грамотный специалист, который вряд ли оставит «здесь был вася». Следующий шаг — используя взломанную сеть осуществляется взлом контроллеров оборудования. Это вообще в 95% автоматизированное действие (которе просто обязано раскидать кириллицу)… После этого подчищаются следы и все переходит в пассивный режим.
                                                    3 Хакер продает / передает доступ к системе специалистам по созданию проблем, обычно для этого используется модифицированная версия софта, аналогичная используемому в зараженной сети.
                                                    4 См выше,… «экзешник debug версии»… мда, наверное по вашей логике видимо полицейские часто выезжают на патрулирование с водяным пистолетом вместо боевого. Те кто работают в этой сфере знают, что цена ошибке — это в лучшем случае свобода, а чаще всего — жизнь.
                                                    5 Хакерский софт пишут и используют в многонациональных группах, где рабочим языком является английский (иногда китайский). Найти там кириллицу менее вероятно, чем нефть у вас во дворе.
                                                  +3
                                                  Не знаю в какой среде Вы разрабатываете сложное (сложное — имеется ввиду complex не difficult, извиняюсь, что не подобрал лучшего аналога) ПО, но я давно отказался от кириллических путей в системе — неизвестно какой компонент в какой момент поймет их не так, а потом не так просто докопаться бывает в чем дело.
                                                  Не латинские пути в ОС на которой идет разработка — зло.
                                                    +1
                                                    На самом деле всё наоборот — при написании и тестировании ПО нужно использовать пути и с русскими, и с английскими символами, и с разнообразными знаками. Это позволяет найти кучу ошибок заранее и не печалить пользователей падающей программой.
                                                    +3
                                                    Настоящие русские хакеры пишут на ассемблере или сразу в машинном коде.
                                                    Так что кириллица — так себе аргумент.
                                                    В Винде тоже есть кириллические символы, но никто не утверждает, что оно — поделие русских программистов.
                                                      0
                                                      Ага, это традиционная русская традиция — писать мегабайты машинного кода
                                                      Известна высокой надежностью и быстрыми релизами.
                                                    +1
                                                    Потому что он был под балалайкой, на которой спал пьяный медведь.
                                                    +9
                                                    Есть такое понятие — «операция под чужим флагом». Весь код зашифрован, но добавлена строка на русском для «экспертов», сделавших «правильный» вывод из увиденного. Не любит заказчик вируса японцев — впишем туда насколько слов по японски, подходящий IP и ни разу не палимся. Нет?

                                                    А если все имена на английском — кто тогда автор? Проблема.

                                                    Обьясните пожалуйста, зачем в коде вируса имена на кириллице или к нему. были исходники приложены?
                                                      0
                                                      При внимании к деталям помимо «очевидной» зацепки добавленной для редиректа внимания найдутся и другие, которые авторы оставили нечаянно. Тут все упирается в вопрос доверия к экспертам, тому насколько тщательно они сделали свою работу. «Забытые» в коде вируса «лишние» вещи — следствие того что бинари не люди пишут, бинари пишет компилятор на пару с линкером и эта парочка много чего в бинарник может понапихать в ходе трансляции кода и притом далеко не всегда очевидного. Для крупного проекта который много всего линкует вполне возможно что-то упустить в каких-нибудь зависимостях зависимостей. Есть к тому же и другие способы. Например привычка людей использовать один и тот же код в разных проектах легко можно позволить найти код за тем же авторством в проекте где конспирации было уделено меньше внимания.
                                                        –1

                                                        Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но точно знают что «нас там нет», наводит на некоторые мысли.

                                                          +1
                                                          Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но топят за highly likely Russia, наводит на некоторые мысли.
                                                            +1
                                                            highly likely

                                                            Три почти одинаковых упоминания этой фразы в комментах только к этой статье от типа разных людей, плюс парочка в соседней про митинг против изоляции. Палитесь, чуваки.

                                                              0
                                                              Вот уж не думал, что употребление мема является палевом…
                                                              (А ничего, что я кириллические символы в комментарии использую? Это палево так палево.)
                                                                0

                                                                Ещё пара одинаковых комментов — и это и правда станет мемом.

                                                                  0
                                                                  Для Вас — возможно, станет. Для меня уже давно, я ведь не только на хабре пасусь.
                                                                    0
                                                                    я ведь не только на хабре пасусь

                                                                    Это заметно.

                                                                    0
                                                                    С пробуждением вас!
                                                                    Это мем уже года как 3.
                                                                  –2
                                                                  > Палитесь, чуваки.

                                                                  Какие же вы, любители теорий заговоров, скучные. Есть только ваше мнение и заговор против него. С такими взглядами и до диагноза не далеко. Просвещайтесь, чуваки.
                                                                    0
                                                                    Вот так на Хабре была раскрыта ячейка законспирированных агентов Терезы Мэй… Правда они скажут что приехали посмотреть на шпиль зашли почитать статью.
                                                                0
                                                                –2
                                                                Когда я писал Stuxnet специально оставил в коде несколько строк на английском и на иврите, что бы все подумали на АНБ и Израиль.
                                                                  0
                                                                  на английском

                                                                  А остальные строки — на «русском матерном», просто чтобы подумали на неаккуратных евреев, а не умных русскоязычных?
                                                                  +2
                                                                  Убеждение что достаточно умный преступник может замести все следы — чисто психологическая ошибка (нам приятно думать что при достаточном навыке мы можем контролировать последствия своих действий и психологически очень некомфортно — понимать что не все зависит от нас и что некоторые вещи предотвратить малореалистично). По факту — сколь-либо крупный проект проверить на отсутствие подобных утечек затруднительно. Просто потому что входные данные реально обрабатывает компилятор и линкер, Вы не можете (реалистично) проверить выданный ими код и Вам очень сложно проконтролировать даже все входные данные. Еще можно ухватиться за какой-нибудь кажущуюся незначительной деталь которая свяжет код с другим кодом происхождение которого проверить проще. Но да, подобных улик меньше чем в обычном криминальном расследовании а сфальсифицировать их гораздо проще, так что доказать что-либо сложно. Так что все начинает упираться в вопрос доверия экспертам — не были ли они заинтересованы в подлоге, не скрывают ли не стыкующиеся с выдвинутой версией факты, тщательно ли они искали улики.
                                                                    +4

                                                                    А установить на свежекупленный компьютер свежий, скажем, скандинавский windows, и скомпилировать на нём свой код (предварительно прогнанный через обфускатор) религия не позволяет?

                                                                      0
                                                                      Скорее обычная лень. Если исходники проекта копировать автоматически из рабочего окружения то получим меньший, но близкий набор проблем когда автоматика накопирует «лишнего». А вручную эту операцию проводить, скажем так, уныло и долго. Я сомневаюсь что проект собирался в «релизную» версию лишь однажды, поэтому велик соблазн автоматизировать сборку, а еще лучше — использовать уже существующую. И это ведь только один из возможных каналов утечки информации. Взять хотя бы переиспользование кода в разных проектах — связали через него два приложения и исследовать происхождение можно у обоих…
                                                                        0

                                                                        Ну так снова приходим к моему комментарию: либо в России в хакеры набирают ленивых идиотов, либо это операция под ложным флагом (вот, кстати, пример, где сами расследователи делают такой вывод). Выбирайте предпочтительный лично Вам вариант.

                                                                          0
                                                                          Нет. Мы возвращаемся к моему комментарию — что люди, особенно не очень опытные, склонны переоценивать способность контролировать происходящее и верить в то что уж профи-то (типа них) не допускают ошибок и проколов. Описанные мною проблемы отнюдь не уникальны для «ленивых идиотов».
                                                                      0
                                                                      Но ведь можно перед релизом попросить независимую группу провести аудит, разве нет?
                                                                        0
                                                                        Можно. Но это очень долго что сильно негативно влияет на способность оперативно разрабатывать софт и реагировать на изменения. А эта способность для малвари, ориентированной на атаку сложной и активно пытающейся защититься цели давности отнюдь не является лишней. Кроме того это заметно увеличивает круг людей знающих о малвари, а через это — вероятность утечки информации из этого круга
                                                                      +4
                                                                      Доказательство в стиле оставленного валенка на пульте управления.

                                                                      Мне кажется любой уважающий себя вирусописатель нынче просто обязан оставить кириллические следы и русский IP адрес — ну просто как признак хороших манер.
                                                                        0
                                                                        И запах водки Moskovskaya в коде, вместе с куском шерсти медведя.
                                                                        PS Поискал у себя имена на кириллице на жёстком диске — нашёл несколько сохранённых файлов из почты и куски 1с. Вирус писали на 1с?!
                                                                      +3
                                                                      Не понимаю, разве сети таких предприятий, как АЭС и прочих потенциально опасных для жизни объектов, не должны быть изолированы от интернета?
                                                                        0
                                                                        Должны быть. Но, к сожалению, не везде есть возможность прокинуть отдельный кабель для дистанционной телеметрии. Примеры: Север, станции перекачки газа. Кроме локального сбора телеметрии осуществляется и централизованная.
                                                                        В новых решениях уже используется собственная инфраструктура передачи — радиорелейка на Ванкорском месторождении.
                                                                        Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется. Понятно, что даже в этих условиях есть менее затратные решения, чем кабель. Но по стоимости в любом случае будут выше, чем публичный интернет, при этом оставаясь временными, т.к. новые стандарты и архитектуры уже разработаны и внедряются.
                                                                          0
                                                                          Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется.

                                                                          30 лет назад был 1989 год. Сильно сомневаюсь, что на Крайнем Севере тогда был интернет.

                                                                            0
                                                                            Параллельно трубам укладывались кабели сигнализации, связи, телеметрии.

                                                                            Параллельно рельсам, кстати, тоже ;) но к ЖД прилагались изначально столбы, в те времена технологии были ближе к ВЛС.
                                                                          +1
                                                                          Они изолированы брендмауэром. Чтобы управлять используется специальная машина с доступом. Вот через неё и ломали.
                                                                            0
                                                                            В наш век миниатюризации, можно специальную машину с отдельным GSM модемом и левой симкой просто принести и оставить.
                                                                            Причем по размеру она может влезть внутрь usb клавиатуры и работать на полноценном линукс. И хрен найдешь, если не сканировать эфир.
                                                                            +3
                                                                            Система противоаварийной защиты (ПАЗ) должна работать независимо от систем технологического управления (и мониторинга), и работать автономно. Нет необходимости дистанционного контроля систем ПАЗ, нет и поводов создавать связь контроллеров ПАЗ с общедоступными сетями. Если ПАЗ в принципе допускает удаленное вмешательство в свою работу — то это принципиально неверно построенная защита.
                                                                              +1
                                                                              Ключевое слово — «должна». А по факту, на немаленьком таком количестве предприятий, она вообще отключена. Причины разные. Не настроена, устройства на местах выдают неправильную обратную связь, кабели отваливаются, ну и самое клёвое — «датчик сняли в поверку да так чо-то и не вернули».
                                                                                0
                                                                                Это вы про наследие советского режима сейчас :)
                                                                                А автор всё же про капиталистические предприятия, где любой косяк — убыток.
                                                                                  +1
                                                                                  Мва-ха-ха! Отключалась в СССР. Отключается сейчас. Те же датчики метана на шахтах. Тогда мешали план выполнить и получить премию. Сейчас получить максимальную прибыль хозяину. А сколько при этом сдохнет шахтеров — пофик. И кстати не только на территории б/ссср.
                                                                                    0
                                                                                    Отключалась в СССР

                                                                                    Самый яркий пример — Чернобыль. Там было то ли три, то ли четыре уровня защиты. Все в ходе проведения "эксперимента" были отключены. "Результат на лице" ©

                                                                                      +1
                                                                                      Не надо игнорировать наличие неограниченного идиотизма на местах.
                                                                                      Вот вам, абсолютно реальная история, с деталями, одного пожара 2015 года (да, не чернобыль по эффективности, но одним домиком на 250 квартир в джерси стало меньше).
                                                                                      Нужно было немного подсварить что-то рядом с вентиляцией. В процессе сварки, в вышеозначенную вентиляцию упало чуток всякого горячего. И начало немного подгорать.
                                                                                      • что б выяснить что дальше делать, сначала решили позвонить менеджеру (и звонили пока уже совсем гореть не начало)
                                                                                      • в вентиляции были шторки, которые ее должны были перекрыть, в случае когда тяга воздуха резко меняла направление (собственно, в случае пожара). Эти шторки иногда хлопали. Это пофиксили, прикрутив их саморезами к стенам
                                                                                      • да, пожарная сигнализация там тоже была, но она то была не в вентиляционных шахтах, а в картирах. И на момент ее срабатывания, было уже позно (но, с точки зрения эвакуации как раз успели)


                                                                                      Итого, когда приехали пожарники, тушить там было уже нечего.

                                                                                      И это не заговор, не рука москвы\израиля\еще кого и не максимизация прибыли. А просто сочетании лени, пофигизма и не желания решать хоть что-то самостоятельно. И единственным результатом этого пожара, было обещание владельцев в следущем построенном доме, поставить больше пожаротушилок…
                                                                                        +1
                                                                                        и не максимизация прибыли

                                                                                        1. "решили позвонить менеджеру" — раздолбайство исполнителей.
                                                                                        2. "прикрутив их саморезами к стенам" — нарушения со стороны эксплуатантов
                                                                                        3. "не поставили тушилки" — как раз максимизация прибыли: "они стоят дофигиллион денег, а пожара, небось, и не случится." Случился.

                                                                                        Типичная синергия — если бы не было хоть одного фактора, ничего ужасного не произошло бы. Но три независимых фактора сошлись в одно время в одном месте, и дома больше нет.

                                                                                          0
                                                                                          а откуда вы сцитировали «не поставили тушилки»?..
                                                                                          и в какой стране, 5 долларов за одну штуку в розницу — это дофигиллион денег?..
                                                                                            +1
                                                                                            а откуда вы сцитировали «не поставили тушилки»?..
                                                                                            Отсюда:
                                                                                            обещание владельцев в следущем построенном доме, поставить больше пожаротушилок…

                                                                                            и в какой стране, 5 долларов за одну штуку в розницу — это дофигиллион денег?..

                                                                                            Насколько я понимаю, под «пожаротушилкой» понимался ru.wikipedia.org/wiki/Спринклерный_ороситель — в таком случае у меня есть некоторый опыт: несколько лет назад было предложение поставить такие в нашем здании (15-этажном многоквартирном, которому уже > 40 лет). Проблема не в «пятидолларовых спринклерах», проблема в том, что к ним надо подводить воду — а это значит, пробивать дырки в стенах, прокладывать трубки спринклеров, расширять основную магистраль водоснабжения, вешать подвесные потолки, чтобы трубки в глаза не лезли. Короче, на наше здание выходило работ примерно на пару миллионов вечнозелёных.
                                                                                  +2
                                                                                  Я это дело вижу примерно так. Сначала Главный Инженер хочет видеть у себя на пульте зеленые огоньки от этого условного ПАЗ, потом отдел автоматизации не хочет лазить в -40 по трубам и разрешает дистанционный апдейт прошивки, потом еще кто то со своих Багам хочет лазить в локалку и ему делают проброс портов. В итоге телемаркет — контроллеры заражены и готовы к часу Х.
                                                                                  0
                                                                                  Это, как выяснилось в Иране, не спасает от раздолбая, притащившего в закрытую часть сети флешку с любимым проном, на которой уютно устроился Stuxnet.
                                                                                    +3
                                                                                    да в том-то и дело что везде раздолбаи: что в Иране с флешкой, что у саудитов компы с удаленным доступом, то производители контроллеров с дырами в прошивке, но виноваты только хакеры.
                                                                                      +3
                                                                                      Как в анекдоте про хакера и солонку.
                                                                                    0
                                                                                    В сеть практически любого предприятия можно встроиться.
                                                                                    При наличии средств на спецтехнику — это вообще не проблема. Для этого даже не обязательно устраиваться уборщиком на месяц.
                                                                                    0
                                                                                    Профильные СМИ периодически публикуют самые затратные/кассовые фильмы/алюбомы с учетом индексации. Может быть и для вирусов так было бы правильнее? ILY нанес ущерб в 5.5G$ за первую неделю. С учетом индексации это 10G$. OneHalf — просто триллионы-триллионов, даже по самым скромным подсчетам.

                                                                                    p.s. Если бы что-то настолько эффективное по распространению существовало сейчас, то, возможно, просто угробило бы всю онлайн-культуру.
                                                                                      0
                                                                                      все эти оценки очень сильно оценочные. и появление таких оценок зависит от внимания сми. скажем одновременно с wanna cry были майнеры, заражавшие через туже уязвимость. заразили куда больше машин — и кто о них знает?
                                                                                      С другой стороны день новых вируов создается десятки тысяч — оценивать их все нереально
                                                                                      +2
                                                                                      IP-адрес, используемый для запуска операций, связанных с вирусом.

                                                                                      прямо так оставили свой IP. Про анонимайзеры они видимо ни чего не слышали.
                                                                                        +4
                                                                                        Да они переменные на кириллице пишут. А потом как то их в скомпилированный код код засовывают. Дикие люди…
                                                                                          +4

                                                                                          1С-программисты захватывают мир, как предсказывал nmivan?

                                                                                            0

                                                                                            Там "Газпром" свою чёрную бухгалтерию вёл, что ли? :)

                                                                                          +8
                                                                                          ЦА — потребители американской масс-культуры, и контент, соответственно, адаптирован

                                                                                          не удивлюсь если они сканированные документы из ФСБ/ГРУ найдут, за подписью лично Преиздента России, где расписан план fake news аттаки на Демократические Ценности и план по захвату Свободной Нации через российского диверсанта Дукалиса Трампова
                                                                                            +1
                                                                                            Отлаживали скрипт на удобном адресе, затем забыли его убрать.
                                                                                              –1
                                                                                              Есть много способов случайно спалиться. Особенно, если ты — обычный студент-химик и ломаешь арабов просто от скуки по вечерам
                                                                                              +1

                                                                                              Все страшнее и страшнее рисуется хакерская антиутопия в этом мире. Конечно, она никогда не будет реализована, но рвение людей, занятых в этом процессе, можно оценить. С точки зрения политиков — это чрезвычайно удобный инструмент, обвиняя других, можно реализовывать свои планы, потом попробуй докажи. Свои ошибки тоже можно объяснять не ошибками, а злонамеренными атаками. На причины вообще можно забить: во всем виноваты злобные анонимусы и правители, вершащие судьбы в силу своей злобной природы. Ничего нового в этом нет.


                                                                                              Еще и область такая, в которой мало кто разбирается, но зато каждый связи легко может предполагать, вся массовая культура уже давно кричит об этом. Сказали, что хакеры: значит так и есть. Сказали, что там кто-то какие-то "следы" нашел: как этому можно не верить? Сказали, что вся система безопасности, от которой зависят сотни жизней, крутится лишь на софте и интернете: в каком же хрупком мире мы живем. Всё как в сериалах и фильмах, все условия прям как под очередной больной сюжет создаются.


                                                                                              Конечно, таким деятелям все это припомнится, но сейчас мне видится, что подобные тексты надо препарировать, с целью выявления пропаганды, и в данном случае очень примитивной: свой — хороший, чужой — плохой, подданной через призму особенностей узкой области. Учитывая концовку статьи, еще это может являться своеобразным маркетингом, подданным в призме политической конъюнктуры, для усиления угрожающего эффекта. На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.

                                                                                                0
                                                                                                На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.

                                                                                                Нам моют мозги, им моют, всем моют. Мне кажется, сегодня можно верить на 100% (почти) только самому факту свершения какого-то события. Все «анализы» всяких «аналитиков» можно не читать. Даже нужно не читать. Всё равно что было на самом деле никто не узнает. Там своя правда, тут своя. А как к ней относиться каждый решит для себя сам.
                                                                                                  +1
                                                                                                  Я все же немного другой глагол использовал. Мною подобные, однобокие тексты воспринимаются именно как раздражители, а не как способы формирования мнения. Эти тексты даже не пытаются нести смыслы, а несут лишь сплошную попытку манипуляции мнением и обладают абсолютно клиповым содержанием, несмотря на такое обилие ссылок. И я убежден, что очень и очень многие видят их также, например Вы и другие комментаторы к данному посту. Польза от таких текстов в том, что они позволяют учиться видеть манипуляцию и «клиповость», в силу примитивности приемов. Авторы пишут чтобы читали их текст, а можно по их тексту читать самих авторов. В постмодерне же живем.
                                                                                                +4
                                                                                                «Мы понятия не имеем кто это, поэтому это… точно были русские (из какого-то секретного НИИ)!»
                                                                                                  0
                                                                                                  Эксперты которые полагаются на «весьма вероятно» и кириллицу в коде не являются экспертами как таковыми.
                                                                                                  Даже моя мама, которая умеет пользоваться только одноклассниками задаёт резонный вопрос: а почему русские хакеры пишут кириллицей и оставляют следы — они же хакеры?! Но западных «экспердов» походу не заботит бред, который они периодически выдают «на гора». Сдаётся мне, что делается это для получения очередного заказа от правительства на борьбу с русскими хакерами.
                                                                                                    0

                                                                                                    Заинтересовался вакансиями в ЦНИИ Химии и Механики, но там 404 ))
                                                                                                    http://cniihm.ru/%d0%b2%d0%b0%d0%ba%d0%b0%d0%bd%d1%81%d0%b8%d0%b8/

                                                                                                      +1
                                                                                                      Не знаю, огорчу или обрадую, но вакансии там имеются: ссылка на сайт, ссылка на hh.ru
                                                                                                        +5

                                                                                                        Ведущий инженер-программист 1С, кириллица в вирусе — это оно! Дело раскрыто!

                                                                                                          0
                                                                                                          Ну если выясниться выяснится что для запуска вирусов нужен хасп и непомешала бы подписка на ИТС…
                                                                                                      +1
                                                                                                      Почему-то никто не сомневается, что «Stuxnet» был написан западными спецслужбами (а конкретно — американскими), но вот предположение о российском происхождении вируса, предназначенного для атаки западных заводов, вызывает дружное неодобрение. Понятно, что кириллические символы (кстати, в статье нет ни слова о «кириллических именах переменных в скомпилированном коде», над чем тут комментаторы «стебутся») могли быть специально оставленным ложным следом. Но могли и не — людям свойственно делать ошибки, а если на кону не стоит собственная безопасность и жизнь, то кто-то мог и «расслабиться», и забыть.

                                                                                                      Но, вообще, это очень пугающая и опасная тенденция :( Большинство существующих систем, созданных в конце прошлого — начале нынешнего веков, создавались без учета возможности столь изощренных диверсий. Это ведь не с script kiddies или одиночками-хакерами бороться; когда задействованы ресурсы государства, и профессионалы высокого уровня, требуется абсолютно иной способ защиты от кибератак. А последствия могут быть страшными…
                                                                                                        +1
                                                                                                        Вспоминается статья с софтом для «гаджетов от АНБ» со спец. массивами кириллицы, арабской вязи, иероглифов всяких видов и прочего, как раз для «хайли лайхли зис из равшанс/ираниванс/джабанизес»
                                                                                                          0
                                                                                                          Вы намекаете, что АНБ может быть причастна к планировавшимся диверсиям на западных нефтеперерабатывающих заводах, с целью компроментации «белой и пушистой», невинной России и усиления санкций? Старик Оккам с вами не согласен ;)
                                                                                                            0
                                                                                                            Нет, что вы!
                                                                                                            Это принципиально невозможно.

                                                                                                            Хорошо, хоть падения Боингов новых не догадались на русских повесить…
                                                                                                              –3
                                                                                                              Всем известно, что малазийский боинг сбила американская подлодка, базирующаяся в венгерских морях.

                                                                                                              P.S Корейский боинг тоже американская подлодка сбила, а майора Осиповича загипнотизировали инопланетяне.

                                                                                                              P.P.S. Французский falcon сбил оживленный американцами снегоуборочник, предварительно споив водителя
                                                                                                                +2
                                                                                                                малазийский боинг сбила

                                                                                                                Вообще-то подозреваю, что 200sx_Pilot имел в виду эти катастрофы, а вовсе не то, о чём Вы подумали. В этом свете все Ваши изливания желчи — как мне кажется, мимо тазика.

                                                                                                                  0
                                                                                                                  Именно.
                                                                                                                  Благодарю.
                                                                                                                    0

                                                                                                                    А что, Boeing когда-либо пытался повесить катастрофы самолётов на россиян?

                                                                                                                      0

                                                                                                                      Ну не совсем Boeing, но пытались и пытаются. Именно об этом ("Всем известно, что малазийский боинг сбила американская подлодка") Jef239 и писал.

                                                                                                                        +1
                                                                                                                        Ну лично мне больше понравился оригинал — про несвежие трупы, которых везли роботы.

                                                                                                                        P.S. Увы, оказалось что дурнее оригинала не придумать. А я так рассчитывал на Венгерские моря…
                                                                                                                          +1

                                                                                                                          Я говорю про катастрофу, а не непосредственную атаку, да и выводы следствия по MH17 вполне однозначны — не понятно, к чему он тут вообще.

                                                                                                                          0
                                                                                                                          Ну может вы тогда в школу ходили.
                                                                                                                  0
                                                                                                                  С чего бы мне намекать? habr.com/ru/post/357310 просто мысли вслух, что если в коде «Бландит вкуэ опхерюхер» это ни разу не означает того, что оно made in Russia.
                                                                                                                    0
                                                                                                                    А какое отношение имеет процитированная вами ссылка к обсуждаемой теме? Вы уж постарайтесь «пологичнее» мыслить, ведь можно и ответных ссылок накидать, касательно «несуществующих» «вежливых зеленых человечков», существование которых ваш нац. лидер впоследствии публично признал (все с той же важной миной, как ранее категорически отрицал).

                                                                                                                    Поговорка гласит: «обжегшись на молоке, на воду дуют»…
                                                                                                                      +1
                                                                                                                      Самое прямое, я вам даю пример, что приём, который в статье описан, уже ранее применялся, причем без разницы кем. Если я вам вирус скомпилирую из под fr_FR.uft8 локали с установленной временной зоной GMT+2/Paris и в pdb-шнике будет путь C:\Users\StephenBaguette\Viral_le_monde\solution1.exe вы тоже сразу-же броситесь орать про «Сделано во Франции»?
                                                                                                                        0
                                                                                                                        Ваш оппонент относится числу людей которым итак «уже все понятно, тут не о чем говорить».
                                                                                                                          0
                                                                                                                          На основании чего сделан вывод о «кириллических символах в pdb-шнике»? В статье нет ничего про это; там лишь упоминается, что
                                                                                                                          другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.
                                                                                                                          . Заметьте, про то, что это за «другие файлы», ни что это за «имена», ни слова не сказано.

                                                                                                                          Понятно, что подделать можно все, что угодно; необходимости «светить» свой IP, при существовании дешевых цепочек прокси (через Китай, а потом через все, что угодно), организуемых за считанные минуты, также абсолютно нет. Доказать причастность к киберпреступлениям очень сложно (разве, что исполнители допустили фатальные ошибки. Хотя, с другой стороны, как мы знаем, с Литвиненко и Скрипалями тоже работали «профессиАналы» из КГБ/ФСБ, которые, тем не менее, ухитрились наследить «нипадеццки» — что говорит об уровне профессионализма).

                                                                                                                          Потому, всегда будут смотреть, прежде всего, «кому это нужно и выгодно». Россия сейчас ведет кибервойну против Запада (опять-таки, вы можете все отрицать, но я ни вам, ни вашему президенту не верю, так как последний был многократно пойман на вранье), поэтому естественно, первым делом, предположить, что в подготовке данной диверсии замешаны хакеры. А технический уровень данного взлома говорит о том, что действовали серьезные профессионалы, а не «шпана» (зачем вообще это «шпане» или отдельным хакерам?).

                                                                                                                          Ваша позиция мне понятна, но неприятна, и я ее не разделяю. Вы уверены в «белопушистости» путинской России; факты же говорят об ином.
                                                                                                                            0
                                                                                                                            зачем вообще это «шпане»

                                                                                                                            Bragging rights?

                                                                                                                              0
                                                                                                                              Сомневаюсь, уровень далеко не «script kiddies», и даже не обычных хакеров-взломщиков. Кстати, это может объяснить и оставленные следы: спецам, сидящим в Москве и работающим по сверхсекретному заданию ФСБ, не нужно особо бояться, что их «вычислят» и применят «ректально-термический» метод дознания (ну, или путем введения «сыворотки правды»). А на счет возможных оставленных следов всегда можно сказать: «вывсеврете, это подстава», и доказать будет невозможно. Индивидуал такой защиты не имеет, и должен работать 100% безошибочно (опять-таки, история показывает, что даже опытнейшие «супер-хакеры», типа Митника (в свое время) «прокалывались» и «вычислялись»).

                                                                                                                              Кстати, я вовсе не утверждал в первом моем комментарии, что это 100% были диверсанты из России; я лишь удивился, почему в случае со «Stuxnet» местные комментаторы на 100% убеждены в том, что это дело рук зловещего АНБ, а в данном случае предположение о хакерах из России изначально отвергается.
                                                                                                                                0
                                                                                                                                в данном случае предположение о хакерах из России изначально отвергается.

                                                                                                                                Я ничего не отвергаю. По моей личной оценке, вероятности ("кто ответственен за атаку") распределяются примерно так:


                                                                                                                                5% шанс — школота из "кибер-Беркута" — по малолетству даже не задумывались о чистке улик
                                                                                                                                15% шанс — идиоты из российских государственных хакерских войск — по раздолбайству не почистили (все) улики
                                                                                                                                80% шанс — "операция под фальшивым флагом", профессионально проведённая ХЗ кем (кем именно — узнаем через 80 лет, когда архивы расскретят) — все настоящие улики тщательно подчищены, фальшивые подсажены.

                                                                                                                                  0
                                                                                                                                  Откуда такие странные проценты вероятности взялись? Из пальца? А если расставить правильно вопросы?

                                                                                                                                  • Кому это выгодно?
                                                                                                                                  • Кто мог обладать техническими знаниями (весьма специфическими и нетривиальными), примененными при данном взломе?
                                                                                                                                  • Могла ли разведка Ирана или Северной Кореи добыть внтурефирменные закрытые данные по контроллеру «Triconex»?

                                                                                                                                  • Впрочем, спорить об этом бесполезно, тут вопрос веры, похоже.
                                                                                                                                    0
                                                                                                                                    1 Ну давайте подумаем… любому конкуренту из стран ОПЕК, Турции, С.Корее, США, Иран, саудовская оппозиции.
                                                                                                                                    2 См выше, любая из стран имеет специалистов либо может нанят / заставить сотрудничать интересные кадры. Даже Украина :)
                                                                                                                                    3 Скажу вам по секрету, контроллеры Triconex можно купить / выкрасть, документация тоже не засекречена (https://www.schneider-electric.com/en/work/products/industrial-automation-control/triconex-safety-systems/). Это не военная разработка, она стоит на 100-500 гражданских объектах. Я вам больше скажу, с вероятностью 90% в системе стояли дефолтные пароли на доступы :)
                                                                                                                                      0
                                                                                                                                      Я бы сказал, что ваши аргументы немного «притянуты за уши». Лично я не думаю, что бизнес-конкуренты могут пойти на диверсию такого уровня. Да и нанимать специалистов для подобных задач не так-то просто — слишком велика опасность вероятной утечки (со всеми «вытекающими» последствиями). И касательно контроллеров: вы уверены, что это — именно тот самый контроллер? И как можно было узнать, что используется именно этот контроллер?

                                                                                                                                      Это безрезультатный спор, и этот мой пост будет в этой ветке последним. Если вы из тех, за кем обязательно должно остаться «последнее слово, ибо в интернете кто-то не прав» — go ahead, be my guest :) Но не обижайтесь, отвечать не буду, ибо не имеет ни малейшего смысла.
                                                                                                                                        0
                                                                                                                                        Сразу видно «диванного эксперта» :)

                                                                                                                                        1 «Я лично не думаю»… это что то из серии «моя мама сказала что...»? А я вот лично думаю сам, и могу сделать предположение о том что заказать мог любой конкурент, особенно если вспомнить о планах ОАЭ продать часть акций этой «неизвестной» госкомпании. Устроить сбой, обвалить курс или сорвать выход на биржу…
                                                                                                                                        Но вам и так все ясно, мама то знает лучше.
                                                                                                                                        2 Специалистов нанимают через посредников, это вам мама не сказала? Тогда запишите, может пригодится.
                                                                                                                                        3 Что бы узнать какой контроллер можно посмотреть списки заказов оборудования на конкретный, обычно эта информация доступна для специалистов. Еще можно при помощи соц. инженерии получить эту информацию. Особенно возможен вариант найти документацию и перечень версий контроллеров в самой взломанной сети. С учетом того что там антивирус игнорировали, бардак там был еще тот.
                                                                                                                                        4 Обидеться и удалиться когда начинают задавать неудобные вопросы — это очень «взрослое» решение.

                                                                                                                                        П.С. Смысле нет, вы правы. У вас ни одного факта, но вы уже уверенны. Какой тут смысл? Он вам не нужен, вы уже все знаете, мама сказала.
                                                                                                                                          0
                                                                                                                                          Хамить, обзываться, и переходить на личности не стоит, даже если это ваш обыденный паттерн поведения. Это всего лишь доказывает, что вы — простой хам; все остальное — такие же голословные предположения, высосанные из пальца.

                                                                                                                                          P.S. Да, и по вашим комментариям сразу видно «искперда» по computer security :)
                                                                                                                                            0
                                                                                                                                            Опять голословные обвинения от человека который уже «написал совсем последний пост и ушел» и называет шаблон «паттерном» чтобы казаться умнее.
                                                                                                                                            Надо вам над собой поработать, тренируйтесь врать не краснея, игнорировать здравый смысл и уходить от неудобных хлопнув дверью, вам это пригодиться в ваших поисках работы за рубежом. Оттуда любить родину всяко удобнее :)

                                                                                                                                            П.С. Привет вашей маме.
                                                                                                                                      0

                                                                                                                                      Посыпаю голову пеплом: я говорил не о той атаке, о которой статья, а об обсуждаемой ранее "атаке на электросети Украины", которая, судя по описанию, заключалась в том, что на компьютере распределительной подстанции (скорее всего, самим электриками) был запущен сервер то ли с RDP, то ли с VNC, куда и залезли и щелчком мыши по иконкам на сехеме сети перевели размыкатели в положение "выкл". Там умений скрипт-кидди должно было вполне хватить.


                                                                                                                                      А вопросы Вы очень правильные задаёте, посылаю Вам лучи добра и поддержки.

                                                                                                                                        0

                                                                                                                                        А касательно Ваших (опять же — очень правильных!) вопросов: "кому это выгодно": подскажите мне, почему проведение описанной в статье атаки именно сейчас было выгодно государству Россия (именно государству, а не отдельным олигархам)? Если бы я был "плохим парнем на службе России", я был бы заинтересован заложить на этом заводе закладку, которая бы там тихо, мирно и незаметно лежала, не привлекая ничьего внимания, и активировал бы её только в случае серьёзного конфликта, когда русские танки бороздили бы просторы Ла-Манша. А так — чего добились этой атакой? Слегка покоцали завод, который завтра починят, раскрыли дыры в его безопасности, которые завтра закроют, и слили непростую работу по проникновению в унитаз — а получили только ещё больше санкций и лучей ненависти. И всё это выгодно России? Не смешите мои тапочки.

                                                                                                                                          0
                                                                                                                                          Ему не нужны доказательства, товарищ живет в своей парадигме и ему там комфортно. То что ему не нравится он будет игнорировать, если будут доказывать что он не прав, требовать фактов или задавать совсем неудобные вопросы — будет говорить что «вы все плохие, я ухожу» и писать в администрацию жалобы что его тут оскорбляют.
                                                                                                                                            0

                                                                                                                                            Товарищ задал очень правильный вопрос: "кому выгодно?" — с этого вопроса и надо начинать все расследования. Мои оценки из этого вопроса и проистекают:


                                                                                                                                            • скрипт-кидди, как правило, не заморачиваются негативными последствиями и/или плохо оценивают риски для своей последующей карьеры/жизни, поэтому не могу совсем их исключить;
                                                                                                                                            • "русские хакеры" — аппарат имели, но вопрос "а нахуа чего достигли-то???" стоит во весь рост;
                                                                                                                                            • "третья сторона" — а вот тут ответ очень очевидный: "обвинить во всём русских, навалить на них побольше санкций и уничтожить конкурента" — вполне логично.
                                                                                                                                              0
                                                                                                                                              1 «скрипт-кидди» не стали бы хакать контроллеры, там надо вложиться в оборудование и иметь довольно специфические цели. Для них цель — быстро сорвать деньги, обналичить или увести в крипту. Тут совсем не так.

                                                                                                                                              2 согласен, да и вроде отношения с ОАЭ нормальные.
                                                                                                                                              3 читайте выше, там много говорили о продаже части акций нефтяной госкомпании, вполне могли сделать закладку для игре на курсах акций.
                                                                                                                                            0
                                                                                                                                            Вопросы «кому это выгодно»/«кто это мог сделать» давно уже не актуальны на таком уровне. Все делается в канве «виноваты русские». Если вспомнить что в это же время в 2017 набирала истерию история с «Новичком», то скорее всего никто и не заморачивался с доказательствами
                                                                                                                                    0
                                                                                                                                    И так… где я написал о белопушистости РФ/Украины/Китая/Гондураса/Эфиопии/Нагонии? Или теория заговора это ваше всиё?
                                                                                                                          0
                                                                                                                          По Stuxnet — не факт. Может, даже очевиднее смотреть в сторону израильских специалистов: у этих ребят есть не только мозги, но и мотивация.
                                                                                                                            0
                                                                                                                            Да, как бы, покровы уже давно сорваны.

                                                                                                                            A damaging cyberattack against Iran’s nuclear program was the work of U.S. and Israeli experts and proceeded under the secret orders of President Obama, who was eager to slow that nation’s apparent progress toward building an atomic bomb without launching a traditional military attack, say current and former U.S. officials.
                                                                                                                            0
                                                                                                                            Что меня поражает так это так это вот эта мантра про «недоказанность». Заметьте что подавляющее большинство комментаторов упирают вовсе не на то что «нет, это были не наши хакеры». Они упирают на то что «а вы не докажете что это были наши». Как с Донбассом где все, в общем-то, прекрасно знают что там воюют россияне, но продолжают упорно изображать дурочку с «недоказанностью». Причем судя по комментариям в этой статье подобный тезис уже стал приобретать аксиоматичность: он уже не требует для себя никаких доказательств. Голословный тезис вида «если бы это были русские хакеры то они бы так глупо не попались» в соответствии с этой аксиомой, естественно, автоматически побеждает ссылку на «вот доказательства того что они попались». Хотя здравый смысл вроде бы как должен подсказывать что попасться может любой и хорошо бы прежде чем отвергать конкретные доказательства эти доказательства вначале стоило бы внимательно изучить и взвесить между собою различные альтернативы по их интерпретации. Грустно это все.
                                                                                                                            +2
                                                                                                                            С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.


                                                                                                                            Прям Промтом повеяло…
                                                                                                                              0
                                                                                                                              Хоть бы кто написал про сам контроллер… Что там шнайдер то говорит — может просто стоит прошивку обновить и не раздувать?
                                                                                                                              Я знаю модели промышленных коммутаторов, в которых пароль ваааще нельзя поменять… И что?
                                                                                                                              ПАЗ никто не отменял. А то что он выключен… ну это уже человеческий фактор и косяк органов, которые должны проводить аудит критически важной инфраструктуры.
                                                                                                                              Авария ЧАЭС тому яркий пример.
                                                                                                                                0
                                                                                                                                А, 2017 год… Мне вот интересно, что потом будут рассказывать про отключение света в Венесуэле неделю назад. Было ли это атакой вирусов, если да то чьей?
                                                                                                                                  +1
                                                                                                                                  Кто знает. В вое время в отключении интернета в Сирии обвинили Асада. А потом оказалось, что его по ошибке вырубили спецслужбы (США вроде)
                                                                                                                                  +3
                                                                                                                                  2016 — CrashOverride
                                                                                                                                  Следующий видимо будет Zero Cool который будет перед обрушением выдавать на экран:
                                                                                                                                  Сунетесь к лучшим — умрете всей кучей.
                                                                                                                                  Нет, серьезно, такие статьи все больше напоминают сказочно-наивный сюжет классического хак-фильма.
                                                                                                                                  Кибер-война конечно идет, но бойцы невидимого фронта наверняка ну очень сильно зашифрованы и не сидят в НИИ Цитологии и генетики и т.д.
                                                                                                                                    +1
                                                                                                                                    Блин… Народ :) Самим-то не смешно всерьез обсуждать статью в которой присутствует фраза «был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети»? :)
                                                                                                                                      0

                                                                                                                                      Речь идёт об этой статье. Я её неспешно перевожу для Хабра.

                                                                                                                                        +1

                                                                                                                                        На хабре была целая серия статей на эту тему от ESET https://habr.com/ru/search/?q=Eset%20blackenergy&target_type=posts

                                                                                                                                          –1
                                                                                                                                          Я конечно дико извиняюсь, но прочитав несколько статей я не нашел ничего подтверждающего ваши слова о доказательствах от ESET. Можно конкретнее, а то мы уже слышали про уничтоженные 100500 бурятских бронекавалерийских дивизий, терминаторов из сала и топу подобные побасенки. Давайте работать с фактами, не с вашими домыслами.
                                                                                                                                      +2
                                                                                                                                      Мне во в этих атаках непонятно самое главное зачем? Ну зачем русским хакерам отключать энергосистемы Украины Прибытка нет, в итоге будет раздражение жителей Украины и политические наезды на правительство РФ и соответствующие санкции. Зачем атаковать неведомые заводы саудитов. Какой смысл, кому они мешают? Ну я бы понял, если бы убирали конкурентов — ну так же не проглядывается это. Северная Корея грабит банки. Подсанкционная страна. Как она эти деньги переведет к себе или как незаметно ввезет товаров на деньги, происхождение которых неизвестно. Китай и Россия воруют технологии. Ну так если они их внедрят, так видно же будет что цельнотянутое. И ни одного примера внедрения уворованного. Хакеры воруют триллионы практически по сообщениям банков. Кто-то видел шикующего хакера (Селезнева не считаем)?
                                                                                                                                      Не, хакеры есть и много их есть. Но вот насколько много на самом деле воруют…
                                                                                                                                        0
                                                                                                                                        Вы не понимаете: «Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия». Что делают люди без света? Правильно, новых людей и не идут на майдан. Многоходовочка-с! /irony
                                                                                                                                        PS и всем наплевать, что для отключения 1 подстанции легче и логичнее использовать бомжа Васю и 1 кувалду, не тратя миллионы на Страшное Русское Кибероружие.
                                                                                                                                          0
                                                                                                                                          Может уже хватит испражняться? Анализ тех атак делали люди из вполне уважаемой ESET, доверия к которым всяко больше, чем к вашему начальству.
                                                                                                                                            –1
                                                                                                                                            Где пруфы и листинг с кириллицей? Very likely это пруф для желтой прессы.
                                                                                                                                            А с пассажем про начальство вы и вовсе попали пальцем в…
                                                                                                                                            Везде мерещится рука кремля?
                                                                                                                                            PS логичность и целесообразность — два основных кита, на которых держится цивилизация. Никто не будет с «томагавком» охотиться на кроликов — за $1.45 млн, который стоит только 1 ракета, можно купить десяток кроличьих ферм или заставить половину страны ловить зайцев в чистом поле. И если мне расскажут по 1 каналу, fox news или в этих ваших интернетах, что томагавками стреляли именно по кролику — мне будет глубоко всё равно на уважаемость этой персоны — это дорого, не логично и малополезно. Совсем как 0-day вирусами на короткий срок останавливать подстанции in the middle of nowhere.
                                                                                                                                              0

                                                                                                                                              «Покажите ваши доказательства!»
                                                                                                                                              «Покажите ваши доказательства на доказательства!»
                                                                                                                                              «Покажите фото!»
                                                                                                                                              «Покажите видео!»
                                                                                                                                              «Покажите документ с мокрой печатью!»


                                                                                                                                              Very likely

                                                                                                                                              Четвёртое упоминание. Уже методичку нормальную написать им не могут, даже читать неинтересно.

                                                                                                                                                0
                                                                                                                                                Зашёл в пруфы оригинальной статьи, там английским по белому написано «FireEye has not connected this activity to any actor we currently track», зато с вашей стороны вижу только демагогию и унылые обвинения в использовании методичек.
                                                                                                                                                Возможно, вам стоит обновить методичку или хотя бы перелистнуть страницу, может, на следующей будет что-то кроме ссылок на авторитеты, переходов на личности и «покажите ваш Х»?
                                                                                                                                                  –1
                                                                                                                                                  в пруфы оригинальной статьи

                                                                                                                                                  Это которой?


                                                                                                                                                  Возможно, вам стоит обновить методичку

                                                                                                                                                  Нет, вам!

                                                                                                                                                    0
                                                                                                                                                    Присмотритесь, после заголовка идёт ссыль на оригинальную статью, а в ней ссылки на исходники из нескольких источников, в т.ч. и от FireEye, на основе которых и был написан рассказ про красного саддама, который клепает биологикибеоружие в нии цитологии и мехатроники, чтоб всех хакнуть и взорвать( исключительно just for lulz, все знают, что красным не нужны причины).
                                                                                                                                                      0
                                                                                                                                                      А я было подумал вы выводы ESET по BlackEnergy взялись опровергать.
                                                                                                                                                        0
                                                                                                                                                        А можно про выводы? А то в Гугл не находит никаких конкретных фактов или докладов от ESET.
                                                                                                                                                          0

                                                                                                                                                          Понимаю — вы ведь на Хабре совсем недавно http://www.habr.com/ru/search/?q=Eset%20blackenergy&target_type=posts

                                                                                                                                                            0
                                                                                                                                                            Судя по тому что ваш акк заведен в конце 2018, я немного подольше на Хабре, раз так в 15-20. Поиском пользоваться умею, прочитал 2 верхних статьи еще до вас, в 2017 тоже почитывал. И не помню ни одного доказательства причастности России к тем событиям ни от ESET ни от кого то другого.
                                                                                                                                                            У вас есть конкретные факты или как всегда?
                                                                                                                                          –1
                                                                                                                                          Ну как же? Потому что «эти русские — злые, злые, злые»! Странно что вас это не убеждает. Вон, многих убедило…
                                                                                                                                        0
                                                                                                                                        Вопрос не в том, что есть «стлясный-узяслий-вилус-убиватол», вопрос в том, что инфраструктура, допускающая удаленное управление, стяпляпана так, что в ней возможны фатально неправильные комбинации. А вот природа, не знавшая слов «продакшн» и «дедлайн», во многом защищеннее скороспелых поделок. Простой пример: мышцы бедра у человека обладают достаточной силой, чтобы сломать свою же бедренную кость. Но комбинация их действий для автоперелома настолько хорошо запрещена «на уровне ядра», что такие автопереломы возникают только в случае тяжелых повреждений нервной системы.
                                                                                                                                          0
                                                                                                                                          Вы хотите подискутировать о том, сколько поколений творения природы страдали от аутопереломов, прежде чем появилась устойчивая популяция с ограничителями? Или ожидаете, что производители одних устройств для управления промышленным оборудованием должны предусмотреть факап производителей и пользователей других устройств для защиты от вторжений? Предусмотреть-то они могут, конечно, но тогда ценник будет иметь на пару ноликов больше, КМК. Если в будущем будет спрос на сверхзащищенные контроллеры, которые могут спокойно иметь белый айпи и быть устойчивыми к взлому — такие контроллеры появятся. А пока сама отрасль кибербезопасности даже ходить не научилась, вовсю ползунки осваивает. И новость как раз об очередной шишке, ею полученной. Всё как в той же природе — нежизнеспособные отвалятся, остальные начнут изменяться под очередной трабл.
                                                                                                                                            0
                                                                                                                                            Угу. Отвалятся.
                                                                                                                                            Но, потом навалятся эффективные манагеры, и все вернут обратно, ибо «потом пофиксим».
                                                                                                                                              0
                                                                                                                                              Всё как в той же природе — нежизнеспособные отвалятся,

                                                                                                                                              Это будет великолепно. Главное, чтобы отваливались они не в результате того, что управляемая ими АЭС взлетела в небо грибовидным облачком.

                                                                                                                                                0
                                                                                                                                                Вы знаете, с этой точки зрения надо было неизвестным хакерам все-таки бахнуть тот безалаберный НПЗ. Потому что:
                                                                                                                                                • будет урок всем остальным, на тему того, что естественный отбор, он всех касается
                                                                                                                                                • ущерб окружающей среде в песках не столь масштабен, да и НПЗ не АЭС
                                                                                                                                                • антиреклама незащищенных контроллеров породит кучу стартапов с защищенными и привлечет внимание R&D-отделов гигантов рынка
                                                                                                                                                • появится спрос на такие контроллеры
                                                                                                                                                • сауды богатые, в минус не уйдут
                                                                                                                                                Но раз пронесло, подождем следующего раза. На тех же АЭС за полвека активной эксплуатации было всего три значимых аварии, а начинали они с той же безалаберности, несоблюдения инструкций и несовершенства оборудования. Просто теперь, кроме АЭС, под угрозой любая модернизированная котельная или завод с конвейерным производством…
                                                                                                                                                  0
                                                                                                                                                  с этой точки зрения надо было неизвестным хакерам все-таки бахнуть тот безалаберный НПЗ.

                                                                                                                                                  Чёрт побери, Вы правы! Кажется, я знаю, чем буду развлекаться на пенсии...

                                                                                                                                                    0
                                                                                                                                                    Воу-воу, стопэ! Одного раза хватит, просто он должен быть громким, а не как этот пшик, который кроме узкой категории лиц, никого не волнует. Беря аналогии из истории АЭС, серии Чернобылей не надо, хватит одного Три-майл-айленда.
                                                                                                                                                      0
                                                                                                                                                      Личная просьба, можете выбрать место для экспериментов ближе к более другому побережью?..
                                                                                                                                                        0
                                                                                                                                                        Это к какому — атлантическому или тихоокеанскому? Я вообще у Великих озёр живу, мне в принципе перпендикулярно.
                                                                                                                                            –1
                                                                                                                                            Что все прицепились к кириллическим символам? Это все косвенные улики. Надо заходить с главного.
                                                                                                                                            Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
                                                                                                                                            Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
                                                                                                                                            Остается только один вариант.
                                                                                                                                            Даже без кириллических символов.
                                                                                                                                              +1
                                                                                                                                              Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
                                                                                                                                              И что, по-Вашему, мешает сделать такой инструмент Китаю, Индии, да даже Израилю? Не нужны многомиллиардные вложения в центрифуги и гектары производственных площадей — купили аналогичные контроллеры, подключили к локалке любого опенспейса и всё, пусть местные компьютерные гении ковыряют за зарплату. Или эти гении могут рождаться только в США и РФ? Чисто статистически неверно — суммарная доля их населения 8% общего населения Земли или, если отбросить беднейшие регионы, где компьютер только у сына местного бея, примерно четверть.
                                                                                                                                              Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
                                                                                                                                              А Вы, верно, твердо знаете всю внутреннюю кухню отношений США с СА, раз позволяете себе такие заявления? Если широкая публика не в курсе чего-то (например, готовящегося мятежа принцев или планов поднять цены на нефть), это не значит, что этого не существует. Может быть, это сами сауды влезли на свой НПЗ и сами же «раскрыли вторжение» (ведь никаких реальных действий и убытков не было), для получения неких преференций за кулисами. Это объясняет весь цитируемый ниже абзац
                                                                                                                                              жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.
                                                                                                                                              который смущает меня больше всего. СБ либо мышей не ловит, либо в доле, поскольку предположить её отсутствие уже варварство.
                                                                                                                                                0
                                                                                                                                                И что, по-Вашему, мешает сделать такой инструмент Китаю

                                                                                                                                                Более того, не раз писали — "В Китае отличников больше, чем у нас вообще учеников. Просто потому, что выборка на порядок больше". Миллиард человек — это вам не фигвам изюму.

                                                                                                                                                0
                                                                                                                                                Это вы перечислили тех кто попался.
                                                                                                                                                Интересно было бы почитать ваш список тех, кого еще не словили )))
                                                                                                                                                  0
                                                                                                                                                  не словили

                                                                                                                                                  "Имена хороших разведчиков известны всем. Имена выдающихся разведчиков не известны никому." (с)

                                                                                                                                                0
                                                                                                                                                «пугающий Рубикон» может быть пугающий Рубеж?