Пользователь
0,0
рейтинг
17 ноября 2012 в 17:50

Разработка → И снова о Stuxnet

Описание

9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:
  • Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
  • для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
  • несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
  • для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
  • Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
  • присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
  • необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.

Воздействие на систему Siemens SIMATIC

Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.

SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.

SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.

Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).

Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.

Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.

Код Stuxnet в ПЛК позволяет:
  • слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
  • читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
  • синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).

Так же Stuxnet пытается подключиться к базе данных WinCC, используя «пароль по-умолчанию».

Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.

Выводы

Указанные факты позволяют сделать следующие выводы:
  • Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
  • не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
  • функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
  • разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.

Все эти косвенные признаки могут указывать на причастность к разработке Stuxnet силовых ведомств или спецслужб каких-либо государств. Основная функция ВПО – распространение и автономная работа в замкнутой системе с последующим саботажем работы системы управления производственными процессами – не свойственна «традиционным» киберпреступникам, которые обычно преследуют цели «монетизации» прибыли (конечная цель – деньги) и, как правило, используют ВПО, разработанное программистами-одиночками. Именно по этим причинам Stuxnet называют кибероружием.

Версии

Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:
  • Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
  • Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
  • АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
  • участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
  • Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
  • Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.

Еще одна из версий о цели атаки – производство по обогащению урана в г. Натанзе (Иран). Эту версию косвенно подтверждают следующие факты:
  • производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
  • в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.

Послесловие

В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.

Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet — действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.

По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.

Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.

Подробные источники информации о Stuxnet:

аналитический отчет компании Symantec «W32.Stuxnet Dossier», version 1.4, February 2011, (pdf);

аналитический отчет компании Eset «Stuxnet Under the Microscope», revision 1.31, (pdf);

материал научного центра «НАУЦИЛУС» «Анализ кода Stuxnet», (pdf), который представляет собой сокращенный вариант перевода на русский язык отчета компании Symantec.
@nuklearlord
карма
84,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (37)

  • +5
    Ник автора очень в тему!
    • +4
      Этот ник я использовал в Quake 2 Deathmatch, но это было давно
  • +10
    Потрясающая, с инженерной точки зрения работа, конечно. Почище, чем в фильмах про шпионов и хакеров :)
    Команда это разработавшая достойна всяческого уважения.
    • +4
      С другой стороны, один американский генерал сказал что-то вроде: «А не проще было ракетой?»
      • +3
        Ракетой по заводу обогащающему уран это грязно, как в прямом так и в переносном смысле. А вирус который тихонечко выводит из строя оборудование завода — это элегантный и наиболее бескровный вектор аттаки в данном случае, хоть наверняка и более дорогой на пару порядков.
        В статье не упоминается, но я читал что механизм нанесения вреда предположительно раз некоторое время раскручивал центрифуги до скорости быстрее предполагаемой штатной работы, во много раз увеличивая вероятность поломки во всех механических узлах и существенно уменьшая время время между обслуживанием. Могу себе представить, как рвали на себе волосы техники, когда у них без всякой видимой причины вдруг начинали одна за другой ломаться центрифуги причем в разных местах. Думаю они в последнюю очередь могли начать грешить на некий софтверный вирус.
        • 0
          Да это я к тому, что военные пока сомневаются, стоило ли это таких денег или ракетой было дешевле. Война вообще штука грязная. А про центрифуги приблизительно так — там, я так понимаю, предусмотрена обратная связь при регулировке оборотов, вот код stuxnet эту связь и разрывал, что приводило к безконтрольной раскрутке центрифуг и их поломке.
          • +2
            Ракетой по любому думаю, что было бы дешевле. Куча человеколет разработки и тестирования, сбор разведданных, покупка железа для отладки и все остальное думаю будет во много раз дороже любой крылатой ракеты. Но это все в большей степени вопрос политики, чем экономики. Пальнуть ракетой имеет куда более серьёзные политические последствия, чем скрытная операция, которая только по чистой случайности всплыла наружу и по любому не позволяет никого конкретно обвинить.

            А насчет центрифуг — элегантным решением мне кажется именно не факт вывода их из строя, а то, что это делается постепенно и скрытно. Если бы вдруг они периодически начинали бешено вращаться до выхода из строя, то с большей вероятностью полезли бы проверять управляющие ПО. А так сокращая срок эксплуатации и создавая кошмар для техобслуживания, реальная причина могла бы оставаться нераскрытой годами, при этом значительно уменьшая эффективную выработку завода.
            • +6
              Полностью согласен, это самое главное в кибероружии — не на кого бочки катить.
  • +2
    Кстати о птичках. Есть такая серия книг Этногенез. Одна из серий называется «Хакер».
    Так вот там хакер создал вирус «Стакс», который очень похож по описанию на Stuxnet.
    Но вот книга то вышла до того как в сети появились описания Stuxnet. Забавно…
    • 0
      Интересно
    • 0
      я вот тоже как только услышал об этом вирусе сразу вспомнил Ника и Лекса
    • 0
      Книга начала выходить 25 мая 2011 (серии появлялись по мере готовности).
      В этой статье написано: «Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC».

      Проверяйте данные перед убликацией.
      • 0
        Ага, книга вышла в мае 2011, а писали ее ровно 1 мин перед выходом?
        Не думали, что такие вещи пишутся несколько месцев?
        Да и в статье лишь очень общее описание воздействия заразы на SIMATIC.
        А в книге нет SIMATIC, там описана архитектура стакса.
        Описание архитектуры Stuxnet появилось гораздо позже указанной вами статьи.

        Действительно, проверяйте данные перед публикацией.
        • 0
          Книги серии этногенез пишутся по типу тв-сериалов, начало выходит до готовности всей книги.
          Фанаты ждут выхода новых глав, успешные продлевают на новый сезон.
          Глава, где появилось слово «stux», выпущена ещё через полгода — 3 декабря 2011.

          И, к слову, вирусные технологии в книге не совпадали с реальным stux. В книге вирус селился в firmware (в bios сетевых карт, прошивках HDD), о промышленных контроллерах ни слова.
          • 0
            В споре рождается истина, а за наводку на книгу все равно спасибо. Нужно заценить, что там и как, в интересах общего развития.
          • 0
            > Глава, где появилось слово «stux», выпущена ещё через полгода — 3 декабря 2011.

            Тут не буду спорить. Точно не помню когда появилась инфа в книге.

            > И, к слову, вирусные технологии в книге не совпадали с реальным stux.

            Собственно я об этом и писал «похож на stuxnet». В книге часто упоминается архитектурные особенности вируса, именно с ними возникало дежавю при прочтении описания особенностей вирусов серии stuxnet.
  • 0
    Кибернетические войны корпораций или государств, секретные подразделения хакеров, заражение закрытых объектов через подброшенные флешки… Будущее наступило.
    • –1
      Будет «весело»
  • +2
    способ запуска через autorun.ini

    autorun.inf
    • 0
      Thanks
  • –2
    промышленных системах управления производственными процессами (SCADA)

    лолшто!
    Хоть в вики загляните перед употреблением терминов.
    • 0
      Не поверите, заглядывал — и что там? Возможно, я неправильно написал, в том смысле, что это не расшифровка аббревиатуры SCADA, а просто уточнение.
      • 0
        Cкада это просто программка на компе, для взаимодействия человека с системой управления. Один из тысяч компонентов АСУ.
  • 0
    Ок, как лучше написать-то?
  • 0
    Что то мне подсказывает, что не обошлось без «инсайдеров». Вирус проще всего было писать и отлаживать на стенде с целевой конфигурацией. Возможно, группе разработчиков автоматизации было поручено и «обратное» задание — в момент «ч» вывести автоматизацию из строя. А для сокрытия, в «вирус» были добавлены «вирусные механизмы».
    • 0
      На мой взгляд, конечно, не обошлось. Не сама же флэшка в компьютер воткнулась =) А по поводу целевой конфигурации — написано же, что у Израильтян вроде была похожая.
      • 0
        Не то что была, но вроде как нашли и каким то образом купили систему с такой-же конфигурацией, видимо с аналогичного завода в другом месте. Понятное дело, что отлаживать «у клиента на фирме» они не могли.
  • 0
    Скорее всего была, а не купили, я так думаю.
  • +1
    www.ipu.ru/sites/default/files/news/%D0%90%D0%A1%D0%A3%20%D0%A2%D0%9F%20%D0%90%D0%AD%D0%A1%20%D0%91%D1%83%D1%88%D0%B5%D1%80.pdf

    ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ НАУКИ
    ИНСТИТУТ ПРОБЛЕМ УПРАВЛЕНИЯ им. В.А. ТРАПЕЗНИКОВА РОССИЙСКОЙ АКАДЕМИИ НАУК

    КОМПЛЕКС РАБОТ ПО СОЗДАНИЮ ПЕРВОЙ УПРАВЛЯЮЩЕЙ СИСТЕМЫ ВЕРХНЕГО БЛОЧНОГО УРОВНЯ АСУ ТП ДЛЯ АЭС "БУШЕР" НА ОСНОВЕ ОТЕЧЕСТВЕННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ



    c. 83

    «10. КИБЕРБЕЗОПАСНОСТЬ
    Иранские заказчики АЭС „Бушер“ с самого начала понимали, что ее нужно защищать от всех видов угроз, включая кибернетические. Это нашло понимание и у Генподрядчика (ОАО „Атомстройэкспорт“), у руководства Минатома и у надзорных органов (ВО „Безопасность“). Поэтому защите СВБУ от киберугроз было уделено самое серьезное внимание.
    Под контролем указанных организаций организации-участники создания СВБУ подошли к задаче комплексно:
    — ОАО „Атомэнергопроект“ сформулировал задачу ЗНСД;
    — ИПУ РАН учел возможные киберугрозы, спроектировал и реализовал на АЭС задачу ЗНСД с выводом сигнализации на пульты оператора АСУ ТП;
    — ОАО „ЭНИЦ“ осуществил комплексную проверку средств защиты от киберугроз на полигоне АСУ ТП.
    В смысле комплексности подхода СВБУ опередила свое время. Можно утверждать, что она соответствует не только действующим, но и перспективным стандартам МЭК и МАГАТЭ в части обеспечения кибербезопасности.
    Для внедрения накопленного опыта в мировую практику наши специалисты постоянно публикуют свои подходы в российских и международных периодических изданиях, выступают на профильных конференциях [34-35]. Один из членов творческого коллектива (Промыслов В.Г.) приглашен в профильный комитет МЭК по кибербезопасности для АЭС. „

    • 0
      Остается только догадываться, что они там напроектировали.
      • 0
        Ну, в доке схемы етсь кое-какие. ОС вообще однозначно указана. LICS

        www31.ipu.rssi.ru/~lics/main.shtml
        • 0
          Очередное гран мерси за инфу.
  • +1
    Жаль, что автор больше не хабраавтор. Появилась очередная большая глава в истории кибершпионажа — сеть Red October, а написать некому.
    • +1
      Ан нет, автор написал вчера о RA, что подтверждается гуглокешем, после чего его выпилили.
      Наверное, это спецслужбы — владельцы ботнета к нему пришли :fear:
      • +1
        Киньте ссылку на кеш, пожалуйста
        • +2
          написал в ЛС
          • +1
            Благодарю!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.