Червь Stuxnet
Червь Stuxnet - это универсальный автономный инструмент промышленного шпионажа, он предназначен для получения доступа к операционной системе, отвечающей за обработку, сбор данных и оперативное диспетчерское управление промышленными объектами. Но, в отличие от большинства аналогичных вирусов, основным применением Stuxnet может стать не хищение данных, а повреждение промышленных автоматизированных систем. Черви подобного класса могут незаметно находиться в системе в спящем режиме и в заданный момент начать отдавать команды, способные вывести из строя промышленное оборудование.
Код Stuxnet, обширный и изощренный, размером более 500 килобайт, сумел проникнуть в устройства и сети Windows, несколько раз копируя себя, прежде чем искать дополнительное программное обеспечение. Он был нацелен на программируемые логические контроллеры (ПЛК), которые обеспечивают автоматизацию электромеханических процессов в работе станков и другого промышленного оборудования.
Со времени обнаружения Stuxnet во всем мире было зафиксировано множество таких же сложных кибератак на системы управления предприятиями (OT). Отчасти это может быть связано с ростом степени подключенности таких сетей к Интернету, что делает их более уязвимыми для атак киберпреступников, государств и хакеров.
2017: Новые свидетельства причастности АНБ к созданию Stuxnet
В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group — группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.
Эксперты по безопасности Symantec обнаружили в последнем опубликованном Shadow Brokers архиве эксплойт к Windows, практически тождественный тому, что использовали создатели знаменитого Stuxnet — вируса, использованного для саботажа на иранском ядерном предприятии. [1]
Эксперт Symantec Лайам О'Мерху (Liam O'Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows.[2]
По мнению О'Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется "тесная связь", хотя доказать, что это действительно "тот самый" эксплойт, сейчас не представляется возможным. Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.
Однако, как утверждает О'Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.
Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet — сигнатуры полностью совпадают.
По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.
"Лаборатория Касперского" еще в 2015 году заявила, что группировка Equation "взаимодействовала с другими влиятельными и группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства". [3]
В 2016 году в США вышел документальный фильм Алекса Гибни Zero Days ("Уязвимость нулевых дней") [4] , посвященный истории Stuxnet. В этом фильме утверждается, что Stuxnet был крупным и секретным (и остающимся таковым) проектом американских (ЦРУ, АНБ и других) и израильских спецслужб, и его основной целью было - затормозить иранскую ядерную программу, в мирной природе которой имелись значительные сомнения. В фильме указывается, что именно из-за ошибки израильских программистов Stuxnet "утек" далеко за пределы предполагаемого ареала применения (его засекли в Беларуси).
Операция Stuxnet — или как ее предположительно называли разработчики, "Олимпийские игры", — по сути обернулась провалом, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Всерьез задержать ядерную программу Ирана с ее помощью не удалось, зато всем стало известно, что кибероружие - это больше не городская легенда или научно-фантастический сюжет, а реальность. И довольно безрадостная, учитывая, что применение кибероружия никакими международными договорами не регулируется. |
Гвоздев добавил также, что эксперты весьма высоко оценивают качество кода в инструментах Equation Group. Тем загадочнее выглядит история с их предположительной кражей никому прежде неизвестными хакерами Shadow Brokers.
"Брокеры" в своих сообщениях так старательно демонстрируют свое невладение английским языком, что это уже выглядит клоунадой, — замечает Дмитрий Гвоздев. — Возникает вопрос, не была ли пресловутая "кража" санкционированным сливом. Однако, каким бы заманчивым ни было подобное предположение, что-либо утверждать однозначно пока нельзя. |
В последних выгрузках Shadow Brokers эксперты нашли немало других эксплойтов к ранее неизвестным уязвимостям в популярных программных продуктах, что свидетельствует о колоссальном размахе операций Equation Group.
Как написал, например, Кевин Бомон, "...Shadow Brokers только что забросили бомбу в сферу информбезопасности. Тут потребуется больше анализа, однако пока кое-что выглядит очень скверно". [5]
Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT, и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT — компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно. [6]
2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group
Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.
2012: Атаки Stuxnet на Иран проводились по приказу Обамы
В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.
Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.
Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.
По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».
В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.
Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.
Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.
«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».
Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.
«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».
2011: МИД РФ обвинил США и Израиль в развязывании кибервойны
В сентябре 2011 года Министерство иностранных дел РФ впервые высказало официальную позицию относительно распространения червя Stuxnet, нанесшего урон атомной индустрии Ирана. В МИД считают, что это козни США и Израиля.
Россия впервые озвучила обвинительные выводы относительно компьютерной эпидемии, вызванной распространением червя Stuxnet, обвинив в его культивировании США и Израиль. Россия назвала инцидент со Stuxnet «единственным доказанным примером идущей полным ходом кибервойны».
Как передает AFP, начальник отдела безопасности российского Министерства иностранных дел Илья Рогачев был категоричен, назвав происхождение вредоносного ПО Stuxnet, впервые появившегося в июне 2010 года и до сих пор озадачивающего ИБ-экспертов.
Как заявил Рогачев, «эксперты считают, что следы Stuxnet ведут непосредственно в Израиль и США».
«Мы считаем, что некоторые страны используют киберпространство для своих военно-политических целей. Единственно доказанным действием такого рода является распространение червя Stuxnet, который был запущен в 2010 году для дестабилизации урановых разработок в Иране», - добавил он.
Илья Рогачев четко дал понять, что США и Израиль причастны к атакам Stuxnet
Рогачев сделал этот комментарий в очень важное время. Именно на этой неделе Иран заявил, что обратился к России за помощью в строительстве второго ядерного объекта не территории страны в дополнение к уже имеющейся АЭС в Бушере. Эта АЭС вызвала большое напряжение в отношениях Ирана и США: последние заподозрили Иран в намерении стать новой ядерной державой.
Ранее в 2011 году представитель России в НАТО Дмитрий Рогозин заявил, что Stuxnet нанес достаточное повреждение бушерской АЭС, которое могло привести к появлению второго Чернобыля.
Появление Stuxnet заставило многие предприятия оценить потенциальный вред, который могут нанести кибератаки промышленным системам. После атаки появилось множество докладов на эту тему, выявивших множество уязвимостей в этом типе систем.
В отношении кибератак всегда бывает трудно определить, кто реально стоит за их организацией. Что касается этого червя, то многие эксперты по информационной безопасности считают, что за ним стоят США. Иран также обвинил Израиль в распространении этого вируса, но не привел достаточных доказательств.
2010: Белорусская компания обнаружила Stuxnet на иранских компьютерах
О появлении червя Stuxnet стало известно в июле 2010 года, после того как небольшая фирма из Белоруссии, занимающаяся вопросами информационной безопасности, обнаружила его на компьютерах своего иранского клиента[7].
Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.
В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.
По мнению экспертов в области безопасности, атака была подготовлена специалистами очень высокой квалификации (скорее всего, спецслужбами одного из государств). Была поставлена цель разрушить что-то чрезвычайно масштабное. Возможно, речь шла об иранском ядерном реакторе в Бушере. Эксперты, изучавшие червя, сообщали, что он внедряет свой код в системы с программируемыми логическими контроллерами Siemens.
В конце 2010 года Иран заявил об аресте «шпионов», которые якобы были причастны к распространению червя, но их связи с иностранными державами не были детально представлены.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ The alleged link between the Shadow Brokers data leak and the Stuxnet cyber weapon
- ↑ Microsoft Operations Framework The alleged link between the Shadow Brokers data leak and the Stuxnet cyber weapon
- ↑ Equation: Звезда смерти Галактики Вредоносного ПО
- ↑ World War 3.0: Zero Days
- ↑ [1]
- ↑ Shadowbrokers expose NSA access to SWIFT service bureaus
- ↑ Атаки Stuxnet на Иран проводились по приказу Обамы