Федеральная Служба Опасности


Previous Entry Share Next Entry
Про вирус Stuxnet
manandmoon
malaya_zemlya
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

  • В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

  • Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.

  • Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

  • Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

  • Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

  • Он умеет принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами

  • А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, пока неизвестно. Подробности. Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.


  • Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

    Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная, стояла на строящемся реакторе в Бушере. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1.
    Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
    (Update: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)



    Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных статьях, фабричные пароли к базам данным лежали на форумах. P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.

    Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления, 29 сентября - статья исследователей из фирмы Symantec, а также статья исследователей из Касперского.

    Еще:Статья в Infoworld, статья в Википедии, записи в блоге фирмы Symantec,
    в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.

    Бонус: Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

    Page 1 of 3
    <<[1] [2] [3] >>
    Ого.

    Так сказать, "добро пожаловать в кибервойну".

    причем уже настоящую

    просто поломать, или взять под контроль?
    следующая цель - самолет на роквиль? :-)
    про немцев - интересно, они специализируются на атомной энергетике?
    про вирус - каким образом нацелить его на конкретное государство? фильтровать айпи адреса? к тому же, для чего это делать - специально намекнуть иранцам на слабость их айти? похоже на какое-то предупреждение.

    Вирус отключает неизвестно что, в какой-то конкретной программе. Больше похоже на поломать.

    WinCC - довольно популярный пакет, не заточенный специально под ядерную энергетику.

    Вирь не был привязан к конкретному государству, кроме Ирана, он зацепил еще Индонезию и еще несколько стран. Скорее всего его просто выпустили в Иране, а дальше он сам, как мог.

    http://www.symantec.com/connect/blogs/w32stuxnet-network-information

    Edited at 2010-09-18 10:29 am (UTC)

    кстати, может, это промышленный шпионаж? чтобы узнать, что там происходит на самом деле?

    Шпионить оно тоже умеет.

    (no subject) (Anonymous) Expand
    посмотрите исходники www.atomstroyexport.com/index-e.htm

    Ой.

    что ой то ?
    хуй блядь !

    и, казалось бы, при чём тут безопасность в атомной энергетике ?
    аффтар, расскажи, так ты их связываешь ???

    Поскольку немного знаком с WinCC и вообще Сименсовской автоматизацией, то могу сказать, что есть тут определенная хрень..
    WinCC это программа не для программирования, а скорее для отображения состояния системы и возможности передать ей пользовательские сигналы управления.. Программу контроллера с ее помощью насколько я помню не похеришь..

    Вроде бы, атаковали связку PCS 7 + WinCC + S7. S7 - это точно контроллер.

    http://www.langner.com/en/index.htm:

    Fact: As we have published earlier, Stuxnet is fingerprinting its target by checking data block 890. This occurs periodically every five seconds out of the WinCC environment. Based on the conditional check in code that you can see above, information in DB 890 is manipulated by Stuxnet.

    Interpretation: We assume that DB 890 is part of the original attacked application. We assume that the second DWORD of 890 points to a process variable. We assume that this process variable belongs to a slow running process because it is checked by Stuxnet only every five seconds.

    Fact: Another fingerprint is DB 8062. Check for the presence of DB 8062 in your project.

    Fact: Stuxnet intercepts code from Simatic Manager that is loaded to the PLC. Based on a conditional check, original code for OB 35 is manipulated during the transmission. If the condition matches, Stuxnet injects Step7 code into OB 35 that is executed on the PLC every time that OB 35 is called. OB 35 is the 100 ms timer in the S7 operating environment. The Step7 code that Stuxnet injects calls FC 1874. Depending on the return code of FC 1874, original code is either called or skipped. The return code for this condition is DEADF007 (see code snipplet).


    Кстати, не знаете, что такое "ключ проекта" в документации к библиотеке CEMAT? Его требуют ввести при установке, но что он значит? И почему приведено всего 9 ключей? Это какие-то модификации?



    (Deleted comment)
    (Deleted comment)
    (Deleted comment)
    (Deleted comment)

    Бало время спокойное, а теперь...

    naval_trooper

    2010-09-23 08:46 am (UTC)

    Получается, что в некоторых вопросах технический прогресс вреден по соображениям безопасности. Абсурд, но факт: человек как Буратино, сам себе враг. Лучше бы атомная энергетика жила с калькуляторами и не имела столь развитых сетей.

    (Deleted comment)
    Я работал на строительстве АЭС в Бушере.
    Насколько мне известно, прога для управления реактором -- российская самописная, под сильно переработанным линухом.
    Так что сам реактор этот вирус не сломает.
    И опять есть подозрение, что это инфовброс (с какой целью, правда, непонятно), потому что размножающийся на флешках вирус (из-за того, что промышленные системы не подключены к инету) не может, естественно, организовать ботнет.

    точно вброс
    туфта всякая написана

    (no subject) (Anonymous) Expand
    (Deleted comment)
    Увы, но винда управляет и Питерскими эскалаторами, например; и, что совсем ужасно, она используется в некоторых центрах управления полётами.

    (Deleted comment)
    (Deleted comment)
    (Deleted comment)
    как интересно...

    Как он правильно называется - стухнет или стихнет?

    Браво! Американский марсоход, связь с которым была потеряна 2 недели назад, обнаружен в Дагестане с перебитыми номерами. (гыгы)

    Интересно, а на СШГЭС ничего под виндой не работало?

    Эскалаторы ...это интересно....

    bandeross21

    2010-09-23 11:09 am (UTC)

    ))))Пацаны вы их не отключайте....мне лень пешком ходить...))))

    неплохо- неплохо, ребята на диструктиве очки зарабатывают )))

    Далеко пойдет тот кто написал его)

    Пока не обязали вживлять в голову usb вход я спокоен! =)

    скоро обяжут...

    Однако!

    Линуксы надо пользовать! :)

    линукс sucks! freebsd рулит.

    везде враги

    Чуваки капитально заморочились. Такую штуку сваять, да ещё ключи добыть, да еще замутить через р2р сети управление - зачётно. Похоже на спецслужбы.

    Особенно управление через сети машинами, не подключенными к сети.
    Это мощно.

    Вот и настало то время когда человек сам себе умышленно вредит...

    дак тут не сам себе вроде...

    какое отношение сайт АтомСтройЭкспорта имеет отношение к уровеню безопасности в атомной энергетике?

    Ну что сказать, это бред сумасшедшего. WinCC работает на десятках тысяч производств во всем мире, и, если вирус так легко распространяется - ни одна спецслуюжба не поставит под удар собственную страну. Превентивные же меры у себя ввиду массовости неизбежно рассекретили бы, откуда растут ноги. Едем дальше. "Уничтожение" сервера WinCC НЕ может привести к остановке технологического процесса, это скада-система для визуализации и контроля технологических параметров процесса. Участком управляет промышленный контроллер, который может и не быть подключен к сети ethernet. Серверов WinCC как правило несколько, и как правило они редундантны, а остановка одного или даже обоих серверов практически никогда не ведет к остановке контроллера, с которым работают сервера. Связи с интернетом производственные сети АСУ как правило не имеют, это верно, но и флешки как правило использовать там запрещено, это правило даже для обычных промышленных компаний, не только для атомных станций. Даже если вирус прописался, но связи с инетом нет, про какую p2p для обновления речь - тоже неясно. Более того, внутренние производственные сети обязательно разбиты на подсети по технологическому признаку. На картинке вижу лишь ошибку, связанную с банальным отсутствием лицензии в сименсовском лайсенс менеджере. Это не смертельно, надо просто их поставить. Про какие программируемые чипы, прошиваемые чудесным образом вирусомиз сети ethernet вообще непонятно. Набор бреда псевдотехнического и стопроцентная утка низкого качества.

    Угу, еще скажи что и этого http://hardarea.ru/news/952.html не было?
    А я поцанчика погибшево лично знал, у меня сестра в свердловске, и племянник с ним дружил.
    Тебе не представить что пережили родители, а это еще когда было. Теперь вот негодяи до АТАМА добрались.
    Надо всех вирусописак разстреливать срочно сразу. И эти, как их рэ2рэ запретить навсегдда!!!!!!11

    (Deleted comment)
    ох елки!!! а у меня нет аваста. бида-бида

    Page 1 of 3
    <<[1] [2] [3] >>

    You are viewing malaya_zemlya