?

Log in

No account? Create an account

Федеральная Служба Опасности


Previous Entry Share Next Entry
Stuxnet, Продолжение
manandmoon
malaya_zemlya
Расследование вируса StuxNet продолжает развиваться.

На сайте Symantec вышла статья с детальным разбором того, как StuxNet заражает контроллеры. Очень рекомендую прочесть в оригинале, но в кратце перескажу. Он прячется в компе, на котором инсталлирован сименсофский софт Step7 (работающий с контроллером) и перехватывет запросы на чтение/записи данных на контроллер. Запросы на запись, разумеется, для того, чтобы заражать чипы, запросы на чтение - чтобы тщательно стирать следы своей деятельности. Если посмотреть на инфицированный контроллер на компе, где уже есть вирус, то ничего подозрительного не видно вообще.



Жертвы

Перед заражением вирус проверяет версию контроллера и подключенного к нему хардвера. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, и индустриальные сети стандарта Profibus-DP. Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.


StuxNet уже на чипе

Отдельно упоминается еще один режим заражения, через Memory Mapped IO, про который дается мало информации, только говорят, что он еще сложнее.

Кроме того, Symantec опубликовал бюллетень о трояне Infostealer.Nimkey, занимающегося кражей ключей для цифровой подписей. К виновнику торжества он прямого отношения скорее всего не имеет, но исследователи замечают, что ключи для StuxNet могли быть украдены подобным образом. Если троян угнал всего один ключ и немедленно самоуничтожился, то не исключено.

Далее:

Ральф Лэнгнер, автор гипотезы про атаку на реактор в Бушере, публикует еще несколько коротких заметок о вирусе. В общем, продолжает тему точечной атаки на непонятно кого, но не распространяется. В телефонном интервью сказал, что история настолько странная, что он не знает, как даже объяснить. (чтоб никто не подумал, что это мировая закулиса затыкает исследователям рот, добавлю, что Symantec дает в сто раз больше подробностей и обещает вскорости выпустить большую обзорную статью)

Еще одну гипотезу о цели атаки высказывает Франк Ригер из Chaos Computer Club - по его мнению ей мог быть завод по обогащению урана в Натанзе. Там что-то серьезно взорвалось год назад (т.е. примерно когда вирус и запустили) В результате глава Иранской ядерной программы был уволен, а количество рабочих центрифуг на заводе уменьшилось почти на четверть. В доказательство он приводит интересную деталь: вирус, по его словам, содержит систему синхронизациями между множеством копий в одной промышленной сети (как я понимаю, это как раз процедура, подключенная к Profibus). Такой подход имееет смысл в ситуации, где имеется большое количество одинаковых сложных устройств, каждое из которых управляется своим контроллером. Центрифуги для разделения изотопов вполне подходят по описание.


Натанз?


Или Бушер?

Siemens подтверждает, что целью вируса является конкретная технологическая концигурация. Всего же они сообщают о 15 случаях заражения на производстве, но ни на одном боевая часть не была активирована - параметры не совпали.

На форуме plctalk один из пострадавших, админ из Ирана, жалуется, что у него на сталелитейном заводе в Бандар Аббасе, все компьютеры поголовно заражены вирусом. Говорит, что инфекция приползла минимум в июне, потому что она и в бэкапах тоже.

Иранские СМИ тоже сообщают о StuxNet, но очень кратко.

Бонус: Статья Wall Street Journal за прошлый год, где говорится о троянах, внедренных в американскую систему энергоснабжения то ли китайцами, то ли русскими.

  • 1
the most monumental non-nuclear explosion and fire ever seen from space уже был, теперь кто-то захотел на аналогичный ядерный из космоса посмотреть.

(Deleted comment)
(Deleted comment)
(Deleted comment)
раз они его расковыряли, то должны уже знать на что конкретно он срабатывает

что бы что то поломать, надо достаточно четко понимать что куда подать.
если просто потихоньку гадить в сигналах, бабаха не будет, только тех. процесс собьётся.

ну и такой зело опасный зверь может выйти во вне и навредить промышленности любой страны.

скорее тогда уж целью цыменс является

в четвертых (Anonymous) Expand
Да уж, интересно. Специалисты такого уровня мало в какой стране есть. Я бы ещё мог сделать всё, кроме 0-day уязвимостей, но времени ушло бы.. оперативно и профессионально сработали.
Кибервойны начинаются..

Специалисты такого уровня есть в любой развитой стране, в США для соотвествующих структур выпускают порядка 200 человек в год именно такой специализации.

что люди только не придумали...

Повторюсь: инфовброс.
Из банального сообщения об обычном новом вирусе раздувается слон всемирного црушного заговора против ядрёного Ирана.

Как црушники будут управлять вирусом, попавшим с флешки на комп, предположительно управляющий центрифугами? Через флешки, что ли? Голубиной почтой, наверное, надёжней будет и быстрее.
500 килобайт КОДА, написанного на си и особенно ассемблере. Это тоже ацко. Я представляю тогда объём исходников и полигоны для тестирования такого софтваре.
Будь я црушником, и захоти я испортить что-либо в реакторе (или центрифуге), я бы выбрал более дешёвый и надёжный способ: диверсанты или предатели. И не нужно тогда полагаться на надёжность кода (чем длиннее код, тем вероятнее в нём ошибки -- это аксиома).

В Иране я проработал два года, знаю ситуацию с вирусами и антивирусами (ситуация полностью аналогична нашей: полагаются на авось, ищут халявы, изредка особо богатые покупают официального касперского или панду).
Компьютерная грамотность на уровне, достаточном, чтобы ответственные машины не подключать к инету и не таскать на них непроверенные спецслужбами флешки.

500 килобайт КОДА, написанного на си и особенно ассемблере. Это тоже ацко.

они потом записываюццо в микропроцессоры.
Не, ну микропроцессоры то в бушере совеццкие, с 4 ножками и 2 ручками для переноске.
Надо вывести всех на чистую воду. мне кажетсо что это пиндосы обежают иран.
мочить гадоф

(no subject) (Anonymous) Expand
(no subject) (Anonymous) Expand
Компьютерный птичий грипп.
Албанский вирус. На флешке распространяется файл жпг размером 500 кило с баннером на фарси: Скопируйте, пожалуйста, меня на все ваши флешки и испортите ещё технологический процесс на вашем предприятии, спасибо. И не забудьте прошить меня на все ваши контроллеры. О свет моих очей.
По окончании сообщите в ЦРУ по телефону +1 555 0 322 223.
Телефон защищён от прослушки нанонакладкой от российской компании нанокомфорт.

Занятно...
Но ведь этот контроллер по-хорошему должен работать в автономном режиме. Или я что-то не уловил?

Регулярно обновляют прошивки через флешки...

мда... а я только вчера терминатор-3 посмотрел...

Спасибо!
Если Symantec выпустит финальную обширную статью исследования вируса, могли бы вы ее опубликовать тут. спасибо еще раз.

  • 1