Это — копия чужой статьи.
Оригинал находится здесь: http://malaya-zemlya.livejournal.com/584125.html
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...
- В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.
- Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.
- Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
- Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.
- Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.
- Он умеет принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами
- А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. Подробности. Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная, стояла на строящемся реакторе в Бушере. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1.
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Скриншот ошибки на реакторе в Бушере
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных статьях, фабричные пароли к базам данным лежали на форумах. P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.
Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления, 29 сентября - статья исследователей из фирмы Symantec, а также статья исследователей из Касперского.
Еще:Статья в Infoworld, статья в Википедии, записи в блоге фирмы Symantec,
в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.
Бонус: Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.
Продолжение статьи
Оригинал здесь: http://malaya-zemlya.livejournal.com/586908.html
Расследование вируса StuxNet продолжает развиваться.
На сайте Symantec вышла статья с детальным разбором того, как StuxNet заражает контроллеры. Очень рекомендую прочесть в оригинале, но в кратце перескажу. Он прячется в компе, на котором инсталлирован сименсофский софт Step7 (работающий с контроллером) и перехватывет запросы на чтение/записи данных на контроллер. Запросы на запись, разумеется, для того, чтобы заражать чипы, запросы на чтение - чтобы тщательно стирать следы своей деятельности. Если посмотреть на инфицированный контроллер на компе, где уже есть вирус, то ничего подозрительного не видно вообще.
Жертвы
Перед заражением вирус проверяет версию контроллера и подключенного к нему хардвера. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, и индустриальные сети стандарта Profibus-DP. Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.
StuxNet уже на чипе
Отдельно упоминается еще один режим заражения, через Memory Mapped IO, про который дается мало информации, только говорят, что он еще сложнее.
Кроме того, Symantec опубликовал бюллетень о трояне Infostealer.Nimkey, занимающегося кражей ключей для цифровой подписей. К виновнику торжества он прямого отношения скорее всего не имеет, но исследователи замечают, что ключи для StuxNet могли быть украдены подобным образом. Если троян угнал всего один ключ и немедленно самоуничтожился, то не исключено.
Далее:
Ральф Лэнгнер, автор гипотезы про атаку на реактор в Бушере, публикует еще несколько коротких заметок о вирусе. В общем, продолжает тему точечной атаки на непонятно кого, но не распространяется. В телефонном интервью сказал, что история настолько странная, что он не знает, как даже объяснить. (чтоб никто не подумал, что это мировая закулиса затыкает исследователям рот, добавлю, что Symantec дает в сто раз больше подробностей и обещает вскорости выпустить большую обзорную статью)
Еще одну гипотезу о цели атаки высказывает Франк Ригер из Chaos Computer Club - по его мнению ей мог быть завод по обогащению урана в Натанзе. Там что-то серьезно взорвалось год назад (т.е. примерно когда вирус и запустили) В результате глава Иранской ядерной программы был уволен, а количество рабочих центрифуг на заводе уменьшилось почти на четверть. В доказательство он приводит интересную деталь: вирус, по его словам, содержит систему синхронизациями между множеством копий в одной промышленной сети (как я понимаю, это как раз процедура, подключенная к Profibus). Такой подход имееет смысл в ситуации, где имеется большое количество одинаковых сложных устройств, каждое из которых управляется своим контроллером. Центрифуги для разделения изотопов вполне подходят по описание.
Натанз?
Или Бушер?
Siemens подтверждает, что целью вируса является конкретная технологическая концигурация. Всего же они сообщают о 15 случаях заражения на производстве, но ни на одном боевая часть не была активирована - параметры не совпали.
На форуме plctalk один из пострадавших, админ из Ирана, жалуется, что у него на сталелитейном заводе в Бандар Аббасе, все компьютеры поголовно заражены вирусом. Говорит, что инфекция приползла минимум в июне, потому что она и в бэкапах тоже.
Иранские СМИ тоже сообщают о StuxNet, но очень кратко.
Бонус: Статья Wall Street Journal за прошлый год, где говорится о троянах, внедренных в американскую систему энергоснабжения то ли китайцами, то ли русскими.
http://malaya-zemlya.livejournal.com/
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».
Самый знаменитый троян современности написан на неизвестном языке программирования
Про вирус Duqu
Федеральное бюро расследования США оказывает сильное давление на высокопоставленных должностных лиц, подозреваемых в раскрытии конфиденциальной информации об участии правительства США в использовании Stuxnet для совершения атак. Об этом сообщает Washington Post.
Сотрудники ФБР и Прокуратуры США проводят анализ аккаунтов электронной почты, записи телефонных разговоров подозреваемых, а также допрашивают действующих и бывших должностных лиц с целью найти доказательства, указывающие на связь с журналистами.
Stuxnet был специально разработан для атак на конкретную конфигурацию программируемых логических контроллеров Siemens, используемых на заводе по обогащению урана в иранском городе Нантанз.
Лица, причастные к утечке информации о Stuxnet, преследуются властями США
Комментарии
myadressininternet@ukr.net
#cid89393
Ответить
мой коммент на тему: stuxnet, duqu… + политический террор = безумие.
модератору: можете сократить, если найдёте что выбросить!!!?, а лучше оформите как мою заметку…статью… на ваше усмотрение
всё что здесь пишется очень интересно- но хотелось бы по детальнее и со ссылками для тех кому еще маловато будет!
НО ВОТ ВОПРОС: а как эти копии вируса (ов) начинают атаку?, там где они находятся.
Кто дает им старт? И по какому признаку сам стартер принимает решение? откуда у него инфа (ориентировка) на конкретный РС?, который подлежит атаке!
ВОТ ТУТ мы и подходим к самому интересному :
1 Кто? и как? собирает инфу о вашем РС.
2 Кто? и по какому принципу? принимает решение о причинении вреда (и какого?)
3 как это передается стартеру(управляющему вирусами ?) -т.е. должна быть и дуплексная связь!)
4 и главное как идёт обмен инфой между управляющим вирусами и группами копий вируса «обсевшие» конкретный завод…производство… для одновременного запуска команды СТАРТ НАЧАЛА АТАКИ. (а возможно и их согласованной работы!?)
5 Есть и еще один момент, еще более интригующий! О нем я скажу ниже.
Пару лет назад , как раз 2009 2010 годах, у меня был очень не обычный для меня случай… я как раз осваивал работу на лэптопе дома и конечно прислушивался к каждому чириканью РС… нарадоваться не мог… как говориться душа поёт! Особенно после работы в машинном зале ЕС, БЭСМ…где из-за шума человеческого голоса неслышно! А когда работает АЦПУ (принтер по современному) так хоть из зала выходи! Кто когда нибудь бывал в зале набивки перфокарт, знает что грохот … как отбойными молотками!!!
…и вот сижу, радуюсь работе с лэптопом и вдруг исчезает какой бы то ни было звук работы от РС!!!
Сперва я не понял что произошло. (секунд 2-3),
потом проверил себя не оглох ли я и постучав по столу услышал резонанс (еще 1-2 с),
потом я сообразил, что отключился вентилятор и как программист, общающийся с технарями …сообразил, что вентилятор это охлаждение чего то там…
Значит где то растет температура. (я слега забеспокоился)
в этот момент РС не выполнял никакой работы и при внимательном «прислушивании» к нему я услышал нарастающее его дрожание , легкое чуть заметное но было ясно что винчестер набирает обороты! (еще 5-7 с) (я сильно заволновался)
А когда клавиатура не реагировала ни на что (я понял что управление потеряно , идёт не штатная ситуация, непонятный) процесс + опасный впереди (еще пара секунд)
Я нажал на кнопу вкл/выкл и держал её секунд 15-18 (против 5 секунд, как всегда)
Итак, РС был под нагрузкой секунд 40-50, и «выжил»!
Мне повезло: что я был рядом и что вокруг стояла тишина (хоть комара перед ухом слышно) !
Хотя я сидел перед РС планирую работу и клавиатуру не трогал(некоторое время размышляя)!
Вывод: совпадение этих трёх (четырех) фактов (отказ вентилятора, увеличение числа оборотов винчестера, и задержка в отключении эл.питания, и как бы мое «отсутсвие» рядом с РС ) –однозначно указывает на не техническую поломку!!!
Потом ,я переустановил Wind, и все работало. Я сказал бы марку РС- но как говориться «мы не делаем рекламу…»
И вот тут мы подходим к самому интересному! Почему всё это со мной!?
Во-первых: Я не ядерщик и не атомщик, и никакого отношения к этим производствам не имею!
Хотя по образованию - преподаватель физики и профессиональный программист.
И еще в 1980году, даже сообразил и создал программу автоматизированного программирования, в то время когда американцы об этом еще и не говорили!. А она у меня работала! И работала в 700 раз эффективнее, т.е. производительнее, чем я сам писал бы в ручную такую же программу для моего производства!!! Правда, начальник ВЦ (отставной военный) лишил меня премии, за то что я работал , как он выразился «на отшибе от коллектива»… и что бы не лишать женский коллектив работы на годы вперёд- он забраковал мою разработку. Справедливости ради скажу, что конфликтная комиссия «сверху» разобравшись -поддержала меня, и даже попросил оформить (описать руководствами инструкциями) эту мою прогру для архива. Так что она где то -там архиве валяется!
Исть и другая моя прога «бесконеного сжания любого массива данных», которую я написал и отладил , но реализовать ее была не реальной т.к.семейство СМ машин имело (всего 700 тысяч операций в секунду) что требовало нереального маш.времени, тем более при низкой их надёжности и квалификации тех.персонала дабы изменить ситуацию (это была политика руководства эл прома!) обратите внимание с объективных причин проскочило слово «политика»
А мы все до сих пор покупаем ПО…по всему свету! … но это лирическое отступление…
Во-вторых: Я не террорист, и как говориться... не был… не был… не был… даже рядом не стоял!
Отсюда вопрос: почему была атака на мой РС!?
Ведь вирус активизируется сразу, как только заходит на РС! это принцип примитивного мелкого пакостника .
А если избирательно (т.е.класс устройств или оборудования ) -действует маньяк(кто попадется ему на дороге..) .
А вот адресное вредительство?- это что!!!???
Зайти на РС, раскрыться и запустить таймер, затаится, выждать время, собирать инфу, наладить связь, получить команду атаки и форму вредоносности… это уровень системы, с использованием внешней инфы и согласованностью действий.
– это действие характерно только для политического террора.
А ему предшествует сыск (сбор реквизитов)! Вот мы и возвращаемся к вопросу:
-КТО ПОЛИТИЧЕСКИЙ «СУПЕРВИЗОР»?
-КТО СТАРТЕР?
-КАК ОСУЩЕСТВЛЯЕТСЯ «дуплексная связь»?
В заключении скажу : я занимаю активную гражданскую позицию и считаю возможным обращать внимание власть предержащих на их неологизмы в политике влекущие нарушения прав человек! Что неприемлемо ни при каких ситуациях и обстоятельствах!
Права человека превыше прав государства! и его интересов!!!
Свободное общественное сознание и экономическое процветанием людей, и как следствие – государства, и последующих поколений – целиком основывается на соблюдении прав и свобод человека!
И об этом я пишу письма всем президентам супердержав, и местным царькам- в краткой , лаконичной, доказательной, убедительной, но прямой, но уважительной, но доброжелательной, но требовательной и настоятельной форме , при этом краткой форме по возможности контекста, разумеется.
ВОТ ВАМ И ОТВЕТ- как осуществляется фиксация реквизитов вашего РС! И где! И кем!
И кто принимает решение атаки и ее формы вредоносности!
А остальное – это вопрос техники, в очередной раз зайти в интернет и получить свою порцию «горького лекарства» т.е. инфу для вируса(ов) которые у вас уже сидят! т.е. в вашем РС
Модератору: это конечно для начала разговора к вашим профи читателям с целью выработки правил работы с РС и в интернете для нейтрализации принципов работы с вирусозагрязненными системами.
т.е. Вирусы затрудняют работу нашим РС, потому что мы не затрудняем работу вирусам!
Мы слепо тупо периодически запускаем сканер- и всё! И ЭТО НЕ ПРАВИЛЬНО!
Эта тема-бесконечна…
Успехов вам всем..
СЛАВА ИИСУСУ ХРИСТУ
братсергий
домашний адрес: киев, ул Серафимов ича, дом , кв. .
тел.:+38_044_5508519
Stuxnet
#cid92224
Ответить
Самый сильный вирус-червь!