Stuxnet - Stuxnet

Вредоносное ПО Stuxnet

Распространенное имя	Stuxnet
Техническое название	Как Stuxnet От Microsoft Червь: Win32 / Stuxnet. [Письмо] TrojanDropper: Win32 / Stuxnet Компания Symantec W32.Stuxnet W32.Stuxnet! Lnk Автор: Sophos Troj / Stuxnet- [Письмо] Trojan-Dropper.Win32.Stuxnet. [Письмо] Червь.Win32.Stuxnet. (Письмо) TR / Drop.Stuxnet. (Буква). (Число) Автор: Касперский Червь.Win32.Stuxnet Автор: F-Secure Троян-дроппер: W32 / Stuxnet Руткит: W32 / Stuxnet Автор: Trend Micro RTKT_STUXNET. [Письмо] LNK_STUXNET. [Письмо] WORM_STUXNET. [Письмо]
Классификация	Компьютерный червь
Тип	Капельница
Авторы)	Группа уравнений
Затронутые операционные системы	Источник:

Stuxnet - это вредоносный компьютерный червь, впервые обнаруженный в 2010 году и предположительно находящийся в разработке по крайней мере с 2005 года. Stuxnet нацелен на системы диспетчерского управления и сбора данных ( SCADA ) и считается ответственным за нанесение значительного ущерба ядерной программе Ирана . Хотя ни одна из стран открыто не признала ответственности, широко распространено мнение, что червь представляет собой кибероружие, созданное совместно Соединенными Штатами и Израилем в рамках совместных усилий, известных как Операция Олимпийские игры .

Stuxnet специально нацелен на программируемые логические контроллеры (ПЛК), которые позволяют автоматизировать электромеханические процессы, такие как те, которые используются для управления оборудованием и промышленными процессами, включая газовые центрифуги для разделения ядерных материалов. Используя четыре уязвимости нулевого дня , Stuxnet работает, ориентируясь на машины, использующие операционную систему Microsoft Windows и сети, а затем отыскивая программное обеспечение Siemens Step7. Сообщается, что Stuxnet взломал иранские ПЛК, собирая информацию о промышленных системах и заставляя быстро вращающиеся центрифуги разорваться на части. Дизайн и архитектура Stuxnet не зависят от предметной области и могут быть адаптированы в качестве платформы для атак на современные системы SCADA и PLC (например, на заводских сборочных линиях или электростанциях), большинство из которых находятся в Европе, Японии и США. Сообщается, что Stuxnet разрушил почти пятую часть ядерных центрифуг Ирана . Нацелившись на промышленные системы управления, червь заразил более 200 000 компьютеров и вызвал физическую деградацию 1 000 машин.

В Stuxnet есть три модуля: червь , выполняющий все процедуры, относящиеся к основной полезной нагрузке атаки; файл ссылка , которая автоматически выполняет распространяющуюся копию червя; и компонент руткита, отвечающий за сокрытие всех вредоносных файлов и процессов, чтобы предотвратить обнаружение Stuxnet. Обычно он попадает в целевую среду через зараженный USB-накопитель , таким образом преодолевая любой воздушный зазор . Затем червь распространяется по сети, сканируя программное обеспечение Siemens Step7 на компьютерах, управляющих ПЛК. В отсутствие любого критерия Stuxnet бездействует внутри компьютера. Если оба условия выполняются, Stuxnet вводит зараженный руткит в ПЛК и программное обеспечение Step7, изменяя код и давая неожиданные команды ПЛК, возвращая пользователям цикл значений нормальной операционной системы.

В 2015 году « Лаборатория Касперского» отметила, что Equation Group использовала две одинаковые атаки нулевого дня до их использования в Stuxnet в другом вредоносном ПО под названием fanny.bmp. и прокомментировал, что «похожий тип использования обоих эксплойтов вместе в разных компьютерных червях примерно в одно и то же время указывает на то, что Equation Group и разработчики Stuxnet либо одинаковы, либо работают в тесном сотрудничестве».

В 2019 году исследователи Chronicle Хуан Андрес Герреро-Сааде и Силас Катлер представили доказательства как минимум четырех различных вредоносных платформ-злоумышленников, которые сотрудничают для создания различных версий Stuxnet. Сотрудничество было названо «GOSSIP GIRL» после того, как группа угроз просочилась из засекреченных слайдов CSE, в том числе Flame. GOSSIP GIRL - это кооперативный зонтик, в который входят Equation Group , Flame , Duqu и Flowershop (также известный как «Чеширский кот»).

В 2020 году исследователь Факундо Муньос обнаружил доказательства того, что Equation Group сотрудничала с разработчиками Stuxnet в 2009 году, предоставив им по крайней мере один эксплойт нулевого дня, и один эксплойт из 2008 года, который активно использовался компьютерным червем Conficker и Китайские хакеры. В 2017 году группа хакеров, известная как Shadow Brokers, слила огромное количество инструментов, принадлежащих Equation Group, в том числе новые версии обоих эксплойтов, скомпилированных в 2010 году, демонстрируя значительное перекрытие кода, поскольку как эксплойты Stuxnet, так и эксплойты Equation Group были разработаны с использованием набора библиотек под названием "Exploit Development Framework" также просочились Shadow Brokers.

Открытие

Stuxnet, обнаруженный Сергеем Уласеном, первоначально распространялся через Microsoft Windows и был нацелен на промышленные системы управления Siemens . Хотя это не первый случай, когда хакеры нацелены на промышленные системы, и не первый публично известный преднамеренный акт кибервойны, который будет реализован, это первое обнаруженное вредоносное ПО, которое шпионит за промышленными системами и подрывает их, и первое, которое включает в себя программируемый логический контроллер. (PLC) руткит .

Первоначально червь распространяется без разбора, но включает в себя узкоспециализированное вредоносное ПО, предназначенное только для систем диспетчерского управления и сбора данных (SCADA) Siemens , настроенных для управления и мониторинга определенных промышленных процессов. Stuxnet заражает ПЛК, подрывая программное обеспечение Step-7 , которое используется для перепрограммирования этих устройств.

Различные варианты Stuxnet нацелены на пять иранских организаций, причем вероятной целью, как многие подозревают, является инфраструктура по обогащению урана в Иране ; В августе 2010 года Symantec отметила, что 60% зараженных компьютеров во всем мире находятся в Иране. Компания Siemens заявила, что червь не причинил вреда ее клиентам, но иранская ядерная программа, в которой используется оборудование Siemens, закупленное тайно, под эмбарго , была повреждена Stuxnet. «Лаборатория Касперского» пришла к выводу, что изощренная атака могла быть проведена только «при поддержке национального государства». Главный исследователь F-Secure Микко Хиппёнен , когда его спросили, была ли задействована возможная поддержка со стороны национального государства, согласился: «Вот как это будет выглядеть, да».

В мае 2011 года программа PBS Need To Know процитировала заявление Гэри Самора , координатора Белого дома по контролю над вооружениями и оружию массового уничтожения, в котором он сказал: «Мы рады, что у них [иранцев] возникли проблемы с их центрифугами. machine и что мы - США и их союзники - делаем все возможное, чтобы усложнить им ситуацию, «предлагая« подмигивающее признание »участия Соединенных Штатов в Stuxnet. По данным Daily Telegraph , в шоуриле, который транслировался на вечеринке по случаю выхода на пенсию главы Армии обороны Израиля (ЦАХАЛ) Габи Ашкенази , упоминался Stuxnet как один из его оперативных успехов в качестве начальника штаба ЦАХАЛа.

1 июня 2012 года в статье в The New York Times говорилось, что Stuxnet является частью операции разведки США и Израиля под названием «Олимпийские игры» , разработанной АНБ при президенте Джордже Буше и выполняемой при президенте Бараке Обаме .

24 июля 2012 года в статье Криса Матышчика из CNET сообщалось, что Организация по атомной энергии Ирана отправила электронное письмо главному научному сотруднику F-Secure Микко Хиппёнену с просьбой сообщить о новом экземпляре вредоносного ПО.

25 декабря 2012 года иранское полуофициальное информационное агентство объявило о кибератаке Stuxnet, на этот раз на предприятиях в южной части страны. В последние месяцы вредоносная программа нацелена на электростанцию ​​и некоторые другие предприятия в провинции Хормозган .

По словам эксперта Евгения Касперского , червь также заразил атомную электростанцию ​​в России. Однако Касперский отметил, что, поскольку электростанция не подключена к общедоступному Интернету, система должна оставаться безопасной.

История

Червь был впервые обнаружен компанией по безопасности VirusBlokAda в середине июня 2010 года. Запись в блоге журналиста Брайана Кребса от 15 июля 2010 года стала первым широко читаемым сообщением о черве. Первоначальное имя, данное VirusBlokAda, было «Rootkit.Tmphider»; Symantec, однако, назвала его «W32.Temphid», позже изменив его на «W32.Stuxnet». Его текущее название образовано из комбинации некоторых ключевых слов в программном обеспечении («.stub» и «mrxnet.sys»). Причина открытия в настоящее время связана с тем, что вирус случайно распространился за пределы своей намеченной цели ( завод в Натанце ) из-за ошибки программирования, внесенной в обновление; это привело к тому, что червь распространился на компьютер инженера, который был подключен к центрифугам, и стал распространяться дальше, когда инженер вернулся домой и подключил свой компьютер к Интернету.

Лаборатории Касперского эксперты в первую Подсчитано , что Stuxnet начал распространяться примерно в марте или апреле 2010 года, но первый вариант червя появился в июне 2009 года 15 июля 2010 года, в день существования червя стало широко известно, распределенный отказ в обслуживании нападения был сделан на серверах двух ведущих списков рассылки по безопасности промышленных систем. Эта атака из неизвестного источника, но, вероятно, связанная со Stuxnet, вызвала отключение одного из списков, тем самым прервав работу важного источника информации для электростанций и заводов. С другой стороны, исследователи Symantec обнаружили версию компьютерного вируса Stuxnet. который использовался для нападения на ядерную программу Ирана в ноябре 2007 года, разрабатывалась еще в 2005 году, когда Иран все еще создавал свой завод по обогащению урана.

Второй вариант, с существенными улучшениями, появился в марте 2010 года, по-видимому, потому, что его авторы считали, что Stuxnet распространяется недостаточно быстро; третий, с небольшими улучшениями, появился в апреле 2010 года. Червь содержит компонент с отметкой времени сборки от 3 февраля 2010 года. В Великобритании 25 ноября 2010 года Sky News сообщила, что получила информацию из анонимного источника. в неустановленной организации ИТ-безопасности, что Stuxnet или разновидность червя продавались на черном рынке .

Затронутые страны

Исследование распространения Stuxnet, проведенное Symantec, показало, что основными пострадавшими странами в первые дни заражения были Иран, Индонезия и Индия:

Страна	Доля зараженных компьютеров
Иран	58,85%
Индонезия	18,22%
Индия	8,31%
Азербайджан	2,57%
Соединенные Штаты	1,56%
Пакистан	1,28%
Другие страны	9,2%

Сообщается, что Иран «усилил» свои возможности кибервойны после атаки Stuxnet и подозревается в ответных атаках на банки США.

Операция

В отличие от большинства вредоносных программ, Stuxnet не причиняет большого вреда компьютерам и сетям, которые не соответствуют определенным требованиям к конфигурации; «Злоумышленники позаботились о том, чтобы поражались только назначенные им цели ... Это была работа стрелка». Хотя червь является беспорядочным, он становится инертным, если программное обеспечение Siemens не обнаружено на зараженных компьютерах, и содержит меры безопасности. чтобы предотвратить распространение червя с каждого зараженного компьютера более чем на три других, а также стереть самого себя 24 июня 2012 года.

Для своих целей Stuxnet содержит, среди прочего, код для атаки типа " злоумышленник посередине", которая подделывает сигналы датчиков управления производственными процессами, чтобы зараженная система не завершала работу из-за обнаруженного аномального поведения. Такая сложность очень необычна. на вредоносное ПО . Червь состоит из многоуровневой атаки на три разные системы:

1. Операционная система Windows ,
2. Промышленные программные приложения Siemens PCS 7, WinCC и STEP7, работающие в Windows и
3. Один или несколько ПЛК Siemens S7.

Заражение Windows

Stuxnet атаковал системы Windows с помощью четырех беспрецедентных атак нулевого дня (плюс уязвимость CPLINK и уязвимость, использованная червем Conficker ). Первоначально он распространяется с помощью зараженных съемных носителей, таких как USB-флеш-накопители , которые содержат файлы ярлыков Windows для запуска исполняемого кода. Затем червь использует другие эксплойты и методы, такие как одноранговый удаленный вызов процедур (RPC), для заражения и обновления других компьютеров в частных сетях, которые напрямую не подключены к Интернету. Количество используемых эксплойтов нулевого дня необычно, поскольку они высоко ценятся, а создатели вредоносных программ обычно не используют (и, таким образом, одновременно не делают видимыми) четыре разных эксплойта нулевого дня в одном и том же черве. Среди этих эксплойтов были удаленное выполнение кода на компьютере с включенным общим принтером и уязвимость LNK / PIF, при которой выполнение файла выполняется при просмотре значка в проводнике Windows, что исключает необходимость взаимодействия с пользователем. Stuxnet необычно велик - пол мегабайта и написан на нескольких разных языках программирования (включая C и C ++ ), что также является нестандартным для вредоносных программ. Компонент вредоносного ПО для Windows является беспорядочным в том смысле, что он распространяется относительно быстро и без разбора.

Вредоносная программа поддерживает как пользовательский режим, так и возможность использования руткитов в режиме ядра под Windows, а его драйверы устройств имеют цифровую подпись с использованием закрытых ключей двух сертификатов открытых ключей, которые были украдены у отдельных хорошо известных компаний, JMicron и Realtek , расположенных в Hsinchu Science. Парк на Тайване. Подпись драйвера помогла ему успешно установить драйверы руткита режима ядра без уведомления пользователей, и, таким образом, он оставался незамеченным в течение относительно длительного периода времени. Оба скомпрометированных сертификатов были отозваны от Verisign .

Два веб-сайта в Дании и Малайзии были настроены как серверы управления и контроля для вредоносного ПО, что позволяло обновлять его и осуществлять промышленный шпионаж путем загрузки информации. Оба этих доменных имени впоследствии были перенаправлены поставщиком услуг DNS в Dynadot в рамках глобальных усилий по отключению вредоносного ПО.

Шаг 7 заражение программного обеспечения

По словам исследователя Ральфа Лангнера, после установки в системе Windows Stuxnet заражает файлы проекта, принадлежащие управляющему программному обеспечению SCADA WinCC / PCS 7 от Siemens (шаг 7), и разрушает ключевую коммуникационную библиотеку WinCC s7otbxdx.dll. При этом происходит перехват обмена данными между программным обеспечением WinCC, работающим под Windows, и целевыми устройствами ПЛК Siemens, которые программное обеспечение может настраивать и программировать, когда они соединены кабелем для передачи данных. Таким образом, вредоносное ПО может незаметно устанавливаться на устройства ПЛК и впоследствии маскировать свое присутствие от WinCC, если управляющее программное обеспечение пытается прочитать зараженный блок памяти из системы ПЛК.

Кроме того, вредоносная программа использовала эксплойт нулевого дня в программном обеспечении базы данных WinCC / SCADA в виде жестко запрограммированного пароля базы данных.

Инфекция PLC

Весь код Stuxnet еще не раскрыт, но его полезная нагрузка нацелена только на те конфигурации SCADA, которые соответствуют критериям, которые он запрограммирован идентифицировать.

Stuxnet требует, чтобы определенные подчиненные преобразователи частоты (преобразователи частоты) были подключены к целевой системе Siemens S7-300 и связанным с ней модулям. Он атакует только системы ПЛК с частотно-регулируемыми приводами от двух конкретных поставщиков: Vacon из Финляндии и Fararo Paya из Ирана. Кроме того, он контролирует частоту подключенных двигателей и атакует только системы с частотой от 807  Гц до 1210 Гц. Это намного более высокая частота, чем у двигателей, работающих в большинстве промышленных применений, за заметным исключением газовых центрифуг . Stuxnet устанавливает вредоносное ПО в блок памяти DB890 ПЛК, который контролирует шину обмена сообщениями Profibus системы. При соблюдении определенных критериев он периодически изменяет частоту до 1410 Гц, затем до 2 Гц, а затем до 1064 Гц и, таким образом, влияет на работу подключенных двигателей, изменяя их скорость вращения. Он также устанавливает руткит - первый такой задокументированный случай на этой платформе - который скрывает вредоносное ПО в системе и маскирует изменения скорости вращения от систем мониторинга.

Удаление

Компания Siemens выпустила средство обнаружения и удаления для Stuxnet. Компания Siemens рекомендует обращаться в службу поддержки при обнаружении заражения и советует установить обновления Microsoft для устранения уязвимостей системы безопасности и запретить использование сторонних USB-накопителей . Siemens также советует немедленно обновить коды доступа по паролю.

Способность червя перепрограммировать внешние ПЛК может усложнить процедуру удаления. Лиам О'Мурчу из Symantec предупреждает, что исправление систем Windows не может полностью решить проблему заражения; может потребоваться тщательный аудит ПЛК. Несмотря на предположения о том, что неправильное удаление червя может нанести ущерб, Siemens сообщает, что за первые четыре месяца с момента обнаружения вредоносная программа была успешно удалена из систем 22 клиентов без каких-либо побочных эффектов.

Безопасность системы управления

Предотвращение инцидентов безопасности систем управления, таких как вирусные инфекции, такие как Stuxnet, - это тема, которая рассматривается как в государственном, так и в частном секторе.

Управление национальной кибербезопасности (NCSD) Министерства внутренней безопасности США реализует Программу безопасности систем контроля (CSSP). В рамках программы работает специализированная группа компьютерного реагирования на чрезвычайные ситуации, которая называется « Группа реагирования на кибербезопасные ситуации в промышленных системах управления» (ICS-CERT), проводит двухгодичные конференции ( ICSJWG ), проводит обучение, публикует рекомендуемые методы и предоставляет инструмент для самооценки. В рамках плана Министерства внутренней безопасности США по повышению компьютерной безопасности США в 2008 году оно и Национальная лаборатория Айдахо (INL) работали с Siemens над выявлением брешей в системе безопасности широко используемой компанией Process Control System 7 (PCS 7) и ее программном обеспечении Step 7. В июле 2008 года INL и Siemens публично объявили о недостатках в системе управления на конференции в Чикаго; Stuxnet использовал эти дыры в 2009 году.

Несколько отраслевых организаций и профессиональных обществ опубликовали стандарты и руководства по передовой практике, содержащие указания и рекомендации для конечных пользователей системы управления по созданию программы управления безопасностью системы управления. Основная посылка, которую разделяют все эти документы, заключается в том, что предотвращение требует многоуровневого подхода, часто называемого глубокой защитой . Эти уровни включают в себя политики и процедуры, осведомленность и обучение, сегментацию сети, меры контроля доступа, меры физической безопасности, укрепление системы, например, управление исправлениями и мониторинг системы, антивирусную систему и систему предотвращения вторжений (IPS). Все стандарты и передовые практики также рекомендуют начинать с анализа рисков и оценки безопасности системы управления.

Цель и происхождение

Эксперты считают, что разработка Stuxnet потребовала самых больших и дорогостоящих усилий в истории вредоносного ПО.Развитие его многочисленных возможностей потребовало бы команды высококвалифицированных программистов, глубоких знаний промышленных процессов и интереса к атакам на промышленную инфраструктуру. Эрик Байрс, имеющий многолетний опыт обслуживания и устранения неполадок систем Siemens, сказал Wired, что написание кода заняло бы много человеко-месяцев, если не человеко-лет. Symantec оценки , что группа разработки Stuxnet бы состояла из пяти-тридцати человек, и потребовалось бы шесть месяцев , чтобы подготовиться. The Guardian , ВВС и The New York Times все утверждали , что (безымянные) эксперты , изучающие Stuxnet считают сложность код указывает, что только национальное государство будет иметь возможность производить его. Самоуничтожение и другие меры защиты в коде подразумевали, что ответственность за его разработку или, по крайней мере, несет ответственность за его разработку, западное правительство. Однако эксперт по безопасности программного обеспечения Брюс Шнайер первоначально осудил новостное освещение Stuxnet в 2010 году как шумиху, заявив, что это было почти полностью основано на предположениях. Но после последующих исследований Шнайер заявил в 2012 году, что «теперь мы можем окончательно связать Stuxnet со структурой центрифуги в лаборатории ядерного обогащения в Натанзе в Иране».

Иран как цель

Ральф Лангнер, исследователь, который обнаружил, что Stuxnet заразил ПЛК, впервые публично высказал предположение в сентябре 2010 года о том, что вредоносная программа имеет израильское происхождение и нацелена на иранские ядерные объекты. Однако недавно Лангнер на конференции TED , записанной в феврале 2011 года, заявил: «Я считаю, что Моссад замешан, но ведущая сила - не Израиль. Ведущей силой, стоящей за Stuxnet, является киберсверхдержава - есть только один, и это Соединенные Штаты ". Кевин Хоган, старший директор по реагированию на безопасность в Symantec, сообщил, что большинство зараженных систем было в Иране (около 60%), что привело к предположениям о том, что он мог преднамеренно нацеливаться на «дорогостоящую инфраструктуру» в Иране, в том числе на атомную станцию в Бушере. Электростанция или ядерный объект в Натанзе . Лангнер назвал вредоносное ПО «одноразовым оружием» и сказал, что намеченная цель, вероятно, была поражена, хотя он признал, что это были предположения. Другой немецкий исследователь и представитель находящегося в Германии компьютерного клуба Chaos , Франк Ригер, был первым, кто предположил, что целью был Натанц.

Ядерные объекты Натанза

Внешний образ
Спутниковые снимки завода по обогащению урана в Натанзе

Согласно израильской газете Haaretz , в сентябре 2010 года эксперты по Ирану и специалисты по компьютерной безопасности все больше убеждались в том, что Stuxnet был предназначен «для саботажа завода по обогащению урана в Натанзе, где эксплуатационная мощность центрифуг упала за последний год на 30 процентов». 23 ноября 2010 г. было объявлено, что обогащение урана в Натанзе несколько раз прекращалось из-за ряда серьезных технических проблем. «Серьезная ядерная авария» (предположительно, остановка некоторых из ее центрифуг) произошла на объекте в первой половине 2009 года, что, как предполагается, вынудило Голама Реза Агазаде , главу Организации по атомной энергии Ирана (ОАЭИ), уходить в отставку. Статистические данные, опубликованные Федерацией американских ученых (FAS), показывают, что количество обогатительных центрифуг, работающих в Иране, загадочным образом уменьшилось с примерно 4700 до примерно 3900, начиная примерно с того времени, когда произошел ядерный инцидент, упомянутый WikiLeaks. Институт науки и международной безопасности (ISIS) предполагает, в докладе , опубликованном в декабре 2010 года, что Stuxnet представляет собой разумное объяснение очевидного ущерба в Натанзе, и может быть уничтожено до 1000 центрифуг (10 процентов) где- то в период с ноября 2009 года и конец января 2010 г. Авторы делают вывод:

Атаки, похоже, предназначены для изменения скорости вращения ротора центрифуги, сначала повышая скорость, а затем понижая ее, вероятно, с намерением вызвать чрезмерные вибрации или искажения, которые могут разрушить центрифугу. Если его целью было быстрое уничтожение всех центрифуг на FEP [Завод по обогащению топлива], Stuxnet потерпел неудачу. Но если цель состояла в том, чтобы уничтожить более ограниченное количество центрифуг и задержать прогресс Ирана в эксплуатации УОТ, затрудняя обнаружение, возможно, это удалось, по крайней мере временно.

В отчете организации ИГИЛ также отмечается, что иранские власти пытались скрыть поломку, устанавливая новые центрифуги в больших масштабах.

Червь работал, сначала заставляя зараженную иранскую центрифугу IR-1 увеличивать свою нормальную рабочую скорость с 1064 герц до 1410 герц в течение 15 минут, прежде чем вернуться к нормальной частоте. Двадцать семь дней спустя червь вернулся в действие, замедляя зараженные центрифуги до нескольких сотен герц на полные 50 минут. Напряжения от чрезмерных, а затем более низких скоростей заставляли алюминиевые центробежные трубки расширяться, часто заставляя части центрифуг входить в контакт друг с другом, чтобы разрушить машину.

По сообщению The Washington Post , камеры Международного агентства по атомной энергии (МАГАТЭ), установленные на объекте в Натанзе, зафиксировали внезапный демонтаж и удаление примерно 900–1000 центрифуг в то время, когда на заводе, по сообщениям, действовал червь Stuxnet. Однако иранские техники смогли быстро заменить центрифуги, и в отчете сделан вывод, что обогащение урана, вероятно, было прервано лишь на короткое время.

15 февраля 2011 года Институт науки и международной безопасности опубликовал отчет, в котором говорится:

Если Иран проявит осторожность, Stuxnet вряд ли уничтожит больше центрифуг на заводе в Натанзе. Вероятно, Иран удалил вредоносное ПО из своих систем управления. Чтобы предотвратить повторное заражение, Ирану придется проявлять особую осторожность, поскольку многие компьютеры в Иране содержат Stuxnet. Хотя кажется, что Stuxnet был разработан для уничтожения центрифуг на объекте в Натанзе, разрушение отнюдь не было полным. Более того, Stuxnet не снизил производство низкообогащенного урана (НОУ) в течение 2010 года. Количество НОУ, безусловно, могло быть больше, и Stuxnet мог быть важной частью причины, по которой они не увеличились значительно. Тем не менее, остаются важные вопросы о том, почему Stuxnet уничтожил только 1000 центрифуг. Одно из наблюдений заключается в том, что уничтожить центрифуги с помощью кибератак может быть труднее, чем часто думают.

Иранская реакция

Associated Press сообщило , что полуофициальное иранское информационное агентство Студенты выпустили заявление от 24 сентября 2010 года о том , что эксперты из Организации по атомной энергии Ирана встретился на прошлой неделе , чтобы обсудить , как Stuxnet могут быть удалены из их систем. По словам таких аналитиков, как Дэвид Олбрайт , западные спецслужбы в течение некоторого времени пытались саботировать иранскую ядерную программу.

Глава АЭС в Бушере сообщил агентству Рейтер, что только персональные компьютеры сотрудников станции были заражены Stuxnet, а государственная газета Iran Daily процитировала министра связи Ирана Резу Тагипура , заявившего , что это не вызвало "серьезных серьезных последствий ". ущерб государственным системам ". Директор Совета по информационным технологиям при Министерстве промышленности и горнодобывающей промышленности Ирана Махмуд Лиаи сказал, что: « Электронная война началась против Ирана ... Этот компьютерный червь предназначен для передачи данных о производственных линиях с наших промышленных предприятий на места за пределами Ирана ".

В ответ на заражение Иран собрал команду для борьбы с ней. В связи с тем, что в Иране затронуты более 30 000 IP-адресов, официальный представитель заявил, что инфекция быстро распространяется в Иране, и проблема усугубляется способностью Stuxnet мутировать. Иран создал свои собственные системы для очистки от инфекций и не рекомендовал использовать антивирус Siemens SCADA, поскольку есть подозрения, что антивирус содержит встроенный код, который обновляет Stuxnet, а не удаляет его.

По словам Хамида Алипура, заместителя главы правительственной компании информационных технологий Ирана, «атака все еще продолжается, и новые версии этого вируса распространяются». Он сообщил, что его компания начала процесс очистки «чувствительных центров и организаций» Ирана. «Мы ожидали, что сможем искоренить вирус в течение одного-двух месяцев, но вирус нестабилен, и с тех пор, как мы начали процесс очистки, распространяются три новые его версии», - сказал он 27 января информационному агентству Исламской Республики. Сентябрь 2010 г.

29 ноября 2010 года президент Ирана Махмуд Ахмадинежад впервые заявил, что компьютерный вирус вызвал проблемы с контроллером, управляющим центрифугами на его объектах в Натанзе. Как сообщает агентство Reuters, он сказал репортерам на пресс-конференции в Тегеране: «Им удалось создать проблемы для ограниченного числа наших центрифуг с помощью программного обеспечения, которое они установили в электронных компонентах».

В тот же день двое иранских ученых-ядерщиков стали жертвами отдельных, но почти одновременных взрывов заминированных автомобилей возле университета Шахида Бехешти в Тегеране. Был убит Маджид Шахриари , квантовый физик. Был тяжело ранен высокопоставленный чиновник министерства обороны Ферейдун Аббаси . Wired предположил, что убийства могут указывать на то, что тот, кто стоял за Stuxnet, считал, что этого недостаточно, чтобы остановить ядерную программу. В той же статье Wired говорится , что за убийствами могло быть причастно иранское правительство . В январе 2010 года еще один иранский ученый-ядерщик, профессор физики Тегеранского университета , погиб в результате взрыва аналогичной бомбы. 11 января 2012 года директор завода по обогащению урана в Натанзе Мостафа Ахмади Рошан был убит в результате нападения, очень похожего на то, что убило Шахриари.

Анализ, проведенный ФАС, показывает, что обогатительные мощности Ирана выросли в течение 2010 года. Исследование показало, что центрифуги Ирана, по-видимому, работают на 60% лучше, чем в предыдущем году, что значительно сократит время Тегерана на производство урана бомбового качества. Отчет ФАС был рассмотрен официальным лицом МАГАТЭ, подтвердившим результаты исследования.

Европейские и американские официальные лица, а также частные эксперты сообщили Reuters, что иранским инженерам удалось нейтрализовать и очистить Stuxnet от ядерного оборудования своей страны.

Учитывая рост возможностей Ирана по обогащению урана в 2010 году, страна могла намеренно распространять дезинформацию, чтобы заставить создателей Stuxnet поверить в то, что червь более успешно остановил иранскую ядерную программу, чем он был на самом деле.

Израиль

Во многих сообщениях СМИ, а также такими экспертами, как Ричард А. Фалькенрат , бывший старший директор по политике и планам Управления внутренней безопасности США, предполагалось , что Израиль , через Unit 8200 , является страной, стоящей за Stuxnet . Йоси Мелман, который освещает разведки для израильской газеты Haaretz и написал книгу об израильской разведке, также подозревал, что Израиль был замешан, отметив, что Меир Даган , бывший (до 2011 года) глава национального разведывательного агентства Моссад , был продлен в 2009 году, потому что, как он сказал, участвовать в важных проектах. Кроме того, в 2010 году Израиль начал ожидать, что Иран будет обладать ядерным оружием в 2014 или 2015 году - по крайней мере, на три года позже, чем ранее предполагалось - без необходимости израильского военного нападения на иранские ядерные объекты; «Похоже, они что-то знают, у них больше времени, чем первоначально предполагалось», - добавил он. Израиль публично не комментировал атаку Stuxnet, но в 2010 году подтвердил, что кибервойна теперь является одним из столпов его оборонной доктрины с помощью военной разведки. юнит настроен так, чтобы преследовать как оборонительные, так и наступательные варианты. Отвечая на вопрос, стоит ли Израиль за вирусом осенью 2010 года, некоторые израильские официальные лица расплылись в «широких улыбках», подпитывая слухи о том, что правительство Израиля было причастно к его возникновению. Советник президента США Гэри Самор также улыбнулся, когда упомянул Stuxnet, хотя американские официальные лица предположили, что вирус возник за границей. Как сообщает The Telegraph , израильская газета Haaretz сообщила, что видео, посвященное оперативным успехам Габи Ашкенази , уходящего в отставку начальника штаба Сил обороны Израиля (ЦАХАЛ), было показано на вечеринке по поводу его выхода на пенсию и содержало ссылки на Stuxnet, что усиливало утверждения о том, что силы безопасности Израиля были ответственный.

В 2009 году, за год до того, как был обнаружен Stuxnet, Скотт Борг из Отдела киберпоследствий США (US-CCU) предположил, что Израиль может предпочесть кибератаку, а не военный удар по ядерным объектам Ирана. А в конце 2010 года Борг заявил: «У Израиля определенно есть возможность создать Stuxnet, и у такой атаки есть небольшая обратная сторона, потому что будет практически невозможно доказать, кто это сделал. Таким образом, такой инструмент, как Stuxnet, является очевидным предпочтительным оружием Израиля. " Иран использует центрифуги P-1 в Натанзе, конструкцию, которую А.К. Хан украл в 1976 году и привез в Пакистан. Его сеть по распространению ядерного оружия на черном рынке продавала P-1, в частности, Ирану. Эксперты считают, что Израиль также каким-то образом приобрел P-1 и испытал Stuxnet на центрифугах, установленных на объекте Dimona , который является частью его собственной ядерной программы . Оборудование может быть из США, которые получили P-1 от бывшей ядерной компании Ливии. программа .

Некоторые из них также привел несколько подсказок в коде , такие как скрытое ссылкой на слова Мирт , как полагают, относятся к Латинской имя Мирт в Миртл - дерева, которое на иврите называется Хадасса . Хадасса - это имя при рождении бывшей еврейской царицы Персии, царицы Эстер . Однако может оказаться, что ссылка «MYRTUS» - это просто неверно истолкованная ссылка на компоненты SCADA, известные как RTU (удаленные оконечные устройства), и что эта ссылка на самом деле является «My RTU» - функцией управления SCADA. Кроме того, номер 19790509 появляется один раз в коде и может относиться к дате 9 мая 1979 года , когда в Тегеране был казнен персидский еврей Хабиб Эльганиан . Другая дата, которая появляется в коде, - «24 сентября 2007 года», день, когда президент Ирана Махмуд Ахмадинежад выступил в Колумбийском университете и сделал комментарии, ставящие под сомнение достоверность Холокоста . Такие данные не являются окончательными, поскольку, как отмечает Symantec, « ... у злоумышленников было бы естественное желание привлечь к ответственности другую сторону ".

Соединенные Штаты

Также были свидетельства причастности Соединенных Штатов и их сотрудничества с Израилем: в одном отчете говорится, что «исчезающе мало сомнений в том, что [он] сыграл роль в создании червя». Сообщалось, что Соединенные Штаты Государства в рамках одной из своих самых секретных программ, инициированной администрацией Буша и ускоренной администрацией Обамы, стремились уничтожить ядерную программу Ирана новыми методами, такими как подрыв иранских компьютерных систем. Дипломатический кабель получен WikiLeaks показал , как Соединенные Штаты советуют нацелить ядерные способности Ирана через «скрытый саботаж». В статье New York Times еще в январе 2009 года приписывалось неуказанной тогда программе по предотвращению израильского военного нападения на Иран, где некоторые усилия были сосредоточены на способах дестабилизации центрифуг. В статье Wired утверждалось, что Stuxnet «считается созданным Соединенными Штатами».

Тот факт, что Джон Бамгарнер, бывший офицер разведки и член Отдела киберпоследствий США (US-CCU), опубликовал статью до того, как Stuxnet был обнаружен или расшифрован, в котором описывается стратегический кибер-удар по центрифугам и предполагается, что кибератаки допустимы в отношении национальных государств, которые осуществляют программы обогащения урана, нарушающие международные договоры, придает некоторую достоверность этим утверждениям. Бумгарнер указал, что центрифуги, используемые для обработки топлива для ядерного оружия, являются ключевой целью для операций кибертажа и что их можно заставить уничтожить себя, манипулируя их скоростью вращения.

В марте 2012 года в интервью изданию 60 Minutes отставной генерал ВВС США Майкл Хайден, который занимал пост директора как Центрального разведывательного управления, так и Агентства национальной безопасности , отрицая, что знает, кто создал Stuxnet, сказал, что, по его мнению, это была «хорошая идея. "но это имело обратную сторону, поскольку оно узаконило использование сложного кибероружия, предназначенного для нанесения физического ущерба. Хайден сказал: «Есть те, кто может взглянуть на это ... и, возможно, даже попытаться использовать это в своих целях». В том же отчете Шон МакГерк, бывший сотрудник отдела кибербезопасности в Министерстве внутренней безопасности, отметил, что исходный код Stuxnet теперь можно загружать онлайн и модифицировать для работы с новыми целевыми системами. Говоря о создателях Stuxnet, он сказал: «Они открыли коробку. Они продемонстрировали возможности ... Это не то, что можно вернуть».

Совместные усилия и другие состояния и цели

В апреле 2011 года иранский правительственный чиновник Голам Реза Джалали заявил, что расследование пришло к выводу, что за атакой Stuxnet стояли Соединенные Штаты и Израиль. Франк Ригер заявил, что спецслужбы трех европейских стран согласились с тем, что Stuxnet - это совместная работа США и Израиля. Код для инжектора Windows и полезной нагрузки ПЛК различаются по стилю, что, вероятно, подразумевает совместную работу. Другие эксперты считают, что американо-израильское сотрудничество маловероятно, поскольку «уровень доверия между разведкой и военными ведомствами двух стран невысокий».

В статье журнала Wired об американском генерале Ките Б. Александре говорится: «И он и его кибервоины уже начали свою первую атаку. Кибероружие, которое стало известно как Stuxnet, было создано и построено АНБ в партнерстве с ЦРУ и Израильская разведка в середине 2000-х ».

Китай , Иордания и Франция - другие возможности, и Siemens, возможно, также участвовал.Лангнер предположил, что инфекция могла распространяться с USB-накопителей, принадлежащих российским подрядчикам, поскольку иранские цели не были доступны через Интернет. В 2019 году сообщалось, что иранский крот, работающий на голландскую разведку по приказу Израиля и ЦРУ, вставил вирус Stuxnet с USB-накопителя или убедил другого человека, работающего на объекте в Натанзе, сделать это.

Сандро Гайкен из Свободного университета Берлина утверждал, что нападение на Иран было уловкой, чтобы отвлечься от истинной цели Stuxnet. По его словам, его широкое распространение на более чем 100000 промышленных предприятиях по всему миру предполагает полевые испытания кибероружия в различных культурах безопасности, проверку их готовности, устойчивости и реакции - все это очень ценная информация для подразделения кибервойны.

Соединенное Королевство отрицает причастность к созданию червя.

Документы Stratfor, опубликованные WikiLeaks, предполагают, что международная фирма по безопасности «Stratfor» считает, что за Stuxnet стоит Израиль - «Но мы не можем предположить, что из-за того, что они сделали Stuxnet, они также способны провести этот взрыв».

В июле 2013 года Эдвард Сноуден заявил, что Stuxnet был разработан совместно США и Израилем .

Развертывание в Северной Корее

По сообщению Reuters, АНБ также пытался саботировать Северную Корею «s ядерную программу , используя версию Stuxnet. Сообщается, что операция была начата одновременно с атакой на иранские центрифуги в 2009–2010 годах. У северокорейской ядерной программы много общего с иранской, обе они были разработаны с использованием технологий, переданных пакистанским ученым-ядерщиком А.К. Ханом . Однако эта попытка провалилась, поскольку крайняя секретность и изоляция Северной Кореи сделали невозможным внедрение Stuxnet на ядерный объект.

Кибератака Stuxnet 2.0

Голамреза Джалали, глава Национальной организации пассивной защиты Ирана (NPDO), утверждает, что его страна отразила атаку типа Stuxnet, нацеленную на телекоммуникационную инфраструктуру страны. Министр связи Ирана Мохаммад-Джавад Азари Джахроми с тех пор обвинил Израиль в организации атаки. Иран планирует подать в суд на Израиль через Международный суд ООН (ICJ), а также готов предпринять ответную атаку, если Израиль не откажется.

Связанное вредоносное ПО

"Секретный близнец Stuxnet"

В статье, опубликованной в ноябре 2013 года в журнале Foreign Policy, говорится о существовании более ранней, гораздо более сложной атаки на комплекс центрифуг в Натанзе, направленной на увеличение частоты отказов центрифуг в течение длительного периода времени за счет скрытого создания инцидентов с избыточным давлением газа гексафторида урана. Эта вредоносная программа могла распространяться только путем физической установки, вероятно, с помощью ранее зараженного полевого оборудования, используемого подрядчиками, работающими над системами управления Siemens в пределах комплекса. Неясно, была ли эта попытка атаки успешной, но показательно, что за ней последовала другая, более простая и более традиционная атака.

Duqu

1 сентября 2011 года был обнаружен новый червь, предположительно связанный со Stuxnet. Лаборатория криптографии и безопасности систем (CrySyS) Будапештского технологического и экономического университета проанализировала вредоносное ПО, назвав угрозу Duqu . Symantec , основываясь на этом отчете, продолжила анализ угрозы, назвав ее «почти идентичной Stuxnet, но с совершенно другой целью», и опубликовала подробный технический документ. Основной компонент, используемый в Duqu, предназначен для сбора такой информации, как нажатия клавиш и системная информация. Извлеченные данные могут быть использованы для включения будущих атак, подобных Stuxnet. 28 декабря 2011 года директор по глобальным исследованиям и анализу «Лаборатории Касперского» рассказал Reuters о последних результатах исследований, показывающих, что платформы Stuxnet и Duqu возникли в 2007 году и упоминаются как Tilded из-за символа ~ d в начале файла. имена. В ходе этого исследования также была обнаружена возможность создания еще трех вариантов на основе платформы Tilded.

Пламя

В мае 2012 года была обнаружена новая вредоносная программа Flame, предположительно связанная со Stuxnet. Исследователи назвали программу «Пламя» по названию одного из ее модулей. Проанализировав код Flame, «Лаборатория Касперского» заявила, что между Flame и Stuxnet существует тесная связь. Ранняя версия Stuxnet содержала код для распространения инфекций через USB-накопители, который почти идентичен модулю Flame, использующему ту же уязвимость.

Ориентация на военное командование, управление, связь и разведку

Бывший министр обороны США Уильям Дж. Перри и Том З. Коллина, директор по политике в Plowshares Fund , написали, что каждый день совершаются тысячи, а может быть, и миллионы атак на использование американскими военными Интернета и аналогичных коммуникаций только для Министерства обороны. Если атака кибербезопасности на какое-либо государство, обладающее ядерным оружием, приведет к тому, что США и Израиль, как сообщается, сделали с Ираном с помощью Stuxnet, это может убедить лидеров этой страны в том, что на них напали с применением ядерного оружия, а это не так. Это может привести к тому, что они по ошибке начнут ядерную войну, полагая, что могут потерять способность адекватно реагировать, если будут ждать дополнительной информации.

Если бы страной, подвергшейся такой атаке кибербезопасности, была Индия или Пакистан, в результате ядерная война, вероятно, произвела бы ядерную осень, в течение которой примерно четверть человечества, большинство из которых не пострадали напрямую от ядерных взрывов, могла бы умереть от голода, если бы они это сделали. не умереть от чего-то другого раньше. Если Соединенные Штаты, Россия или Китай (или, может быть, даже Великобритания или Франция) испытают такую ​​атаку кибербезопасности, в результате ядерная война, вероятно, приведет к ядерной зиме , во время которой 98 процентов человечества умрут от голода, если они не уступят. к чему-то другому раньше.

Перри и Коллина также отметили, что ядерная война случайно гораздо более вероятно, чем Россия нанесет первый удар по Соединенным Штатам. Они утверждали, что основные ядерные арсеналы мира сосредоточены не на той проблеме. Они процитировали несколько источников в поддержку этого утверждения, включая исследование GAO, которое обнаружило, что многие современные системы вооружения в США используют коммерческое и бесплатное программное обеспечение без изменения паролей по умолчанию. Хакеры, работающие на GAO, смогли незаметно проникнуть в системы Министерства обороны, частично используя пароли по умолчанию, найденные в Интернете.

Освещение в СМИ

С 2010 года Stuxnet и его последствия широко освещались в международных СМИ. В одном из первых комментариев The Economist указал, что Stuxnet был «новым видом кибератак». 8 июля 2011 года Wired опубликовала статью, в которой подробно описывалось, как эксперты по сетевой безопасности смогли расшифровать происхождение Stuxnet. В этой статье Ким Зеттер заявила, что «соотношение затрат и выгод Stuxnet все еще под вопросом». Более поздние комментаторы, как правило, сосредотачивались на стратегическом значении Stuxnet как кибероружия. Следуя статье Wired, Хольгер Старк назвал Stuxnet «первым цифровым оружием геополитического значения, которое может изменить способ ведения войн». Между тем Эдди Уолш назвал Stuxnet «новейшей в мире высокотехнологичной асимметричной угрозой». В конце концов, некоторые утверждают, что «широкое освещение Stuxnet в СМИ послужило лишь рекламой уязвимостей, используемых различными киберпреступными группировками». Хотя это может быть так, освещение в СМИ также повысило осведомленность об угрозах кибербезопасности.

Документальный фильм Алекса Гибни « Нулевые дни» 2016 года посвящен феномену Stuxnet. Нулевого дня (также известный как 0-день) уязвимость компьютера программное обеспечение уязвимость , которая неизвестна или нерассмотренными на тех , кто должен быть заинтересован в снижении уязвимости ( в том числе поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры могут использовать ее, чтобы отрицательно повлиять на компьютерные программы, данные, дополнительные компьютеры или сеть.

В 2016 году выяснилось, что генерал Джеймс Картрайт , бывший глава Стратегического командования США, слил информацию, касающуюся Stuxnet. Позже он признал себя виновным во лжи агентам ФБР, проводящим расследование утечки. 17 января 2017 года президент Обама полностью помиловал его по этому делу, тем самым сняв с него приговор.

В популярной культуре

• В 8 сезоне Касла , 18-й серии «Backstabber» выясняется, что Stuxnet был (вымышленно) создан МИ-6 , и его версия используется для отключения лондонской энергосистемы.
• «Троянский конь» - это роман, написанный писателем и писателем о Windows-утилитах Марком Руссиновичем . В нем показано использование вируса Stuxnet в качестве основной сюжетной линии истории и попытка Ирана обойти его.
• В Ghost in the Shell: Arise Stuxnet - это названный тип компьютерного вируса, который заразил Кусанаги и Манамуру, позволив внедрить ложные воспоминания.
• В июле 2017 года MRSA ( Mat Zo ) выпустил трек под названием "Stuxnet" на сайте Hospital Records .
• В видеоигре Tom Clancy's Splinter Cell: Blacklist от Ubisoft 2013 года главный герой, Сэм Фишер, использует мобильный воздушный штаб («Паладин»), который, как говорят, в какой-то момент в сюжетном режиме игры стал целью Stuxnet- вирус стиля, в результате чего его системы вышли из строя, а самолет полетел к океану и разбился бы без вмешательства Фишера.
• В фильме Майкла Манна « Блэкхат » 2015 года код, показанный как принадлежащий вирусу, который хакер использовал для взрыва насосов охлаждающей жидкости на атомной электростанции в Чайване, Гонконг, на самом деле представляет собой декомпилированный код Stuxnet.
• В третьем эпизоде Star Trek: Discovery , « Контекст для королей », персонажи идентифицируют сегмент кода как часть экспериментальной транспортной системы. Показанный код является декомпилированным кодом Stuxnet. Примерно такой же код показан в восьмом эпизоде «Пространства» , «Pyre», на этот раз как визуальное представление «диагностического взлома» программного обеспечения для управления ядерными ракетами.

Смотрите также

использованная литература

дальнейшее чтение

внешние ссылки

• fanny.bmp - в Securelist
• Источник fanny.bmp - на GitHub
• Код Stuxnet - в Интернет-архиве