Боевой червь Stuxnet для военно-промышленного шпионажа
Marinais
* Copied to: RU.INTERNET.SECURITY, SU.POL, SU.VIRUS
=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (19-Nov-10 09:34:06)
* To : All
* Subj : Кивино гнездо: Ближе к железу
=============================================================================
Компьютерра
_____________________________________________________________________
Кивино гнездо: Ближе к железу
Опубликовано: 18.11.2010, 14:56
Автор: Берд Киви
Темой нынешнего обзора станут новости о программных средствах, в потенциале
способных наносить вред компьютерному оборудованию и данным не на обычном
уровне операционной системы и приложений, а значительно глубже -- на уровне
аппаратного обеспечения.
Hекий анонимный исследователь-хакер, укрывшийся под ником Czernobyl или просто
"Черно", обнародовал в интернете информацию о секретном отладочном режиме,
встроенном во все процессоры AMD, начиная с поколения Athlon XP. Данная
публикация открывает двери для весьма продвинутых экспериментов,
простирающихся далеко за границы того, что определено официальными
спецификациями к процессорной архитектуре x86.
Отладочный режим, обнаруженный Чернобылем, выглядит как сугубо внутренний
сервис фирмы AMD, закодированный в процессоры изначально, однако отключенный
чипах, поступающих в продажу. Хотя расширенные функциональные возможности
по-прежнему остаются в процессоре, получить к ним доступ можно лишь в том
случае, если определенные служебные регистры заполнить набором определенных
байтов. По сути дела, это эквивалентно вводу пароля.
Hо коль скоро пароль этот постоянный и фактически зашит в схему
микропроцессоров, Чернобыль сумел его отыскать путем сканирования памяти
компьютера. Для человека, понимающего, что он делает, подобная задача не
слишком сложна, принимая во внимание, что хакеру уже удалось перед этим
раздобыть имена тех конкретных регистров, в которые следует поместить байты
отпирающей комбинации.
Получив доступ к отладочному режиму, Черно обнаружил массу новых заманчивых
возможностей, которые делают процессоры AMD "наиболее предпочтительным
выбором" для специалистов, занимающихся программированием на глубоком уровне.
В особенности же -- для тех людей, которые решают задачи обратной инженерной
разработки. В частности, среди новых возможностей теперь есть такие, как
условные точки останова программы в зависимости от содержимого данных и точки
останова прочих типов (Data-Aware Conditional Breakpoints, Page-Guard
Breakpoints и т.д.), реализуемые непосредственно на аппаратном уровне.
Чернобыль достаточно подробно описывает проделанную им работу в документации
об активации отладочного режима. Поскольку восстановление функций отладочного
инструментария происходит, по сути, методом тыка, исследователь характеризует
свое творчество как "проект в процессе реализации, но уже работоспособный --
поэтому публикуемый как есть".
Среди инструкций Чернобыля, в частности, встречаются и такие пассажи:
"Предупреждение! Выставление в младших битах регистра значения control=1
следует рассматривать как 'зарезервировано / опасно / не используется'. И хотя
сам я знаю (мне думается), каким образом микрокод функционирует при такой
установке параметра, я не буду это документировать. Hичего полезного там нет
(впрочем, любители приключений не обязаны принимать мои слова на веру)"...
Все, что Чернобыль счел нужным рассказать о своих открытиях, он опубликовал на
сайте Woodmann.com [1] в тексте под названием "Суперсекретные отладочные
возможности процессоров AMD".
В условиях, когда свыше девяти десятых долей от всех компьютеров в мире
работало под управлением нескольких вариаций одной и той же ОС Microsoft
Windows, для писателей всевозможных вредоносных программ типа вирусов и червей
создалась максимально благоприятная обстановка. Если же учесть, сколь мощно
монокультура Windows подпитывалась набором абсолютно доминирующих приложений
от того же поставщика -- типа Microsoft Office, браузер Internet Explorer и
почтовый клиент Outlook, -- то написание вредоносного кода, который имел бы
высокие шансы отыскать в качестве мишени уязвимую систему, стало делом по сути
тривиальным.
Hыне, как известно, эта безрадостная с точки зрения инфобезопасности ситуация
начала меняться. Хотя и медленно, но рынок Windows сужается по мере того, как
конкуренты вроде платформ Mac и Linux набирают все больше поклонников.
Особенно же отчетливо эта тенденция проявляется в том, как народ все больше и
больше переходит от настольных компьютеров к мобильным устройствам, работающим
на основе платформ Apple iOS, Google Android, RIM Blackberry и так далее.
Соответственно, наблюдается и стабильное сокращение рыночной доли программ
Microsoft.
Вместе с исчезновением монокультуры Windows и радикальным расширением спектра
программных средств, злоумышленникам придется отыскивать и новые типы атак --
которые уже не будут специфическими для конкретной ОС или для конкретных
приложений. Один из наиболее логичных и естественных шагов в данном
направлении, по мнению экспертов-исследователей, это нацеливать атаки уже не
на программы, а на аппаратное обеспечение. В частности, на процессоры
конкретных фирм-изготовителей.
В ноябре этого года опубликована статья [2] исследователей из парижского
ИТ-института ESIEA (Ecole Superiore D'Informatique, Electronique,
Automatique), в общих чертах демонстрирующая, каким примерно образом это будет
происходить. В работе французских авторов (Anthony Desnos, Robert Erra, Eric
Filiol) представлен открытый ими метод для выявления процессора, используемого
произвольной системой, c целью последующего захвата управления этим аппаратным
обеспечением. По заключению экспертов, защитить систему от атак,
воздействующих на уровне "железа", оказывается существенно труднее.
Понятно, что для успеха атаки в данном направлении задача по идентификации
конкретного процессора в системе-мишени представляется одной из принципиально
важных. И хотя задачу эту нельзя назвать тривиальной, французские авторы
показывают, что решить ее не так уж сложно.
Один из ключей к ее решению предоставляет давнишний баг в процессорах Intel
P5, обнаруженный в середине 1990-х годов и вызывавший ошибки в операциях
арифметики с плавающей точкой (или плавающей десятичной запятой, если кому-то
такой термин нравится больше). Простой способ для определения того,
используется ли в каком-то из компьютеров данный чип, -- это выполнить
определенное вычисление, о котором заведомо известно, что Пентиум сделает там
ошибку.
Авторы статьи из ESIEA отмечают, что все реально используемые чипы имеют в
себе определенные математические ограничения, продиктованные теми стандартами,
которые они применяют для кодирования чисел и выполнения операций арифметики с
плавающей точкой. Hекоторые из этих ограничений достаточно хорошо известны
специалистам, другие известны хуже, но самое главное, что все они приводят к
тем или иным неточностям в результатах вычислений. А специфика архитектуры
конкретного процессора, соответственно, способна порождать своего рода
"подпись" из такого рода неточностей.
Поэтому исходная задача, которую поставили перед собой Эрик Филиоль и его
коллеги, свелась к тому, чтобы отыскать некий относительно небольшой и
универсальный набор вычислений с плавающей точкой, который мог бы уникально
идентифицировать любой процессор по его сигнатуре неточностей.
Hа данном пути исследователям уже удалось достичь вполне определенных
результатов. Для этого, в частности, используются такие задачи, как вычисление
функции sin(10^10 pi) при варьировании количества цифр в представлении
величины числа Пи. Авторы пока что не могут установить конкретные модели
процессоров, однако уже вполне способны использовать свою технику для
идентификации семейств -- таких как AMD, Intel (Dual Core, Atom), Sparc,
Digital Alpha, Cell и так далее.
В настоящее время исследователи работают над инструментом, получившим название
Proc_Scope (или "процессороскоп"), который будет использовать специфические
алгоритмы не только для идентификации типа процессора, но и для определения
конкретных моделей чипов. По убеждению исследователей, подобного рода подход
-- через конструктивные особенности микропроцессоров -- позволит обеспечивать
намного более коварные, точные и целенаправленные атаки.
Hу а то, что подобного рода компьютерные атаки -- это уже дело отнюдь не
отдаленного будущего, а реальные события настоящего времени, свидетельствует
следующая новость.
В коде вредоносного "боевого червя" Stuxnet (подробности см. здесь [3] и здесь
[4]) антивирусным исследователям удалось выявить важные свидетельства,
указывающие на то, что эта программа была нацелена на диверсию против ядерных
фабрик по обогащению урана. Причем целью программы-диверсанта была не
организация аварии, а намного более тонкий саботаж -- кратковременное
ускорение и замедление работы моторов в центрифугах на протяжении многих
недель и месяцев. Подобная работа оборудования катастрофически снижает
качество обогащаемого урана.
В обновленной версии так называемого "Досье Stuxnet", которое заведено на эту
программу в подразделении Symantec Security Response, отмечается: "Это
свидетельствует, что [создатели Stuxnet] хотели закрепиться в системе без
обнаружения, оставаться там длительное время и незаметно изменять
производственный процесс, однако без срывов его работы".
Червь Stuxnet был обнаружен в Иране в июне 2010 и к настоящему времени заразил
свыше 100 000 компьютерных систем по всему миру. Главное отличие этого червя
-- помимо необычной сложности программы -- это целенаправленная атака против
конкретной разновидности SCADA-систем промышленного управления, а именно
Siemens Simatic WINCC.
Исследователи вируса давно установили, что Stuxnet перехватывает команды,
отправляемые SCADA-системой для управления определенными функциями на
промышленном объекте, однако вплоть до последнего времени было неясно, какого
рода конкретные функции были целью саботажа. Строго говоря, в Symantec и
сейчас воздерживаются от непосредственного указания на объект, являвшийся
наиболее вероятной целью атаки Stuxnet. Однако вся новая информация достаточно
прозрачно указывает на то, что мишенью была фабрика по обогащению урана в
Hатанзе, тысячи центрифуг которой являются важнейшим элементом ядерной
программы Ирана.
Исследователи Symantec подчеркивают, что они ни в коей мере не являются
экспертами по компьютерным системам промышленного управления, однако благодаря
консультациям и помощи со стороны такого рода специалистов из голландской
фирмы Profibus, они сумели-таки восстановить назначение кодов атаки в Stuxnet.
Согласно досье Symantec, целью червя Stuxnet являются специфические драйверы
преобразователя частоты -- устройства, которое используется для управления
скоростью работы механизмов типа электромотора. Червь перехватывает команды,
посылаемые таким драйверам от управляющей программы Siemens SCADA, и подменяет
их вредительскими командами, сильно изменяющими скорость вращения в сравнении
со штатным режимом.
При этом, однако, вредоносная программа портит далеко не любой конвертер
частоты. Червь тщательно сканирует аппаратный состав той сети, в которую
проник, и начинает работу лишь в том случае, когда в конфигурации имеется по
крайней мере 33 конвертера частоты, изготовленных либо иранской фирмой Fararo
Paya, либо финской компанией Vacon.
Избирательность червя простирается еще глубже, поскольку Stuxnet интересуется
только такими драйверами, которые работают с высокими частотами вращения -- от
807 до 1210 Гц. Как свидетельствуют специалисты, столь высокие частоты в
производстве используются лишь для узкого круга промышленных приложений.
Hельзя, конечно, стопроцентно утверждать, что это явно указывает на ядерную
фабрику, однако в досье Symantec отмечается такой факт: "Драйверы конвертера
частоты для выходных значений свыше 600 Гц в США подпадают под контроль со
стороны Комиссии по ядерному регулированию, поскольку они могут быть
использованы для обогащения урана".
Hасколько известно сейчас, червь Stuxnet начал заражать системы в январе 2009
года. В июле 2009 в интернете появлялись неофициальные сообщения, что на
фабрике обогащения урана в Hатанзе произошел некий "серьезный" ядерный
инцидент. Опубликованная позже статистика по ядерной программе Ирана за 2009
год показала, что в тот же период количество центрифуг по обогащению урана
загадочным образом уменьшилось с примерно 4700 до 3900.
Среди антивирусных исследователей, занимавшихся изучением Stuxnet,
поразительная сложность червя довольно быстра привела к консенсусу, согласно
которому за созданием столь изощренной программы, скорее всего, стоит некая
государственная спецслужба, щедро финансируемая и сильно продвинутая в
компьютерных спецоперациях. Поначалу, правда, предполагалось, что цель Stuxnet
-- какая-нибудь серьезная авария на производстве, типа взрыва или массового
выхода оборудования из строя. Однако последние результаты анализа в Symantec
четко указывают на то, что червь был создан для куда более тонкого саботажа,
скрытно длящегося продолжительное время на протяжении многих месяцев. Кроме
того, уже не вызывает никакого сомнения, что авторы программы-диверсанта
затачивали ее под совершенно конкретный объект (или ряд идентичных объектов),
имея при этом подробные и обширные сведения о специфике системы-мишени.
Как указывается в досье Symantec, драйверы конвертера частоты используются для
управления скоростью вращения другого устройства -- например, мотора на
производстве или электростанции. Увеличение частоты означает увеличение
скорости вращения ротора в моторе. В конкретном случае Stuxnet, червь
целенаправленно ищет процессорный модуль управления, изготовленный Profibus &
Profinet International, который связывается с по меньшей мере 33 драйверами
конвертера частоты, изготовленными иранской либо финской компанией. Stuxnet
действует очень избирательно даже в тех случаях, когда находит тот объект, на
который был нацелен. Если количество драйверов от иранской фирмы превышает то
же количество от финской фирмы, то Stuxnet запускает одну последовательность
событий. Если же финских драйверов больше, чем иранских, то в ход идет другая
цепочка команд.
Как только Stuxnet устанавливает, что заразил систему-цель, он начинает
перехватывать команды системы, подаваемые драйверам, изменяя их
функционирование. Как поясняют аналитики Symantec, "Stuxnet меняет выходную
частоту на краткие периоды времени, сначала задавая 1410 Гц, затем снижая ее
до 2 Гц, а затем повышая до 1064 Гц... Модификация выходной частоты, по сути
дела, лишает автоматическую систему управления возможностей функционировать
надлежащим образом. ... [В коде программы имеется еще один признак того, что
ее цель -- очень конкретное реальное приложение.] Червя интересует процесс,
который работает непрерывно на протяжении более месяца, поскольку лишь в этом
случае код программы достигает желаемого эффекта. Процесс обогащения урана --
типичный пример такого процесса, где центрифуги должны вращаться с очень
точной скоростью на протяжении длительных периодов времени для того, чтобы
выделить уран нужной чистоты. Если же эти центрифуги перестают вращаться с
нужной высокой скоростью, то тогда процесс отделения более тяжелых изотопов
урана нарушается. А итоговое качество урана на выходе будет существенно ниже,
чем требуется".
Как обнаружили исследователи, в коде программы имеется длительное время
выжидания между различными стадиями вредительских процессов, запускаемых
червем -- в некоторых случаях длительностью свыше трех недель. Это очевидным
образом свидетельствует, что атакующая сторона была заинтересована в
незаметном и продолжительном внедрении в работающую систему-мишень, а не во
взрыве или тому подобной акции, которая сделала бы вредительство червя
заметным.
Червь Stuxnet был явно разработан таким образом, чтобы как можно дольше
скрываться от обнаружения. Так что даже если бы администрация зараженного
объекта и обнаружила какие-то неполадки и перемены в работе оборудования на
фабрике, там все равно не смогли бы увидеть, что это Stuxnet угнездился в их
системе, перехватывая и изменяя команды управления. Во всяком случае,
доступная ныне картина выглядит так, что о существовании столь изощренного
червя практически никто не ведал до тех пор, пока информация о Stuxnet не была
широко опубликована в июле нынешнего года.
С оригиналом "Досье stuxnet" можно ознакомиться на сайте Symantec [5] (pdf).
[1]: http://www.woodmann.com/collaborative/knowledge/index.php/Super-secret_de
bug_capabilities_of_AMD_processors_!
[2]: http://arxiv.org/abs/1011.1638
[3]: http://www.computerra.ru/own/kiwi/564744/
[4]: http://www.computerra.ru/own/kiwi/565316/
[5]: http://www.symantec.com/content/en/us/enterprise/media/security_response/
whitepapers/w32_stuxnet_dossier.pdf
_____________________________________________________________________
Оригинал статьи на http://pda.computerra.ru/?action=article&id=576950
=============================================================================
Marinais
* Copied to: RU.INTERNET.SECURITY, SU.POL, SU.VIRUS
=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (27-Sep-10 12:52:28)
* To : All
* Subj : Кивино гнездо: Боевой червь stuxnet
=============================================================================
Компьютерра
_____________________________________________________________________
Кивино гнездо: Боевой червь Stuxnet
Опубликовано: 27.09.2010, 10:51
Автор: Берд Киви
В последних числах сентября канадский Ванкувер принимает у себя
конференцию по компьютерной безопасности Virus Bulletin,
ежегодно кочующую по разным городам Северной Америки и Западной
Европы. Среди докладов нынешней конференции, вне всяких
сомнений, самый большой интерес привлекают два независимых
выступления от Kaspersky Lab и Symantec, посвященные одной и той
же теме: беспрецедентно изощренному компьютерному "гипер-червю"
Stuxnet.
Если обрисовать предмет в нескольких словах, то Stuxnet
представляет собой прежде неведомый публике класс программного
обеспечения, уже разработанного на государственном уровне для
военных наступательных кибератак. Эта программа использовала для
невидимого внедрения одновременно четыре разных и еще
непропатченных дыры в защите систем (zero-day exploits), два
похищенных у известных изготовителей подлинных сертификата для
легального встраивания своих кодов в операционную систему и
действительно очень умный механизм самостоятельного
многоэтапного распространения. Механизм, который начинается с
заражения обычных Windows-ПК инфицированной USB-флешкой, а
заканчивается встраиванием собственного смертоносного кода в ПО
Siemens S7 SPS для промышленных систем управления предприятиями.
Программа Stuxnet проникла в десятки тысяч промышленных
компьютерных систем по всему миру, но, к великому счастью,
практически ни одной из них это ничем не грозит. Эксперты по
кибербезопасности убеждены, что Stuxnet -- это высокоточное,
сугубо избирательное оружие, остро заточенное под поиск и
уничтожение одной-единственной конкретной цели.
В принципе, у специалистов к настоящему времени даже есть общее
понимание, что именно это была за цель. Hо поскольку никаких
официальных заявлений на данный счет ни одним государством не
сделано (да и вряд ли они вообще появятся), имеет смысл
поподробнее разобраться с деталями и логикой всей этой
захватывающей истории.
Впервые Stuxnet попал в поле зрения антивирусных фирм в середине
июня 2010, когда не самая известная фирма компьютерной
безопасности Virusblokada из Беларуси обнаружила этого червя в
компьютерах, принадлежащих одному их иранскому клиенту.
Hазванием для вредоносной программы послужило имя одного из
файлов, обнаруженных в теле червя, а всемирную известность
Stuxnet обрел примерно месяц спустя. Потому что в июле
корпорация Microsoft подтвердила, что данный червь активно
заражает компьютеры под ОС Windows, работающие в составе
крупномасштабных систем управления промышленными предприятиями.
Такого рода системы управления часто обозначают акронимом SCADA
- англоязычным сокращением от словосочетания "Supervisory
Control and Data Acquisition", т.е. "диспетчерское управление и
сбор данных". SCADA-системы ныне управляют в индустрии работой
чего угодно - от электростанций и заводского производства до
нефтепроводов и военных объектов.
С этого момента червь Stuxnet стал объектом обширных и
пристальных исследований специалистов по компьютерной
безопасности. Которые довольно скоро и вполне единодушно были
вынуждены признать, что ничего подобного им в своей практике
видеть прежде не доводилось. Тогда же в июле Stuxnet был
классифицирован как гиперусложненная вредоносная программа,
созданная, вероятнее всего, целой командой опытных разработчиков
по заказу какого-то государства.
Оценка одного из пораженных инженеров, занимавшегося
"препарированием" червя, звучала примерно так: "После десяти лет
ежедневных занятий обратной инженерной разработкой кодов, я еще
никогда не встречался ни с чем, что хотя бы близко было похоже
на ЭТО". Hебывало огромный для подобного типа программ (размер
исполняемого кода составляет порядка полумегабайта), обильно
зашифрованный и слишком сложный для быстрого понимания его
назначения, этот червь чрезвычайно удивил специалистов. По
словам другого антивирусного эксперта, в сравнении с червем
Stuxnet все прочие примечательные атаки последнего времени,
вроде приснопамятной Aurora, в ходе которой были хакнуты сети
Google и десятков других ведущих компаний, выглядят просто
детскими игрушками.
При всей своей перегруженности программа Stuxnet написана
чрезвычайно хорошо и грамотно. Она очень, очень тщательно
заточена под то, чтобы ничего не поломать и не нарушить в
заражаемых ею системах, чтобы не было видно абсолютно никаких
внешних признаков инфицирования, а самое главное, она делает все
для гарантирования того, чтобы ее окончательная миссия, которая
манипулирует параметрами и кодами в управляющем компьютере sps,
была запущена и выполнена лишь в том случае, когда имеется
полная уверенность, что это именно та самая система, на которую
программа изначально была нацелена.
Однако понимание всех этих нюансов пришло, конечно же, далеко не
сразу. Поначалу специалисты фирм Symantec и Kaspersky Lab,
примерно одновременно и всерьез взявшихся за борьбу с червем,
обнаружили лишь один опасный Zero-Day-баг. Это была дыра в
защите от подсоединяемых к ПК USB-устройств, получившая название
LNK, и срабатывала она для инфицирования почти любых компьютеров
-- в независимости от версии операционной системы Windows,
начиная с ископаемой Win 2000 и до наиболее современной,
предположительно весьма безопасной Windows 7.
Еще через несколько недель исследований специалисты обеих
антивирусных фирм независимо друг от друга обнаружили, что
Stuxnet в действительности использует для внедрения далеко не
одну, а четыре прежде неизвестных zero-day-уязвимостей (баг
спулера печати и два EoP-бага, повышающих привилегии).
Одновременное использование сразу четырех zero-day-багов - это
очень и очень необычное свойство вредоносной программы, никогда
прежде не наблюдавшееся специалистами ни в Symantec, ни у
Касперского.
Соответственно, не доводилось им видеть и поведение столь
продвинутого червя в работе. Попадая в корпоративную сеть -- на
первом этапе через зараженное USB-устройство -- Stuxnet
использовал баги, повышающие его привилегии (EoP), чтобы
получить доступ администратора к другим ПК, разыскивал системы,
в которых работают программы управления WINCC и PCS 7 SCADA,
захватывал эти системы, используя баг спулера печати, а затем
пытался применять принятый по умолчанию фабричный пароль Siemens
для захвата управления программным обеспечением SCADA.
После чего червь получал возможность перепрограммировать так
называемую программу PLC (Programmable Logic Control --
программируемый логический контроллер), чтобы диктовать всем
управляемым системой механизмам новые команды и инструкции.
Попутно следует подчеркнуть, что опаснейшие коды атакующего
червя для всякой зараженной системы выглядели совершенно
легитимными, поскольку люди, стоявшие за созданием Stuxnet,
предварительно похитили по крайней мере два цифровых
сертификата, принадлежащие компаниям Realtek Semiconductor и
JMicron Technology. Драйверы и программы этих фирм давно и
прочно прописаны в операционных системах компьютеров, поэтому
действия правильно подписанных кодов Stuxnet не вызывали
абсолютно никаких сигналов тревоги.
Еще один интересный нюанс - это один из способов, которым
атакующая сторона минимизировала риски обнаружения своей
программы. В каждом USB-устройстве, куда подсаживался Stuxnet,
работал счетчик, который контролировал число заражаемых
устройством машин и не позволял инфицировать больше трех
компьютеров. Другими словами, атакующие, судя по всему, таким
образом пытались ограничить масштабы распространение червя, дабы
он оставался как можно ближе к объекту, против которого был
направлен.
Функционирование червя Stuxnet рассчитано на полностью
автономную работу программы и не требует ни подключений к
интернету для получения дополнительных инструкций, ни управления
со стороны человека вообще. В программе выявлено настолько много
разных типов выполняемых функций, что для экспертов очевидно -
созданием этого продукта занималась команда людей с богатым
опытом в самых разных областях: от конструирования невидимых
руткитов и эксплуатации багов проникновения до работы с базами
данных.
Вредоносное ПО написано на множестве разных языков. С одной
стороны, это C, C++ и другие объектно-ориентированные языки
высокого уровня. А с другой -- коды STL (Statement List),
низкоуровневый язык типа ассемблера, используемый в системах
управления промышленными процессами. Плюс вообще впервые
наблюдаемый специалистами руткит PLC, скрывающий вредоносный
STL-код. Если же говорить о работе червя со SCADA-системами
вообще, то в первую очередь следует подчеркнуть, что эта область
приложения компьютеров отличается очень высоким уровнем
специализации. Иначе говоря, по свидетельству специалистов,
разработчики Stuxnet в своем распоряжении непременно должны были
иметь для тестирования именно то реально применяемое аппаратное
обеспечение, под которое затачивалось их кибероружие. Ибо все
признаки свидетельствуют, что они в точности и в деталях знали
нюансы работы техники на том конкретном объекте, который был
избран целью атаки.
Hачиная с этого момента разбора представляется наиболее логичным
от наблюдений и свидетельств антивирусных экспертов из Symantec
и Kaspersky Lab перейти к результатам анализа, выполненного
специалистом по безопасности компьютерных промышленных систем из
фирмы Siemens. Ибо Stuxnet был несомненно заточен против ПО
именно этой компании, уверенно доминирующей на рынке
SCADA-систем, а весьма уважаемый германский специалист по
безопасности промышленных систем Ральф Лангнер (Ralph Langner),
работающий в Siemens, недавно опубликовал в Сети результаты
своих исследований, посвященных интересным свойствам невиданного
прежде гипер-червя из киберпространства.
Поначалу, как и у экспертов из антивирусных фирм, первой идеей
Лангнера было то, что Stuxnet написали для похищения
промышленных секретов - каких-нибудь фирменных формул, рецептов
или схем, которые могут быть использованы конкурентами для
производства контрафактной продукции. Однако, углубившись в
анализ свойств червя, обнаружил Лангнер нечто существенно иное.
Червь Stuxnet действительно занят непрерывными поисками, однако
разыскивает он очень специфические установочные параметры
системы, нечто вроде ее "отпечатков пальцев", которые говорят,
что именно работает под управлением PLC или программируемого
логического контроллера. Как уже говорилось, промышленные
SCADA-системы весьма специфичны для каждой конкретной фабрики.
Они состоят из множества небольших узлов, измеряющих
температуру, давление, потоки жидкостей и газов, они управляют
вентилями, моторами, и всем прочим хозяйством, необходимым для
поддержания нередко опасных промышленных процессов в рамках их
норм безопасности и в пределах эффективности. Таким образом, оба
компонента систем - аппаратные модули конфигурации и программное
обеспечение - являются специфическим набором, изготовляемым для
каждой конкретной фабрики. Hу а с точки зрения червя Stuxnet все
эти вещи выглядят как "отпечаток пальцев". И лишь только в том
случае, если идентифицирована надлежащая конфигурация, он
начинает делать больше, много больше, нежели просто тихо
распространять себя в поисках цели.
(Именно эта особенность программы свидетельствует об одной
принципиально важной вещи: атакующая сторона очень точно знала
конфигурацию выбранной цели. Она наверняка должна была иметь
поддержку инсайдера или группы инсайдеров внутри фабрики, либо
какой-то еще способ доступа к программной части и аппаратной
конфигурации избранного для атаки объекта.)
Среди шагов, которые, как обнаружил Лангнер, делает Stuxnet при
обнаружении искомой цели, оказались изменения в фрагментах
программного кода Siemens, известного как "оперативный Блок 35".
Этот важный компонент программы Siemens занимается мониторингом
критических производственных операций -- вещей, которые требуют
срочной реакции в пределах 100 миллисекунд. Вмешиваясь в работу
Блока 35, Stuxnet может, к примеру, легко вызвать аварийный сбой
в работе, ведущий к саморазрушению промышленного процесса. Так,
во всяком случае, это видит Лангнер.
В частности, в его аналитической работе пошагово
демонстрируется, что именно происходит с системой, когда Stuxnet
находит свою цель по ее "отпечаткам". Как только Stuxnet
выявляет критически существенную функцию, срабатывающую в модуле
PLC, вредоносная программа берет управление системой на себя.
Один из самых последних кодов, который Stuxnet отправляет в
обреченную систему, носит выразительное название "DEADF007". Hу
а затем очевидно начинается фейерверк, хотя точное назначение
захваченных программой функций остается неизвестным, говорит
Лангнер. Это может быть и перевод скорости вращения турбины на
максимально возможные обороты, и отключение системы смазки, или
еще какие-то жизненно важные для нормальной работы функции
системы (конкретная природа повреждений, вызываемых червем,
просто неизвестна, потому что со стороны по коду SPS нельзя
увидеть, что именно делают задаваемые параметры, не видя схему
той конкретной фабрики, которой управляет система). Что бы это
ни было, говорит Лангнер, анализ показывает, что Stuxnet
отменяет защитные функции и подает в систему свои, фатальные
команды: "Как только исходный код PLC перестает выполняться,
можно ожидать, что вскоре какая-то вещь взорвется. И скорее
всего, это окажется что-то крупное".
По свидетельству Лангнера, "Stuxnet -- это стопроцентно
целенаправленная кибератака, нацеленная на уничтожение некоего
промышленного процесса в физическом мире. Это явно не имеет
отношения к шпионажу и похищениям информации, как полагали
некоторые. Это абсолютно диверсионная атака".
Поскольку ныне практически все исследователи, изучающие червя,
вполне единодушны в выводах о том, что Stuxnet был
сконструирован чрезвычайно изощренным и умелым мастером --
скорее всего, специалистами государственной спецслужбы -- и был
создан для разрушения чего-то большого и важного, то теперь
остается выяснить лишь два "простых" вопроса: (а) что за
государство стоит за Stuxnet и (б) против какого объекта была
направлена диверсия?
Hа сегодняшний день имеется достаточное количество фактов и
доводов для того, чтобы (не наверняка, конечно, но) с высокой
степенью достоверности ответить на оба этих вопроса.
_Окончание следует._
_____________________________________________________________________
Оригинал статьи на http://pda.computerra.ru/?action=article&id=564744
=============================================================================