Stuxnet это троянская программа

Содержание

Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.

SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.

SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.

Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).

Вирус stuxnet — хакерская атака на ядерную отрасль Ирана

Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.

Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.

  • слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
  • читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
  • синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).

Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.

  • Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
  • не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
  • функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
  • разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.
  • Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
  • Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
  • АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
  • участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
  • Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
  • Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.
  • производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
  • в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.
Читайте также:
Полезные программы для Андроид приставок

В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.

Как удалить вирус или троян с компьютера?

Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet — действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.

По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.

Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.

Подробные источники информации о Stuxnet:

аналитический отчет компании Symantec «W32.Stuxnet Dossier», version 1.4, February 2011, (pdf);

аналитический отчет компании Eset «Stuxnet Under the Microscope», revision 1.31, (pdf);

материал научного центра «НАУЦИЛУС» «Анализ кода Stuxnet», (pdf), который представляет собой сокращенный вариант перевода на русский язык отчета компании Symantec.

Источник: habr.com

Шпионский ярлык: история трояна Stuxnet

Середина июля была ознаменована кибератакой на промышленный сектор целых
государств. Естественно, наш журнал не мог пропустить такого события и
подготовил материал об этом инциденте.

Читайте также:
Характеристика программ и учебников по литературному чтению

Промышленный шпионаж

Досье на W32. Stuxnet Версия 1.4 (февраль 2011 г.)

11:43 31.12.2020 • Николас Фальер, Лиам О Мурчу и Эрик Чьен

Несмотря на то, что большая часть анализа кода Stuxnet уже проведена, данный червь представляет собой невероятно объемную и многогранную угрозу. Авторы намерены вносить изменения в этот документ по мере появления новой информации или её публичного раскрытия. В подготовке данной работы, которая велась последние три месяца, помимо указанных авторов участвовали многие члены команды Symantec Security Response. Без их помощи этот доклад был бы невозможен.

Введение

В последнее время код W32.Stuxnet привлекает много внимания со стороны исследователей и СМИ, и на то есть объективные причины. Stuxnet – это одна из самых сложных угроз, что мы анализировали. В этой работе мы детально изучаем код Stuxnet и его различные составляющие, при этом особый упор делается на конечную цель Stuxnet, а именно перепрограммирование систем промышленного контроля.

Stuxnet – это объемная и многогранная вредоносная программа с множеством различных компонентов и функциональных возможностей. Некоторые компоненты были нами описаны в наших блогах[1] по указанной тематике. Определенная часть информации из этих блогов приведена в этой работе, однако в рамках данного документа предлагается более всесторонний и тщательный анализ угрозы.

Stuxnet – это угроза, которая в первую очередь была написана для поражения системы промышленного контроля или ряда схожих систем. Системы промышленного контроля применяются в управлении газопроводами и электростанций.

Конечная цель – перепрограммировать системы промышленного контроля путем модификации кода в программируемых логических контроллерах (ПЛК) с тем, чтобы подчинить их воле атакующего, а также скрыть эти изменения от пользователя. Для достижения этой цели и повышения своих шансов на успех создатели Stuxnet накопили широкий арсенал компонентов. Они включают в себя эксплойты «нулевого дня» [zero-day exploits], Windows rootkit, первый rootkit ПЛК [first ever PLC rootkit], способы уклонения от антивируса, сложный код для внедрения в процесс и зацепления [complex process injection and hooking code], программы заражения сети [network infection routines], обновления точка-к-точке [peer-to-peer updates], а также интерфейсы контроля и управления [command and control interface]. Мы рассматриваем каждый элемент Stuxnet для того, чтобы детально понять, как работает эта угроза, одновременно принимая во внимание, что конечная цель угрозы – это наиболее интересный и значимый аспект.

  • Cамокопирование посредством сменных механизмов, использующих уязвимость, позволяющую автовыполнение: Microsoft Windows Shortcut “LNK/PIF” Files Automatic File Execution Vulnerability (BID 41732);
  • Распространение по сети через уязвимость в Буфере Печати Windows: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073);
  • Распространение через блок системных сообщений [SMB], используя Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874);
  • Авто-копирование и авто-выполнение на удаленных компьютерах через разделение сетей;
  • Авто-копирование и авто-выполнение на удаленных компьютерах через сервер базы данных WinCC;
  • Авто-копирование в проекты Step 7 таким образом, что он автоматически выполняется, когда проект Step 7 загружен;
  • Самообновление через механизм соединения точка-к-точке в пределах локальной вычислительной сети (ЛВС);
  • Использование в общей сложности всех четырех неисправленных уязвимостей Microsoft, две из которых выше упомянуты – для возможности самокопирования, а остальные две – это повышение скрытности уязвимостей, которые должны все же быть обнаружены;
  • Связь с сервером контроля и управления, который позволяет хакеру загружать и выполнять код, включая обновленные версии;
  • Содержит Windows rootkit, который скрывает его двоичный код;
  • Попытки обойти средства обеспечения безопасности;
  • Делает слепок определенной системы промышленного контроля и изменяет код в ПЛК Siemens, чтобы потенциально осуществить саботаж системы;
  • Скрывает измененный код на ПЛК, что по существу представляет собой rootkit для ПЛК.
Читайте также:
Как действует программа едадил

Сценарий атаки

Ниже представлен возможный сценарий атаки, который является лишь предположением, основанным на технических особенностях Stuxnet.

Системы промышленного контроля управляются специализированным кодом наподобие ассемблера на программируемых логических контроллерах (ПЛК). ПЛК часто программируются с компьютеров Windows, не подключенных к Интернету или даже к внутренней сети. Кроме того, сами системы контроля производством также вряд ли подключены к интернету.

Для начала злоумышленникам необходимо было произвести разведку. Поскольку каждый ПЛК настроен уникальным образом, атакующим в первую очередь нужны схемы системы промышленного контроля. Эти проектные документы могли быть украдены кем-либо изнутри (инсайдером) или даже могли быть получены более ранней версией Stuxnet, а также иным вредоносным двоичным кодом. После того как атакующие завладели проектными документами и потенциальными знаниями о вычислительной среде на предприятии они разработали последнюю версию Stuxnet. Каждая функция Stuxnet была придана этому коду для определенной цели, а также для реализации конечной задачи – потенциально саботировать системы промышленного контроля.

Атакующим понадобится развернуть зеркальную среду, которая бы включала необходимое оборудование системы промышленного контроля, такое как ПЛК, модули и периферийные устройства с тем, чтобы протестировать свой код. Полный цикл может занять шесть месяцев, а в разработке кода, предположительно, приняли участие от пяти до десяти основных разработчиков, не считая множество других лиц, в том числе для обеспечения качества, а также осуществления руководства.

Кроме того, их вредоносные двоичные коды содержали файлы драйверов, которые во избежание подозрений требовали цифровой подписи. Для выполнения этой задачи злоумышленники взломали два цифровых сертификата – для этого атакующим было нужно получить цифровые сертифкаты у кого-то, кто обладал допуском к территориям двух компаний и, как следствие, украл их, поскольку эти две компании находятся в непосредственной близости друг от друга.

Чтобы инфицировать свою цель, Stuxnet необходимо ввести в целевую среду. Это могло произойти путем заражения как заинтересованной, так и не осведомленной третьей стороны, вроде подрядчика, у которого был бы доступ к предприятию, или инсайдера. Первоначальное заражение могло быть произведено посредством съемного диска.

Сразу после заражения компьютера в организации Stuxnet начал распространяться в поисках программаторов Field PG, которые являются обычными компьютерами с Windows, но используются для программирования ПЛК. Поскольку большинство этих компьютеров не подключены к сети, Stuxnet сначала попытается распространиться на другие компьютеры в локальной сети через уязвимость нулевого дня, уязвимость двухлетней давности, путем заражения проектов Step 7, а также через съемные диски. Распространение через локальную сеть, вероятно, служило первым шагом, а распространение через съемные диски – способом совершить последний скачок к Field PG, который никогда не подключается к ненадежной сети.

Хотя злоумышленники могли контролировать Stuxnet с помощью сервера управления и контроля, как упоминалось ранее, ключевой компьютер вряд ли имел исходящий доступ в Интернет. Таким образом, все технические возможности, необходимые для саботажа системы, былы встроены непосредственно в исполняемый файл Stuxnet. Обновления этого исполняемого файла будут распространяться по всему объекту посредством метода точка-к-точке, который устанавливает Stuxnet.

Когда Stuxnet наконец нашел подходящий компьютер, выполнявший Step 7, он изменил код на ПЛК. Эти модификации, вероятно, саботировали систему, которая, исходя из тех больших ресурсов, что были вложены в создание Stuxnet, рассматривалась как важная цель.

Жертвы, которые пытаются определить источник проблемы, не видят никакого мошеннического кода ПЛК, поскольку Stuxnet скрывает свои модификации.

Хотя их выбор в пользу методов самовоспроизведения мог быть продиктован необходимостью гарантировать, что подходящий Field PG будет найдет, эти методы также нанесли заметный побочный ущерб, заразив машины за пределами целевой организации. Нельзя исключать и того, что данный ход расценивался злоумышленниками как необходимый элемент для эффективного достижения намеченной цели. Кроме того, атакующие, вероятно, успели завершить свою первоначальную атаку до того, как их обнаружили.

Хронология

Дата

Событие

Источник: interaffairs.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru