Историческая кибер-атака: удар Stuxnet - SPIRAL.EXPERT

Историческая кибер-атака: удар Stuxnet

Не так много есть кибератак, про которые написаны книги. Да что уж там, их вообще можно пересчитать по пальцам, и самая известная из этих книг – Countdown to zero day за авторством журналистки Ким Зеттер. Эта книга – со свойственными Ким дотошностью и тщательной проверкой всех фактов – повествует о самой примечательной кибератаке за всю их историю: о зловреде Stuxnet, который в 2009 году вывел из строя иранские центрифуги по обогащению урана, отбросив иранскую ядерную программу на несколько лет назад.

Если кратко, то ситуация сложилась вот какая: в ядерном центре в Иране вследствие компьютерного сбоя центрифуги для обогащения урана вышли за пределы разрешенных режимов работы и физически разрушились. Увеличить скорость вращения выше безопасных значений их заставили контроллеры, управляемые специальными индустриальными компьютерами Siemens PLC, не подключенными к Интернету. И виноват в этом был компьютерный червь Stuxnet.

Как зловред попал на машины, не подключенные к Сети? Как он избегал обнаружения, хотя, как выяснилось позже, когда антивирусные компании сняли сигнатуры и написали детекты, червь заразил около 200 000 машин? Почему на всех этих машинах ничего не произошло, а в Иране червь вдруг начал действовать? Как им управляли, когда компьютер, на котором червь модифицировал настройки, не был подключен к Интернету?

Отвечать на эти вопросы можно долго — что, собственно, Ким Зеттер в своей довольно толстой книжке и делает. А заодно рассказывает, как маленькая белорусская компания «ВирусБлокАда» первой обнаружила зловреда, как к расследованию подключились два антивирусных гиганта – Symantec и «Лаборатория Касперского», причем работая в режиме 24/7. Изучали они зловреда долго – и выяснили вот что.

С атрибуцией атаки, конечно, все сложно, но большинство экспертов сходится во мнении, что Stuxnet – совместное творение США и Израиля. И что создан он был именно для того, чтобы затормозить иранскую ядерную программу. Червь использовал целую пачку уязвимостей нулевого дня – то есть тех, о которых разработчики уязвимого ПО еще не в курсе, – и тщательно прятался от любых антивирусов. Распространялся он, записывая себя на съемные носители: по всей видимости, именно на флешке его и занесли на не подключенные к Сети машины.

Целью Stuxnet изначально были пять иранских организаций, все так или иначе связанные с ядерной программой. На обычных компьютерах Stuxnet не делал вообще ничего, кроме как размножался – и то ограниченно. А вот если червь понимал, что находится на SCADA-системе, на которой также установлено ПО Siemens, то он прописывал свой компонент в это ПО, перехватывая коммуникации между компьютером и управляемыми им системами. Но опять же действовал червь не в каждом таком случае, а только если к контроллерам Siemens PLC были подключены моторы с частотой вращения от 807 до 1210 об/мин, причем одного из двух конкретных производителей. Только в этом случае Stuxnet начинал делать свое черное дело – периодически повышал частоту вращения до 2000 об/мин, чего моторы не выдерживали и ломались. Именно такое оборудование с такими характеристиками и стояло в центре обогащения урана в Иране.

При этом на каждом шагу червь маскировал свои действия и препятствовал обнаружению и удалению. Интересно и то, что вокруг Stuxnet существовала дополнительная инфраструктура: для обновления компонентов были подняты два command&control-сервера – в Дании и в Малайзии. Поскольку червь попал на нужные машины далеко не сразу, по дороге он несколько раз совершенствовался и донастраивался. Но в теории Stuxnet мог спокойно обходиться и без C&C-серверов: он был рассчитан на то, чтобы действовать автономно.

Stuxnet оказался самым сложным зловредом, с которым многим антивирусным компаниям вообще доводилось сталкиваться. В мире киберугроз это было настоящее произведение искусства – очень опасное, но почти гениальное. Собственно, после появления Stuxnet люди всерьез заговорили о таком явлении, как кибероружие. И хотя многие компании, занимающиеся информационной безопасностью, стараются этот термин использовать пореже, обычно вместо этого говоря об APT (advanced persistent threats), отрицать существование кибероружия после Stuxnet стало невозможно.

1+

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *