Название угрозы
Имя исполняемого файла:
Тип угрозы:
Поражаемые ОС:
Stuxnet Virus
(random).exe
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения Stuxnet Virus
Stuxnet Virus копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe . Потом он создаёт ключ автозагрузки в реестре с именем Stuxnet Virus и значением (random).exe . Вы также можете найти его в списке процессов с именем (random).exe или Stuxnet Virus .
Если у вас есть дополнительные вопросы касательно Stuxnet Virus, пожалуйста, заполните и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Stuxnet Virus and (random).exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Stuxnet Virus в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Stuxnet Virus от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Stuxnet Virus .. Утилита для удаления Stuxnet Virus найдет и полностью удалит Stuxnet Virus и все проблемы связанные с вирусом Stuxnet Virus. Быстрая, легкая в использовании утилита для удаления Stuxnet Virus защитит ваш компьютер от угрозы Stuxnet Virus которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Stuxnet Virus сканирует ваши жесткие диски и реестр и удаляет любое проявление Stuxnet Virus. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Stuxnet Virus. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Stuxnet Virus и (random).exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Stuxnet Virus.
Удаляет все записи реестра, созданные Stuxnet Virus.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Stuxnet Virus и удалить Stuxnet Virus прямо сейчас!
Оставьте подробное описание вашей проблемы с Stuxnet Virus в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Stuxnet Virus. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Stuxnet Virus.
Как удалить Stuxnet Virus вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Stuxnet Virus, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Stuxnet Virus .
Чтобы избавиться от Stuxnet Virus , вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.
4. Сбросить настройки браузеров
Stuxnet Virus иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Stuxnet Virus. Для сброса настроек браузеров вручную используйте данную инструкцию:
Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".
Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: Сбросить настройки браузеров в Инструменты
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .
В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .
Запустите Google Chrome и будет создан новый файл Default .
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Для Mozilla Firefox
Откройте Firefox
В меню выберите Помощь > Информация для решения проблем .
Кликните кнопку Сбросить Firefox .
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.
Описание
9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:
- Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
- для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
- несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
- для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
- Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
- присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
- необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.
Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.
SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.
SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.
Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).
Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.
Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.
Код Stuxnet в ПЛК позволяет:
- слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
- читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
- синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).
Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.
Выводы
Указанные факты позволяют сделать следующие выводы:
- Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
- не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
- функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
- разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.
Версии
Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:
- Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
- Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
- АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
- участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
- Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
- Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.
- производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
- в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.
В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.
Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet - действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.
По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.
Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.
Подробные источники информации о Stuxnet:
Аналитический отчет компании Symantec
В апреле 2017 года хакерская группа Shadow Brokers опубликовала новую порцию инструментов Equation Group - группировки, которая, как считается, связана с Агентством национальной безопасности США и осуществляла многочисленные кибероперации в его интересах.
Эксперт Symantec Лайам О"Мерху (Liam O"Murchu), проводивший анализ последней выгрузки от Shadow Brokers, заявил, что найденный там эксплойт разрабатывался для файлов MOF в среде Windows.
По мнению О"Мерху, между этим эксплойтом и тем, который использовал Stuxnet, имеется "тесная связь", хотя доказать, что это действительно "тот самый" эксплойт, сейчас не представляется возможным.
Есть некоторая вероятность, что в набор инструментов, опубликованных Shadow Brokers, этот эксплойт попал уже после того, как информация о существовании Stuxnet стала общественным достоянием. В частности, этот эксплойт попал в набор Metasploit в конце 2010 года.
Однако, как утверждает О"Мерху, инструмент для создания MOF-файлов, содержащийся в архиве инструментов Equation, датирован 9 сентября 2010 года; к тому моменту о Stuxnet было известно уже несколько месяцев, однако его ключевой эксплойт еще не успел попасть в Metasploit.
Другой исследователь, Кевин Бомон (Kevin Beaumont), также написал об обнаружении эксплойта Stuxnet. В свою очередь, редактор издания VICE Motherboard Лоренцо Франчески-Биккьераи (Lorenzo Franceschi-Bicchierai) отметил, что антивирус Avast Антивирус детектирует эксплойты из выгрузки Shadow Brokers как Stuxnet - сигнатуры полностью совпадают.
По словам Биккьераи, инструмент создания MOF-файлов Stuxnet, выгруженный Shadow Brokers, возможно, является самым ранним техническим свидетельством тому, что именно хакеры и программисты АНБ создали Stuxnet, как многие подозревают.
Стоит добавить, что в последней выгрузке Shadow Brokers обнаружились многочисленные свидетельства попытки Equation Group получить несанкционированный доступ к межбанковской системе SWIFT , и свидетельства тому, что хакеры взломали как минимум одно из крупнейших сервисных бюро SWIFT - компанию EastNets. В самой компании EastNets это опровергают, хотя и не слишком убедительно.
2015: Kaspersky Labs: Stuxnet создан структурой АНБ Equation Group
Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group. О существовании этой группы в 2015 году рассказали российские эксперты по безопасности Kaspersky Labs. По их данным, Equation Group контролировала создание «червей» Stuxnet и Flame, а также причастна к не менее чем 500 взломам в 42 странах мира. Объектами взломов Equation Group часто были государственные структуры. Существует мнение, что эта хакерская группа напрямую связана с АНБ и действует в интересах властей США.
2012: Атаки Stuxnet на Иран проводились по приказу Обамы
В статье, опубликованной в газете The New York Times (июнь 2012 г), утверждается, что кибератаки червя Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и были призваны замедлить реализацию иранской ядерной программы.
Авторы статьи утверждают, что Обама выражал озабоченность тем, что программа Stuxnet, разрабатывавшаяся под кодовым наименованием «Олимпийские игры», побудит другие страны, террористов и хакеров заняться созданием аналогичных средств, но пришел к выводу, что у США нет иных вариантов действий по отношению к Ирану. Цель атаки заключалась в том, чтобы получить доступ к системе управления промышленного компьютера на иранском ядерном предприятии в Натанзе. Червь Stuxnet был разработан специалистами Агентства национальной безопасности США и секретного израильского киберподразделения.
Цитируя анонимные источники, корреспонденты газеты сообщили, что в начале своего президентского срока Обама распорядился ускорить проектирование кибероружия, которое начало разрабатываться еще при администрации Джорджа Буша.
По мнению экспертов, атаки подобного рода приведут к гонке кибервооружений. «Сообщения о том, что за Stuxnet стоят США и Израиль, не могут не вызывать тревогу, – отметил Гарри Свердлав, технический директор компании Bit9, специализирующейся на поставках средств обеспечения безопасности в Интернете. – Страны, которые прежде не задумывались о создании своей программы кибервооружений, теперь тоже вынуждены принять участие в этой игре».
В статье говорится, что Обама распорядился остановить атаку, после того как Stuxnet начал заражать другие компьютеры, но при этом работа над программой продолжается. Авторы статьи побеседовали с представителями США, Израиля и европейских стран, имеющими отношение к программе подготовки и совершения кибератаки.
Пресс-служба Белого дома отказалась комментировать публикацию в New York Times.
Снорре Фагерланд, старший вирусный аналитик норвежской компании Norman, не удивлен сообщениями о том, что за атаками Stuxnet стоят спецслужбы США и Израиля. По своим масштабам данный червь гораздо сложнее и изощреннее, чем те, с которыми мы встречались ранее, а создание таких вредоносных программ требует очень серьезных ресурсов.
«Судя по всему, в работе над Stuxnet принимали участие от 10 до 20 человек, – добавил Фагерланд. – Сами сообщения о причастности к этому США могут породить волну других кибератак. Многие страны захотят опробовать свое наступательное кибероружие. Ставки растут. Другие государства, вдохновленные примером первопроходцев, подумывают о том, чтобы заняться реализацией аналогичных программ».
Но даже если у других стран имеется собственное наступательное кибервооружение, по уровню организации они скорее всего уступают создателям Stuxnet.
«Разработать червь Stuxnet было невероятно сложно, а вот скопировать его, после того как он стал достоянием общественности, не составит никакого труда, – заметил Свердлав. – Недавно иранские компьютеры были атакованы червем Flame, который по своим размерам в 40 раз превосходит оригинальный Stuxnet. Таким образом, планка поднимается все выше и выше».
2011: МИД РФ обвинил США и Израиль в развязывании кибервойны
Летом 2010 года главной темой для обсуждения среди всех мировых специалистов в области информационной безопасности стала новость о первой в мире реализованной вирусной атаке на программируемые логические контроллеры. Целью новейшего вируса Stuxnet стало заражение не столько программного обеспечения, сколько аппаратной части системы.
В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. К середине октября червь уже начал инфицировать промышленные системы Китая, где, по оценкам внутренних специалистов, было заражено около 1000 предприятий. Общее число заражённых компьютеров приблизилось к 6 миллионам, что нанесло серьёзный удар по национальной безопасности страны.
Выход из строя столь большого количества центрифуг заставил задуматься - а не является ли это следствием какой-то диверсии спланированной при помощи недавно появившегося компьютерного вируса Stuxnet - который именно в Иране получил довольно большое распространение по сравнению с другими государствами, что может служить доказательством того, что разработчики вируса метили именно в Иран. И, как получается, непосредственно в завод по обогащению урана, используя известные уязвимости его операционной системы и пресловутый «человеческий фактор».
Но заказчик - неизвестен, гипотетический исполнитель - якобы сотрудник концерна «Сименс» (Siemens), вставивший инфицированный флеш-накопитель в управляющую систему производства. Ущерб же, причиненный ядерной программе Ирана, в данном случае сопоставим с ущербом от пресловутого удара израильских ВВС в 1981 году, как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия.
Как свидетельствуют результаты проведенного расследования, именно кибернетические атаки как раз и могут стать идеальным инструментом столь масштабного повреждения оборудования - они стремительны, высокоэффективны в своей разрушительности и, в то же время, абсолютно анонимны
При этом следует отметить, что вирус Stuxnet атакует на уровне логических контроллеров (контроллеры - компьютеры, занимающиеся управлением крупных производственных и энергетических комплексов), заражая программную основу системы. В списке его целей - преобразователи частотно регулируемых приводов (VFD). Среди обнаруженных в теле вируса активируемых частот есть и такие, которые могут влиять на электронное оборудование иранских центрифуг IR-1. Хотя само по себе это обстоятельство еще ничего не значит.
Чего на самом деле добивались разработчики вируса, неизвестно. Если они ставили перед собой именно задачу физического разрушения центрифуг, то их план не сработал, так как вирус Stuxnet этого не обеспечил. Но если они намеревались повредить те или иные узлы центрифуг или вывести их из строя на длительное время, то, возможно, они даже преуспели, так как нанесенный вирусом урон оказался внезапным и весьма ощутимым. Следует отметить, что когда персонал осознал, что с работой центрифуг происходит что-то неладное и отключил подачу на них электроэнергии, - было уже поздно, а обстановка в цеху напоминала последствия террористического акта, связанного с применением множества взрывных устройств одновременно.
Официально Иран не признал, что завод оказался под ударом компьютерного вируса. Однако на самом высшем уровне подтверждается, что кибератаки на его ядерные объекты ведутся. Так, в конце ноября 2010 г. президент Махмуд Ахмадинежад заявил, что у «ограниченного числа центрифуг» возникли проблемы с программным обеспечением в электронике.
В то же время Глава организации по атомной энергии Ирана доктор Али Акбар Салехи обозначил дату, когда вирус Stuxnet появился на иранских ядерных объектах, - это середина 2009 года. Следовательно, время, которое потребовалось вредоносному вирусу на прохождение пути от первых зараженных персональных компьютеров до заводских цехов составляет более одного года.
При этом в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе. И до этого данная довольно устаревшая модель центрифуг часто выходила из строя (порядка 10 % ежегодно), но замена столь большой партии, как в 2010 г., заставила задуматься, начать расследование и глубокое научное изучение этого вопроса.
Разумеется, завод по обогащению урана - это закрытое предприятие с ограниченным доступом, высоким уровнем режима секретности системы управления и контроля и не соединен с Интернетом. По оценкам специалистов, добраться до управляющих компьютеров вирус мог только через персональные компьютеры специалистов завода - сначала заразив их домашние компьютеры, или через компьютеры людей, как-то связанных с заводом, а потом уже посредством их флешек вирус мог попасть на компьютеры систем управления.
Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры кибернетических войн. Над разгадкой тайны вируса Stuxnet, поразившего завод по обогащению урана Ирана, бьются специалисты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Следует отметить, что вирус Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал только в конце сентября 2010 г.
По вполне понятным и логичным причинам разработчики вируса Stuxnet предпочитают держаться в тени. Однако специалисты акцентируют внимание на том, что совершенно очевидно, - сложность этого вируса можно назвать беспрецедентной, а создание подобного проекта требует огромных интеллектуальных и финансовых инвестиций, а значит, под силу лишь структурам государственного масштаба. Эксперты сходятся во мнении, что этот вирус не является плодом усилий просто «группы энтузиастов». Лоран Эсло, руководитель отдела систем безопасности фирмы Symantec, предполагает, что над созданием вируса Stuxnet работали как минимум до 10 человек на протяжении шести-девяти месяцев. Франк Ригер, технический директор GSMK, поддерживает своего коллегу: по его словам, вирус создавала команда опытных программистов, а разработка заняла около полугода. Ригер называет и ориентировочную стоимость создания вируса Stuxnet: она составляет не менее $ 3 млн. О диверсионном предназначении вируса говорит Евгений Касперский, генеральный директор «Лаборатории Касперского»: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы и в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Тильман Вернер, участник содружества специалистов в области интернет-безопасности, уверен: хакеры-одиночки на такое не способны.
«Stuxnet настолько совершенен с технической точки зрения, что следует исходить из того, что в разработке вредоносной программы принимали участие специалисты из госструктур или что они, по крайней мере, оказывали какую-то значимую помощь в ее создании», - утверждает Вернер.
Специалисты отмечают, что вирус Stuxnet проникает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флешкой. С этого момента инфицированный компьютер сам становится источником заразы.
А «червь» внутри него (у вируса Stuxnet отмечают шесть различных способов проникновения и закрепления в операционной системе компьютера) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Вирус Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно нормально по отношению к поглотившей его системе, никак не вредит ни ей самой, ни ее партнерам, пока не наткнется на признаки цели, для охоты на которую он создан, - программы управления производством концерна «Сименс». И тогда он превращается в жестокого хищника-разрушителя.
Специализация вируса Stuxnet - это компьютерные программы крупномасштабных систем управления промышленными предприятиями SCADA (Supervisory Control and Data Acquisition), т. е. «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте- и газопроводов, военных заводов, предприятий гражданской инфраструктуры и т. п.
Вирус Stuxnet, обладая необходимыми исходными возможностями системного администратора и зная уязвимые места операционной системы, которые не знает, кроме него и его создателей, никто, поднимает себя в сложившейся управленческой иерархии до уровня инициирования команд, фактически захватывает власть в системе и переадресует ее на выполнение собственной разрушительной цели.
Первым делом он меняет компьютеру «голову» и перепрограммирует программу PLC (Programmable Logic Controler - программируемый логический контроллер), отвечающую за логику. И начинает сам отдавать команды.
По мнению специалиста по промышленной безопасности в концерне «Сименс» Ральфа Лангнера, вирус Stuxnet может изменить параметры работы «оперативного блока 35», ведущего мониторинг критических производственных ситуаций, требующих срочной реакции в 100 миллисекунд. Если так, озверевшему «червю» ничего не стоит привести систему к разрушительной аварии.
Взяв управление на себя, вирус Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он диверсант. Как только исходный код PLC перестает выполняться, утверждает Ральф Лангнер, можно ожидать, что вскоре какое-то звено взорвется, разрушится. И, скорее всего, это окажется что-то важное.
Эксперты сходятся во мнении, что разработка и внедрение такого сложного вируса - задача непосильная ни хакеру, ни группе хакеров, ни какой-либо частной структуре. Это явно дело рук государства. Только государство могло себе позволить запустить такого дорогостоящего «червя», тем самым фактически рассекретив его, только ради крайне важной для него цели и только потому, что не могло больше ждать.
В связи с этим тот же Ральф Лангнер высказывает логичное предположение, что вирус Stuxnet уже, скорее всего, сделал свое дело. Все же «червь», хоть явно и не шпионская программа, но кое-какую информацию дает, в том числе для широкой публики, хотя бы самим фактом своего существования.
Проблемы концерна «Сименс»
Широко известным фактом является то, что Бушерскую АЭС построили специалисты российского «Атомстройэкспорта» по российским технологиям и с использованием компьютерных систем управления производством концерна «Сименс».
Следует отметить, что, по оценке специалистов, вирус Stuxnet поражает лишь конкретный тип контроллеров концерна «Сименс», а именно SIMATIC S7, который, по сведениям МАГАТЭ (Международное агентство по атомной энергии), используется Ираном. При этом порядка 60 % компьютеров, зараженных вирусом Stuxnet, находится в Иране, а остальные 40 % - в странах, так или иначе связанных с ним: Индонезии, Индии и Пакистане.
Важной деталью рассматриваемого вопроса является то, что именно концерн «Сименс» принимал активное участие в 70-х гг. прошлого века в обеспечении высокотехнологическим оборудованием ядерной программы Ирана. После победы исламской революции концерн прекратил работу в стране, но затем немцы вернулись, и Иран стал для них одним из крупнейших заказчиков специфического оборудования. Однако после введения международных санкций, с большой неохотой и под жестким давлением правительства Германии, концерн «Сименс» объявил о прекращении контрактов с Ираном. На этот факт до сих пор ссылаются представители концерна в ответ на то и дело возникающие упреки. Однако вскоре их поймали на поставках запрещенного оборудования и комплектующих двойного назначения, которые могут быть использованы для установки на ядерных объектах Ирана, о чем речь пойдет ниже.
Версия программной поддержки
Как и во всем мире предприятия ядерного цикла, завод по обогащению урана - предприятие закрытое и имеет большие ограничения, в том числе связанные с доступом посторонних на свою территорию. Но некоторые представления о специфике производственного процесса у организаторов диверсии были. Так, в 2007–2008 гг. завод посещали инспекторы МАГАТЭ - тогда иранские власти еще не закрыли перед ними двери. Специалисты узнали немало интересной информации даже из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 г. Службы безопасности сработали тогда на удивление непрофессионально. Так, на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows; стало точно известно, какие центрифуги используются в Натанзе (в обход эмбарго на поставки запрещенного оборудования Иран закупал центрифуги в Пакистане); а компьютерное управление моторами центрифуг производится с помощью контроллеров концерна «Сименс». Владея этой информацией, необходимо было только решить, каким надежным образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к Интернету. И авторы вируса Stuxnet разработали хитроумное решение:
Так как под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение (собственно система управления), то управленческие программы «пишутся» на них под заказ, следовательно, разработчики впоследствии занимаются их плановой поддержкой и регулярно доставляют на производство файлы обновлений. Наиболее возможным способом доставки информации в закрытую сеть завода являются внешние носители. Хакеры «закинули» вирус Stuxnet в шесть иранских компаний - разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было делом техники ввиду того, что они подключены к Интернету, и их сотрудники пользуются электронной почтой. Как и следовало ожидать, расчет на то, что рано или поздно вирус попадет по назначению, полностью оправдался: зараженные компьютеры, которые управляют производством, в какой-то момент подали команду на раскручивание центрифуг до тех пор, пока часть из них не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и обесточил их.
Израильский след
Иран превратился в объект повышенного международного внимания, когда западные страны начали всячески предпринимать шаги по срыву его ядерных программ, направленных, по их мнению, на создание своего ядерного оружия. В этих условиях проводится работа по развалу его экономики при одновременной атаке военно-промышленного и научного секторов. Такой вывод содержится в вышедшей в Евросоюзе книге специалиста в области разведки Ивонника Деноэля «Секретные войны Моссада». В этом издании впервые подробно рассказывается об операции по срыву работы центрифуг по обогащению урана с помощью компьютерного вируса.
Первые данные о подземном заводе по обогащению урана в г. Натанзе западные спецслужбы получили в 2002 году, когда агенты германской разведки завербовали иранского бизнесмена, чья компания принимала участие в создании этого объекта. Исходя из слов автора - иранец согласился предоставить карты, фотографии, техническое описание и иные сведения об этом объекте в обмен на обещание вывезти его позднее из страны и предоставить немецкое гражданство. Однако, отмечает Деноэль, иранская контрразведка разоблачила этого агента в 2004 г. и ликвидировала его. Тем не менее его супруга смогла вывезти из Ирана в Германию портативный компьютер погибшего мужа.
«Компьютер стал подлинной пещерой Али-Бабы, а немецкой разведке потребовались месяцы, для того чтобы изучить попавшие в ее руки документы», - замечает автор книги.
Вслед за этим в 2006 г. на заводе в Натанзе и ядерном центре Исфахана последовала «подозрительная» серия взрывов, когда из строя были выведены трансформаторы во время запуска газовых центрифуг, на которых происходит обогащение урана. В результате в Натанзе были повреждены до 50 центрифуг.
Между тем в 2009 году на ядерном объекте Израиля «Димона» в пустыне Негев была создана совместная с США группа специалистов по мониторингу израильской ядерной программы. Одновременно израильские спецслужбы создали на основе полученной разведкой документации точную рабочую копию иранского обогатительного завода в Натанзе. Данные работы облегчались тем, что как в «Димоне», так и в Натанзе использовалась французская ядерная технология. Деноэль пишет, что израильским спецслужбам удалось приобрести на мировом «черном рынке» центрифуги, аналогичные которым использует Иран для обогащения урана.
В результате, как считают независимые специалисты, создание Израилем «зеркального Натанза» с его производственным циклом позволяет ему в реальном времени следить за прогрессом в ключевой области иранской ядерной программы - работами по обогащению урана. По данным автора, именно центрифуги завода в Натанзе и стали объектом атаки западных спецслужб, использовавших для этого компьютерные сети.
Как сообщает Деноэль, в 2008 г. осуществлявший сделки с Ираном, немецкий машиностроительный концерн «Сименс» «согласился на сотрудничество с Министерством внутренней безопасности США с целью помочь его специалистам найти уязвимые места в компьютерной системе вооруженных сил Ирана». Этому способствовал тот факт, что «Сименс» участвовал в создании компьютеров, которые занимаются управлением крупных производственных и энергетических комплексов (контроллеры). Как оказалось, компьютерное оборудование немецкой компании использовалось иранцами и на заводе в г. Натанзе.
Одновременно спецслужбами Израиля и США была организована группа по созданию компьютерного вируса Stuxnet, начавшая работу в «Димоне». В этой связи газета «Нью-Йорк таймс» писала, что без воссоздания производственного процесса иранского завода в Натанзе в израильском ядерном центре вирус Stuxnet не смог бы сработать с высокой эффективностью. При этом Израиль привлек к работам ранее ушедших на пенсию ученых и техников, работавших в ядерном секторе в 50–60-х гг. – настолько специфичным, да и, более того, довольно устарелым оказался производственный процесс в Натанзе. Но именно эти специалисты-ветераны обладали необходимыми знаниями для воссоздания технологических процессов иранской ядерной программы.
Операция по промышленному саботажу в Иране имела несколько уровней. Так, в июне 2009 г. специалисты США и Израиля создали и запустили в Интернет упрощенную версию вируса Stuxnet, источник происхождения которого невозможно было определить. Первоначально данный вирус позволял похищать хранящуюся в компьютерах информацию, идентификационные номера, пароли и кодовые слова, сведения о конфигурации сетей.
Спустя несколько недель вслед за первым появлением в мировой Сети вируса Stuxnet была выпущена его сложная версия, направленная на атаку иранских производственных объектов. Именно ее направили специалисты США и Израиля в сети завода в г. Натанзе, где он взял под контроль систему управления центрифугами. Согласно Деноэлю, вирус вынуждал контрольные программы сообщать о «нормальной работе», проникая в то же время все глубже в производственные системы.
«Тем самым в компьютерной системе Натанза была создана виртуальная действительность, которая не позволяла иранским специалистам заподозрить факт вирусной атаки», - отмечает автор книги.
Все говорит о том, что в 2010 г. был отдан приказ о начале атаки, и вирус, взяв под контроль управление центрифугами, заставил их увеличить скорость вращения ротора с 1 000 оборотов в секунду до 1 400. При достижении подобной скорости происходит поломка и выход из строя центрифуги.
О том, что на заводе в г. Натанзе происходят какие-то события, немедленно сообщили инспекторы МАГАТЭ. Обычно на этом предприятии, где были развернуты 8 700 центрифуг, количество выходивших из строя не превышало 10 % в год. Однако в течение трех месяцев 2010 г. иранские техники заменили до 2 тыс. центрифуг, сообщили представители МАГАТЭ. Как считают западные аналитики, технологическая атака позволила отбросить назад на 24 месяца прогресс в работах по обогащению урана. Так, по мнению бывшего главы «Моссад» Меира Дагана, «успешная операция задержала начало производства Ираном обогащенного оружейного урана на несколько лет».
Тем не менее, по словам Деноэля, эта операция не смогла остановить ядерную энергетическую программу Ирана. Поврежденные центрифуги были заменены, а согласно данным западных разведок, Тегеран имеет до 8 тысяч резервных центрифуг.
Материалы расследования
Согласно статистическим данным, собранным до событий 2010 г., имевшиеся в распоряжении Тегерана резервные центрифуги - это довольно устаревшая модель (IR-1), и они также часто выходят из строя. Так, еще в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе по обогащению урана.
Опубликованные данные МАГАТЭ подтверждают, что в начале 2010 г. на заводе происходило нечто странное. В цеху (технологический модуль A26) было отключено 11 из 18 каскадов центрифуг - всего 1 804 машины. В других цехах ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.
Монтаж модуля A26 производился в 2008 г. Это второй модуль, собранный на заводе. По состоянию на июнь 2009 г., 12 из 18 каскадов этого модуля обогащали уран. В августе 2009 г. обогащением занималось 10 каскадов, а в ноябре только шесть.
Такое уменьшение числа каскадов, обогащающих уран, подтверждает, что на модуле A26 возникли существенные проблемами. А в период между ноябрем 2009 г. и концом января 2010 г. (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.
В то же время следует отметить, что сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим событием. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на этом заводе выходит из строя до 10 % от общего количества установленных центрифуг, т. е. по 800–900 машин ежегодно.
Не исключено, что центрифуги модуля A26 отказали по «естественным» причинам, хотя количество вышедших из строя машин достаточно велико и превышает годовую норму отказов.
Есть и другое объяснение, исключающее всякий внешний саботаж, - это качество установки узлов центрифуг в модуле A26, которое может быть низким, что могло дать о себе знать. Так, известно, что центрифуги первого иранского модуля (A24) работают устойчиво. Но на втором модуле (A26) качество работ при установке узлов центрифуг, проводимых после введения международного запрета (на поставку соответствующего специфического оборудования), могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска второго модуля.
Есть и третья версия. Так, первый модуль (A24) мог быть изготовлен из официально закупленных импортных составляющих, а второй (A26) - из неизвестно как попавших в Иран комплектующих. В этом случае, массовый выход центрифуг второго модуля из строя не должен вызывать особого удивления.
При этом следует отметить, что эксперты фирмы Symantec определили, что вирус Stuxnet среди прочего атакует частотные преобразователи, которые выпускались иранской компанией Fararo Paya и финской Vacon. Соответствующие последовательности команд в теле вируса эксперты обозначили как «A» и «B». Частотные преобразователи на центрифугах нужны для системы управления моторами, которая позволяет с большой точностью задавать скорости вращения роторов центрифуг.
Преобразователи, в которые целил вирус Stuxnet, имеют ограниченную сферу применения, в том числе и предназначены для установки на центрифугах. Многие специалисты после сообщения фирмы Symantec» поверили в то, что вирус был разработан для борьбы с ядерной программой Ирана.
В то же время Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.
(Окончание следует)
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...
- В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.
- Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.
- Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.
- Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.
- Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.
- Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами
- А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update
: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC - фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется - а кто угодно мог.
Следим, короче, за новостями. На следующей неделе - презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября - исследователей из фирмы Symantec, а также исследователей из Касперского.
Расследование вируса StuxNet продолжает развиваться.
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».
Федеральное бюро расследования США оказывает сильное давление на высокопоставленных должностных лиц, подозреваемых в раскрытии конфиденциальной информации об участии правительства США в использовании Stuxnet для совершения атак. Об этом сообщает Washington Post.
Сотрудники ФБР и Прокуратуры США проводят анализ аккаунтов электронной почты, записи телефонных разговоров подозреваемых, а также допрашивают действующих и бывших должностных лиц с целью найти доказательства, указывающие на связь с журналистами.
Stuxnet был специально разработан для атак на конкретную конфигурацию программируемых логических контроллеров Siemens, используемых на заводе по обогащению урана в иранском городе Нантанз.
