Eclipsed by Stuxnet: o novom virusu. Virus je strašniji od bombe

09.04.2019 Recenzije

klasa ranjivosti koja se zove 0day. 0day je termin koji označava ranjivosti (ponekad i sam malver) protiv kojih su zaštitni mehanizmi antivirusa i drugih programa za zaštitu vašeg računara nemoćni. Ovaj koncept se pojavio jer sajber kriminalci koji su otkrili ranjivost u programu ili operativnom sistemu svoj napad izvode odmah najkasnije prvog („nulti dan“) dana kada je programer obaviješten o otkrivenoj grešci. Naravno, to znači da programer nema vremena da na vrijeme popravi ranjivost, što širi složene epidemije zlonamjernog softvera koji se ne može liječiti na vrijeme. On ovog trenutka različiti napadači svoju pažnju usmjeravaju upravo na pronalaženje takvih ranjivosti. Prije svega, obraćaju pažnju na takve softvera, koja je postala široko rasprostranjena. Inficiranje takvih softvera zlonamjernog koda, napadač će sigurno primiti maksimalan uticaj od njihovih postupaka. Gde antivirusni softverće biti nemoćni, jer neće moći identificirati zlonamjerni kod koji je unutra popularan program... Jedan od takvih primjera bio je primjer iznad, kada je virus zarazio Delphi servisne datoteke i time ubacio svoj kod u razni programi koji su kompajlirani ovim kompajlerom. Budući da su takvi programi bili u širokoj upotrebi, veliki broj korisnika je zaražen. Sve ovo je jasno stavilo do znanja sajber kriminalcima da su takvi napadi prilično efikasni i da se mogu koristiti u budućnosti. Međutim, pronalaženje ranjivosti 0 dana je prilično naporan proces. Kako bi pronašli takvu ranjivost, napadači pribjegavaju raznim stres testovima. softvera, raščlanjivanje koda na dijelove, kao i traženje raznih grešaka u kodu programera. Ali ako su ove akcije uspješne, a ranjivost se pronađe, onda možemo pretpostaviti da će je napadači definitivno iskoristiti. Daleko najpoznatiji zlonamjerni softver koji iskorištava ranjivost 0day u softveru je Stuxnet crv, koji je otkriven u ljeto 2010. godine. Stuxnet je iskoristio ranije nepoznatu ranjivost u Windows operativnim sistemima koja se odnosi na algoritam za obradu prečica. Treba napomenuti da je pored ranjivosti 0 dana, Stuxnet iskoristio još tri ranije poznate ranjivosti. Ranjivosti nultog dana takođe omogućavaju napadačima da kreiraju malver koji može da zaobiđe antivirusnu zaštitu, što je takođe opasno za prosečnog korisnika. Pored ovakvih ranjivosti (0day), postoje i prilično uobičajene ranjivosti koje napadač stalno iskorištava. Još jedna opasna vrsta ranjivosti su ranjivosti koje koriste Ring 0 operativni sistem... Prsten 0 se koristi za pisanje raznih drajveri sistema... Ovo je poseban nivo sa kojeg se izvodi puna kontrola preko operativnog sistema. Napadač je u ovom slučaju kao programer koji piše drajver za operativni sistem, jer je u ovom slučaju pisanje zlonamernog programa i drajvera identičan slučaj. Napadač koristi sistemske funkcije i calls pokušava svom zlonamjernom programu dati funkciju prolaska kroz prsten 0.

Opasnost od krađe identiteta sa mobilnih telefona

Da je tako nešto rečeno bukvalno prije 7 godina, onda se, najvjerovatnije, takvoj činjenici jednostavno ne bi vjerovalo. Danas je rizik od krađe ličnih podataka korisnika mobilnih telefona izuzetno visok. Postoji mnogo zlonamjernih programa koji kradu lične podatke sa mobilnih telefona korisnika. A donedavno, niko nije mogao zamisliti da će mobilne platforme biti od interesa za sajber kriminalce. Istorija virusa počinje 2004. godine. Upravo se ova godina smatra polaznom tačkom za mobilni virusi... Istovremeno, virus kreiran ove godine je uparen sa Symbian sistemom. Bila je to demonstracija same mogućnosti postojanja virusa na platformi Symbian operativnog sistema. Autori ovakvog razvoja, vođeni radoznalošću i željom da pomognu u jačanju sigurnosti sistema koji napadaju, obično nisu zainteresovani za njihovu distribuciju ili zlonamerno korišćenje. Zaista, originalna kopija virusa Worm .SymbOS.Cabir poslana je antivirusnim kompanijama u ime samog autora, ali su se kasnije izvorni kodovi crva pojavili na internetu, što je dovelo do stvaranja velikog broja nove modifikacije ovog zlonamjernog programa. Zapravo, nakon objavljivanja izvornog koda, Cabir je počeo sam da "luta". mobilni telefoniširom svijeta. Ušlo je u nevolje obični korisnici pametnih telefona, ali do epidemije u suštini nije došlo, budući da su antivirusne kompanije imale i izvorne kodove za ovaj virus i tada su počela prva izdanja antivirusa za mobilne platforme. Nakon toga su se počele širiti razne skupove ovog virusa, koji, međutim, nisu učinili mnogo štete. Nakon toga je uslijedio prvi backdoor (zlonamjerni program koji omogućava pristup sistemu izvana). Njegova funkcionalnost vam omogućava da prenosite datoteke u oba smjera i prikazujete tekstualne poruke na ekranu. Kada se zaraženi uređaj poveže na Internet, backdoor šalje svoju IP adresu putem e-pošte svom hostu. Nakon toga se pojavio još jedan zlonamjerni program za mobilne platforme... Program je SIS datoteka - instalaterska aplikacija za Symbian platformu. Pokretanje i instaliranje u sistem rezultira zamjenom ikona (AIF fajlova) standardnih aplikacija operativnog sistema sa ikonom lobanje. Istovremeno, nove aplikacije se instaliraju u sistem, povrh originalnih. Prepisane aplikacije prestaju da funkcionišu. Sve su to preuzeli razni amateri u pisanju zlonamjernih programa, koji su počeli proizvoditi sve vrste modifikacija starih virusa, a pokušali su i stvoriti vlastite. Međutim, u to vrijeme svi zlonamjerni programi za mobilne platforme bili su prilično primitivni i nisu se mogli porediti sa svojim pandanima zlonamjernih programa na računaru. Program pod nazivom Trojan.SymbOS Lockhunt napravio je veliku pometnju. Ovaj program je bio trojanski konj. Iskorištava "lakovjernost" (nedostatak provjere integriteta datoteke). Nakon pokretanja, virus stvara mapu u sistemskom direktoriju /system/apps/ sa disonantnim imenom gavno sa stanovišta ruskog jezika, unutar kojeg se nalazi datoteka gavno. app i prateći gavno.rsc i gavno_caption.rsc. Štaviše, u svim datotekama umjesto u odgovarajućim njihovim formatima servisne informacije a kod sadrži običan tekst. Operativni sistem samo na osnovu ekstenzije datoteke gavno. app, smatra je izvršnom - i visi pokušavajući da pokrene "aplikaciju" nakon ponovnog pokretanja. Postaje nemoguće uključiti pametni telefon. Nakon ovih virusa, u osnovi, slijede virusi istog tipa, koji se mogu sami prenijeti raznim tehnologijama.

Sama ranjivost mobilnih platformi je prilično visoka, jer ne postoje takvi alati koji bi pouzdano zaštitili mobilne platforme. Osim toga, potrebno je uzeti u obzir činjenicu da su moderne mobilne platforme već vrlo bliske konvencionalnim operativnim sistemima, što znači da algoritmi za utjecaj na njih ostaju slični. Osim toga, mobilne platforme imaju dvije prilično specifične metode prijenosa podataka koje računari nemaju - to su Bluetooth i MMS tehnologija. Bluetooth tehnologija bežični prijenos podaci razvijeni 1998. Danas se široko koristi za razmjenu podataka između razni uređaji: telefoni i slušalice za njih, džep i desktop računare i druge tehnike. Bluetooth komunikacija obično radi na udaljenosti do 10-20 metara, nije ometana fizičkim preprekama (zidovima) i pruža teoretsku brzina prenosa podataka do 721 kbps. MMS - relativno stara tehnologija, dizajniran da proširi funkcionalnost SMS-a mogućnošću prijenosa slika, melodija i video zapisa. Za razliku od servisa

Neuspjeh tako velikog broja centrifuga natjerao me je da se zapitam da li je to rezultat neke vrste sabotaže planirane uz pomoć nedavno nastalog kompjuterskog virusa Stuxnet, koji je u Iranu bio prilično raširen u odnosu na druge države, što može poslužiti kao dokaz da su programeri virusa ciljali na Iran. I, kako se ispostavilo, direktno u postrojenje za obogaćivanje uranijuma, koristeći poznate ranjivosti svog operativnog sistema i ozloglašene “ ljudski faktor».

Ali kupac je nepoznat, hipotetički izvršilac je navodno službenik Siemensa koji je ubacio zaraženi fleš disk u sistem kontrole proizvodnje. Šteta nanesena iranskom nuklearnom programu u u ovom slučaju uporedivu sa štetom od ozloglašenog napada izraelskog ratnog vazduhoplovstva 1981. godine, neposredno uoči puštanja u rad nuklearne elektrane, kada je kompletna infrastruktura preduzeća potpuno uništena.

Kao što svjedoče rezultati istrage, upravo cyber napadi mogu postati idealno sredstvo za tako veliku štetu na opremi – brzi su, vrlo učinkoviti u svojoj destruktivnosti i istovremeno su apsolutno anonimni.

Treba napomenuti da virus Stuxnet napada na nivou logičkih kontrolera (kontrolori su računari koji upravljaju velikim industrijskim i energetskim kompleksima), inficirajući softversku bazu sistema. Njegovi ciljevi uključuju pretvarače s varijabilnom frekvencijom (VFD). Među aktiviranim frekvencijama koje se nalaze u tijelu virusa, postoje i one koje mogu utjecati na elektronsku opremu iranskih IR-1 centrifuga. Iako sama po sebi ova okolnost ne znači ništa.

Nije poznato šta su programeri virusa zapravo htjeli. Ako su sebi postavili zadatak da fizički unište centrifuge, onda njihov plan nije uspio, jer ga virus Stuxnet nije obezbijedio. Ali ako su namjeravali oštetiti određene centrifugalne jedinice ili ih onesposobiti na duže vrijeme, onda su možda i uspjeli, jer je šteta koju je virus prouzročio bila iznenadna i vrlo opipljiva. Treba napomenuti da kada je osoblje shvatilo da nešto nije u redu sa radom centrifuga i prekinulo im napajanje strujom, već je bilo prekasno, a situacija u radionici je ličila na posljedice terorističkog akta korištenja više eksplozivnih naprava u isto vrijeme.

Iran nije zvanično priznao da je fabriku pogodio kompjuterski virus. Međutim, na najvišem nivou je potvrđeno da su u toku sajber napadi na njena nuklearna postrojenja. Na primjer, krajem novembra 2010. predsjednik Mahmoud Ahmadinejad je rekao da "ograničen broj centrifuga" ima problema sa softverom u elektronici.

Istovremeno, šef Iranske organizacije za atomsku energiju, dr. Ali Akbar Salehi, odredio je datum kada se virus Stuxnet pojavio na iranskim nuklearnim postrojenjima - to je sredina 2009. godine. Otuda i vreme koje je trebalo štetni virus potrebno je više od godinu dana da se putuje od prvih zaraženih personalnih računara do fabrika.

Štaviše, u periodu 2009–2010. Iranski stručnjaci demontirali su i zamijenili oko 1.000 centrifuga IR-1 u fabrici. I prije toga, ovaj prilično zastarjeli model centrifuga često je kvario (oko 10% godišnje), ali me je zamjena tako velike serije kao 2010. godine natjerala na razmišljanje, pokrenuti istraživanje i duboko naučno proučavanje ovog pitanja.

Naravno, fabrika za obogaćivanje uranijuma je zatvoreno preduzeće sa ograničenim pristupom, visokim nivoom tajnosti sistema komandovanja i upravljanja i nije povezano na internet. Prema mišljenju stručnjaka, virus je do kontrolnih računara mogao doći samo preko personalnih računara stručnjaka u postrojenjima - prvo inficiranjem njihovih kućnih računara, ili preko računara ljudi koji su na neki način povezani sa postrojenjem, a zatim preko njihovih fleš diskova virus mogao doći do kompjutera kontrolnih sistema.

Globalni urednici štampe puni su mračnih proročanstava o nadolazećoj eri sajber ratovanja. Stručnjaci od većine različitim pravcima: od IT sigurnosti do lingvistike i antropologije. Treba napomenuti da su virus Stuxnet odavno detektirali antivirusne laboratorije, ali je svijet saznao za prave razmjere zaraze tek krajem septembra 2010. godine.

Iz očiglednih i logičnih razloga, programeri Stuxnet virusa radije se drže tiho. Međutim, stručnjaci se fokusiraju na činjenicu da je sasvim očito da se kompleksnost ovog virusa može nazvati neviđenom, a stvaranje ovakvog projekta zahtijeva ogromna intelektualna i finansijska ulaganja, što znači da to mogu samo državne strukture. Stručnjaci se slažu da ovaj virus nije proizvod napora samo "grupe entuzijasta". Laurent Esloh, glavni službenik za sigurnost u Symantecu, procjenjuje da je najmanje 10 ljudi radilo na Stuxnet virusu u periodu od šest do devet mjeseci. Frank Rieger, Tehnicki direktor GSMK podržava svog kolegu: prema njegovim riječima, virus je kreirao tim iskusnih programera, a razvoj je trajao oko šest mjeseci. Rieger navodi i procijenjene troškove stvaranja Stuxnet virusa: to je najmanje 3 miliona dolara. Eugene Kaspersky, izvršni direktor Kaspersky Lab-a, kaže o svrsi sabotaže virusa: „Stuxnet ne krade novac, ne šalje neželjenu poštu i ne krade povjerljive informacije. Ovaj zlonamjerni softver kreiran je za kontrolu proizvodnih procesa i bukvalno vodi ogroman proizvodni pogon. U nedavnoj prošlosti borili smo se protiv sajber kriminalaca i internet huligana, sada, bojim se, dolazi vrijeme za sajber terorizam, sajber oružje i sajber ratove." Tilman Werner, član zajednice stručnjaka za internet sigurnost, siguran je da usamljeni hakeri to ne mogu učiniti.

“Stuxnet je toliko sofisticiran sa tehničke tačke gledišta da bi trebalo pretpostaviti da su stručnjaci iz vladinih agencija bili uključeni u razvoj zlonamjernog programa, ili da su oni, prema najmanje pružio neke značajna pomoć u njegovom stvaranju”, - kaže Verner.

Stručnjaci primjećuju da virus Stuxnet ulazi u računar preko USB utičnice sa zaraženog medija, obično disk-on-ključ, popularno nazvan fleš disk. Od tog trenutka sam zaraženi računar postaje izvor zaraze.

I "crv" u njemu (virus Stuxnet ima šest Različiti putevi prodor i konsolidacija u računarskom operativnom sistemu) počinje da radi van mreže. Više mu nije potrebna nikakva vanjska komanda. Od rođenja zna šta treba da radi. Virus Stuxnet testira sadržaj računara, komanduje dolaznim i odlaznim sa njega i ponaša se potpuno normalno u odnosu na sistem koji ga je apsorbovao, ni na koji način ne šteti sebi ili svojim partnerima, sve dok ne naiđe na znakove mete za za koje je stvorena - Siemens programi upravljanja proizvodnjom. A onda se pretvara u okrutnog grabežljivca-razarača.

Virus Stuxnet je specijalizovan za kompjuterske programe za velike industrijske upravljačke sisteme SCADA (Supervisory Control and Data Acquisition), odnosno "nadzorna kontrola i prikupljanje podataka". Ovi sistemi regulišu tehnološke procese elektrana, naftovoda i gasovoda, vojnih postrojenja, civilnih infrastrukturnih preduzeća itd.

Virus Stuxnet, posjedujući potrebne početne sposobnosti administratora sistema i poznavajući ranjivosti operativnog sistema, koje niko ne zna, osim njega i njegovih kreatora, uzdiže se u uspostavljenoj hijerarhiji upravljanja na nivo inicijacije komande, zapravo preuzima vlast. u sistemu i preusmjerava ga da izvrši svoju vlastitu destruktivnu svrhu.

Prije svega mijenja kompjutersku "glavu" i reprogramira PLC program (Programmable Logic Controler - programibilni logički kontroler), koji je odgovoran za logiku. I on sam počinje da komanduje.

Prema Ralphu Langneru, specijalistu za industrijsku sigurnost u Siemensu, virus Stuxnet može promijeniti radne parametre "operativnog bloka 35", koji prati kritične proizvodne situacije koje zahtijevaju hitan odgovor od 100 milisekundi. Ako je tako, ništa ne košta ogorčenog "crva" da dovede sistem do razorne nesreće.

Preuzimajući kontrolu, Stuxnet virus dosljedno dovodi sistem do prekida proizvodnje. On uopšte nije špijun, kako su se mnogi u početku nadali, on je saboter. Čim izvorni kod PLC-a prestane da se izvršava, tvrdi Ralph Langner, može se očekivati da će uskoro neka veza eksplodirati, srušiti se. I, najvjerovatnije, ispostaviće se da je to nešto važno.

Stručnjaci se slažu da je razvoj i implementacija ovako složenog virusa nepodnošljiv zadatak za hakera, grupu hakera ili bilo koju privatnu strukturu. Jasno je da je ovo djelo države. Samo je država mogla sebi priuštiti da lansira tako skupog "crva", čime ga zapravo deklasira, samo zarad za nju izuzetno važnog cilja i samo zato što nije mogla više da čeka.

S tim u vezi, isti Ralph Langner daje logičnu pretpostavku da je virus Stuxnet, najvjerovatnije, već obavio svoj posao. Ipak, "crv", iako očito nije špijunski softver, ali daje neke informacije, uključujući i za širu javnost, barem po samom postojanju.

Problemi koncerna Siemens

Široko poznata činjenica je da su NPP Bushehr izgradili ruski stručnjaci Atomstroyexporta Ruske tehnologije i korišćenjem Siemens kompjuterizovanih sistema kontrole proizvodnje.

Treba napomenuti da, prema mišljenju stručnjaka, virus Stuxnet inficira samo određeni tip Siemens kontrolera, a to je SIMATIC S7, koji, prema IAEA (Međunarodnoj agenciji za atomsku energiju), koristi Iran. Istovremeno, oko 60% računara zaraženih Stuxnet virusom nalazi se u Iranu, a preostalih 40% u zemljama koje su na neki način povezane s njim: Indoneziji, Indiji i Pakistanu.

Važan detalj razmatranog pitanja je da je koncern Siemens aktivno učestvovao 70-ih godina. prošlog veka u pružanju opreme visoke tehnologije nuklearni program Iran. Nakon pobjede Islamske revolucije, koncern je prestao s radom u zemlji, ali su se Nijemci vratili, a Iran je za njih postao jedan od najvećih kupaca specifične opreme. Međutim, nakon uvođenja međunarodnih sankcija, uz veliku nevoljnost i pod teškim pritiskom njemačke vlade, Siemens je najavio raskid ugovora sa Iranom. Predstavnici koncerna i danas se na tu činjenicu pozivaju kao odgovor na zamjerke koje se s vremena na vrijeme javljaju. Međutim, ubrzo su uhvaćeni kako isporučuju zabranjenu opremu i komponente dvostruke namjene koje bi se mogle koristiti za instalaciju u iranskim nuklearnim postrojenjima, o čemu će biti riječi u nastavku.

Verzija softverske podrške

Kao iu cijelom svijetu preduzeća nuklearnog ciklusa, fabrika za obogaćivanje uranijuma je zatvoreno preduzeće i ima velika ograničenja, uključujući i ona koja se odnose na pristup stranaca na njenu teritoriju. Ali organizatori sabotaže imali su neke ideje o specifičnostima proizvodnog procesa. Dakle, u 2007-2008. Postrojenje su posjetili inspektori IAEA - tada im iranske vlasti još nisu zatvorile vrata. Stručnjaci su saznali mnogo zanimljivih informacija čak i od zvanične iranske televizije i fotografija posvećenih posjeti tvornici predsjednika zemlje Mahmuda Ahmadinedžada 2008. godine. Službe sigurnosti su tada radile iznenađujuće neprofesionalno. Dakle, na fotografiji ste mogli da vidite monitore računara koji rade pod Windows operativnim sistemom; postalo je poznato koje se tačno centrifuge koriste u Natanzu (zaobilazeći embargo na nabavku zabranjene opreme, Iran je kupio centrifuge iz Pakistana); a kompjutersko upravljanje motorima centrifuge vrši se pomoću Siemens kontrolera. Uz ovu informaciju, trebalo je samo odlučiti kako pouzdano uvesti zlonamjerni program u korporativnu računarsku mrežu, jer iz sigurnosnih razloga nije povezan na Internet. A autori virusa Stuxnet došli su do pametnog rješenja:

Budući da se za potrebe specifične proizvodnje za Siemens kontrolere uvijek kreira poseban softver (sam upravljački sistem), programi za upravljanje se na njima "ispisuju" po narudžbi, pa se programeri naknadno uključuju u svoju planiranu podršku i redovno isporučuju ažuriranja. datoteke u proizvodnju. Najveći mogući način dostavljanja informacija zatvorenoj mreži postrojenja su eksterni mediji. Hakeri su ubacili virus Stuxnet u šest iranskih softverskih kompanija za koje su vjerovali da bi mogle imati kontakte s tvornicom Natanz. Zaraza kompjutera ovih kompanija bila je tehnička stvar zbog činjenice da su one povezane na internet i da njihovi zaposleni koriste e-poštu. Očekivano, očekivanje da će virus prije ili kasnije stići na odredište bilo je potpuno opravdano: zaraženi računari koji kontrolišu proizvodnju, u nekom trenutku su dali komandu da se centrifuge zavrte sve dok neke od njih ne zakažu... Tek tada je osoblje za održavanje elektrane primijetilo da nešto nije u redu i prekinulo napajanje.

Izraelski trag

Iran se pretvorio u predmet povećane međunarodne pažnje kada su zapadne zemlje na sve moguće načine počele poduzimati korake da poremete svoje nuklearne programe, čiji je cilj, po njihovom mišljenju, stvaranje vlastitog nuklearnog oružja. U ovim uslovima radi se na kolapsu njene privrede uz istovremeno napad na vojno-industrijski i naučni sektor. Ovaj zaključak sadržan je u knjizi koju je u Evropskoj uniji objavio stručnjak za obavještajne poslove Yvonnick Denoel "The Secret Wars of the Mossad". Po prvi put, ovo izdanje detaljno opisuje operaciju prekida rada centrifuga za obogaćivanje uranijuma pomoću kompjuterskog virusa.

Prve podatke o podzemnom postrojenju za obogaćivanje uranijuma u Natanzu zapadne specijalne službe su dobile 2002. godine, kada su njemački obavještajci regrutovali iranskog biznismena, čija je kompanija učestvovala u stvaranju ovog postrojenja. Prema riječima autora, Iranac je pristao da dostavi mape, fotografije, tehničke opise i druge informacije o ovom objektu u zamjenu za obećanje da će ga kasnije iznijeti iz zemlje i dati njemačko državljanstvo. Međutim, napominje Denoel, iranska kontraobavještajna služba razotkrila je ovog agenta 2004. godine i eliminisala ga. Ipak, njegova supruga je uspjela odvesti iz Irana u Njemačku prenosivi računar pokojnog muža.

"Kompjuter je postao prava Ali Babina pećina, a njemačkoj obavještajnoj službi su bili potrebni mjeseci da prouče dokumente koji su mu pali u ruke", - napominje autor knjige.

Nakon toga 2006. godine uslijedila je "sumnjiva" serija eksplozija u tvornici Natanz i nuklearnom centru Isfahan, u kojima su transformatori onesposobljeni prilikom lansiranja plinskih centrifuga koje obogaćuju uranijum. Kao rezultat toga, u Natanzu je oštećeno do 50 centrifuga.

U međuvremenu, 2009. godine, u izraelskom nuklearnom postrojenju Dimona u pustinji Negev, formiran je zajednički američki tim stručnjaka za praćenje izraelskog nuklearnog programa. Istovremeno, izraelske obavještajne službe su napravile tačnu radnu kopiju iranskog postrojenja za obogaćivanje u Natanzu na osnovu dokumentacije koju je primila obavještajna služba. Ovaj posao je olakšala činjenica da su i Dimona i Natanz koristili francusku nuklearnu tehnologiju. Denoel piše da su izraelske specijalne službe uspjele da na svjetskom "crnom tržištu" nabave centrifuge, slične kojima Iran obogaćuje uranijum.

Kao rezultat toga, prema nezavisnim stručnjacima, stvaranje od strane Izraela "zrcalnog Natanza" sa svojim proizvodnim ciklusom omogućava mu da u realnom vremenu prati napredak u ključnoj oblasti iranskog nuklearnog programa - radu na obogaćivanju uranijuma. Prema autoru, upravo su centrifuge fabrike u Natanzu postale predmet napada zapadnih specijalnih službi, koje su za to koristile kompjuterske mreže.

Prema Denoelu, 2008. godine, obavljajući transakcije sa Iranom, njemački inženjerski koncern Siemens "pristao je da sarađuje sa Ministarstvom unutrašnja sigurnost Sjedinjene Države kako bi pomogli svojim stručnjacima da pronađu ranjivosti u kompjuterskom sistemu iranskih oružanih snaga." Tome je olakšala činjenica da je Siemens bio uključen u kreiranje računara koji upravljaju velikim industrijskim i energetskim kompleksima (kontrolerima). Kako se ispostavilo, kompjutersku opremu njemačke kompanije koristili su i Iranci u fabrici u Natanzu.

Istovremeno, specijalne službe Izraela i Sjedinjenih Država organizovale su grupu za stvaranje kompjuterskog virusa Stuxnet, koja je počela sa radom u Dimoni. S tim u vezi, New York Times je pisao da bez ponovnog kreiranja proizvodnog procesa iranskog postrojenja u Natanzu u izraelskom nuklearnom centru, virus Stuxnet ne bi mogao raditi s visokom efikasnošću. Istovremeno, Izrael je privukao rad ranije penzionisanih naučnika i tehničara koji su radili u nuklearnom sektoru 50-60-ih godina. - proizvodni proces u Natanzu pokazao se tako specifičnim, i, štoviše, prilično zastarjelim. Ali upravo su ovi veterani specijalisti posjedovali potrebno znanje da rekreiraju tehnološke procese iranskog nuklearnog programa.

Operacija industrijske sabotaže u Iranu imala je nekoliko nivoa. Na primjer, u junu 2009. američki i izraelski stručnjaci kreirali su i lansirali pojednostavljenu verziju virusa Stuxnet na Internetu, čiji izvor nije mogao biti utvrđen. U početku je ovaj virus dozvoljavao krađu informacija pohranjenih u računarima, identifikacionih brojeva, lozinki i kodnih riječi, informacija o konfiguraciji mreža.

Nekoliko sedmica kasnije, nakon prvog pojavljivanja virusa Stuxnet na globalnom webu, objavljena je njegova sofisticirana verzija sa ciljem da napadne iranske proizvodne pogone. Upravo nju su američki i izraelski stručnjaci poslali u mrežu fabrike u Natanzu, gdje je preuzeo kontrolu nad sistemom upravljanja centrifugama. Prema Denoelu, virus je primorao kontrolne programe da prijave "normalan rad" dok prodire sve dublje u proizvodne sisteme.

"Tako je stvorena virtuelna stvarnost u Natanzovom kompjuterskom sistemu, što nije dozvolilo iranskim stručnjacima da posumnjaju u činjenicu napada virusom", - napominje autor knjige.

Sve sugeriše da je 2010. godine dato naređenje za početak napada, a virus ih je, preuzimajući kontrolu nad centrifugama, naterao da povećaju brzinu rotora sa 1000 obrtaja u sekundi na 1400. Kada se ova brzina postigne, došlo je do kvara javlja se i izlazi kvar centrifuge.

Inspektori IAEA su odmah izvijestili da se u fabrici u Natanzu odvijaju neki događaji. Tipično, u ovom pogonu, gdje je raspoređeno 8.700 centrifuga, broj kvarova nije prelazio 10% godišnje. Međutim, u roku od tri mjeseca 2010. godine, iranski tehničari zamijenili su do 2 hiljade centrifuga, rekli su predstavnici IAEA. Prema zapadnim analitičarima, tehnološki napad je unazadio napredak u obogaćivanju uranijuma za 24 mjeseca. Tako je, prema riječima bivšeg šefa Mossada, Meira Dagana, "uspješna operacija odgodila početak iranske proizvodnje obogaćenog uranijuma za oružje za nekoliko godina".

Međutim, prema Denoelu, operacija nije zaustavila iranski nuklearni program. Oštećene centrifuge su zamijenjene, a prema zapadnim obavještajnim podacima, Teheran ima do 8.000 rezervnih centrifuga.

Istražni materijali

Statistike prije 2010. pokazuju da su teheranske rezervne centrifuge prilično zastarjeli model (IR-1) i da također često pokvare. Dakle, još 2009–2010. Iranski stručnjaci demontirali su i zamijenili oko 1.000 centrifuga IR-1 u fabrici za obogaćivanje uranijuma.

Objavljeni podaci IAEA potvrđuju da se nešto čudno dešavalo u fabrici početkom 2010. godine. U radionici (tehnološki modul A26) ugašeno je 11 od 18 kaskada centrifuga - ukupno 1.804 mašine. U ostalim radnjama situacija je izgledala bolje, iako su zabilježena gašenja jedne ili dvije kaskade.

Modul A26 je instaliran 2008. godine. Ovo je drugi modul sastavljen u fabrici. Od juna 2009. godine, 12 od 18 kaskada ovog modula je obogaćivalo uranijum. U avgustu 2009. godine na obogaćivanju je angažovano 10 kaskada, au novembru samo šest.

Ovo smanjenje broja kaskada za obogaćivanje uranijuma potvrđuje da su se pojavili značajni problemi na modulu A26. A u periodu od novembra 2009. do kraja januara 2010. (nemoguće je preciznije reći) dogodilo se nešto što je zahtijevalo gašenje 11 kaskada odjednom.

Istovremeno, treba napomenuti da činjenica kvara IR-1 centrifuga nije sam po sebi vanredan događaj. IR-1 centrifuge se pokvare i to često rade. Prema nezvaničnim procenama stručnjaka IAEA, u ovom pogonu godišnje se pokvari do 10% od ukupnog broja instaliranih centrifuga, odnosno 800-900 mašina godišnje.

Moguće je da su centrifuge modula A26 otkazale iz "prirodnih" razloga, iako je broj pokvarenih mašina prilično velik i premašuje godišnju stopu otkaza.

Postoji još jedno objašnjenje koje isključuje bilo kakvu vanjsku sabotažu - to je kvalitet ugradnje sklopova centrifuge u modul A26, koji može biti nizak, što se može osjetiti. Dakle, poznato je da centrifuge prvog iranskog modula (A24) rade stabilno. Ali na drugom modulu (A26), kvaliteta rada tokom ugradnje sklopova centrifuge obavljena nakon uvođenja međunarodna zabrana(za nabavku odgovarajuće specifične opreme), može biti niža nego za prvu. Ovo objašnjenje nije u suprotnosti sa stvarnošću. Nije jasno, međutim, zašto je fabrički kvar utjecao više od godinu dana nakon lansiranja drugog modula.

Postoji i treća verzija. Dakle, prvi modul (A24) je mogao biti napravljen od zvanično kupljenih uvoznih komponenti, a drugi (A26) - od delova nepoznatih Iranu. U ovom slučaju, masovni kvar centrifuga drugog modula ne bi trebao biti iznenađujući.

Treba napomenuti da su stručnjaci iz Symanteca utvrdili da virus Stuxnet napada, između ostalog, frekventne pretvarače koje su proizvele iranska kompanija Fararo Paya i finska kompanija Vacon. Stručnjaci su odgovarajuće sekvence komandi u tijelu virusa označili kao "A" i "B". Pretvarači frekvencije na centrifugama su potrebni za sistem upravljanja motorom, koji vam omogućava da postavite brzinu rotacije rotora centrifuge sa velikom preciznošću.

Konvertori koji su ciljani virusom Stuxnet imaju ograničen opseg, uključujući i one namijenjene za ugradnju na centrifuge. Mnogi stručnjaci, nakon izvještaja Symanteca, vjerovali su da je virus dizajniran za borbu protiv iranskog nuklearnog programa.

Istovremeno, Iran nikada nije naveo vrstu pretvarača u svojim deklaracijama i nije dozvolio inspektorima da dođu do ovih podataka.

(Slijedi kraj)

“Ne znam kojim oružjem će se boriti u trećem svjetskom ratu, ali kamenje i toljage će se koristiti u četvrtom”
Albert Einstein

Krajem septembra postalo je poznato da je virus Stuxnet nanio ozbiljnu štetu iranskom nuklearnom programu. Koristeći ranjivost operativnog sistema i ozloglašeni "ljudski faktor", Stuxnet je uspješno pogodio 1.368 od 5.000 centrifuga u fabrici za obogaćivanje uranijuma Natanz, a također je poremetio datume pokretanja nuklearne elektrane u Bushehru. Kupac je nepoznat. Izvođač radova je neoprezni zaposlenik Siemensa koji je ubacio zaraženi fleš disk u radnu stanicu. Šteta nanesena iranskim nuklearnim postrojenjima uporediva je sa napadom izraelskih zračnih snaga.
Svijet je počeo pričati o ratovima nove generacije. Sajber napadi mogu biti idealno oruđe za naredne ratove - brzi su, efikasni u svojoj destruktivnosti i obično su anonimni. Danas se države žurno dogovaraju o zajedničkoj strategiji za suzbijanje sajber prijetnji. Šta će se dogoditi sutra? Nažalost, najrealniji odgovor na ovo pitanje je i dalje Ajnštajnov sumorni aforizam.

Iran je bespomoćan pred tehno prijetnjom

Sumorna proročanstva o nadolazećoj eri tehnološkog ratovanja ispunila su naslove svjetske štampe. Stručnjaci u raznim disciplinama bore se da riješe Stuxnet, virus koji je zarazio iranska nuklearna postrojenja, od IT sigurnosti do lingvistike i antropologije. Stuxnet su antivirusne laboratorije otkrile davno, ali je svijet saznao za prave razmjere zaraze krajem septembra, kada se saznalo za kašnjenje puštanja u rad prve nuklearne elektrane Bushehr u Iranu. Dok je Ali Akbar Salehi, čelnik Organizacije za atomsku energiju Irana, rekao da odlaganje pokretanja nuklearne elektrane nema nikakve veze s virusom, Mark Fitzpatrick iz Međunarodnog instituta za strateške studije primijetio je da to nije zvuči vrlo ozbiljno, a Iran je sklon da zataška prave probleme u nuklearnoj elektrani. Nakon nekog vremena, Mahmoud Jafari, projekt menadžer stanice Bushehr, "ispustio". Prema njegovim riječima, Stuxnet je "pogodio nekoliko računara, ali nije nanio nikakvu štetu glavnom operativnom sistemu stanice". Sapienti sat. Iranska nuklearna postrojenja u Natanzu također su ozbiljno oštećena, a Stuxnet je onemogućio 1.368 od 5.000 centrifuga. Kada su Mahmuda Ahmadinedžada direktno pitali o tehnološkim problemima s nuklearnim programom nakon sjednice Generalne skupštine UN-a, on je samo slegnuo ramenima i nije odgovorio. Napominjemo da je, prema New York Timesu, šteta od djelovanja virusa u Iranu uporediva, možda, s napadom izraelskih zračnih snaga.

Autor! Autor!

Iz očiglednih razloga, programeri Stuxneta radije ostaju u pozadini, ali je jasno da se kompleksnost virusa može nazvati bez presedana. Za stvaranje ovakvog projekta potrebna su ogromna intelektualna i finansijska ulaganja, što znači da to mogu samo državne strukture. Svi stručnjaci se slažu da virus nije proizvod "grupe entuzijasta". Laurent Esloe, šef sigurnosti u Symantecu, procjenjuje da je najmanje šest do deset ljudi radilo na Stuxnetu u periodu od šest do devet mjeseci. Frank Rieger, tehnički direktor GSMK-a, podržava svog kolegu - prema njegovim riječima, virus je kreirao tim od deset iskusnih programera, a razvoj je trajao oko šest mjeseci. Rieger takođe navodi približnu količinu stvaranja Stuxneta: to je najmanje 3 miliona dolara Eugene Kaspersky, izvršni direktor Kaspersky Lab-a, kaže o vojnim ciljevima virusa: „Stuxnet ne krade novac, ne šalje neželjenu poštu ili krade povjerljive informacije. Ovaj zlonamjerni softver je stvoren da kontrolira proizvodne procese, doslovno da kontrolira ogromne proizvodne pogone. U nedavnoj prošlosti borili smo se protiv sajber kriminalaca i internet huligana, sada, bojim se, dolazi vrijeme za sajber terorizam, sajber oružje i sajber ratove." Tillmann Werner, član Honeynet projekta, zajednice stručnjaka za internet sigurnost, uvjeren je da usamljeni hakeri to ne mogu učiniti. „Stuxnet je toliko sofisticiran sa tehničke tačke gledišta da bi trebalo pretpostaviti da su državni stručnjaci bili uključeni u razvoj malvera, ili da su barem pružili neku pomoć u njegovom stvaranju“, kaže Werner.

U procesu analize Stuxneta, nekoliko medija je zaključilo da iza stvaranja virusa stoji Izrael. O umiješanosti Izraela u napad na Iran prvi je progovorio John Markoff, novinar New York Timesa, koji je izvijestio da su analitičari istakli naziv jednog od fragmenata koda "myrtus" ("mirta"). Prevedeno na hebrejski, "mirta" zvuči kao "adas", što je, zauzvrat, u skladu s imenom "Hadassah" koje pripada Esther (Ester) - heroini jevrejske istorije koja je spasila svoj narod od uništenja u Perzijskom carstvu. Povlačeći analogiju sa drevnom Perzijom, gdje se nalazi moderni Iran, neki analitičari smatraju da je Izrael otišao “ poslovna kartica„U kodu virusa. Međutim, prema brojnim stručnjacima, ova verzija ne podnosi kritike i podsjeća na radnju jeftine detektivske priče - previše primitivan "rukopis" za projekat ovakvog obima.

Istovremeno, treba naglasiti da je prošlog ljeta (podsjetimo, širenje Stuxneta počelo 2009. godine) WikiLeaks izvijestio o ozbiljnoj nuklearnoj nesreći u Natanzu. Ubrzo nakon toga se saznalo da je čelnik Iranske organizacije za atomsku energiju Gholam Reza Aghazadeh podnio ostavku bez navođenja razloga. Otprilike u isto vrijeme u medijima su se pojavile izjave izraelskih političara i vojske o mogućoj konfrontaciji s Iranom na tehnološkom planu. Osim toga, Izrael je prilagodio predviđeni datum kada će Iran dobiti atomsku bombu, pomjerajući ga na 2014., a ovlaštenja Meira Dagana, šefa Mosada, su produžena za njegovo učešće u neimenovanim "važnim projektima".

Ljudski faktor

Zanimljiva je istorija početne infekcije koja je označila početak širenja virusa. Očigledno je da sistemi automatizovano upravljanje sličnog nivoa nisu povezani na mrežu. Na jednoj od sigurnosnih konferencija, stručnjak iz NATO Cyber centra u Estoniji, Kenneth Geers, sugerirao je na sigurnosnoj konferenciji da uspjeh Stuxnet napada ovisi isključivo o kontaktima s pravim ljudima i... elementarnim USB diskovima. “Možete platiti nekome da pokrene trojanac zatvoreni sistem, ili zamijenite fleš disk, koji je bio namijenjen samo za internu upotrebu,” – odražava Gears. - "Dovoljno je umetnuti zaraženi USB fleš disk u standardni USB konektor računara i Stuxnet odmah automatski prelazi na operativni sistem i nikakvi antivirusni programi ili druge mere zaštite ga neće ometati." Zaista, "slaba karika" bio je ljudski faktor - Stuxnet je doveden u sistem običan USB stick, koji je nepažnjom ubacio neopreznog radnika u radnu stanicu. Važno je napomenuti da je nakon izjava iranskog ministra obavještajnih službi Heydara Moslehija o hapšenju "nuklearnih špijuna" (ispostavilo se da su potpuno nevini ruski tehničari), menadžment Siemensa priznao da su virus unijeli zaposleni u kompaniji, ističući nenamjerno priroda infekcije. Treba napomenuti da Stuxnet utiče samo na određeni tip Siemens kontrolera, a to je SIMATIC S7, koji, prema IAEA-i, koristi Iran.

Cyberwar. Da li je bojno polje Zemlja?

Na konferenciji Virus Bulletin 2010 u Vancouveru, Kanada, pažnju javnosti privukao je kratki govor Liama O Murchua, jednog od vodećih Symantecovih stručnjaka za IT sigurnost. Analitičar je proveo eksperiment koji je razjasnio opasnost od sajber prijetnje bolje od stotina formalnih izvještaja. O Merchu je instalirao vazdušnu pumpu na pozornici koja pokreće Siemens operativni sistem, inficirao radnu stanicu koja kontroliše pumpu virusom Stuxnet i pokrenuo proces. Pumpa je brzo naduvala balon, ali proces nije stao – balon se naduvao sve dok nije puknuo. "Zamislite da ovo nije balon, već iranska nuklearna elektrana", rekao je stručnjak, stavljajući tačku na pitanje "ozbiljnosti" sajber ratova.

O Merchuove kolege u potpunosti dijele njegovu zabrinutost. Istraživač Trend Micro Paul Ferguson je rekao da se stvaranjem Stuxneta u svijetu pojavilo potpuno cyber oružje koje prevazilazi tradicionalne destruktivne sheme (krađa brojeva kreditnih kartica itd.) i može dovesti do ozbiljnih nesreća u vrlo opasnim industrijskim objektima. Ferguson naglašava da će sada analitičari "bukvalno zastrašiti vladu da preduzme ozbiljne mjere sigurnosti".

Zaista, šef novostvorenog američkog Cyber štaba u Pentagonu, general Keith Alexander, u obraćanju Kongresu, javno je izjavio da je prijetnja sajber ratovanja rasla eksponencijalnim tempom u posljednjih nekoliko godina. Aleksandar je podsetio na dva sajber napada na čitave države - na Estoniju (2007. godine, nakon demontiranja Bronzanog vojnika) i na Gruziju (2008. godine, tokom rata sa Rusijom).

Estonski predsjednik Toomas Hendrik Ilves, u intervjuu za Berliner Zeitung, postavlja pitanje sajber prijetnji u visoki nivo... Estonski predsjednik naglašava: Odluka NATO-a da locira Centar za kibernetičku sigurnost u Talinu (podsjetimo, otvoren je u maju 2008.) je zbog činjenice da je Estonija jedna od najkompjuteriziranijih zemalja u Evropi, kao i prva država koja je prošla punu - sajber napad razmjera 2007. Nakon napada koji je paralizirao infrastrukturu cijele zemlje, estonski ministar odbrane Jaak Aaviksoo je čak zahtijevao da NATO ove sajber napade izjednači s vojnom akcijom. Predsjednik danas daje slične izjave: „Virus Stuxnet je pokazao koliko ozbiljno moramo shvatiti sajber sigurnost, jer takvi proizvodi mogu uništiti vitalnu infrastrukturu. U slučaju Irana, čini se da virus cilja nuklearni program, ali slični virusi mogu uništiti našu kompjutersku ekonomiju. O tome treba razgovarati u NATO-u: ako projektil uništi elektranu stupa na snagu paragraf 5. Ali kako postupiti u slučaju napada kompjuterski virusi?" - pita Toomas Hendrik Ilves. Predsjednikov prijedlog je u skladu sa aktuelnim trendovima: „I EU i NATO se moraju razvijati zajednička politika, uključujući pravne norme koje će postati osnova za kolektivnu zaštitu od prijetnji u sajber prostoru”, rekao je šef države.

Prvi zamjenik ministra odbrane William J. Lynn u potpunosti se slaže sa Toomasom Hendrikom Ilvesom. U intervjuu za Radio Liberty, Lynn je pokušala odgovoriti na pitanje koje je postavio Ilves: „Ako je štrajk uticao na bitne elemente naše ekonomije, vjerovatno bismo to trebali smatrati napadom. Ali ako je povreda rezultirala krađom podataka, onda to možda i nije napad. Postoji mnogo drugih opcija između ova dva ekstrema. Da bismo artikulirali političku liniju, moramo odlučiti gdje je granica između hakovanja i napada, ili između špijunaže i krađe podataka. Mislim da se na ovu temu raspravlja i u Vladi i van nje i ne mislim da je ta rasprava već iscrpljena.”

Osim toga, glavni govor Williama Lynna bila je javna objava pet principa na kojima se temelji nova strategija kibernetičke sigurnosti Sjedinjenih Država. Da citiram zamjenika američkog ministra odbrane bez rezova:
“Prvi od ovih principa je da moramo prepoznati sajber prostor za ono što je postao – nova ratna zona. Baš kao kopno, more, zrak i svemir, moramo gledati na cyber prostor kao na područje naših operacija, koje ćemo braniti i na koje ćemo proširiti našu vojnu doktrinu. To je ono što nas je potaknulo da stvorimo jedinstvenu Cyber komandu pod Strateškom komandom.

Drugi princip koji sam već spomenuo je da odbrana mora biti aktivna. Trebao bi uključiti dvije općenito prihvaćene linije pasivne odbrane – u stvari, ovo je uobičajena higijena: zakrpe na vrijeme, ažuriranje antivirusnih programa, poboljšanje zaštitnih sredstava. Potrebna nam je i druga linija odbrane koju koriste privatne kompanije: detektori upada, programi za nadzor bezbednosti. Svi ovi alati će vam vjerovatno pomoći da odbijete oko 80 posto napada. Preostalih 20 posto je vrlo gruba procjena - sofisticirani napadi koji se ne mogu spriječiti ili zaustaviti krpljenjem rupa. Potreban je mnogo aktivniji arsenal. Potrebni su nam alati koji mogu otkriti i blokirati zlonamjernog koda... Potrebni su nam programi koji će identificirati i progoniti zlonamjerne elemente koji su upali u vašu mrežu. Kada ih pronađete, trebali biste moći blokirati njihovu komunikaciju s vanjskom mrežom. Drugim riječima, više liči na mobilno ratovanje nego na Maginotovu liniju.

Treći princip strategije kibernetičke sigurnosti je zaštita civilne infrastrukture.

Četvrto, Sjedinjene Države i njihovi saveznici moraju poduzeti mjere kolektivne odbrane. Na predstojećem samitu NATO-a u Lisabonu bit će donesene važne odluke u tom pogledu.

Konačno, peti princip je da Sjedinjene Države moraju ostati na čelu razvoja softvera."

Zanimljiva je reakcija Dmitrija Rogozina, stalnog predstavnika Rusije pri NATO-u, na procese koji se odvijaju u Alijansi. Po svemu sudeći, Rusija je izuzetno zabrinuta zbog predstojećeg samita NATO-a u Lisabonu, koji će se održati 20. novembra, jer se upravo tamo planira razjasniti dilema da li je napad na vojne i vladine kompjuterske mreže članice NATO-a smatrao izgovorom da se koristi član 5 Vašingtonskog ugovora i odgovori kolektivnim vojnim udarom. Rogozin u svom karakterističnom stilu piše: „Konačno ćemo saznati da li je dozvoljeno da NATO udari stanove hakera snažnom bombom ili se pretpostavlja da sajber rat neće ići dalje od sajber prostora. V poslednji scenario Imam dobar razlog da sumnjam u to. Bukvalno pred našim očima, u zapadnoj periodici se odvija ogroman skandal u vezi sa širenjem kompjuterskog crva po imenu Stuxnet. Navikla sam da čitam i slanje SMS-a latinicom, pa sam odmah pročitao naziv virusa kao ruski glagol budućeg vremena: "izići će". Budite sigurni da će nekome nešto ugasiti ili pasti, i onima koji su lansirali ovaj virus. Kao što znate, ko seje vetar, požnjeće oluju." Ne usuđujući se da komentarišemo književno i kreativno istraživanje gospodina Rogozina, napominjemo da je upravo Rusija okrivljena za dva najveća hakerska napada na čitave države (Estoniju i Gruziju) - možda je to izazvalo ovako burnu reakciju impresivni opunomoćenik.

Tako je, u pozadini histerije koju je izazvao Stuxnet, brojne države proglasile potrebu formiranja zajedničke politike za sprječavanje sajber napada. Hoće li to dovesti do željenog rezultata, čak i ako pretpostavimo da će se izraditi (i potpisati) dokument koji reguliše upotrebu destruktivnih tehnologija? Čini se da je IT Business week krajnje sumnjiv, iskušenja koja nude visoke tehnologije: anonimnost, sigurnost (za napadača), neviđeni odnos cijene i efikasnosti. To znači da je Stuxnet bio samo prva lasta ere tehno-socijalne revolucije, koja uopće nije započela onako kako se sanjalo.

Tagovi:

virus
Stuxnet
Iran

Dodaj oznake

Stuxnet je zapravo prvi virus u historiji koji je prešao granicu sajber prostora u stvarni fizički svijet, prvi virus koji je sposoban pokvariti ne samo podatke i programski kod, ali i sasvim prave mašine i instalacije.

Pavel Volobujev,
Specijalista za sigurnost informacija
tehnološki sistemi,
Digitalna sigurnost

Mnogo je pisano o ovom crvu. Ali ipak, iz čudnih razloga, ne onoliko koliko bi mogli, jer ne govorimo samo o običnom virusu. Stuxnet je zapravo prvi virus u historiji koji je prešao granicu sajber prostora u stvarni fizički svijet, prvi virus koji je sposoban pokvariti ne samo podatke i programski kod, već i sasvim stvarne mašine i instalacije. Njegov izgled ne samo da je otkrio sljedeće ranjivosti u Microsoft operativnim sistemima, već je i usmjerio poglede stručnjaka za sigurnost informacija na potpuno novo područje za njih - sigurnost industrijskih sistema. Ranije je malo ko razmišljao o tome, iako su neke kompanije na to upozoravale prije nekoliko godina. Razlozi su sasvim jasni: industrijske mreže su obično izolirane ne samo od javnih mreža, već i od interne mreže preduzeća, koriste vrlo specifičnu opremu i softver, svi procesi su jasno regulisani. Čini se da opasnosti jednostavno ne može biti! Ali kako se ispostavilo, to nije slučaj. Sličnu "fantastičnu" sliku mogli smo vidjeti i u već prilično starom filmu "Hakeri". Programeri Stuxnet crva uspjeli su lako zaobići ovu naizgled najpouzdaniju fizičku zaštitu. Zašto "programeri"? Jer ovdje se nesumnjivo radi ne o jednoj osobi, već o cijeloj grupi, koja je pored profesionalnih programera i exploit pisaca uključivala inženjere i ICS stručnjake koji poznaju specifičnosti rada sa industrijskim kontrolerima i drugom perifernom opremom. Pitanja je mnogo, ali odgovori... unatoč činjenici da je prošlo 4 mjeseca od prvog otkrivanja crva, još nema jasnih odgovora. Postoji nekoliko razloga za to:

Prvo, ovo je možda prvi slučaj zlonamjernog programa usmjerenog posebno na industrijske sisteme;
Drugo, stručnjaci za informacijsku sigurnost i antivirusnu zaštitu obično imaju izuzetno daleku predstavu o tome što su PLC i SCADA, a stručnjaci za sisteme upravljanja procesima daleko su od informacione sigurnosti, što uvelike otežava analizu virusa;
I konačno, budući da je virus utjecao na rad najvećih industrijskih i energetskih kompanija, informacije o njemu se pažljivo skrivaju. A ako menadžment kompanija zna i zabrinut je za ovaj problem, onda se prikrivanje informacija obično dešava na nižem nivou.

Digital Security je jedna od rijetkih kompanija u Rusiji koja radi u oblasti informacione sigurnosti, koja zapošljava stručnjake sa iskustvom u razvoju i implementaciji. automatizovani sistemi upravljanje složenim tehnološkim procesima. I iz tog razloga smo odlučili da sprovedemo sopstvenu analizu kako bismo shvatili šta se zaista dešava.

Dakle, hajde da pokušamo da to shvatimo po redu...

Industrijska mreža: šta je to?

Zamislite industrijsku instalaciju koja nešto radi i čijim jedinicama treba upravljati prema datom algoritmu. Vagamo ovu instalaciju razni senzori i aktuatora i spojiti na PLC - kontroler, koji izvodi ovaj algoritam. Istovremeno, kontroler provjerava nivoe temperature, napona, pritiska, prati brzinu motora, uključuje i isključuje različite mehanizme. A ako neki parametri prelaze dozvoljeno (podešavanja ovih granica su takođe zapisana u kontroleru), zaustavlja se instalacija ili tehnološki proces. Može biti mnogo instalacija, odnosno kontrolera. Oni obično međusobno komuniciraju putem Etherneta, RS485 i njihovih varijacija. Industrijski Ethernet je redovna mreža Ethernet u kojem aktivna oprema za industrijske mreže otporniji je na vanjske utjecaje, vibracije, elektromagnetne smetnje, temperaturu, vlažnost itd. Industrijski protokoli Modbus, Profibus itd. u modernim industrijskim mrežama često rade preko TCP/IP. U stvari, postoje, naravno, razlike u odnosu na klasične mreže, ali one nisu fundamentalne u kontekstu ovog članka.

Sam kontroler je isti računar, ali u minijaturnom dizajnu, dizajniran za obavljanje određenih zadataka, i sa sopstvenim operativnim sistemom. OS na industrijskim kontrolerima - obično samorazvijen proizvođača, informacije o kojima su nedostupne - QNX (rjeđe Lunix) ili DOS. Struktura kontrolera je, u pravilu, modularna: na njih su povezani različiti I/O moduli za rješavanje niza zadataka. I sve bi bilo u redu, ali pored kontrolora, rad procesa prati i ljudski operater. I, naravno, za njega je nezgodno ručno pratiti informacije od desetina, a često i stotina kontrolora. Za operatera je u industrijskoj mreži instalirana automatizirana radna stanica - Automatizirana Workplace... AWP je računar sa Windows operativnim sistemom, na kojem je instaliran program za prikaz tehnološkog procesa (SCADA). SCADA prikazuje očitanja sa kontrolera, pruža mogućnost upravljanja mehanizmima ručni način rada i omogućava promjenu nekih parametara tehnološkog procesa, kao i arhive zapisa. Na radnim stanicama se često instalira baza podataka za bilježenje statistike i generiranje izvještaja. U mreži može biti nekoliko radnih stanica - njihov broj ovisi o veličini proizvodnje i broju operatera. Radne stanice su uvijek u istoj mreži sa kontrolerima. Često na njima nije instaliran antivirusni softver, a ako je instaliran, onda se sigurno ne ažurira. Vjeruje se da se virusi u ovom izoliranom okruženju ne mogu pojaviti ni na koji način... Također je vrijedno napomenuti da se prirodno ne dešava ažuriranje sistemskog softvera na radnim stanicama: mnogi od njih i dalje rade pod Windows XP SP1 ili, bez Servisni paketšto ih čini izuzetno ranjivim.

Mnogi ljudi koji nisu upoznati sa sistemom upravljanja procesima imaju sasvim logično pitanje: da li postoji punopravni kompjuteri koji mogu upravljati svime, zašto i kontroleri? Odgovor je jednostavan: njima se ne vjeruje. Računari ispod Windows kontrola imaju tendenciju da "vise", i, u stvari, Windows ne tvrdi da je Realtime OS. A kontroleri imaju sopstveni operativni sistem, sopstveno industrijsko redundantno napajanje, a tolerancija grešaka je nekoliko puta veća od bilo kog personalnog računara.

Naravno, ovo je bilo vrlo površno objašnjenje principa rada industrijskih sistema, ali bez toga bi bilo teško govoriti o samom crvu, a što je najvažnije, o problemima vezanim za njegovo liječenje. Dakle Stuxnet...

Stuxnet - šta je to?

Govorimo o izuzetno visokotehnološkom malveru u svim njegovim oblicima. Ovaj crv iskorištava četiri ranije nepoznate ranjivosti u Microsoft Windows-u, od kojih je jedna dizajnirana da se širi kada pomoć USB-flash pogoni. Štaviše, ova ranjivost je otkrivena u svim verzijama Windowsa, uključujući XP, CE, Vista, 7, Windows Server 2003, 2008 i 2008R2 u 32-bitnim i 64-bitnim verzijama. Ranjivost leži u izvršavanju koda kada sistem pokušava da prikaže ikonu sa diska, na primer, kada se gleda u Exploreru. Izvršavanje koda se dešava čak i kada je automatsko pokretanje potpuno onemogućeno za sve medije. Osim toga, kod zlonamjernog softvera implementira mogućnost zaraze putem mreže. Ali, ipak, crv je do većine industrijskih objekata došao upravo preko vanjskih nosača - kako i zašto će biti opisano nešto kasnije. Veliki doprinos analizi koda crva i ranjivosti koje koristi dalo je rusko predstavništvo ESET-a na čelu sa Aleksandrom Matrosovim.

Crv instalira dva drajvera u sistem, od kojih je jedan drajver filtera sistem podataka koji skriva prisustvo zlonamjernih komponenti prenosivi medij... Drugi drajver se koristi za ubacivanje šifrovane biblioteke dinamičke veze u sistemski procesi i sadrži specijalizovani softver za obavljanje glavnog zadatka. Upravljački programi koje trojanac instalira na sistem imaju digitalne potpise ukradene od proizvođača legitimnog softvera. Poznato je da se koriste potpisi u vlasništvu kompanija kao što je Realtek Semiconductor Corp. i JMicron Technology Corp. Napadači koriste digitalni potpis da tiho instalirate rootkit drajvere na ciljni sistem. U sigurnosnim sistemima mnogih proizvođača fajlovi koje potpisuju poznate kompanije namjerno se smatraju sigurnima, a prisustvo potpisa omogućava nesmetano obavljanje radnji u sistemu bez lažnog predstavljanja. Osim toga, crv ima mehanizme za kontrolu broja infekcija, samouništenje i daljinsko upravljanje.

Osim što se širi putem vanjskih medija, crv također uspješno inficira računare putem LAN veze. Odnosno, kada se nađe na računaru izvan industrijske mreže, analizira sve aktivne mrežne veze i "probija" se u industrijsku mrežu od svih mogući načini... Nakon uvođenja u sistem, malver traži prisustvo Siemens SCADA sistema u njemu. Štaviše, napada samo SCADA WinCC / PCS7 sisteme. Nemamo podataka o zaraženosti još jednog SCADA sistema kompanije Siemens - Desigo Insight, koji se široko koristi za automatizaciju zgrada i stambenih kompleksa, aerodroma itd. To ukazuje da je crv "zaključan" u velikim industrijskim i strateškim objektima.

Kada crv "shvati" da se nalazi na WinCC mašini, ulazi u sistem koristeći standard Računi... Vrijedi napomenuti da zvanični Siemens ne preporučuje promjenu standardnih lozinki na svojim sistemima, jer "ovo može uticati na performanse sistema", a crv koristi standardne lozinke garantuje skoro 100% uspješnu autorizaciju. Dakle, virus se povezuje na WinCC i tako dobija pristup tehnološkom procesu. Ali to nije sve... On "gleda oko sebe". lokalna mreža AWP. Nakon što je u njemu pronašao druge AWP-ove, crv ih takođe zarazi, koristeći ranjivosti 0 dana u Windows servisu za štampanje (pored toga, crv može dobiti sistemske privilegije, ako je potrebno, koristeći još dvije ranjivosti nultog dana). Crv takođe vidi kontrolere na mreži. Ovdje smo došli do, možda, njegove najvažnije i najopasnije funkcionalnosti: da, Stuxnet može reprogramirati PLC, naravno ne sve, već samo Simatic iz Siemensa. A to nije tako malo, s obzirom na to da se ovi kontroleri koriste za izgradnju tehnološkog procesa na ogromnom broju objekata, uključujući strateške i vojne. Na primjer, nuklearna elektrana u Iranu (Bushehr), koju mnogi stručnjaci smatraju "metom" ovog sajber oružja (ovako je Eugene Kaspersky okarakterizirao crva), naravno, ne koristi Siemensove kontrolere za kontrolu samog reaktora, ali ih koristi u veliki broj za kontrolu pomoćne opreme. I to je sasvim dovoljno da crv paralizira rad nuklearne elektrane. Štaviše, sam proces "paralize" je veoma interesantan. Trojanac ne piše smeće kontrolerima i ne onemogućuje ih. Dovoljno je "živeti" u sistemu dugo vrijeme, akumulira informacije o tehnološkom procesu, o načinima rada opreme - o samim "zadatim vrijednostima" temperature, tlaka, učestalosti rada motora, što sam već spomenuo. I u nekom trenutku, Trojanac ih mijenja. Primjer: Recimo da je zadana vrijednost alarma za temperaturu rashladne tekućine u instalaciji 75 °C. Normalna radna temperatura je 40-45°C. Promjena vrijednosti zaustavljanja u nuždi u regulatoru sa 75 na 40 ' će uzrokovati da kontroler pokrene hitno zaustavljanje u trenutku kada dostigne svoj normalni radna temperatura... Ili još gore - zadana vrijednost se mijenja u drugom smjeru, a jedinica nastavlja raditi nakon pregrijavanja sve dok se potpuno ne uništi. Istovremeno, na ekranu SCADA sistema, operater nastavlja da vidi normalne vrijednosti i postavke, koje Trojanac zamjenjuje u realnom vremenu. A ako je to, na primjer, plinska pumpna jedinica kojom ACS upravlja turbinskim jedinicama "najnovije" generacije, onda promjena postavki može dovesti do nestanka cijele kompresorske stanice s karte, zajedno s okolnim područjima.

U jednoj od verzija crva, koju su "rastavili" stručnjaci Symantec-a, pronađena je funkcionalnost za upravljanje pogonima promjenjive frekvencije (VFD) elektromotora, štoviše, od dva određena proizvođača, kada rade na određenoj frekvenciji. Prema najnovijim izvještajima, u Iranu je crv već doveo do kvara velikog broja centrifuga koje se koriste za obogaćivanje uranijuma. VFD je korišten u njihovom upravljanju. Čitalac može postaviti logično pitanje: treba li biti zabrinut da se centrifuge pokvare u Iranu? Odgovor je jednostavan: Stuxnet može, na primjer, onesposobiti Sapsanove vlakove metaka, koji su u potpunosti izgrađeni na Simatic sistemima i koriste veliki broj tih istih "frekventnih radnika" u svom radu... I ne samo Sapsan, već ogroman broj veoma različitih sistema...

Još jedna zanimljiva funkcionalna karakteristika virusa je traženje aktivne internetske veze i slanje informacija na određene adrese. Očigledno je upravo ova karakteristika postala razlog za izjavu stručnjaka Danilovljeve antivirusne laboratorije o mogućoj upotrebi trojanca kao alata za industrijsku špijunažu. Crv se također može ažurirati putem interneta, a upravo to je razlog što se „uhvaćene“ kopije virusa za različite analitičare uvelike razlikuju kako po veličini (od oko 500k do više od 2MB) tako i po funkcionalnosti. .

Čemu sve ove mogućnosti interneta kada industrijske mreže nisu povezane na internet? Želim da vas uznemirim: povezan. Ne svi, i ne trajno, ali povezani. U nekim preduzećima komunikacija se odvija preko druge mrežne kartice na AWP za daljinski upravljač i prikupljanje statistike, o ostalima - korištenje GSM modema za udaljenu tehničku podršku ili slanje. U nekim slučajevima, sistem kontrole procesa i ERP sistem preduzeća su generalno "u jednoj boci"... Postoji mnogo načina da se izađe u spoljni svet, a to nije fundamentalno... glavna stvar je sama činjenica: mnoge industrijske mreže su povezane na mreže opšti pristup na stalnoj ili privremenoj osnovi.

Lokalna politika i situacija

Danas svi moderni antivirusni programi uspješno čiste računare od Stuxnet crva. I čini se da je sve u redu: antivirusi tretiraju mašine od crva, Microsoft je objavio ažuriranja da eliminiše kritične ranjivosti koje crv koristi za širenje, SIEMENS je takođe objavio zakrpu za WinCC. Da li je problem riješen? Ne... Antivirus samo čisti radnu stanicu od malwarea, odnosno tog dijela tehnološke mreže koji radi na Windows-u. Ali šta je sa kontrolorima? I tu dolazimo do najzanimljivijeg...

Kao što je gore spomenuto, glavni izvor širenja crva su vanjski mediji. Prema propisima gotovo svih preduzeća, povezivanje takvih nosača, posebno ličnih, strogo je zabranjeno. Ali ko poštuje propise... Operateru koji sjedi u noćnoj smjeni jako je dosadno: preduzeće je tiho, nema nikoga, tehnološki proces je u automatski način rada... a pred očima automatizovano radno mesto, odnosno kompjuter! Želim da gledam film, da se igram igračkom. Prema našem iskustvu rada na sajtovima, može se tvrditi da je bilo, ima i biće virusa na radnim stanicama. Kompanije koje se bave razvojem i podrškom automatizovanih sistema kontrole procesa, s vremena na vreme, posebno šalju svoje stručnjake u objekte da čiste radne stanice i pronađu mnoge viruse. I ovaj problem uopće nije nov... samo donedavno virusi nisu napadali industrijske kontrolere, a njihovo prisustvo na radnim stanicama, iako je donosilo neke neugodnosti, nije predstavljalo pravu opasnost.

Kako se zaštititi od ovakvih radnji osoblja? Ako CD/DVD uređaji jednostavno nisu instalirani u mašine korisnika, onda USB ulazi uvek podrazumevano. Elegantno rješenje pronašli su tehnički stručnjaci jedne od komercijalnih banaka Sankt Peterburga - svi USB portovi su bili napunjeni ljepilom iz termalnog pištolja. Ali takvo rješenje nije uvijek moguće koristiti, jer može postojati potreba za korištenjem USB portova, na primjer, za sigurnosne ključeve za softverske proizvode ili za prijenos informacija od strane inženjerskog osoblja. Osim toga, alati korisničkog interfejsa i štampači se često koriste preko USB-a, tako da fizičko uništenje portova nije sasvim prikladno, zbog čega se ne preporučuje pribjegavanje takvima radikalne mere... Jedini način da zaštitite sisteme od infekcija, i to ne samo od Stuxneta, već i od neke druge infekcije, jeste da poštujete propise kompanije i elementarna pravila sigurnost informacija. Nažalost, ovom aspektu se posvećuje malo pažnje, a često se na njega potpuno zaboravlja. Iz ličnog iskustva znam da zaposleni u većini objekata i ne razmišljaju o posljedicama kompjuterske igrice instalirane na radnoj stanici, ili GSM modema ponesenog za "surfovanje" sa radne stanice preko interneta. Osoblje takođe često nema osnovne stvari poznavanje rada na računaru... Šefovi ili ne znaju šta se dešava, ili zatvaraju oči na to, iako ni u kom slučaju ne bi trebali. Osoblje koje direktno radi sa AWP-ima i drugim delovima modernog APCS-a trebalo bi da prođe odgovarajuću obuku i instrukcije, uključujući i pitanja bezbednosti informacija, ali to se, nažalost, ne dešava.
Ovo objašnjava činjenicu da je Stuxnet prisutan na velikom broju sajtova i sistema, ali činjenicu da je takva prisutnost pažljivo sakrivena od strane osoblja i menadžera "na terenu". Svjesni smo činjenica ovakvog prikrivanja, kada je menadžment jedne velike kompanije, nakon pojave Stuxneta, svim svojim stranicama poslao uputstva i softver za otkrivanje i liječenje virusa. I virus je zaista nađen na mnogim predmetima, ali NIKO GA NE TRETI! Razlog: da biste uspješno očistili sistem od virusa, potrebno je ponovo pokrenuti sistem(e), odnosno zaustaviti tehnološki proces. Također se preporučuje prisustvo stručnjaka kako bi se identificirali i moguća popravka promjene u kontrolerima. Nije lako zaustaviti fabriku, radionicu ili celo preduzeće: ovo je hitan slučaj koji treba nečim opravdati. I nemoguće je opravdati prisustvo zlonamjernog softvera, jer su lokalni čelnici odgovorni za provođenje propisa i uputstava. Ako je crv ušao u sistem, onda instrukcije nisu poštovane i menadžer će biti u nevolji. I niko ne želi nevolje... Objekti i dalje žive sa Stuxnetom, i ne samo sa njim, već svi sedimo na ovom "buretu baruta". Upravo na "bure baruta", jer niko ne može garantovati da dok "uspavani" Trojanac u nekom trenutku ne napadne nijedan od ovih objekata ili se neće pojaviti nova instanca. Prema našim informacijama, pored iranskog nuklearnog programa, Stuxnet je nekima već uspio naštetiti industrijska preduzeća u Kini i raznim objektima u drugim zemljama, a ti sistemi nisu bili vezani za nuklearne programe.

Tretman

Kao što je gore navedeno, Stuxnet je uspješno otkriven i tretiran svim modernim antivirusnim alatima. I, ipak, postoje suptilnosti: nakon čišćenja sistema od crva, potrebno je provjeriti da li programi i postavke u kontrolerima odgovaraju stvarnim vrijednostima potrebnim za normalan rad ACS-a. Ako je potrebno, potrebno je ispraviti programe. U tome mogu pomoći stručnjaci odjela za instrumentaciju i automatizaciju sistema instrumentacije i automatizacije ili proizvođači automatiziranih sistema upravljanja procesima. Mi u Digital Security također možemo pomoći u tome. Kada se tretiraju sistemi uključeni Windows baziran CE / Embedded nikada ne smije instalirati antivirusni softver direktno na računar koji koristi ovu verziju Windows-a. Sistem se mora zaustaviti, preko posebnog adaptera, povezati medij sa drugim računarom sa instaliranim antivirusnim softverom i očistiti ga. Zvanična uputstva za uklanjanje Stuxnet crva mogu se naći na web stranici Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view. Također možete preuzeti i poseban uslužni program da biste uklonili Stuxnet, WinCC zakrpu i Microsoft zakrpu koje je potrebno instalirati da biste izbjegli ponovna infekcija... Ako imate bilo kakvih pitanja, obratite se stručnjacima za sigurnost informacija za pomoć. Umesno bi bilo napomenuti da je glavni "junak prilike" - SIEMENS sa svojim "curevim" softverom i divnim preporukama o "nedopustivosti menjanja lozinki" (pitam se zašto je u ovom slučaju bilo potrebno utrošiti vreme na kreiranje funkcija zahtjeva za lozinkom) vrlo je lakonski u svojim izjavama ... Iz kompanije tvrde da je prema njenim informacijama crv otkriven kod tek nešto više od dvadesetak njenih kupaca, a nije bilo slučajeva poremećaja tehnološkog procesa. Ovdje je potrebno dati neka pojašnjenja:

Govoreći o broju zaraženih, kompanija misli na svoje direktne kupce, odnosno objekte koje je "gradio" direktno sam SIEMENS, bez posrednika. Zaista, takvih objekata nema toliko, a govorimo o najvećim objektima na globalnoj razini. Prema nezvaničnim podacima, Stuxnet je zarazio milione računara i desetine hiljada objekata širom sveta, a prema antivirusnom monitoringu nastavlja da zarazi brzinom od desetine hiljada mašina dnevno.
Nisu sva preduzeća prošla reviziju, a mnoge stranice imaju Stuxnet, ali niko ne zna za to.
I što je najgore: na mnogim objektima postoji crv, oni znaju za to, ali ništa ne rade po tom pitanju. Razlozi ovakvog ponašanja, koje se osim kriminalnim, ne mogu nazvati, pisani su gore.

Provjerite sve industrijske sisteme na Stuxnet i drugi zlonamjerni softver. Gospodo šefovi velikih kompanija, obična direktiva "na lice mesta" nije dovoljna - neće niko ništa! Morate ili poslati svoje ljude na lokacije radi obaveznog otkrivanja i liječenja, ili zatražiti pomoć od nezavisnih stručnjaka treće strane.
Ažurirajte OS na radnim stanicama najnovijim dostupnim ažuriranjima i zakrpama.
Na AWP-ovima, koji su iz nekog razloga povezani s javnim mrežama, potrebno je instalirati antivirusni softver i pratiti njegova ažuriranja.
Obezbedite sistem rezervne kopije Softver je u početnom stanju kako bi se osigurala mogućnost oporavka u slučaju oštećenja od virusa ili drugih faktora.
Sprovesti program obuke za osoblje o pitanjima sigurnosti informacija.
Sprovedite redovnu reviziju APCS sistema od strane kvalifikovanih stručnjaka za usklađenost sa sigurnosnim zahtjevima. Takva revizija bi trebala uključivati barem provjeru segmentacije mreže, procedure ažuriranja, proces kontrole, svijest AWP operatera i još mnogo toga.

U pripremi su korišćeni materijali sledećih kompanija: ESET, SYMANTEC, Kaspersky Anti-Virus Laboratory, Danilov's Anti-Virus Laboratory, Siemens, kao i lično iskustvo autora stečeno tokom rada kao inženjera za puštanje u rad automatizovanog sistema kontrole procesa. .
Autor se posebno zahvaljuje inženjersko-tehničkom osoblju Naučno-proizvodnog preduzeća "LENPROMAVTOMATIKA" Digitalna sigurnost, kao vodećeg specijaliste za informatičku sigurnost tehnoloških sistema.

“Ne znam kojim oružjem će se boriti u trećem svjetskom ratu, ali kamenje i toljage će se koristiti u četvrtom”
Albert Einstein