Eclipsed by Stuxnet: o novom virusu. Virus je strašniji od bombe

09.04.2019 Recenzije

klasa ranjivosti nazvana 0day. 0day je pojam koji označava ranjivosti (ponekad i sam zlonamjerni softver) protiv kojih su zaštitni mehanizmi antivirusa i drugih programa za zaštitu vašeg računala nemoćni. Ovaj koncept se pojavio jer kibernetički kriminalci koji su otkrili ranjivost u programu ili operativnom sustavu svoj napad izvode odmah najkasnije prvog ("nulti dan") dana kada je programer obaviješten o otkrivenoj grešci. Naravno, to znači da programer nema vremena popraviti ranjivost na vrijeme, što širi složene epidemije zlonamjernog softvera koji se ne može liječiti na vrijeme. Na ovaj trenutak razni napadači svoju pozornost usmjeravaju upravo na pronalaženje takvih ranjivosti. Prije svega, obraćaju pažnju na takve softver, koji je postao raširen. Zaraziti takve softver zlonamjernog koda, napadač će zajamčeno primiti maksimalni učinak od njihovih postupaka. Pri čemu antivirusni softverće biti nemoćni, jer neće moći identificirati zlonamjerni kod koji se nalazi u popularan program... Jedan od takvih primjera bio je gornji primjer, kada je virus zarazio Delphi servisne datoteke i time ubacio svoj kod u razni programi koji su kompilirani ovim prevoditeljem. Budući da su takvi programi bili u širokoj uporabi, zaražen je veliki broj korisnika. Sve je to dalo do znanja kibernetičkim kriminalcima da su takvi napadi prilično učinkoviti i da se mogu koristiti u budućnosti. Međutim, pronalaženje ranjivosti 0 dana prilično je naporan proces. Kako bi pronašli takvu ranjivost, napadači pribjegavaju raznim testovima na stres. softver, raščlanjivanje koda na dijelove, kao i traženje raznih pogrešaka u kodu programera. Ali ako su te akcije uspješne, a ranjivost se pronađe, onda možemo pretpostaviti da će je napadači svakako iskoristiti. Daleko najpoznatiji zlonamjerni softver koji iskorištava ranjivost 0 dana u softveru je Stuxnet crv, koji je otkriven u ljeto 2010. godine. Stuxnet je iskoristio ranije nepoznatu ranjivost u operacijskim sustavima Windows koja se odnosi na algoritam obrade prečaca. Treba napomenuti da je uz ranjivost 0 dana, Stuxnet iskoristio još tri ranije poznate ranjivosti. Ranjivosti nultog dana također omogućuju napadačima stvaranje zlonamjernog softvera koji može zaobići antivirusnu zaštitu, što je također opasno za prosječnog korisnika. Osim takvih ranjivosti (0day), postoje i prilično česte ranjivosti koje napadač neprestano iskorištava. Druga opasna vrsta ranjivosti su ranjivosti koje koriste Ring 0 operacijski sustav... Prsten 0 koristi se za pisanje raznih drajveri sustava... Ovo je posebna razina s koje se provodi potpuna kontrola preko operativnog sustava. Napadač je u ovom slučaju poput programera koji piše drajver za operativni sustav, jer je u ovom slučaju pisanje zlonamjernog programa i drajvera identičan slučaj. Napadač koristi funkcije sustava a calls pokušava svom zlonamjernom programu dati funkciju prolaska kroz prsten 0.

Opasnost od krađe identiteta s mobitela

Da je tako nešto rečeno prije doslovno 7 godina, onda se, najvjerojatnije, takvoj činjenici jednostavno ne bi vjerovali. Rizik od krađe osobnih podataka korisnika mobilnih telefona danas je iznimno velik. Postoji mnogo zlonamjernih programa koji kradu osobne podatke s mobilnih telefona korisnika. A donedavno nitko nije mogao zamisliti da će mobilne platforme biti zanimljive cyber kriminalcima. Povijest virusa počinje 2004. godine. Upravo se ova godina smatra polaznom točkom za mobilni virusi... Istodobno, virus stvoren ove godine bio je usklađen sa Symbian sustavom. Bila je to demonstracija same mogućnosti postojanja virusa na platformi operacijskog sustava Symbian. Autori ovakvog razvoja, vođeni znatiželjom i željom da pomognu u jačanju sigurnosti sustava koji su napali, obično nisu zainteresirani za njihovu distribuciju ili zlonamjerno korištenje. Doista, originalna kopija virusa Worm .SymbOS.Cabir poslana je antivirusnim tvrtkama u ime samog autora, no kasnije su se izvorni kodovi crva pojavili na internetu, što je dovelo do stvaranja velikog broja nove modifikacije ovog zlonamjernog programa. Zapravo, nakon objave izvornog koda, Cabir je počeo sam "lutati". Mobiteli u cijelom svijetu. Ušlo je u nevolje obični korisnici pametnih telefona, ali do epidemije u biti nije došlo, budući da su antivirusne tvrtke imale i izvorne kodove za ovaj virus i tada su počela prva izdanja antivirusa za mobilne platforme. Nakon toga, počeli su se širiti različiti sklopovi ovog virusa, koji, međutim, nisu učinili mnogo štete. Slijedio je prvi backdoor (zlonamjerni program koji omogućuje pristup sustavu izvana). Njegova funkcionalnost omogućuje prijenos datoteka u oba smjera i prikaz tekstualnih poruka na zaslonu. Kada se zaraženi uređaj spoji na internet, backdoor šalje svoju IP adresu putem e-pošte svom domaćinu. Nakon toga se pojavio još jedan zlonamjerni program za mobilne platforme... Program je SIS datoteka - instalacijska aplikacija za Symbian platformu. Pokretanje i instalacija u sustav rezultira zamjenom ikona (AIF datoteka) standardnih aplikacija operativnog sustava s ikonom lubanje. Istovremeno se u sustav instaliraju nove aplikacije, povrh originalnih. Prepisane aplikacije prestaju funkcionirati. Sve su to preuzeli razni amateri u pisanju zlonamjernih programa, koji su počeli proizvoditi sve vrste modifikacija starih virusa, a također su pokušali stvoriti vlastite. Međutim, u to su vrijeme svi zlonamjerni programi za mobilne platforme bili prilično primitivni i nisu se mogli usporediti sa svojim kolegama zlonamjernih programa na računalu. Program pod nazivom Trojan.SymbOS Lockhunt napravio je veliku pomutnju. Ovaj program je bio trojanski konj. Iskorištava "lakovjernost" (nedostatak provjere integriteta datoteke). Nakon pokretanja, virus stvara mapu u direktoriju sustava / system / apps / s disonantnim imenom gavno s gledišta ruskog jezika, unutar koje se nalazi datoteka gavno. app i prateći gavno.rsc i gavno_caption.rsc. Štoviše, u svim datotekama umjesto u odgovarajućim njihovim formatima servisne informacije a kod sadrži običan tekst. Operacijski sustav samo na temelju ekstenzije datoteke gavno. app, smatra je izvršnom - i visi pokušavajući pokrenuti "aplikaciju" nakon ponovnog pokretanja. Postaje nemoguće uključiti pametni telefon. Nakon ovih virusa, u osnovi, slijede virusi istog tipa, koji se mogu prenositi raznim tehnologijama.

Sama ranjivost mobilnih platformi je prilično visoka, budući da ne postoje takvi alati koji bi pouzdano zaštitili mobilne platforme. Osim toga, potrebno je uzeti u obzir činjenicu da su moderne mobilne platforme već vrlo bliske konvencionalnim operativnim sustavima, što znači da algoritmi za utjecaj na njih ostaju slični. Osim toga, mobilne platforme imaju dvije prilično specifične metode prijenosa podataka koje nemaju računala - to su Bluetooth i MMS tehnologija. Bluetooth tehnologija bežični prijenos podaci razvijeni 1998. Danas se naširoko koristi za razmjenu podataka između razni uređaji: telefoni i slušalice za njih, džep i stolna računala i druge tehnike. Bluetooth komunikacija obično radi na udaljenosti do 10-20 metara, nije ometana fizičkim preprekama (zidovima) i pruža teoretske brzina prijenosa podataka do 721 kbps. MMS - relativno stara tehnologija, dizajniran za proširenje funkcionalnosti SMS-a s mogućnošću prijenosa slika, melodija i video zapisa. Za razliku od servisa

Neuspjeh tako velikog broja centrifuga natjerao me da se zapitam je li to rezultat neke vrste sabotaže planirane uz pomoć nedavno nastalog računalnog virusa Stuxnet, koji je u Iranu bio prilično raširen u usporedbi s drugim državama, što bi moglo poslužiti kao dokaz da su programeri virusa ciljali na Iran. I, kako se ispostavilo, izravno u postrojenje za obogaćivanje urana, koristeći poznate ranjivosti svog operativnog sustava i zloglasni “ ljudski faktor».

No, kupac je nepoznat, hipotetski izvršitelj je navodno zaposlenik Siemensa koji je umetnuo zaraženi flash disk u sustav kontrole proizvodnje. Šteta nanesena iranskom nuklearnom programu u u ovom slučaju usporediva sa štetom od ozloglašenog napada izraelskog ratnog zrakoplovstva 1981., neposredno uoči puštanja u rad nuklearne elektrane, kada je kompletna infrastruktura poduzeća potpuno uništena.

Kao što svjedoče rezultati istrage, upravo cyber napadi mogu postati idealan alat za tako veliku štetu na opremi – brzi su, vrlo učinkoviti u svojoj destruktivnosti, a ujedno su i apsolutno anonimni.

Treba napomenuti da virus Stuxnet napada na razini logičkih kontrolera (kontroleri su računala koja upravljaju velikim industrijskim i energetskim kompleksima), zarazujući softversku bazu sustava. Njegovi ciljevi uključuju pretvarače s varijabilnom frekvencijom (VFD). Među aktiviranim frekvencijama koje se nalaze u tijelu virusa, postoje i one koje mogu utjecati na elektroničku opremu iranskih IR-1 centrifuga. Iako sama po sebi ova okolnost ne znači ništa.

Nije poznato što su programeri virusa zapravo htjeli. Ako su si postavili upravo zadatak da fizički unište centrifuge, onda njihov plan nije uspio, jer ga virus Stuxnet nije osigurao. Ali ako su namjeravali oštetiti određene centrifugalne jedinice ili ih onesposobiti na duže vrijeme, onda su možda i uspjeli, budući da je šteta koju je virus prouzročio bila iznenadna i vrlo opipljiva. Valja napomenuti da je kad je osoblje shvatilo da nešto nije u redu s radom centrifuga i prekinulo im napajanje, već bilo prekasno, a stanje u radionici je nalikovalo na posljedice terorističkog akta korištenja više eksplozivnih naprava u isto vrijeme.

Iran nije službeno priznao da je tvornicu pogodio računalni virus. No, na najvišoj je razini potvrđeno da su kibernetički napadi na njezina nuklearna postrojenja u tijeku. Na primjer, krajem studenog 2010. predsjednik Mahmoud Ahmadinejad rekao je da "ograničen broj centrifuga" ima problema sa softverom u elektronici.

Istovremeno, čelnik Iranske organizacije za atomsku energiju dr. Ali Akbar Salehi odredio je datum kada se virus Stuxnet pojavio na iranskim nuklearnim postrojenjima – to je sredina 2009. godine. Otuda i vrijeme koje je trebalo štetni virus potrebno je više od jedne godine da se putuje od prvih zaraženih osobnih računala do tvornice.

Štoviše, u 2009–2010. Iranski stručnjaci demontirali su i zamijenili oko 1000 centrifuga IR-1 u tvornici. I prije toga, ovaj prilično zastarjeli model centrifuga često je propadao (oko 10% godišnje), no zamjena tako velike serije kao 2010. godine natjerala nas je na razmišljanje, pokrenuti istraživanje i duboko znanstveno proučavanje ove problematike.

Naravno, postrojenje za obogaćivanje urana je zatvoreno poduzeće s ograničenim pristupom, visokom razinom tajnosti sustava zapovijedanja i upravljanja i nije povezano s internetom. Prema riječima stručnjaka, virus je do upravljačkih računala mogao doći samo preko osobnih računala stručnjaka za postrojenje - prvo zarazom njihovih kućnih računala ili preko računala ljudi koji su na neki način povezani s postrojenjem, a zatim preko njihovih flash diskova virus mogao doći do računala upravljačkih sustava.

Globalni novinski uvodnici puni su mračnih proročanstava o nadolazećoj eri cyber ratovanja. Stručnjaci od većine različitim smjerovima: od informatičke sigurnosti do lingvistike i antropologije. Valja napomenuti da su virus Stuxnet antivirusni laboratoriji davno otkrili, ali je o pravim razmjerima zaraze svijet saznao tek krajem rujna 2010. godine.

Iz očiglednih i logičnih razloga, programeri Stuxnet virusa radije se skrivaju. No, stručnjaci se usredotočuju na činjenicu da je sasvim očito da se složenost ovog virusa može nazvati neviđenom, a stvaranje takvog projekta zahtijeva velika intelektualna i financijska ulaganja, što znači da to mogu samo državne strukture. Stručnjaci se slažu da ovaj virus nije proizvod napora samo "skupine entuzijasta". Laurent Esloh, glavni sigurnosni službenik u Symantecu, procjenjuje da je najmanje 10 ljudi radilo na virusu Stuxnet u razdoblju od šest do devet mjeseci. Frank Rieger, Tehnički direktor GSMK podržava svog kolegu: prema njegovim riječima, virus je kreirao tim iskusnih programera, a razvoj je trajao oko šest mjeseci. Rieger također navodi procijenjene troškove stvaranja virusa Stuxnet: to je najmanje 3 milijuna dolara. Eugene Kaspersky, generalni direktor Kaspersky Laba, kaže o sabotažnoj svrsi virusa: „Stuxnet ne krade novac, ne šalje neželjenu poštu, i ne krade povjerljive informacije. Ovaj zlonamjerni softver stvoren je za kontrolu proizvodnih procesa i doslovno voditi ogroman proizvodni pogon. U nedavnoj prošlosti borili smo se protiv cyber kriminalaca i internet huligana, sada, bojim se, dolazi vrijeme za cyber terorizam, cyber oružje i cyber ratove." Tilman Werner, član zajednice stručnjaka za internetsku sigurnost, siguran je da usamljeni hakeri to ne mogu učiniti.

“Stuxnet je s tehničkog stajališta toliko sofisticiran da bi trebalo pretpostaviti da su u razvoj zlonamjernog programa bili uključeni stručnjaci iz vladinih agencija ili da su oni, prema barem pod uvjetom neke smislenu pomoć u svom stvaranju”, - kaže Werner.

Stručnjaci primjećuju da virus Stuxnet ulazi u računalo preko USB utičnice sa zaraženog medija, obično disk-on-ključ, popularno nazvan flash disk. Od tog trenutka samo zaraženo računalo postaje izvor zaraze.

I "crv" u njemu (virus Stuxnet ima šest različiti putevi prodora i konsolidacije u operacijski sustav računala) počinje djelovati izvan mreže. Više mu nije potrebna nikakva vanjska zapovijed. Od rođenja zna što mu je činiti. Virus Stuxnet testira sadržaj računala, naređuje dolazne i odlazne s njega i ponaša se potpuno normalno u odnosu na sustav koji ga je apsorbirao, ni na koji način ne šteti sebi ili svojim partnerima, sve dok ne naiđe na znakove cilja za koji je stvoren za lov – Siemensovi programi upravljanja proizvodnjom. A onda se pretvara u okrutnog grabežljivca-razarača.

Virus Stuxnet specijaliziran je za računalne programe za velike industrijske upravljačke sustave SCADA (Supervisory Control and Data Acquisition), odnosno "nadzorno upravljanje i prikupljanje podataka". Ovi sustavi reguliraju tehnološke procese elektrana, naftovoda i plinovoda, vojnih postrojenja, civilnih infrastrukturnih poduzeća itd.

Virus Stuxnet, posjedujući potrebne početne sposobnosti administratora sustava i poznavajući ranjivosti operativnog sustava, koje nitko ne poznaje, osim njega i njegovih tvoraca, uzdiže se u uspostavljenoj hijerarhiji upravljanja na razinu inicijacije zapovijedanja, zapravo preuzima vlast u sustavu i preusmjerava ga da izvrši svoju vlastitu destruktivnu svrhu.

Prije svega mijenja "glavu" računala i reprogramira program PLC (Programmable Logic Controler - programibilni logički kontroler), koji je odgovoran za logiku. I on sam počinje davati zapovijedi.

Prema Ralphu Langneru, stručnjaku za industrijsku sigurnost u Siemensu, virus Stuxnet može promijeniti radne parametre "operativnog bloka 35", koji prati kritične proizvodne situacije koje zahtijevaju hitan odgovor od 100 milisekundi. Ako je tako, ništa ne košta ogorčenog "crva" da dovede sustav do razorne nesreće.

Preuzimajući kontrolu, virus Stuxnet dosljedno dovodi sustav do prekida proizvodnje. On uopće nije špijun, kako su se mnogi u prvi mah nadali, on je saboter. Čim se izvorni kod PLC-a prestane izvršavati, tvrdi Ralph Langner, može se očekivati da će uskoro neka veza eksplodirati, srušiti se. I, najvjerojatnije, ispostavit će se da je to nešto važno.

Stručnjaci se slažu da je razvoj i implementacija ovako složenog virusa nepodnošljiv zadatak za hakera, grupu hakera ili bilo koju privatnu strukturu. Ovo je očito državni rad. Samo si je država mogla priuštiti lansiranje tako skupog "crva", čime bi ga zapravo deklasificirala, samo zbog za nju iznimno važnog cilja i samo zato što više nije mogla čekati.

U tom smislu, isti Ralph Langner daje logičnu pretpostavku da je virus Stuxnet, najvjerojatnije, već obavio svoj posao. Ipak, "crv", iako očito ne špijunski softver, ali daje neke informacije, uključujući i za širu javnost, barem po samoj činjenici svog postojanja.

Problemi koncerna Siemens

Širok poznata činjenica je da su NPP Bushehr izgradili ruski stručnjaci Atomstroyexporta na Ruske tehnologije i korištenjem Siemens kompjuteriziranih sustava kontrole proizvodnje.

Treba napomenuti da, prema mišljenju stručnjaka, virus Stuxnet inficira samo specifičnu vrstu Siemensovih kontrolera, a to je SIMATIC S7, koji, prema IAEA-i (Međunarodnoj agenciji za atomsku energiju), koristi Iran. Istodobno, oko 60% računala zaraženih virusom Stuxnet nalazi se u Iranu, a preostalih 40% u zemljama na neki način povezanim s njim: Indoneziji, Indiji i Pakistanu.

Važan detalj razmatranog pitanja je da je koncern Siemens aktivno sudjelovao 70-ih godina. prošlog stoljeća u pružanju opreme visoke tehnologije nuklearni program Iran. Nakon pobjede Islamske revolucije, koncern je prestao s radom u zemlji, ali onda su se Nijemci vratili, a Iran je za njih postao jedan od najvećih kupaca specifične opreme. No, nakon uvođenja međunarodnih sankcija, uz veliku nevoljkost i pod teškim pritiskom njemačke vlade, Siemens je najavio raskid ugovora s Iranom. Predstavnici koncerna i danas se na tu činjenicu pozivaju kao odgovor na prigovore koji se svako malo javljaju. Međutim, ubrzo su uhvaćeni kako isporučuju zabranjenu opremu i komponente dvostruke namjene koje bi se mogle koristiti za ugradnju u iranska nuklearna postrojenja, o čemu će biti riječi u nastavku.

Verzija softverske podrške

Kao iu cijelom svijetu poduzeća nuklearnog ciklusa, postrojenje za obogaćivanje urana je zatvoreno poduzeće i ima velika ograničenja, uključujući i ona koja se odnose na pristup stranaca na njezin teritorij. No, organizatori sabotaže imali su neke ideje o specifičnostima proizvodnog procesa. Dakle, u 2007.-2008. Tvornicu su posjetili inspektori IAEA-e - tada im iranske vlasti još nisu zatvorile vrata. Stručnjaci su saznali mnogo zanimljivih informacija čak i od službene iranske televizije i fotografija posvećenih posjetu tvornici predsjednika zemlje Mahmouda Ahmadinejada 2008. godine. Sigurnosne službe su tada radile iznenađujuće neprofesionalno. Dakle, na fotografiji ste mogli vidjeti monitore računala koji rade pod operativnim sustavom Windows; postalo je poznato koje se točno centrifuge koriste u Natanzu (zaobilazeći embargo na isporuku zabranjene opreme, Iran je kupio centrifuge iz Pakistana); a računalno upravljanje motorima centrifuge provodi se pomoću Siemens kontrolera. Uz ovu informaciju trebalo je samo odlučiti kako pouzdano uvesti zlonamjerni program u korporativnu računalnu mrežu, jer iz sigurnosnih razloga nije spojen na internet. A autori virusa Stuxnet došli su do pametnog rješenja:

Budući da se za potrebe specifične proizvodnje za Siemensove kontrolere uvijek izrađuje poseban softver (sam upravljački sustav), programi za upravljanje se na njih "ispisuju" po narudžbi, stoga se programeri naknadno uključuju u planiranu podršku i redovito isporučuju ažuriranja datoteke u proizvodnju. Najveći mogući način dostave informacija zatvorenoj tvorničkoj mreži su vanjski mediji. Hakeri su ubacili virus Stuxnet u šest iranskih softverskih tvrtki za koje su vjerovali da bi mogle imati kontakte s tvornicom Natanz. Zaraza računala ovih tvrtki bila je tehnička stvar zbog činjenice da su spojene na internet i da njihovi zaposlenici koriste e-poštu. Očekivano, očekivanje da će virus prije ili kasnije stići na svoje odredište bilo je potpuno opravdano: zaražena računala koja kontroliraju proizvodnju, u jednom su trenutku dala naredbu za okretanje centrifuga sve dok neke od njih ne zakažu... Tek tada je osoblje za održavanje postrojenja primijetilo da nešto nije u redu i prekinulo je napajanje.

Izraelski trag

Iran se pretvorio u predmet povećane međunarodne pozornosti kada su zapadne zemlje počele na sve moguće načine poduzimati korake kako bi poremetile svoje nuklearne programe, usmjerene, prema njihovom mišljenju, na stvaranje vlastitog nuklearnog oružja. U tim se uvjetima radi na kolapsu gospodarstva uz istovremeno napad na vojno-industrijski i znanstveni sektor. Ovaj zaključak sadržan je u knjizi koju je u Europskoj uniji objavio obavještajni stručnjak Yvonnick Denoel "The Secret Wars of the Mossad". Po prvi put, ovo izdanje opisuje operaciju prekida rada centrifuga za obogaćivanje urana pomoću računalnog virusa.

Prve podatke o podzemnom postrojenju za obogaćivanje urana u Natanzu zapadne su specijalne službe dobile 2002. godine, kada su njemački obavještajci regrutirali iranskog biznismena čija je tvrtka sudjelovala u stvaranju ovog pogona. Prema riječima autora, Iranac je pristao dati karte, fotografije, tehničke opise i druge podatke o ovom objektu u zamjenu za obećanje da će ga kasnije iznijeti iz zemlje i dati njemačko državljanstvo. Međutim, napominje Denoel, iranska protuobavještajna služba razotkrila je ovog agenta 2004. i eliminirala ga. Ipak, njegova supruga je uspjela odvesti iz Irana u Njemačku prijenosno računalo pokojnog muža.

"Kompjuter je postao prava Ali Babina špilja, a njemačkoj su obavještajnoj službi bili potrebni mjeseci da prouče dokumente koji su joj pali u ruke", - napominje autor knjige.

Nakon toga 2006. godine uslijedila je "sumnjiva" serija eksplozija u tvornici Natanz i nuklearnom centru Isfahan, u kojima su transformatori bili onemogućeni tijekom lansiranja plinskih centrifuga koje obogaćuju uran. Kao rezultat toga, u Natanzu je oštećeno do 50 centrifuga.

U međuvremenu, 2009. godine, u izraelskom nuklearnom postrojenju Dimona u pustinji Negev, formiran je zajednički američki tim stručnjaka za praćenje izraelskog nuklearnog programa. Istovremeno, izraelske obavještajne službe izradile su točnu radnu kopiju iranskog postrojenja za obogaćivanje u Natanzu na temelju dokumentacije koju je obavještajna služba zaprimila. Taj je posao bio olakšan činjenicom da su i Dimona i Natanz koristili francusku nuklearnu tehnologiju. Denoel piše da su izraelske specijalne službe uspjele kupiti centrifuge na svjetskom "crnom tržištu", slične kojima Iran obogaćuje uran.

Kao rezultat toga, prema neovisnim stručnjacima, stvaranje "zrcalnog Natanza" od strane Izraela sa svojim proizvodnim ciklusom omogućuje mu da u stvarnom vremenu prati napredak u ključnom području iranskog nuklearnog programa - radu na obogaćivanju urana. Prema autoru, upravo su centrifuge tvornice u Natanzu postale predmet napada zapadnih specijalnih službi koje su za to koristile računalne mreže.

Prema Denoelu, 2008. godine, obavljajući transakcije s Iranom, njemački inženjerski koncern Siemens "pristao je na suradnju s Ministarstvom unutarnja sigurnost Sjedinjene Države kako bi pomogli svojim stručnjacima da pronađu ranjivosti u računalnim sustavima iranskih oružanih snaga." Tome je olakšala činjenica da je Siemens bio uključen u stvaranje računala koja upravljaju velikim industrijskim i energetskim kompleksima (kontrolerima). Kako se pokazalo, kompjutersku opremu njemačke tvrtke koristili su i Iranci u tvornici u Natanzu.

U isto vrijeme, specijalne službe Izraela i Sjedinjenih Država organizirale su skupinu za stvaranje računalnog virusa Stuxnet, koja je započela s radom u Dimoni. S tim u vezi, New York Times je napisao da bez ponovnog stvaranja proizvodnog procesa iranske tvornice u Natanzu u izraelskom nuklearnom centru, virus Stuxnet ne bi mogao raditi s visokom učinkovitošću. Istovremeno, Izrael je privukao rad prethodno umirovljenih znanstvenika i tehničara koji su radili u nuklearnom sektoru 50-60-ih godina. - proizvodni proces u Natanzu pokazao se tako specifičnim i, štoviše, prilično zastarjelim. Ali upravo su ti veterani specijalisti posjedovali potrebno znanje za ponovno stvaranje tehnoloških procesa iranskog nuklearnog programa.

Industrijska sabotažna operacija u Iranu imala je nekoliko razina. Primjerice, u lipnju 2009. američki i izraelski stručnjaci stvorili su i lansirali pojednostavljenu verziju virusa Stuxnet na Internetu, čiji se izvor nije mogao utvrditi. U početku je ovaj virus dopuštao krađu podataka pohranjenih u računalima, identifikacijskih brojeva, lozinki i kodnih riječi, informacija o konfiguraciji mreža.

Nekoliko tjedana kasnije, nakon prvog pojavljivanja virusa Stuxnet na globalnom webu, objavljena je njegova sofisticirana verzija s ciljem napada na iranske proizvodne pogone. Upravo su nju američki i izraelski stručnjaci poslali u mrežu tvornice u Natanzu, gdje je preuzeo kontrolu nad sustavom upravljanja centrifugama. Prema Denoelu, virus je prisilio kontrolne programe da prijave "normalan rad" dok prodire sve dublje u proizvodne sustave.

"Tako je stvorena virtualna stvarnost u Natanzovom računalnom sustavu, što nije omogućilo iranskim stručnjacima da posumnjaju u činjenicu napada virusom", - napominje autor knjige.

Sve sugerira da je 2010. godine dat nalog za početak napada, a virus ih je, preuzimajući kontrolu nad centrifugama, natjerao da povećaju brzinu rotora s 1000 okretaja u sekundi na 1400. kvar centrifuge.

Inspektori IAEA-e odmah su izvijestili da se u tvornici u Natanzu odvijaju neki događaji. Tipično, u ovoj tvornici, gdje je raspoređeno 8.700 centrifuga, broj kvarova nije prelazio 10% godišnje. Međutim, unutar tri mjeseca 2010. iranski tehničari zamijenili su do 2 tisuće centrifuga, rekli su predstavnici IAEA-e. Prema zapadnim analitičarima, tehnološki napad je usporio napredak u obogaćivanju urana za 24 mjeseca. Tako je, prema riječima bivšeg čelnika Mossada, Meira Dagana, "uspješna operacija odgodila početak iranske proizvodnje obogaćenog urana za oružje za nekoliko godina".

Međutim, prema Denoelu, operacija nije uspjela zaustaviti iranski nuklearno-energetski program. Oštećene centrifuge su zamijenjene, a prema zapadnim obavještajnim podacima, Teheran ima do 8000 rezervnih centrifuga.

Istražni materijali

Statistike prije 2010. pokazuju da su teheranske rezervne centrifuge prilično zastarjeli model (IR-1) i da također često pokvare. Dakle, još 2009–2010. Iranski stručnjaci demontirali su i zamijenili oko 1000 centrifuga IR-1 u tvornici za obogaćivanje urana.

Objavljeni podaci IAEA-e potvrđuju da se u tvornici početkom 2010. događalo nešto čudno. U radionici (tehnološki modul A26) ugašeno je 11 od 18 kaskada centrifuga - ukupno 1804 stroja. U ostalim trgovinama situacija je izgledala bolje, iako su zabilježena gašenja jedne ili dvije kaskade.

Modul A26 instaliran je 2008. Ovo je drugi modul sastavljen u tvornici. Od lipnja 2009. 12 od 18 kaskada ovog modula obogaćivalo je uran. U kolovozu 2009. godine na obogaćivanju je angažirano 10 kaskada, au studenom samo šest.

Ovo smanjenje broja kaskada za obogaćivanje urana potvrđuje da su se pojavili značajni problemi na modulu A26. A u razdoblju od studenog 2009. do kraja siječnja 2010. (nemoguće je točnije reći) dogodilo se nešto što je zahtijevalo gašenje 11 kaskada odjednom.

Istodobno, treba napomenuti da činjenica kvara centrifuga IR-1 nije sama po sebi izvanredan događaj. IR-1 centrifuge se pokvare i to često. Prema neslužbenim procjenama stručnjaka IAEA-e, u ovom pogonu godišnje se pokvari do 10% od ukupnog broja instaliranih centrifuga, odnosno 800-900 strojeva godišnje.

Moguće je da su centrifuge modula A26 otkazale iz "prirodnih" razloga, iako je broj otkazanih strojeva prilično velik i premašuje godišnju stopu kvarova.

Postoji još jedno objašnjenje koje isključuje bilo kakvu vanjsku sabotažu - to je kvaliteta ugradnje sklopova centrifuge u modul A26, koja može biti niska, što se može osjetiti. Dakle, poznato je da centrifuge prvog iranskog modula (A24) rade stabilno. Ali na drugom modulu (A26), kvaliteta rada tijekom ugradnje sklopova centrifuge izvedena nakon uvođenja međunarodna zabrana(za nabavu odgovarajuće specifične opreme), može biti niža nego za prvu. Ovo objašnjenje ne proturječi stvarnosti. Nije jasno, međutim, zašto je tvornički kvar utjecao više od godinu dana nakon lansiranja drugog modula.

Postoji i treća verzija. Dakle, prvi modul (A24) mogao je biti izrađen od službeno kupljenih uvezenih komponenti, a drugi (A26) - od dijelova nepoznatih Iranu. U ovom slučaju, masovni kvar centrifuga drugog modula ne bi trebao biti iznenađujući.

Treba napomenuti da su stručnjaci iz Symanteca utvrdili da virus Stuxnet napada, između ostalog, frekventne pretvarače koje su proizvele iranska tvrtka Fararo Paya i finska tvrtka Vacon. Stručnjaci su označili odgovarajuće sekvence naredbi u tijelu virusa kao "A" i "B". Pretvarači frekvencije na centrifugama su potrebni za sustav upravljanja motorom, koji vam omogućuje da postavite brzinu rotacije rotora centrifuge s velikom točnošću.

Pretvarači na koje cilja virus Stuxnet imaju ograničen opseg, uključujući one namijenjene ugradnji na centrifuge. Mnogi stručnjaci, nakon izvješća Symanteca, vjerovali su da je virus dizajniran za borbu protiv iranskog nuklearnog programa.

Istodobno, Iran nikada nije naveo vrstu pretvarača u svojim deklaracijama i nije dopustio inspektorima da dobiju te podatke.

(Slijedi završetak)

“Ne znam kojim će se oružjem boriti u trećem svjetskom ratu, ali kamenje i palice će se koristiti u četvrtom”
Albert Einstein

Krajem rujna se doznalo da je virus Stuxnet nanio ozbiljnu štetu iranskom nuklearnom programu. Koristeći ranjivost operacijskog sustava i zloglasni "ljudski faktor", Stuxnet je uspješno pogodio 1.368 od 5.000 centrifuga u tvornici za obogaćivanje urana Natanz, a također je poremetio datume pokretanja nuklearne elektrane u Bushehru. Kupac je nepoznat. Izvođač radova je neoprezni zaposlenik Siemensa koji je u radnu stanicu umetnuo zaraženi flash disk. Šteta nanesena iranskim nuklearnim postrojenjima usporediva je s onom od napada izraelskih zračnih snaga.
Svijet je počeo govoriti o ratovima nove generacije. Cyber napadi mogu biti idealno oruđe za sljedeće ratove - oni su brzi, učinkoviti u svojoj destruktivnosti i obično su anonimni. Danas se države žurno dogovaraju o zajedničkoj strategiji za suzbijanje cyber prijetnji. Što će se dogoditi sutra? Nažalost, najrealniji odgovor na ovo pitanje je još uvijek Einsteinov tmurni aforizam.

Iran je bespomoćan pred tehno prijetnjom

Sumorna proročanstva o nadolazećoj eri tehnološkog ratovanja ispunila su naslovnice svjetskog tiska. Stručnjaci u raznim disciplinama bore se za rješavanje Stuxneta, virusa koji je zarazio iranska nuklearna postrojenja, od IT sigurnosti do lingvistike i antropologije. Stuxnet su antivirusni laboratoriji otkrili još davno, no o pravim razmjerima zaraze svijet je saznao krajem rujna, kada se saznalo za kašnjenje puštanja u rad prve nuklearne elektrane Bushehr u Iranu. Dok je Ali Akbar Salehi, čelnik Organizacije za atomsku energiju Irana, rekao da kašnjenje u pokretanju nuklearne elektrane nema nikakve veze s virusom, Mark Fitzpatrick iz Međunarodnog instituta za strateške studije primijetio je da to nije zvuči vrlo ozbiljno, a Iran je sklon prešutjeti stvarne probleme u nuklearnoj elektrani. Nakon nekog vremena, Mahmoud Jafari, voditelj projekta stanice Bushehr, "ispustio". Prema njegovim riječima, Stuxnet je "pogodio nekoliko računala, ali nije nanio nikakvu štetu glavnom operativnom sustavu stanice". Sapienti sat. Iranska nuklearna postrojenja u Natanzu također su ozbiljno oštećena, a Stuxnet je onesposobio 1368 od 5000 centrifuga. Kada su Mahmouda Ahmadinejada izravno pitali o tehnološkim problemima s nuklearnim programom nakon sjednice Opće skupštine UN-a, on je samo slegnuo ramenima i nije odgovorio. Napominjemo da je, prema New York Timesu, šteta od djelovanja virusa u Iranu usporediva, možda, s napadom izraelskih zračnih snaga.

Autor! Autor!

Iz očitih razloga, programeri Stuxneta radije se pritajavaju, ali je jasno da je složenost virusa bez presedana. Stvaranje ovakvog projekta zahtijeva velika intelektualna i financijska ulaganja, što znači da to mogu učiniti samo državne strukture. Svi se stručnjaci slažu da virus nije proizvod "skupine entuzijasta". Laurent Esloe, glavni sigurnosni službenik za Symantec, procjenjuje da je najmanje šest do deset ljudi radilo na Stuxnetu u razdoblju od šest do devet mjeseci. Frank Rieger, tehnički direktor GSMK-a, podržava svog kolegu - prema njegovim riječima, virus je kreirao tim od deset iskusnih programera, a razvoj je trajao oko šest mjeseci. Rieger također navodi približni iznos stvaranja Stuxneta: to je najmanje 3 milijuna dolara. Eugene Kaspersky, izvršni direktor Kaspersky Laba, kaže o vojnim ciljevima virusa: “Stuxnet ne krade novac, ne šalje neželjenu poštu niti krade povjerljive informacije. Ovaj zlonamjerni softver stvoren je za kontrolu proizvodnih procesa, doslovno za kontrolu ogromnih proizvodnih pogona. U nedavnoj prošlosti borili smo se protiv cyber kriminalaca i internet huligana, sada, bojim se, dolazi vrijeme za cyber terorizam, cyber oružje i cyber ratove." Tillmann Werner, član Honeynet Projecta, zajednice stručnjaka za internetsku sigurnost, uvjeren je da usamljeni hakeri to ne mogu učiniti. “Stuxnet je s tehničke točke gledišta toliko sofisticiran da bi trebalo pretpostaviti da su državni stručnjaci bili uključeni u razvoj zlonamjernog softvera ili da su barem pružili neku pomoć u njegovom stvaranju”, kaže Werner.

U procesu analize Stuxneta, nekoliko medija je zaključilo da iza stvaranja virusa stoji Izrael. O umiješanosti Izraela u napad na Iran prvi je progovorio John Markoff, novinar New York Timesa, koji je izvijestio da su analitičari istaknuli naziv jednog od fragmenata šifre "myrtus" ("mirta"). Prevedeno na hebrejski, "mirta" zvuči kao "adas", što je, zauzvrat, u skladu s imenom "Hadassah" koje pripada Esther (Ester) - heroini židovske povijesti koja je spasila svoj narod od uništenja u Perzijskom Carstvu. Povlačeći analogiju s drevnom Perzijom, gdje se nalazi moderni Iran, neki analitičari vjeruju da je Izrael otišao “ poslovna kartica„U kodu virusa. Međutim, prema brojnim stručnjacima, ova verzija ne podnosi kritike i podsjeća na radnju jeftine detektivske priče – previše primitivan “rukopis” za projekt ovakvih razmjera.

Istodobno, treba naglasiti da je prošlog ljeta (podsjetimo, širenje Stuxneta počelo 2009.) WikiLeaks izvijestio o ozbiljnoj nuklearnoj nesreći u Natanzu. Ubrzo se doznalo da je čelnik Iranske organizacije za atomsku energiju Gholam Reza Aghazadeh podnio ostavku bez ikakvog razloga. Otprilike u isto vrijeme u medijima su se pojavile izjave izraelskih političara i vojske o mogućem sukobu s Iranom na tehnološkom planu. Osim toga, Izrael je prilagodio predviđeni datum za primitak atomske bombe od Irana tako da ga je vratio na 2014., a ovlasti Meira Dagana, šefa Mossada, proširene su za njegovo sudjelovanje u neimenovanim "važnim projektima".

Ljudski faktor

Zanimljiva je povijest početne infekcije koja je označila početak širenja virusa. Očito je da sustavi automatizirano upravljanje slične razine nisu spojeni na mrežu. Na jednoj od sigurnosnih konferencija, stručnjak iz NATO Cyber centra u Estoniji, Kenneth Geers, sugerirao je na sigurnosnoj konferenciji da uspjeh Stuxnet napada ovisi isključivo o kontaktima s pravim ljudima i ... elementarnim USB diskovima. “Možete platiti nekome da pokrene trojanac zatvoreni sustav, ili zamijenite bljesak voziti, koji je bio namijenjen samo za internu upotrebu, "- odražava Gears. - "Dovoljno je umetnuti zaraženi USB flash pogon u standardni USB-konektor računala, a Stuxnet odmah automatski skače na operativni sustav i nikakvi antivirusni programi ili druge mjere zaštite ga neće ometati." Doista, "slaba karika" bio je ljudski faktor - Stuxnet je u sustav donio obični USB stick, koji je nepažnjom ubacio neopreznog djelatnika u radnu stanicu. Važno je napomenuti da je nakon izjava iranskog ministra obavještajnih službi Heydara Moslehija o uhićenju "nuklearnih špijuna" (ispostavilo se da su potpuno nevini ruski tehničari), uprava Siemensa priznala da su virus donijeli zaposlenici tvrtke, ističući nenamjerno priroda infekcije. Treba napomenuti da Stuxnet utječe samo na određenu vrstu Siemens kontrolera, a to je SIMATIC S7, koji, prema IAEA-i, koristi Iran.

Cyberrat. Je li bojno polje Zemlja?

Na konferenciji Virus Bulletin 2010 u Vancouveru, Kanada, kratko je govor Liama O Murchua, jednog od vodećih Symantecovih stručnjaka za IT sigurnost, privukao pozornost javnosti. Analitičar je proveo eksperiment koji je pojasnio opasnost od cyber prijetnje bolje od stotina službenih izvješća. O Merchuu su instalirali zračnu pumpu na pozornici koja pokreće Siemensov operativni sustav, zarazila radnu stanicu koja kontrolira pumpu virusom Stuxnet i pokrenula proces. Pumpa je brzo napuhala balon, ali proces nije stao – balon se napuhao sve dok nije puknuo. "Zamislite da ovo nije balon, već iranska nuklearna elektrana", rekao je stručnjak, stavljajući točku na pitanje "ozbiljnosti" cyber ratova.

O Merchuovi kolege u potpunosti dijele njegovu zabrinutost. Istraživač Trend Micro Paul Ferguson je rekao da se stvaranjem Stuxneta u svijetu pojavilo potpuno cyber oružje koje nadilazi tradicionalne destruktivne sheme (krađa brojeva kreditnih kartica itd.) i može dovesti do ozbiljnih nesreća u vrlo opasnim industrijskim objektima. Ferguson naglašava da će sada analitičari "doslovno zastrašiti vladu da poduzme ozbiljne sigurnosne mjere".

Doista, šef novostvorenog američkog kibernetičkog stožera u Pentagonu, general Keith Alexander, javno je izjavio u Kongresu da prijetnja cyber rata raste velikom brzinom tijekom posljednjih nekoliko godina. Aleksandar je podsjetio na dva cyber napada na cijele države - na Estoniju (2007., nakon demontiranja Brončanog vojnika) i na Gruziju (2008., tijekom rata s Rusijom).

Estonski predsjednik Toomas Hendrik Ilves u intervjuu za Berliner Zeitung postavlja pitanje kibernetičkih prijetnji u visoka razina... Estonski predsjednik naglašava: Odluka NATO-a da locira Centar za kibernetičku sigurnost u Tallinnu (podsjetimo, otvoren je u svibnju 2008.) posljedica je činjenice da je Estonija jedna od najkompjuteriziranijih zemalja u Europi, kao i prva država koja je prošla punu -cyber napad razmjera 2007. Nakon napada koji je paralizirao infrastrukturu cijele zemlje, estonski ministar obrane Jaak Aaviksoo čak je zahtijevao da NATO ove cyber napade izjednači s vojnom akcijom. Predsjednica danas daje slične izjave: “Virus Stuxnet pokazao je koliko ozbiljno moramo shvatiti kibernetičku sigurnost, jer takvi proizvodi mogu uništiti vitalnu infrastrukturu. U slučaju Irana, čini se da virus cilja nuklearni program, ali slični virusi mogu uništiti našu računalno vođenu ekonomiju. O tome treba razgovarati u NATO-u: ako projektil uništi elektranu, na snagu stupa stavak 5. Ali kako postupiti u slučaju napada računalni virusi?" - pita se Toomas Hendrik Ilves. Predsjedničin prijedlog je u skladu s aktualnim trendovima: “I EU i NATO se moraju razvijati zajednička politika, uključujući pravne norme koje će postati temelj za kolektivnu zaštitu od prijetnji u kibernetičkom prostoru”, rekao je šef države.

Prvi zamjenik ministra obrane William J. Lynn u potpunosti se slaže s Toomasom Hendrikom Ilvesom. Lynn je u intervjuu za Radio Liberty pokušala odgovoriti na pitanje koje je postavio Ilves: “Ako je štrajk utjecao na bitne elemente našeg gospodarstva, vjerojatno bismo ga trebali smatrati napadom. Ali ako je povreda rezultirala krađom podataka, onda to možda i nije napad. Postoje mnoge druge opcije između ove dvije krajnosti. Da bismo artikulirali političku liniju, moramo odlučiti gdje je granica između hakiranja i napada ili između špijunaže i krađe podataka. Mislim da se na tu temu raspravlja i u Vladi i izvan nje i ne mislim da je ta rasprava već iscrpljena.

Osim toga, glavni govor Williama Lynna bila je javna objava pet principa na kojima se temelji nova strategija kibernetičke sigurnosti Sjedinjenih Država. Citiram zamjenika američkog ministra obrane bez rezova:
“Prvi od ovih principa je da moramo prepoznati cyber prostor za ono što je postao – nova ratna zona. Baš kao kopno, more, zrak i svemir, cyber prostor moramo gledati kao svoje područje djelovanja, koje ćemo braniti i na koje ćemo proširiti našu vojnu doktrinu. To je ono što nas je potaknulo da stvorimo jedinstveno Cyber zapovjedništvo pod Strateškim zapovjedništvom.

Drugo načelo, koje sam već spomenuo, je da obrana mora biti aktivna. Trebao bi uključivati dvije općeprihvaćene linije pasivne obrane - zapravo, ovo je uobičajena higijena: zakrpe na vrijeme, ažuriranje antivirusnih programa, poboljšanje zaštitnih sredstava. Potrebna nam je i druga linija obrane, koju koriste privatne tvrtke: detektori upada, programi za nadzor sigurnosti. Svi ovi alati će vam vjerojatno pomoći da odbijete oko 80 posto napada. Preostalih 20 posto je vrlo gruba procjena – sofisticirani napadi koji se ne mogu spriječiti ili zaustaviti krpljenjem rupa. Potreban je puno aktivniji arsenal. Potrebni su nam alati koji mogu otkriti i blokirati zlonamjernog koda... Potrebni su nam programi koji će identificirati i progoniti zlonamjerne elemente koji su ga napali unutar vaše mreže. Kada ih pronađete, trebali biste moći blokirati njihovu komunikaciju s vanjskom mrežom. Drugim riječima, više liči na mobilno ratovanje nego na Maginotovu liniju.

Treće načelo strategije kibernetičke sigurnosti je zaštita civilne infrastrukture.

Četvrto, Sjedinjene Države i njihovi saveznici moraju poduzeti mjere kolektivne obrane. Na predstojećem summitu NATO-a u Lisabonu bit će donesene važne odluke u tom pogledu.

Konačno, peti princip je da Sjedinjene Države moraju ostati na čelu razvoja softvera."

Reakcija Dmitrija Rogozina, stalnog predstavnika Rusije pri NATO-u, na procese koji se odvijaju u Alijansi je prilično izvanredna. Po svemu sudeći, Rusija je izrazito zabrinuta zbog predstojećeg NATO summita u Lisabonu, koji će se održati 20. studenog, jer se upravo tamo planira razjasniti dilema je li napad na vojne i vladine računalne mreže članice NATO-a smatrao izlikom za korištenje članka 5. Washingtonskog ugovora i odgovor kolektivnim vojnim udarom. Rogozin u svom karakterističnom stilu piše: “Napokon ćemo saznati je li dopušteno da NATO snažnom bombom gađa stanove hakera ili se pretpostavlja da cyber rat neće ići dalje od kiberprostora. V posljednji scenarij Imam dobar razlog sumnjati u to. Doslovno pred našim očima, u zapadnim časopisima odvija se ogroman skandal u vezi sa širenjem računalnog crva Stuxnet. Navikla sam čitati i slanje SMS-a latinicom, pa sam odmah pročitao naziv virusa kao ruski glagol budućeg vremena: "izići će". Budite sigurni da će nekome nešto ugasiti ili pasti, i onima koji su lansirali ovaj virus. Kao što znate, tko sije vjetar, požnjet će i oluju." Ne usuđujući se komentirati književno i kreativno istraživanje g. Rogozina, napominjemo da je upravo Rusija okrivljena za dva najveća hakerska napada na cijele države (Estoniju i Gruziju) - možda je to izazvalo tako burnu reakciju dojmljivi opunomoćenik.

Tako su, u pozadini histerije koju je izazvao Stuxnet, brojne države proglasile potrebu za stvaranjem zajedničke politike za sprječavanje cyber napada. Hoće li to dovesti do željenog rezultata, čak i ako pretpostavimo da će se izraditi (i potpisati) dokument koji regulira korištenje destruktivnih tehnologija? Čini se da je IT Poslovni tjedan krajnje sumnjiv, iskušenja koje nudi visoka tehnologija: anonimnost, sigurnost (za napadača), neviđen omjer cijene i učinkovitosti. To znači da je Stuxnet bio tek prva lasta ere tehno-socijalne revolucije, koja uopće nije započela onako kako se sanjalo.

Oznake:

virus
Stuxnet
Iran

Dodaj oznake

Stuxnet je zapravo prvi virus u povijesti koji je prešao granicu kibernetičkog prostora u stvarni fizički svijet, prvi virus koji je sposoban pokvariti ne samo podatke i programski kod, ali i sasvim pravi strojevi i instalacije.

Pavel Volobujev,
Specijalist u sigurnost informacija
tehnološki sustavi,
Digitalna sigurnost

Mnogo je napisano o ovom crvu. Ali ipak, iz čudnih razloga, ne onoliko koliko bi mogli, jer ne govorimo samo o običnom virusu. Stuxnet je zapravo prvi virus u povijesti koji je prešao granicu kibernetičkog prostora u stvarni fizički svijet, prvi virus koji je sposoban pokvariti ne samo podatke i programski kod, već i sasvim stvarne strojeve i instalacije. Njegov izgled nije samo otkrio sljedeće ranjivosti u Microsoftovim operativnim sustavima, već je i usmjerio poglede stručnjaka za informacijsku sigurnost na potpuno novo za njih područje - sigurnost industrijskih sustava. Ranije je malo tko razmišljao o tome, iako su neke tvrtke na to upozoravale prije nekoliko godina. Razlozi su sasvim jasni: industrijske mreže obično su izolirane ne samo od javnih mreža, već i od interne mreže poduzeća, koriste vrlo specifičnu opremu i softver, svi procesi su jasno regulirani. Čini se da opasnosti jednostavno ne može biti! No, kako se ispostavilo, to nije tako. Sličnu "fantastičnu" sliku mogli smo vidjeti i u već prilično starom filmu "Hakeri". Programeri Stuxnet crva uspjeli su lako zaobići ovu naizgled najpouzdaniju fizičku zaštitu. Zašto "programeri"? Jer ovdje se nedvojbeno radi ne o jednoj osobi, već o cijeloj skupini, u kojoj su, osim profesionalnih programera i pisca exploit-a, bili inženjeri i ICS stručnjaci koji poznaju specifičnosti rada s industrijskim kontrolerima i drugom perifernom opremom. Mnogo je pitanja, ali odgovori... unatoč činjenici da je prošlo 4 mjeseca od prvog otkrivanja crva, još nema jasnih odgovora. Postoji nekoliko razloga za to:

Prvo, ovo je možda prvi slučaj zlonamjernog programa usmjerenog posebno na industrijske sustave;
Drugo, stručnjaci za informacijsku sigurnost i antivirusnu zaštitu obično imaju izuzetno udaljenu ideju o tome što su PLC i SCADA, a stručnjaci za ICS daleko su od informacijske sigurnosti, što uvelike komplicira analizu virusa;
I konačno, budući da je virus utjecao na rad najvećih industrijskih i energetskih tvrtki, informacije o njemu pomno se skrivaju. A ako menadžment poduzeća zna i brine se za ovaj problem, onda se prikrivanje informacija obično događa na nižoj razini.

Digital Security jedna je od rijetkih tvrtki u Rusiji koja radi u području informacijske sigurnosti, a zapošljava stručnjake s iskustvom u razvoju i implementaciji. automatizirani sustavi upravljanje složenim tehnološkim procesima. I upravo iz tog razloga odlučili smo provesti vlastitu analizu kako bismo shvatili što se zapravo događa.

Dakle, pokušajmo to shvatiti redom...

Industrijska mreža: što je to?

Zamislite industrijsku instalaciju koja nešto radi i čijim se jedinicama treba upravljati prema zadanom algoritmu. Vagamo ovu instalaciju razni senzori i aktuatore te spojiti na PLC - kontroler, koji izvodi ovaj algoritam. Istovremeno, kontroler provjerava razine temperature, napona, tlaka, prati brzinu motora, uključuje i isključuje različite mehanizme. A ako neki parametri prelaze dopušteno (postavke ovih ograničenja također su zapisane u regulatoru), zaustavlja se instalacija ili tehnološki proces. Može biti mnogo instalacija, odnosno kontrolera. Obično međusobno komuniciraju putem Etherneta, RS485 i njihovih varijacija. Industrijski Ethernet je redovna mreža Ethernet u kojem aktivna oprema za industrijske mreže otporniji je na vanjske utjecaje, vibracije, elektromagnetske smetnje, temperaturu, vlagu itd. Industrijski protokoli Modbus, Profibus itd. u modernim industrijskim mrežama često rade preko TCP/IP. Zapravo, postoje, naravno, razlike u odnosu na klasične mreže, ali one nisu temeljne u kontekstu ovog članka.

Sam kontroler je isto računalo, ali u minijaturnom dizajnu, dizajnirano za obavljanje određenih zadataka, i s vlastitim operativnim sustavom. OS na industrijskim kontrolerima - obično samorazvijena proizvođača, informacije o kojima su nedostupne - QNX (rjeđe Lunix) ili DOS. Struktura kontrolera je u pravilu modularna: na njih su povezani različiti I/O moduli za rješavanje niza zadataka. I sve bi bilo u redu, ali osim kontrolora, rad procesa prati i ljudski operater. I, naravno, nezgodno mu je ručno pratiti informacije od desetaka, a često i stotina kontrolora. Za operatera je u industrijskoj mreži ugrađena automatizirana radna stanica - Automatizirana Radno mjesto... AWP je računalo s Windows operativnim sustavom, na kojem je instaliran program za prikaz tehnološkog procesa (SCADA). SCADA prikazuje očitanja s kontrolera, pruža mogućnost upravljanja mehanizmima ručni mod i omogućuje promjenu nekih parametara tehnološkog procesa, kao i arhive zapisa. Na radnim stanicama se često instalira baza podataka za bilježenje statistike i generiranje izvješća. U mreži može biti nekoliko radnih stanica - njihov broj ovisi o veličini proizvodnje i broju operatera. Radne stanice su uvijek u istoj mreži s kontrolerima. Često na njima nije instaliran antivirusni softver, a ako je instaliran, onda se sigurno ne ažurira. Vjeruje se da se virusi u ovom izoliranom okruženju ne mogu pojaviti ni na koji način... Također je vrijedno napomenuti da se prirodno ne događa ažuriranje softvera sustava na radnim stanicama: mnogi od njih još uvijek rade pod Windows XP SP1 ili, bez Servisni paketšto ih čini iznimno ranjivim.

Mnogi ljudi koji nisu upoznati sa sustavom upravljanja procesima imaju sasvim logično pitanje: postoji li punopravna računala koji mogu upravljati svime, zašto i kontrolori? Odgovor je jednostavan: njima se ne vjeruje. Računala ispod Kontrola sustava Windows imaju tendenciju da "vise" i, zapravo, Windows ne tvrdi da je Realtime OS. A kontroleri imaju svoj operativni sustav, vlastito industrijsko redundantno napajanje, a tolerancija grešaka je nekoliko puta veća od bilo kojeg osobnog računala.

Naravno, ovo je bilo vrlo površno objašnjenje principa rada industrijskih sustava, ali bez toga bi bilo teško govoriti o samom crvu, i što je najvažnije, o problemima povezanim s njegovim liječenjem. Dakle Stuxnet...

Stuxnet - što je to?

Govorimo o iznimno visokotehnološkom zlonamjernom softveru u svim njegovim oblicima. Ovaj crv iskorištava četiri dosad nepoznate ranjivosti u sustavu Microsoft Windows, od kojih je jedna dizajnirana da se širi kada pomoć USB-flash pogoni. Štoviše, ova ranjivost je otkrivena u svim verzijama sustava Windows, uključujući XP, CE, Vista, 7, Windows Server 2003, 2008 i 2008R2 u 32-bitnim i 64-bitnim verzijama. Ranjivost leži u izvršavanju koda kada sustav pokušava prikazati ikonu s pogona, na primjer, kada se gleda u Exploreru. Izvršavanje koda događa se čak i kada je automatsko pokretanje potpuno onemogućeno za sve medije. Osim toga, kod zlonamjernog softvera implementira mogućnost zaraze putem mreže. No, ipak, crv je do većine industrijskih objekata došao upravo preko vanjskih nosača - kako i zašto će biti opisano nešto kasnije. Veliki doprinos analizi koda crva i ranjivosti koje koristi dalo je rusko predstavništvo ESET-a na čelu s Aleksandrom Matrosovom.

Crv instalira dva upravljačka programa u sustav, od kojih je jedan upravljački program filtera sustav datoteka koji skriva prisutnost zlonamjernih komponenti prijenosni medij... Drugi upravljački program se koristi za ubacivanje šifrirane biblioteke dinamičke veze procesi sustava i sadrži specijalizirani softver za obavljanje glavnog zadatka. Upravljački programi koje trojanac instalira na sustav imaju digitalne potpise ukradene od proizvođača legitimnog softvera. Poznato je da se koriste potpisi u vlasništvu tvrtki kao što je Realtek Semiconductor Corp. i JMicron Technology Corp. Napadači koriste digitalni potpis za tihu instalaciju rootkit drajvera na ciljni sustav. U sigurnosnim sustavima mnogih proizvođača datoteke potpisane od strane poznatih tvrtki namjerno se smatraju sigurnima, a prisutnost potpisa omogućuje nesmetano obavljanje radnji u sustavu bez lažnog predstavljanja. Osim toga, crv ima mehanizme za kontrolu broja infekcija, samouništenja i daljinsko upravljanje.

Osim što se širi putem vanjskih medija, crv također uspješno inficira računala putem LAN veze. To jest, jednom na računalu izvan industrijske mreže, analizira sve aktivne mrežne veze i "probija" se u industrijsku mrežu od svih mogući načini... Nakon što je uveden u sustav, zlonamjerni softver traži prisutnost Siemens SCADA sustava u njemu. Štoviše, napada samo SCADA WinCC / PCS7 sustave. Nemamo podataka o zaraženosti još jednog Siemensovog SCADA sustava - Desigo Insight, koji se naširoko koristi za automatizaciju zgrada i stambenih kompleksa, zračnih luka itd. To ukazuje da je crv "zaključan" u velikim industrijskim i strateškim objektima.

Kada crv "shvati" da se nalazi na WinCC stroju, ulazi u sustav koristeći standard Računi... Vrijedi napomenuti da službeni Siemens ne preporučuje mijenjanje standardnih lozinki na svojim sustavima, jer "to može utjecati na performanse sustava", a crv koristi standardne lozinke jamči gotovo 100% uspješnu autorizaciju. Tako se virus spaja na WinCC i tako dobiva pristup tehnološkom procesu. Ali to nije sve... On "gleda oko sebe". lokalna mreža AWP. Nakon što je u njemu pronašao druge AWP-ove, crv ih također zarazi, koristeći ranjivosti 0 dana u usluzi ispisa sustava Windows (osim toga, crv može dobiti privilegije sustava, ako je potrebno, koristeći dvije druge ranjivosti nultog dana). Crv također vidi kontrolere na mreži. Ovdje smo došli do, možda, njegove najvažnije i najopasnije funkcionalnosti: da, Stuxnet može reprogramirati PLC, naravno ne sve, već samo Simatic iz Siemensa. A to nije tako malo, s obzirom na to da se ovi kontrolori koriste za izgradnju tehnološkog procesa na velikom broju objekata, uključujući strateške i vojne. Primjerice, nuklearna elektrana u Iranu (Bushehr), koju mnogi stručnjaci smatraju "metom" ovog cyber oružja (ovako je Eugene Kaspersky okarakterizirao crva), naravno, ne koristi Siemensove kontrolere za kontrolu samog reaktora, ali ih koristi u veliki broj za kontrolu pomoćne opreme. I to je sasvim dovoljno da crv paralizira rad nuklearne elektrane. Štoviše, sam proces "paralize" vrlo je zanimljiv. Trojanac ne piše smeće kontrolerima i ne onemogućuje ih. Dovoljno je "živjeti" u sustavu Dugo vrijeme, akumulira informacije o tehnološkom procesu, o načinima rada opreme - o samim "zadatim vrijednostima" temperature, tlaka, učestalosti rada motora, što sam već spomenuo gore. I u nekom trenutku, Trojanac ih mijenja. Primjer: Recimo da je zadana vrijednost alarma za temperaturu rashladne tekućine u instalaciji 75 °C. Normalna radna temperatura je 40-45 ° C. Promjena vrijednosti zaustavljanja u nuždi u regulatoru sa 75 na 40' će uzrokovati da regulator pokrene zaustavljanje u nuždi u trenutku kada dosegne svoj normalni radna temperatura... Ili još gore - zadana vrijednost se mijenja u drugom smjeru, a jedinica nastavlja raditi nakon pregrijavanja sve dok se potpuno ne uništi. Istovremeno, na ekranu SCADA sustava, operater nastavlja vidjeti normalne vrijednosti i postavke, koje Trojanac zamjenjuje u stvarnom vremenu. A ako je, na primjer, riječ o jedinici koja pumpa plin, a upravlja ACS-om turbinskim jedinicama "najnovije" generacije, tada promjena postavki može dovesti do nestanka cijele kompresorske stanice s karte, zajedno s okolnim područja.

U jednoj od verzija crva, koju su "rastavili" stručnjaci Symanteca, pronađena je funkcionalnost za upravljanje pogonima promjenjive frekvencije (VFD) elektromotora, štoviše, od dva određena proizvođača, kada rade na određenoj frekvenciji. Prema posljednjim izvješćima, u Iranu je crv već doveo do kvara velikog broja centrifuga koje se koriste za obogaćivanje urana. U njihovom upravljanju korišten je VFD. Čitatelj može postaviti logično pitanje: trebamo li biti zabrinuti da se centrifuge pokvare u Iranu? Odgovor je jednostavan: Stuxnet može, na primjer, onesposobiti Sapsan vlakove metaka, koji su u potpunosti izgrađeni na Simatic sustavima i koriste veliki broj tih istih "frekventnih radnika" u svom radu... I ne samo Sapsan, već i ogroman broj vrlo različitih sustava...

Još jedna zanimljiva funkcionalna značajka virusa je traženje aktivne internetske veze i slanje informacija na određene adrese. Očigledno je upravo ta značajka postala razlogom izjave stručnjaka Danilovog antivirusnog laboratorija o mogućoj upotrebi trojanca kao alata za industrijsku špijunažu. Crv se također zna ažurirati putem interneta, a to je razlog što se “uhvaćene” kopije virusa za različite analitičare jako razlikuju kako po veličini (od oko 500k do više od 2MB) tako i po funkcionalnosti.

Čemu sve ove internetske značajke kada industrijske mreže nisu spojene na internet? Želim te uznemiriti: povezan. Ne svi, i ne trajno, ali povezani. U nekim poduzećima komunikacija se provodi putem druge mrežne kartice na AWP-u za daljinski upravljač i prikupljanje statistike, o drugima - korištenjem GSM modema za udaljenu tehničku podršku ili slanje. U nekim slučajevima, sustav kontrole procesa i ERP sustav poduzeća općenito su "u jednoj boci" ... Postoji mnogo načina da se izađe u vanjski svijet, a to nije temeljno ... glavna stvar je sama činjenica: mnoge industrijske mreže povezane su s mrežama opći pristup na stalnoj ili privremenoj osnovi.

Lokalna politika i situacija

Danas svi moderni antivirusni programi uspješno čiste računala od crva Stuxnet. I čini se da je sve u redu: antivirusi liječe strojeve od crva, Microsoft je objavio ažuriranja kako bi eliminirao kritične ranjivosti koje crv koristi za širenje, SIEMENS je također objavio zakrpu za WinCC. Je li problem riješen? Ne... Antivirus samo čisti radnu stanicu od zlonamjernog softvera, odnosno tog dijela tehnološka mreža koji radi na Windowsima. Ali što je s kontrolorima? I tu dolazimo do najzanimljivijeg...

Kao što je gore spomenuto, glavni izvor širenja crva su vanjski mediji. Prema propisima gotovo svih poduzeća, povezivanje takvih prijevoznika, osobito osobnih, strogo je zabranjeno. Ali tko poštuje propise ... Operateru koji sjedi u noćnoj smjeni jako je dosadno: poduzeće je tiho, nema nikoga, tehnološki proces ide u automatski način rada... i to pred očima ARM-a, odnosno kompjutera! Želim pogledati film, igrati se igračkom. Prema našem iskustvu rada na stranicama, može se tvrditi da je bilo, ima i bit će virusa na radnim stanicama. Tvrtke koje se bave razvojem i podrškom automatiziranih sustava upravljanja procesima, s vremena na vrijeme, posebno šalju svoje stručnjake u objekte da čiste radne stanice i pronađu mnoge viruse. I ovaj problem nije nimalo nov... samo donedavno virusi nisu napadali industrijske kontrolere, a njihova prisutnost na radnim stanicama, iako je donosila neke neugodnosti, nije predstavljala pravu opasnost.

Kako se zaštititi od takvih radnji osoblja? Ako CD/DVD pogoni jednostavno nisu instalirani u strojeve korisnika, onda USB ulazi uvijek prema zadanim postavkama. Elegantno rješenje pronašli su tehnički stručnjaci jedne od komercijalnih banaka Sankt Peterburga - svi USB priključci bili su napunjeni ljepilom iz termalnog pištolja. Ali takvo rješenje nije uvijek moguće koristiti, budući da može postojati potreba za korištenjem USB priključaka, na primjer, za sigurnosne ključeve za softverske proizvode ili za prijenos informacija od strane inženjerskog osoblja. Osim toga, alati korisničkog sučelja i pisači često se koriste preko USB-a, dakle fizičko uništenje luke nije sasvim prikladno, zbog čega se ne preporuča pribjegavati takvima radikalne mjere... Jedini način zaštite sustava od infekcija, i to ne samo od Stuxneta, već i od neke druge infekcije, je usklađenost osoblja s poslovnim propisima i elementarna pravila sigurnost informacija. Nažalost, ovom aspektu se posvećuje malo pažnje, a često se na njega potpuno zaboravlja. Iz osobnog iskustva znam da djelatnici u većini objekata niti ne razmišljaju o posljedicama računalne igrice instalirane na radnoj stanici, ili GSM modema ponesenog za "surfanje" s radne stanice preko interneta. Osoblje također često nema osnovnih informatička pismenost... Šefovi ili ne znaju što se događa, ili zatvaraju oči na to, iako ni u kojem slučaju ne bi trebali. Osoblje koje izravno radi s AWP-ima i drugim dijelovima modernog APCS-a trebalo bi proći odgovarajuću obuku i instrukcije, uključujući i pitanja informacijske sigurnosti, ali to se, nažalost, ne događa.
To objašnjava činjenicu da je Stuxnet prisutan na velikom broju stranica i sustava, ali činjenicu takve prisutnosti osoblje i menadžeri pomno skrivaju "na terenu". Svjesni smo činjenica takvog prikrivanja, kada je uprava velike tvrtke nakon pojave Stuxneta na sve svoje stranice poslala upute i softver za otkrivanje i liječenje virusa. I virus je doista pronađen na mnogim predmetima, ali NITKO GA NE LIJEČI! Razlog: da biste uspješno očistili sustav od virusa, morate ponovno pokrenuti sustav(e), odnosno zaustaviti tehnološki proces. Također je vrlo preporučljivo prisustvo stručnjaka kako bi identificirali i moguće popravak promjene u kontrolerima. Nije lako zaustaviti pogon, radionicu ili cijelo poduzeće: ovo je hitan slučaj koji treba nečim opravdati. I nemoguće je opravdati prisutnost zlonamjernog softvera, jer su lokalni čelnici odgovorni za provedbu propisa i uputa. Ako je crv ušao u sustav, tada se upute nisu poštivale i upravitelj će biti u nevolji. I nitko ne želi nevolje... Objekti i dalje žive sa Stuxnetom, i ne samo s njim, već svi sjedimo na ovoj "bačvi baruta". Upravo na "bačvi baruta", jer nitko ne može jamčiti da dok "uspavani" Trojanac u nekom trenutku ne napadne niti jedan od ovih objekata ili se pojavi nova instanca. Prema našim informacijama, pored iranskog nuklearnog programa, Stuxnet je nekima već uspio naštetiti industrijska poduzeća u Kini i raznim objektima u drugim zemljama, a ti sustavi nisu bili povezani s nuklearnim programima.

Liječenje

Kao što je gore navedeno, Stuxnet je uspješno otkriven i tretiran svim modernim antivirusnim alatima. I, ipak, postoje suptilnosti: nakon čišćenja sustava od crva, potrebno je provjeriti odgovaraju li programi i postavke u kontrolerima stvarnim vrijednostima potrebnim za normalan rad ACS-a. Ako je potrebno, potrebno je ispraviti programe. U tome mogu pomoći stručnjaci odjela za instrumentaciju i automatizaciju sustava instrumentacije i automatizacije ili proizvođači automatiziranih sustava upravljanja procesima. Mi u Digital Security također možemo pomoći u tome. Prilikom obrade sustava uključenih Temeljen na Windowsima CE / Embedded nikada ne smije instalirati antivirusni softver izravno na računalo s ovom verzijom sustava Windows. Sustav se mora zaustaviti, putem posebnog adaptera, spojiti medij na drugo računalo s instaliranim antivirusnim softverom i očistiti ga. Službene upute za uklanjanje Stuxnet crva mogu se pronaći na web stranici Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view. Također možete preuzeti i posebna korisnost kako biste uklonili Stuxnet, WinCC zakrpu i Microsoftovu zakrpu koje je potrebno instalirati kako biste izbjegli ponovna infekcija... Ako imate bilo kakvih pitanja, obratite se stručnjacima za informacijsku sigurnost za pomoć. Bilo bi prikladno napomenuti da je glavni "junak prigode" - SIEMENS sa svojim softverom koji "propušta" i prekrasnim preporukama o "nedopustivosti mijenjanja lozinki" (pitam se zašto je u ovom slučaju bilo potrebno utrošiti vrijeme na kreiranje funkcija zahtjeva za lozinkom) vrlo je lakonski u svojim izjavama ... Iz tvrtke tvrde da je prema njezinim informacijama crv otkriven kod tek nešto više od dvadesetak njenih kupaca, a nije bilo slučajeva poremećaja tehnološkog procesa. Ovdje je potrebno dati neka pojašnjenja:

Govoreći o broju zaraženih, tvrtka misli na svoje direktne kupce, odnosno objekte koje je "izgradio" izravno SIEMENS, bez posrednika. Doista, takvih objekata nema toliko, a govorimo o najvećim objektima na globalnoj razini. Prema neslužbenim podacima, Stuxnet je zarazio milijune računala, te desetke tisuća objekata diljem svijeta, a prema antivirusnom nadzoru nastavlja zaraziti brzinom od nekoliko desetaka tisuća strojeva dnevno.
Nisu sva poduzeća prošla reviziju, a mnoge stranice imaju Stuxnet, ali nitko ne zna za to.
I što je najgore: na mnogim objektima postoji crv, znaju za to, ali ništa ne poduzimaju. Razlozi ovakvog ponašanja, koje se ne može nazvati kriminalnim osim, napisani su gore.

Provjerite sve industrijske sustave na Stuxnet i drugi zlonamjerni softver. Gospodo šefovi velikih tvrtki, obična direktiva “na mjesto” nije dovoljna – nitko neće ništa! Morate ili poslati svoje ljude na mjesta radi obaveznog otkrivanja i liječenja ili zatražiti pomoć od nezavisnih stručnjaka treće strane.
Ažurirajte OS na radnim stanicama najnovijim dostupnim ažuriranjima i zakrpama.
Na AWP-ovima, koji su iz nekog razloga povezani s javnim mrežama, potrebno je instalirati antivirusni softver i pratiti njegova ažuriranja.
Osigurajte sustav sigurnosne kopije Softver je u početnom stanju kako bi se osigurala mogućnost oporavka u slučaju oštećenja virusima ili drugim čimbenicima.
Provesti program obuke za osoblje o pitanjima informacijske sigurnosti.
Provedite redovitu reviziju APCS sustava od strane kvalificiranih stručnjaka radi usklađenosti sa sigurnosnim zahtjevima. Takva bi revizija trebala uključivati barem provjeru segmentacije mreže, procedure ažuriranja, proces kontrole, svijest AWP operatera i još mnogo toga.

U pripremi su korišteni materijali sljedećih tvrtki: ESET, SYMANTEC, Kaspersky Anti-Virus Laboratory, Danilov's Anti-Virus Laboratory, Siemens, kao i osobno iskustvo autora stečeno tijekom rada kao inženjera za puštanje u rad automatiziranog sustava upravljanja procesima. .
Autor se posebno zahvaljuje inženjerskom i tehničkom osoblju Znanstveno-proizvodne tvrtke "LENPROMAVTOMATIKA" Digitalna sigurnost, vodećeg stručnjaka za informacijsku sigurnost tehnoloških sustava.

“Ne znam kojim će se oružjem boriti u trećem svjetskom ratu, ali kamenje i palice će se koristiti u četvrtom”
Albert Einstein