Ditët e fundit, të gjitha mediat botërore iu kujtuan papritur krimbi WIN32/Stuxnet, i cili u zbulua në qershor të këtij viti. Sipas standardeve kompjuterike, një periudhë tre mujore është si disa vjet në jetën e zakonshme. Edhe Microsoft-i i qetë arriti të lëshojë një patch që mbyll një nga katër dobësitë e pranishme në Windows dhe të shfrytëzuara nga malware. Vërtetë, jo për të gjitha versionet e sistemit operativ, por vetëm për Vista dhe "shtatë", ndërsa 2000 dhe XP mbetën të paqëndrueshme në Stuxnet, dhe e gjithë shpresa është vetëm për programet antivirus të palëve të treta. E cila do të jetë ende e nevojshme, pasi pjesa tjetër e dobësive janë të gjalla dhe të mira.
Dhe befas Stuxnet u ndez përsëri në titujt e burimeve të lajmeve. Rezulton se ky nuk është thjesht një "krimb" tjetër, megjithëse i shkruar mjaft i ndërlikuar (gjysmë megabajt kod të koduar, i cili përdor disa gjuhë programimi në të njëjtën kohë, nga C / C ++ te assembler), por një spiun dixhital- diversant. Ai futet fshehurazi në objektet industriale ku përdoren sistemet harduerike dhe softuerike të Siemens, fiton akses në sistemin WinCC të Siemens, i cili është përgjegjës për mbledhjen e të dhënave dhe kontrollin operacional të dërgimit të prodhimit, dhe përmes tij përpiqet të riprogramojë kontrollorët logjikë (PLC).
Keni frikë tashmë? Prisni, ky është vetëm fillimi! Stuxnet nuk është projektuar për disa dyqane të shisheve të birrës. Qëllimi i tij kryesor është centrali bërthamor iranian në qytetin e Bushehr! Me sa duket, është pikërisht nën konfigurimin e tij që e gjithë fuqia e keqe e krimbit është e burgosur, dhe ose tashmë ka arritur t'i prishë keq iranianët, pasi ata nuk kanë mundur të nisin stacionin që nga gushti, ose ai ka ndezur në heshtje. kontrollorët dhe kur të fillojë të punojë centrali bërthamor do të japë komandën për të shpërthyer. Dhe pikërisht atëherë...
Më lejoni të citoj disa mendime të njerëzve të ditur. Kështu, Evgeny Kaspersky në blogun e tij e quan Stuxnet "një kryevepër të inxhinierisë së malware" dhe, nga ana tjetër, citon fragmente nga materiali i Alexander Gostev, sipas të cilit ne po flasim për një "armë të sabotazhit industrial" në përgjithësi. Është bërë, natyrisht, nga Mossad-i izraelit për të ndalur punën e centralit bërthamor të Bushehr.
Komplekse harduerike dhe softuerikeSiemens përdoren në industri shumë të ndryshme. Mirë, nëse po flasim për derdhje hekuri ...
… por imagjinoni se si do të dridhen zemrat e qindra mijëra njerëzve nëse krimbi dëmton linjat e prodhimit të birrës?
Analistët e ESET janë pak më pak emocionalë. Ata nuk janë të sigurt se qëllimi i Stuxnet është BNPP, por i japin merita cilësisë së kodit dhe bukurisë së idesë. “Win32/Stuxnet u zhvillua nga një grup specialistësh shumë të kualifikuar, të cilët janë të përgatitur mirë në dobësitë e mjeteve moderne të sigurisë së informacionit. Krimbi është bërë në atë mënyrë që të mbetet pa u vënë re për aq kohë sa të jetë e mundur. Malware përdor disa dobësi serioze të ekzekutimit të kodit në distancë si mekanizma përhapjeje, disa prej të cilave mbeten të papatched sot. Kostoja e dobësive të tilla në tregun e zi mund të arrijë në 10 mijë euro për secilin. Dhe çmimi i një cenueshmërie në përpunimin e skedarëve LNK/PIF (MS10-046), i cili lejon krimbin të përhapet përmes mediave të jashtme, është edhe më i lartë.”
Mohimi i përgjegjësisë për mediat e jashtme është shumë i rëndësishëm. Siç e kuptojmë, sistemet e kontrollit të fabrikave dhe termocentraleve bërthamore nuk kanë qasje në internet, kështu që Stuxnet mund të infektojë disqet flash dhe prej tyre të kalojë në rrjete të mbyllura. Shërbimet e sigurisë? Po, ato sigurisht funksionojnë, dhe nganjëherë shumë efektive. Sidoqoftë, së bashku me faktorin banal njerëzor (lexojmë - pakujdesi), ka mënyra mjaft të ndërlikuara për të maskuar disqet flash. Për shembull, një punonjës i ryshfet me kujdes mund të sjellë një mi me memorie flash të integruar në vendin e punës dhe ta zëvendësojë atë me një në pronësi të qeverisë. Pyesni, pse atëherë keni nevojë për shpërndarje në internet? Pra, në fund të fundit, për të devijuar sytë, në mënyrë që të njëjtët drejtues të shërbimit të sigurisë të mos kërkonin një armik në ekip, por me besim tundnin kokën për një depërtim aksidental nga jashtë. Ndërkohë, për të lehtësuar punën e krimbit, disa komponentë Win32/Stuxnet u nënshkruan me certifikata dixhitale ligjore nga JMicron dhe Realtek. Si rezultat, deri në revokimin e certifikatave, Stuxnet ishte në gjendje të anashkalonte një numër të madh zbatimesh të teknologjisë së mbrojtjes mjedisore HIPS (Host Intrusion Prevention System).
ESET ofron gjithashtu një tabelë të mrekullueshme me gjeografinë e infeksioneve të regjistruara nga viruset, e cila, nga njëra anë, konfirmon sugjerimet e Gostev, dhe nga ana tjetër, i bën adhuruesit e konspiracionit të shkarravisin edhe më aktivisht komentet në forume dhe blogje. Nuk është shaka, ngjitja prek vendet më të mëdha në zhvillim dhe për të plotësuar tablonë, në tabelë mungon vetëm Kina në vend të Indonezisë.
A jeni tashmë i frikësuar, si Evgeny Kaspersky? Prisni. Le të marrim frymë.
Së pari, ju duhet të kuptoni pse shitësit e kërcënimeve kibernetike janë kaq të emocionuar të flasin për Stuxnet. Po, sigurisht, ata duan të shpëtojnë planetin tonë të vogël. Por është gjithashtu një treg i ri gjigant. Jo vetëm Siemens prodhon pajisje kontrolli dhe monitorimi për një shumëllojshmëri të gjerë industrish, nga termocentralet bërthamore deri te dyqanet e shisheve të birrës. Përveç gjermanëve, ka edhe amerikanë, japonezë, etj e kështu me radhë. Komplekse të tilla janë, për ta thënë butë, jo të lira, dhe nëse të gjithë arrijnë të aplikojnë produktin e tyre mbrojtës ... Po, po, më keni kuptuar saktë.
Së dyti, me gjithë bukurinë e versionit të Mossad, nuk ia vlen të besohet në të. Nëse me të vërtetë janë shpenzuar shumë muaj njerëzish apo edhe vite njerëzish për krimbin, siç thonë ekspertët, atëherë një fund i tillë i operacionit është një dështim i madh. Një kombinim i tmerrshëm i mungesës së rezultateve dhe publicitetit për çdo oficer të inteligjencës. Zakonisht, për të zgjidhur problemet e marrjes së informacionit dhe sabotimit, ata përdorin rekrutime të vjetra sa bota, dhe Mossad ka përvojë të madhe në këtë lloj pune në vendet arabe. Jo, sigurisht, mund të supozohet se programi ishte shkruar posaçërisht për zbatimin e heshtur nga një prej punonjësve të NPP-së, dhe kur diçka nuk shkonte, krimbi u lëshua në internet për të mbuluar agjentin. Por kjo është nëse Stuxnet ishte përgatitur patjetër për Bushehr, për të cilin ka shumë dyshime. Rreth tyre - në paragrafin tjetër.
Së treti, siç doli, për automatizimin e termocentraleve (përfshirë në Bushehr) përdoren pajisje të licencuara Siemens, të cilat ndryshojnë nga PLC-të tradicionale në të njëjtën mënyrë si një luftëtar luftarak nga një avion pa motor. Puna e PLC është, në rastin më të mirë, automatizimi i një fabrike birre ose një stacioni pompimi gazi/nafte. Mbetet plotësisht e pakuptueshme - çfarë lloj PLC Stuxnet do të ndryshonte në Bushehr?
Së fundi, së katërti. Kushtojini vëmendje Win32 në emrin e plotë të virusit. Asnjë central serioz, e lëre më një central bërthamor, nuk do të lejojë sistemin operativ të Microsoft-it të kontrollojë procese vërtet të rëndësishme. Sistemet e familjes *nix (në veçanti, QNX) mbretërojnë atje, dhe një virus nga kampi i Windows është absolutisht i padëmshëm për ta. Pra, ndjesia vjen nga një seri tregimesh për një sekretare që kishte frikë të kapte një virus nga një kompjuter. Vërtetë, autorët më të ashpër të tregimeve horror specifikojnë se Windows PLC nuk kontrollon, por nën to ka mjete për riprogramimin e kontrollorëve, dhe kjo është ajo që përdor Stuxnet. Kjo është pak më e frikshme, por në prodhimet serioze, askush nuk i ka anuluar Big Knife Switches, të cilët janë përgjegjës për gjëra vërtet të rëndësishme. Ato mund të tërhiqen vetëm me dorë, sepse është shumë më e besueshme. Dhe më të sigurt. Nëse një kompjuter lejohet t'i qaset atyre, nuk do të jetë sot ose nesër. Dhe në një termocentral bërthamor, ka shumë të ngjarë kurrë.
Nuk dua t'i imponoj lexuesit mendimin tim, por deri tani Stuxnet-i mban erë shumë të fortë të konkurrencës së pandershme. Nga vjen kjo urrejtje për zgjidhjet e Siemens? Kush nuk është shumë dembel të shpenzojë kaq shumë kohë dhe përpjekje për një krimb të madh yndyror, i cili, në përgjithësi, nuk mund të bëjë keq, por lë pas vetes një sediment jashtëzakonisht të pakëndshëm. E shihni, investitorët e termocentraleve të reja me termocentrale do të mendojnë, madje do të blejnë një kompleks nga një prodhues tjetër. Kur bëhet fjalë për qindra miliona dhe madje miliarda dollarë, nuk është për të ardhur keq të shpenzosh nja dy miliona për PR të zi.
Pra, një armë është një armë, por nuk ka gjasa që ajo të arrijë në shpërthime të vërteta. Përveç ndoshta shpërthimeve të indinjatës në vizitën e radhës në dyqan ose marrjen e një faturë të energjisë elektrike. Të gjitha këto luftëra industriale bëhen në fund në kurriz të neve, konsumatorëve.
Gjatë shkrimit të këtij artikulli, qindra teoricienët e konspiracionit u ofenduan në ndjenjat më të mira
një klasë dobësish të quajtura 0day. 0day është një term që i referohet dobësive (nganjëherë vetë malware), ndaj të cilave mekanizmat mbrojtës të antiviruseve dhe programeve të tjera mbrojtëse kompjuterike janë të pafuqishëm. Ky koncept u shfaq sepse sulmuesit që zbuluan një dobësi në një program ose sistem operativ kryejnë sulmin e tyre menjëherë jo më vonë se dita e parë ("dita zero") kur zhvilluesi u informua për gabimin e zbuluar. Natyrisht, kjo do të thotë që zhvilluesi nuk ka kohë për të rregulluar cenueshmërinë në kohë, gjë që përhap epidemi komplekse të malware që nuk janë të përshtatshme për trajtimin në kohë. Për momentin, sulmues të ndryshëm po përqendrojnë vëmendjen e tyre në gjetjen e dobësive të tilla. Para së gjithash, ata i kushtojnë vëmendje të tillë software, e cila është bërë e përhapur. Duke infektuar të tilla software kod me qëllim të keq, sulmuesi është i garantuar të përfitojë sa më shumë nga veprimet e tij. Në këtë rast, programet anti-virus do të jenë të pafuqishëm, pasi ata nuk do të jenë në gjendje të përcaktojnë kodin me qëllim të keq që është në programin popullor. Një shembull i tillë ishte shembulli i mësipërm, kur virusi infektoi skedarët e shërbimit Delphi dhe në këtë mënyrë injektoi kodin e tij në programe të ndryshme që ishin përpiluar në këtë përpilues. Duke qenë se programe të tilla janë përdorur gjerësisht, një numër i madh përdoruesish janë infektuar. E gjithë kjo ua bëri të qartë sulmuesve se sulme të tilla janë mjaft efektive dhe mund të përdoren në të ardhmen. Sidoqoftë, gjetja e një cenueshmërie 0 ditore është një proces mjaft kohë. Për të gjetur një dobësi të tillë, sulmuesit përdorin teste të ndryshme stresi të softuerit, duke analizuar kodin në pjesë dhe gjithashtu duke kërkuar gabime të ndryshme në kodin e programit të zhvilluesit. Por nëse këto veprime janë të suksesshme dhe zbulohet dobësia, atëherë mund të supozojmë se sulmuesit patjetër do ta përdorin atë. Deri më sot, malware më famëkeq që shfrytëzon cenueshmërinë 0day në softuer është krimbi Stuxnet, i cili u zbulua në verën e vitit 2010. Stuxnet shfrytëzoi një dobësi të panjohur më parë në sistemet operative Windows në lidhje me algoritmin e trajtimit të shkurtoreve. Duhet të theksohet se përveç cenueshmërisë 0day, Stuxnet përdori edhe tre dobësi të tjera të njohura më parë. Dobësitë e ditës zero gjithashtu lejojnë sulmuesit të krijojnë malware që mund të anashkalojnë mbrojtjen antivirus, gjë që është gjithashtu e rrezikshme për përdoruesit mesatar. Përveç dobësive të tilla (0 ditë), ka edhe dobësi mjaft të zakonshme që një sulmues përdor vazhdimisht. Një lloj tjetër i rrezikshëm i dobësive janë dobësitë që përdorin Unazën 0 të sistemit operativ. Ring 0 përdoret për të shkruar drejtues të ndryshëm të sistemit. Ky është një nivel i veçantë nga i cili mund të ushtrosh kontroll të plotë mbi sistemin operativ. Në këtë rast, sulmuesi krahasohet me një programues që shkruan një drejtues për sistemin operativ, sepse në këtë rast shkrimi i një programi me qëllim të keq dhe i një drejtuesi është një rast identik. Sulmuesi, duke përdorur funksionet dhe thirrjet e sistemit, përpiqet t'i japë programit të tij keqdashës funksionet e kalimit në Ring 0.Rreziku i vjedhjes së identitetit nga celularët
Nëse kjo do të thuhej fjalë për fjalë 7 vjet më parë, atëherë, ka shumë të ngjarë, ata thjesht nuk do ta kishin besuar një fakt të tillë. Tani rreziku i vjedhjes së të dhënave personale të përdoruesve të celularëve është jashtëzakonisht i lartë. Ka një numër të madh programesh keqdashëse që merren me vjedhjen e të dhënave personale nga telefonat celularë të përdoruesve. Dhe kohët e fundit, askush nuk mund ta imagjinonte se platformat celulare do të ishin me interes për sulmuesit. Historia e viruseve fillon në vitin 2004 kur. Ky vit konsiderohet si pikënisja për viruset celulare. Në të njëjtën kohë, virusi i krijuar këtë vit u përzgjodh për sistemin Symbian. Ishte një demonstrim i vetë mundësisë së ekzistencës së viruseve në platformën e sistemit operativ Symbian. Autorët e zhvillimeve të tilla, të nxitur nga kurioziteti dhe dëshira për të kontribuar në forcimin e sigurisë së sistemit që ata sulmuan, zakonisht nuk janë të interesuar për shpërndarjen ose përdorimin e tyre keqdashës. Në të vërtetë, kopja origjinale e virusit Worm .SymbOS.Cabir iu dërgua kompanive antivirus në emër të vetë autorit, por më vonë kodet burimore të krimbit u shfaqën në internet, gjë që çoi në krijimin e një numri të madh të modifikime të reja të këtij programi keqdashës. Në fakt, pas publikimit të kodeve burimore, Cabir filloi të "bredh" vetë në celularë në të gjithë botën. Kjo shkaktoi telashe për përdoruesit e zakonshëm të telefonave inteligjentë, por epidemia në fakt nuk ndodhi, pasi kompanitë antivirus kishin edhe kodet burimore të këtij virusi dhe atëherë filluan lëshimet e para të antiviruseve për platformat celulare. Më pas, kuvendet e ndryshme të këtij virusi filluan të përhapen, të cilat, megjithatë, nuk sollën dëm të madh. Kjo u pasua nga prapavija e parë (një program me qëllim të keq që hap hyrjen në sistem nga jashtë). Funksionaliteti i tij ju lejon të transferoni skedarë në të dy drejtimet dhe të shfaqni mesazhe me tekst. Kur një pajisje e infektuar lidhet me internetin, porta e pasme i dërgon email adresën IP pronarit të saj. Më pas, u shfaq një program tjetër me qëllim të keq për platformat celulare. Programi është një skedar SIS - një aplikacion instalues për platformën Symbian. Nisja dhe instalimi i tij në sistem çon në zëvendësimin e ikonave (skedarët AIF) të aplikacioneve standarde të sistemit operativ për një ikonë me një imazh të kafkës. Në të njëjtën kohë, në sistem instalohen aplikacione të reja, mbi ato origjinale. Aplikacionet e rishkruara pushojnë së funksionuari. E gjithë kjo u kap nga hobistë të ndryshëm në shkrimin e programeve me qëllim të keq, të cilët filluan të prodhojnë të gjitha llojet e modifikimeve të viruseve të vjetër, dhe gjithashtu u përpoqën të krijonin të tyret. Sidoqoftë, në atë kohë, të gjitha programet me qëllim të keq për platformat celulare ishin mjaft primitive dhe nuk mund të krahasoheshin me homologët e tyre të programeve me qëllim të keq në një kompjuter. Shumë zhurmë bëri një program i quajtur Trojan.SymbOS Lockhunt. Ky program ishte një trojan. Shfrytëzon "mashtrimin" (mungesa e kontrolleve të integritetit të skedarit). Pas nisjes, virusi krijon një dosje në drejtorinë e sistemit /system/apps/ me emrin gavno, disonant nga këndvështrimi i gjuhës ruse, brenda së cilës ndodhet skedari gavno. aplikacioni dhe shoqëruesi i tij gavno.rsc dhe gavno_caption.rsc. Në të njëjtën kohë, në vend të informacionit të shërbimit dhe kodit që korrespondon me formatet e tyre, të gjithë skedarët përmbajnë tekst të thjeshtë. Sistemi operativ, bazuar vetëm në shtesën e skedarit gavno. app , e konsideron atë të ekzekutueshëm - dhe vazhdon të përpiqet të fillojë "app" pas rindezjes. Ndezja e telefonit inteligjent bëhet e pamundur. Këto viruse ndiqen kryesisht nga viruse të të njëjtit lloj, të cilët mund të transmetohen përmes teknologjive të ndryshme.
Vetë cenueshmëria e platformave celulare është mjaft e lartë, pasi nuk ka mjete të tilla që do të mbronin me besueshmëri platformat celulare. Përveç kësaj, është e nevojshme të merret parasysh fakti se platformat moderne celulare tashmë po i afrohen nga afër sistemeve operative konvencionale, që do të thotë se algoritmet për ndikimin e tyre mbeten të ngjashme. Për më tepër, platformat celulare kanë dy metoda mjaft specifike të transferimit të të dhënave që kompjuterët nuk i kanë - teknologjinë Bluetooth dhe MMS. Bluetooth është një teknologji e transferimit të të dhënave pa tel e zhvilluar në vitin 1998. Sot ajo përdoret gjerësisht për të shkëmbyer të dhëna ndërmjet pajisjeve të ndryshme: telefona dhe kufje për to, kompjuterë xhepi dhe desktop dhe pajisje të tjera. Komunikimi me Bluetooth zakonisht funksionon në një distancë deri në 10-20 m, nuk ndërpritet nga pengesat fizike (muret) dhe ofron teorik shpejtësia e transmetimit të dhëna deri në 721 Kbps. MMS është një teknologji relativisht e vjetër e krijuar për të zgjeruar funksionalitetin e SMS me aftësinë për të dërguar fotografi, melodi dhe video. Ndryshe nga një shërbim
Mesi i korrikut u shënua nga një sulm kibernetik në të gjithë sektorin industrial
shteteve. Natyrisht që revista jonë nuk mund të mungonte në një event të tillë dhe
përgatiti material për këtë ngjarje.
Spiunazhi industrial
Jemi mësuar me krimin kibernetik që përpiqet të mashtrojë, hakojë dhe vjedhë
përdorues fatkeq të internetit. Por koha gjithmonë i bën njerëzit të lëvizin
më tej, për rezultate të reja dhe fitime të reja. E njëjta gjë ndodh në
ndaj të liqve. Mund të ndërtoni botnet për dhjetë vjet të tjera, të vidhni
Numrat CC, por ka ende një vend të madh të paeksploruar - industria, e saj
teknologjitë, sekretet dhe të dhënat e vlefshme. Pikërisht me të ndodhi ngjarja në mes
verë - një sulm i paprecedentë ndaj sistemeve industriale
, Kontrolli Mbikëqyrës Dhe
Përvetësimi i të dhënave, që përkthehet si "Kontrolli Mbikëqyrës dhe Mbledhja e të Dhënave"
(sipas mendimit tonë, ky është një analog i sistemit të automatizuar të kontrollit të procesit - Sistemi i Automatizuar i Kontrollit
proces teknologjik). Sisteme të tilla kontrollojnë proceset e prodhimit,
platformat e naftës, centralet bërthamore, tubacionet e gazit etj. Natyrisht, e tillë
komplekset kanë bazat e tyre të të dhënave dhe informacioni që gjendet në këto baza të dhënash është i paçmuar.
Ky informacion ishte në shënjestër nga malware i fundit që mori
emri .
Stuxnet
Të parët që zbuluan një bishë të re ishin vëllezërit sllavë nga Bjellorusia, domethënë -
zyra antivirus VirusBlokAda. Më 17 qershor ata gjetën trupin e Virit, por vetëm për
Më 10 korrik ata lëshuan një deklaratë për shtyp (duke shpjeguar se kishin nevojë
të njoftojë kompanitë emri i të cilave është "shpifur" gjatë çështjes dhe të ekzaminojë kopjen).
Këto kompani janë të njohura - Microsoft dhe Realtek. Specialistët e VirusBlokAda
rregulloi përdorimin e cenueshmërisë 0day nga krimbi gjatë përpunimit të skedarëve të shkurtoreve
(.lnk), dhe për këtë arsye Microsoft u përfshi në këtë çështje (për vetë cenueshmërinë
le të flasim më vonë). Por çfarë lidhje ka Realtek me të? Çështja është se të instaluar
drejtuesit e krimbave kishin një certifikatë të vlefshme të certifikuar nga Verisign dhe të lëshuar në
Emri realtek. Kjo kthesë e punëve e ndërlikon shumë procesin e zbulimit.
përmbajtje me qëllim të keq nga sisteme të ndryshme zbulimi dhe parandalimi
ndërhyrje në nivel pritës (HIPS, anti-rootkits), pasi sisteme të tilla janë të pakufishme
certifikatat e besimit, duke mos i kushtuar vëmendje thelbit të çështjes. Unë jam mjaft i sigurt se
certifikata e besuar e zgjati shumë jetën e malware përpara se të zbulohej.
Sido që të jetë, pas njoftimit për shtyp të bjellorusëve, kompani të tjera antivirus
gjithashtu iu bashkua studimit si një cenueshmëri e re, me të cilën
përhapi krimbin, dhe në ngarkesën luftarake.
Përhapja
Mekanizmi i riprodhimit të krimbit, siç duket, nuk është veçanërisht origjinal - përmes
USB flash drives. Por autorun.inf nuk ka asnjë lidhje me të. Një dobësi e re hyn në lojë
e cila ju lejon të ngarkoni një bibliotekë arbitrare .DLL sapo një flash drive
do të futet dhe përdoruesi do të hapë përmbajtjen e tij. Çështja është se në një flash drive
shtrihet një skedar .DLL me kod keqdashës (epo, në të vërtetë një shtesë, në rastin e
krimbi, - .TMP) dhe skedari .LNK. Një skedar me shtesën .LNK është një shkurtore e zakonshme.
Por në situatën tonë, etiketa nuk është mjaft e zakonshme. Kur etiketa shfaqet në
standard shell ose Total Commander do të ekzekutojë automatikisht ngjitur
Skedari .DLL me të gjitha pasojat që pasojnë! Si mund të ndodhte kjo?
Siç e dini, shkurtorja tregon për skedarin e ekzekutueshëm dhe kur klikoni dy herë
e thërret atë. Por këtu gjithçka është pa klikime dhe skedari .DLL nuk mund të ekzekutohet në këtë mënyrë. Nese nje
shikoni shkurtoren në redaktorin HEX, mund të shihni që shtegu tregohet në mes të tij
në .DLL-në tonë. Për më tepër, kjo nuk është një skedë e rregullt, por një skedë në një element paneli.
kontroll! Ky detaj shpjegon gjithçka. Çdo element i panelit të kontrollit - .CPL-
applet. Por CPL është në thelb një .DLL e thjeshtë, kështu që shkurtorja për panelin e kontrollit është
i veçantë, ai disi e kupton që ka të bëjë me një .DLL. Për më tepër, kjo etiketë
përpiqet të tërheqë ikonën nga .DLL për ta shfaqur atë në explorer. Por për këtë
Për të nxjerrë ikonën, duhet të ngarkoni bibliotekën. Çfarë, në fakt, është guaska dhe
bën duke thirrur LoadLibraryW().
Për të qenë të drejtë, duhet të theksohet se thirrja e këtij funksioni automatikisht
përfshin ekzekutimin e funksionit DllMain() nga biblioteka e ngarkuar.
Prandaj, nëse një etiketë e tillë nuk tregon për një aplet .CPL, por për një të keqe
bibliotekë me kod të keq (në funksionin DllMain()), atëherë kodi do të ekzekutohet
AUTOMATIK kur shikoni ikonën e shkurtoreve. Përveç kësaj, kjo dobësi mund
përdorimi dhe përdorimi i shkurtoreve .PIF.
Ngarkesa luftarake
Përveç një metode interesante të shpërndarjes, ngarkesa luftarake u befasua gjithashtu - jo
botnets, vjedhjet e fjalëkalimeve bankare, numrat CC. Gjithçka doli të ishte shumë më e madhe.
Vulnerability.LNK provokon shkarkimin e një skedari të fshehur të quajtur ~wtr4141.tmp,
pranë etiketës. Ky skedar është i ekzekutueshëm, por i vogël (vetëm 25 Kb). si
vunë në dukje ekspertët nga Symantec, është shumë e rëndësishme që në fillim të fshiheni
prania ndërkohë që sistemi nuk është ende i infektuar. Duke marrë parasysh specifikat e cenueshmërisë 0ditore,
e cila është e vlefshme, sapo përdoruesi të shohë ikonat, do të funksionojë dhe
~wtr4141.tmp, e cila para së gjithash varet nga sistemi i thirrjes hook in
kernel32.dll. Thirrjet e përgjuara:
- FindFirstFileW
- GjejNextFileW
- FindFirstFileExW
Grepa janë gjithashtu të varur në disa funksione nga ntdll.dll:
- NtQueryDirectoryFile
- ZwQueryDirectoryFile
Të gjitha këto funksione përpunohen me logjikën e mëposhtme - nëse skedari fillon me
"~wtr" dhe përfundon me ".tmp" (ose ".lnk"), më pas hiqeni atë nga
vlerën e kthyer nga funksioni origjinal dhe më pas kthe atë që ka mbetur.
Me fjalë të tjera, fshihni praninë tuaj në disk. Prandaj, përdoruesi thjesht
nuk do t'i shohë skedarët në flash drive. Pas kësaj, ~wtr4141.tmp ngarkon skedarin e dytë me të
disk (~wtr4132.tmp). Ai e bën atë jo mjaft standarde, madje do të thosha
në mënyrë perverse - duke instaluar grepa në ntdll.dll në thirrje:
- ZwMapViewOfSection
- ZwCreateSection
- ZwOpenFile
- ZwCloseFile
- ZwQueryAttributesFile
- ZwQuerySection
Më pas ai përpiqet të ngarkojë një skedar që nuk ekziston duke përdorur thirrjen LoadLibrary.
me një emër të veçantë, grepa të instaluara më parë punojnë për këtë rast dhe ngarkesë
skedari i dytë, i cili tashmë ekziston me të vërtetë - ~wtr4132.tmp, ose më mirë, i tij
pjesë e pakoduar, e cila deshifron pjesën e dytë (në fakt -
Kompresimi UPX). Pjesa e dytë është disa burime, skedarë të tjerë,
të cilat hyjnë në lojë pas deshifrimit dhe eksportit (të ngjashme me ato të çoroditura
metodë me grepa në funksionet API).
Para së gjithash, janë instaluar dy drejtues - mrxcls.sys dhe mrxnet.sys (domethënë
këto skedarë i dhanë krimbit emrin, Stuxnet). Ato janë instaluar në
drejtoria e sistemit, dhe funksionaliteti në to është një rootkit i nivelit të kernelit me të njëjtën logjikë,
si në dosjen e parë. Kjo do të sigurojë që krimbi të mbrohet pas rindezjes dhe mbylljes
procesi ~wtr4141.tmp.
Këta drejtues, siç u përmend tashmë, kanë një certifikatë të ligjshme Realtek,
prandaj, instalimi i tyre do të kalojë pa probleme (për momentin, certifikata është tashmë
i tërhequr). Përveç rootkit, skedarët e shablloneve të shkurtoreve dhe ~wtr4141.tmp janë të zbërthyera për
organizimi i infektimit të pajisjeve të tjera USB. Më pas eksportohet kodi, i cili
Injekton në proceset e sistemit dhe shton skedarët .SYS të lartpërmendur në regjistër
rootkit (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). Me tutje
janë deshifruar dy skedarë .DLL, të cilët zëvendësojnë skedarët ekzistues të sistemit SCADA
- Hapi 7 i Siemens.
Kështu, të gjitha thirrjet nga sistemi SCADA shkojnë në bibliotekat false.
Aty bëhet përpunimi "i domosdoshëm", pas së cilës thirrjet transferohen në origjinalin .DLL
(Vir emulon pjesën tjetër të funksioneve më vete). mbi te gjitha
të listuara më sipër, krimbi bllokon proceset antivirus dhe përpiqet të gjejë serverë
DBMS (MSSQL). Kur i gjen, përpiqet të identifikohet me llogarinë
WinCCConnect dhe fjalëkalimi i parazgjedhur është 2WSXcder. Kjo është një llogari nga SCADA DB
lloji Siemens Simatic WinCC. Siç mund ta shihni, krimbi është krijuar posaçërisht për produktin Siemens.
Nëse vërtetimi është i suksesshëm, spiuni shkarkon të dhëna rreth proceseve dhe të tjera
informacion sekret. Përveç kësaj, ai nuk heziton të kërkojë informacione të dobishme në dosjet lokale.
informacion për spiunët. Nëse është e mundur të zbulohet aksesi në internet, atëherë krimbi zvarritet
në një nga serverët e komandës dhe kontrollit. Emrat e serverëve janë:
- mypremierfootball.com
- Todaysfootball.com
Atje krimbi u përpoq të shtrihej dhe "diçka" të bashkohej në formë të koduar.
Djemtë nga Symantec e kuptuan gjithashtu këtë problem. Doli se kriptimi
përfaqëson një operacion XOR byte-pas-byte me një çelës 31-bit që ka qenë
ndezi në një nga bibliotekat .DLL. Përgjigja nga serveri vjen gjithashtu
Megjithatë, forma XOR përdor një çelës të ndryshëm nga e njëjta bibliotekë. Trojan
dërgon informacion të përgjithshëm në lidhje me makinën e infektuar në server (versioni i Windows, emri
kompjuter, adresat e ndërfaqeve të rrjetit, si dhe një flamur për praninë e SCADA). Në përgjigje nga
Qendra e komandës mund të marrë thirrje RPC për të punuar me skedarë, për të krijuar
proceset, inkorporimi në proces dhe ngarkimi i bibliotekave të reja, etj.
Çfarë ishte ajo?
Ashtu... çfarë ishte kjo?! Kapelet e thjeshta të zeza nuk do të përfshihen në çfarë
nuk do të bëjë para të lehta. Të dhënat nga sistemet SCADA janë me interes vetëm për konkurrentët.
Konkurrentët në aspektin tregtar ose politik. Nëse shikoni hartën
përhapja e infeksionit (sipas Kaspersky Lab), mund të shihet se
epiqendra - Azia (domethënë - India, Irani dhe Indonezia). Nëse shikoni
funksionaliteti i përshkruar i krimbit, atëherë mund të tmerroheni - kontrolli mbi .DLL dhe përgjimin
Funksionet SCADA. A nuk është mirë të drejtosh një central bërthamor indian
Internet? Apo të infiltrohemi në programin bërthamor iranian? Për më tepër, ne kemi faktin
që drejtuesit e rootkit kanë një certifikatë ligjore që është gjeografikisht
në pronësi të një kompanie me bazë në të njëjtën zonë (në Tajlandë)!
Jo vetëm kompanitë antivirus janë të përfshira në këtë histori, por edhe
strukturat e qeverisë (për të mbuluar gjurmët tuaja? :)). Si rezultat
Është analizuar "kapja" e domeneve të specifikuara dhe serverët e komandës dhe kontrollit
statistikat e makinave të sëmura që trokasin atje. Si rezultat, të dhënat e Symantec janë pothuajse
përputhen me të dhënat e Kaspersky Lab - të gjitha të njëjtat vende. mbi te gjitha
Kjo tashmë është konfirmuar nga faktet e depërtimit në vetë sistemin SCADA. Ende jo
shumë, rreth tre fakte (dy nga Gjermania dhe një nga Irani). Por jo të gjithë do ta bëjnë
thonë publikisht se janë përdhunuar...
Çfarë do të ndodhë?
Pas gjithë asaj që ndodhi, mendoj se do të ketë një interes të madh për sigurinë
SCADA. Para këtij incidenti, tashmë kishte studiues dhe firma që
paralajmëruan për problemet e sigurisë dhe ofruan shërbimet e tyre, por kjo
një rast specifik mund t'i ndihmojë ata të bëjnë para shumë të mira. Unë guxoj ta besoj këtë
i njëjti model i krimbave është gjithashtu i përshtatshëm për sistemet ERP, pasi diagrami i paraqitur
të zbatueshme për këtë model. Sistemet ERP janë përgjegjëse për planifikimin dhe menaxhimin
biznes - para, detyra, mallra etj., etj. (Unë madje do të thosha këtë
do të ishte më e lehtë për të shkruar një krimb të tillë për ERP, por meqenëse SCADA dhe rajonet u zgjodhën
Azia, atëherë më shumë i vjen erë politike ...). Pra gjithë këto biznese dhe
sistemet industriale janë ende duke pritur për heronjtë e tyre (përshëndetje për Alexander Polyakov aka
sh2kerr). Por për sa i përket dobësive të LNK-së, për shembull, Trojan Zeus tashmë ka
filloi ta përdorte për riprodhimin e tij. Gjithashtu, djemtë nga Rapid7
bëri një shfrytëzim për Metasploit që është në gjendje të punojë mbi HTTP duke përdorur
WebDav.
Në këtë rast, shellcode ngarkohet në një skedar .DLL dhe shkurtorja e ngarkon atë. Patch në
koha e shkrimit të artikullit nuk ishte ende, dhe kërcënimi është shumë domethënës - kjo është e gjitha
Kompanitë antivirus thonë se janë të shkëlqyera në zbulimin e viruseve me nënshkrime,
kështu që është koha për të vënë në dukje se nënshkrimet janë të neveritshme. DLL na firmosni
jo aq interesante, por nënshkrimi me të cilin përcaktohet se kjo etiketë është
shfrytëzuar, definitivisht mund të çalë. Merrni etiketën nga PoC publike
(suckme.lnk_) dhe dërgojeni këtë mrekulli te virustotal.com. Si rezultat, ne kemi 27
antiviruset që e zbuluan atë. Tani le të hapim panelin e kontrollit dhe të krijojmë
disa shkurtore, mundësisht një nga Java. Më pas, ne do t'i riemërtojmë këto shkurtore
konsol:
nopy Java.lnk Java.lnk_
Shkurtorja e dytë kopjohet në të njëjtën mënyrë si e para. Tani mund t'i modifikojmë ato
Redaktori HEX. Zakonisht të gjitha etiketat kanë një tregues në formatin Unicode, por
Shkurtorja Java - nr. Si rezultat, ne shohim dy lidhje me aplikacionet CPL, dhe për Java -
jo në Unicode. Ndryshoni shtegun për në CPL (DLL) në skedarin tonë, fshijeni në mes
byte shtesë (fa ff ff ff 20) dhe ruani. Kopjojeni përsëri me shtesën .LNK.
Ne i dërgojmë rezultatet në virustotal.com. Kanë mbetur 11 antivirusë për etiketën Unicode,
për një shkurtore Java - 8, domethënë, 70% e antiviruseve ndaluan së zbuluari shfrytëzimin, dhe
midis këtyre antivirusëve janë gjigantë të tillë si Symantec, Kaspersky, AVG, NOD32. Kështu që
se antivirusi këtu nuk është një ilaç.
Kjo është kaq ... pesë kopekë nga unë, në mënyrë që ata të mos pushojnë atje, por në përgjithësi,
faleminderit specialistëve të antivirusit për një punë kaq të plotë dhe interesante,
ata bënë për të na ndihmuar të zgjidhim këtë kërcënim. Faleminderit,
luftëtarët e frontit antivirus: AdBlokAda (i parë i zbuluar dhe studiuar), Symantec
(për analiza të hollësishme teknike në blogun e tij), ESET dhe personalisht
Alexander Matrosov për punën e tyre në laboratorin e Moskës. Gjithashtu faleminderit
Kaspersky Lab dhe blogu i tyre, në të cilin Alexander Gostev ndau të tijën
mendime dhe harta të bukura :). Epo, faleminderit, lexuesi im, i tretur
këtë material të rëndësishëm.
Gjithnjë e më shumë detaje rreth virusit të zbuluar në qershor të këtij viti po zbardhen. Pse virusi është i pazakontë? Po shumë...
Para së gjithash, nga fakti se ai dinte të shpërndante në disqet flash (duke përdorurDobësia e trajtimit të skedarëve lnk ) Kjo në vetvete është ekzotike në epokën e internetit.
Ai shquhet edhe për faktin se ka përdorur jo një, por katër Dobësitë 0-ditore (d.m.th. deri tani të panjohura), të cilat gjithashtu ndodhin rrallë. Ose më mirë, dy dobësi njiheshin, por shumë pak. Microsoft nuk dinte për to dhe, në përputhje me rrethanat, nuk lëshoi arna. Për të qenë të sigurt, virusi përdori gjithashtu cenueshmërinë e pestë, të njohur, por shumë të keqe në shërbimin RPC, e cila tashmë ishte plotësisht e shfrytëzuar nga krimbi.
Virusi është nënshkruar nënshkrimi dixhital i vjedhur. Për arsye sigurie, Microsoft kërkon që të gjithë drejtuesit në sistem të nënshkruhen. Nuk ndihmoi. Sulmuesit me shumë gjasa kanë vjedhur nënshkrimet nga zyrat tajvaneze të MicronJ dhe RealTek. Një fakt i çuditshëm, por zyrat e këtyre firmave ndodhen në të njëjtën ndërtesë në qytetin Shinchu. Nëse kjo nuk është thjesht një rastësi, atëherë do të thotë se dikush ka hyrë fizikisht në dhoma, ka shkuar te kompjuterët përkatës, ka vjedhur çelësat. Jo një punë amatore.
Është shkruar qartë nga ekipi - gjysmë megabajt kod në asembler, C dhe C ++.
Stuxnet nuk u zbulua në Amerikë, Kinë apo Evropë, ku ka më shumë njerëz në internet dhe ku viruset normale janë hiri më i madh, por në Iran. 60% e infeksioneve ndodhi në gjendjen e revolucionit islamik.
Ai di të pranojë komanda dhe të përditësojë të decentralizuar, sipas llojit P2P . Botnet-et klasike përdorin sisteme komanduese qendrore
Dhe më së shumti, nuk kam frikë nga kjo fjalë, e bujshme - virusi nuk dërgon spam, nuk formaton diskun dhe as nuk vjedh të dhëna bankare. Ai është i angazhuar në sabotim në prodhim. Më saktësisht, ai sulmon sistemet industriale të kontrollit dhe menaxhimit duke përdorur softuerin e quajtur Simatic WinCC . Akoma më sensacionale, Stuxnet shkruan fshehurazi veten në çipa të programueshëm (ato përdoren për të kontrolluar prodhimin), maskohet dhe vret disa procese të rëndësishme. Jo një proces i rastësishëm, por kthimi i një kodi të caktuar. Fatkeqësisht, ende nuk dihet se çfarë do të thotë ky kod. . Kjo, nga rruga, shpjegon metodën e shpërndarjes përmes disqeve flash - sistemet industriale janë të lidhura rrallë me internetin.
Përfundimi sugjeron vetë: një grup profesionistësh të ashpër donin të thyenin diçka, diçka shumë të shtrenjtë, të rëndësishme dhe industriale. Me shumë mundësi në Iran (megjithëse virusi është përhapur edhe në vende të tjera) dhe, ka shumë të ngjarë, tashmë është thyer me sukses (sipas vlerësimeve Virologët Stuxnet jetuan për gati një vit para se të zbuloheshin) Ky nuk është një grup i thjeshtë hakerash. Këtu keni nevojë për pajisje teknike të klasit të parë - nga njerëzit që vjedhin çelësat, te specialistët e cenueshmërisë, te ekspertët e prodhimit industrial. Një minimum i një madhësie të mirë është një korporatë, dhe ka më shumë të ngjarë strukturat shtetërore të dikujt.
Kush e përdor saktësisht sistemin WinCC në Iran nuk dihet, por teoricienët e konspiracionit theksojnë se një kopje e WinCC, dhe pa leje , qëndroi në ndërtesëreaktor në Bushehr . Pikërisht për atë në të cilën Irani dëshiron të pasurojë uranium për programin e tij bërthamor dhe për mbrojtjen e të cilit dëshiron Rusia dërgoni sistemi raketor S-300 dhe tashmë ka dërguar armë kundërajrore Thor-1 .
Që Bushehri është objektivi, natyrisht, nuk e vërteton këtë. Ndoshta gjysma e fabrikave në Iran punojnë në këtë produkt. Aq më keq për Iranin.
(përditësimi: Duket se WinCC tashmë është licencuar në Iran. Çelësi i projektit 024 inskedari shoqërues README e rezervuar posaçërisht për Bushehr-in (shih f. 2) Nuk ka asnjë objekt tjetër iranian, meqë ra fjala, në listë.)
Nga rruga: shumica e informacionit të nevojshëm për të krijuar një vir ishte në domenin publik. Dobësi të ngjashme u përmendën disa herë në të ndryshme , fjalëkalimet e fabrikës për bazat e të dhënaveishin në forume . Botnetet P2P janë diskutuar si një mundësi teorike. Rreth WinCC - fotografia e mësipërme. Një strategji shumë e zgjuar. Së pari, kursimet e kostos, dhe së dyti, është e pamundur të gjurmosh rrugën e informacionit. Pyetja "kush mund ta dijë këtë?" bëhet shumë më e ndërlikuar - dhe çdokush mund.
Me pak fjalë, ndiqni lajmet. Javën e ardhshme, prezantimi i Ralph Langner në konferenca mbi sistemet e kontrollit industrial, 29 shtator - studiues nga Symantec, dhe studiues nga Kaspersky.
Bonus: Hakerët gjermanë që shkatërruan virusin gjetën gjithashtu një trojan që vdiq dy vjet më parë në faqen e internetit të AtomStroyExport vendas (shih burimin www.atomstroyexport.com/index-e.htm) Me shumë mundësi nuk ka të bëjë fare me infeksionin, ai thjesht tregon nivelin e sigurisë në energjinë bërthamore.
http://malaya-zemlya.livejournal.com/584125.html
Artikuj me temë:
-
Ngritja e makinave? Skynet po bëhet realitet… Virusi, i zbuluar për herë të parë rreth dy javë më parë nga sistemi kompjuterik i Sistemit të Sigurisë së Bazuar në Host të ushtrisë, nuk parandaloi... -
Mijëra përdorues ranë viktimë e virusit të ri ICQ Snatch duke ekzekutuar skedarin .exe me të njëjtin emër që u erdhi përmes rrjetit ICQ. Epidemia virale filloi rreth mesditës së 16 gushtit; ne momentin e shkrimit... -
Një rrjetë verbuese u provua në tokë Deklarata e njohur se ushtria po përgatitet për luftërat e kaluara është veçanërisht e vërtetë sot. Megjithatë, si gjithmonë. Sipas gjeneralit të ushtrisë Andrei Nikolaev: &ld...
“Nuk e di se çfarë armësh do të luftojnë në luftën e tretë botërore, por në të katërtën do të përdoren gurë dhe shkopinj”
Albert Einstein
Në fund të shtatorit u bë e ditur se virusi Stuxnet kishte shkaktuar dëme serioze në programin bërthamor iranian. Duke përdorur dobësitë e sistemit operativ dhe "faktorin njerëzor" famëkeq, Stuxnet goditi me sukses 1,368 nga 5,000 centrifugat në uzinën e pasurimit të uraniumit në Natanz, dhe gjithashtu ndërpreu nisjen e termocentralit bërthamor të Bushehr. Klienti është i panjohur. Autori është një punonjës i pakujdesshëm i Siemens, i cili futi një flash drive të infektuar në një stacion pune. Dëmi i shkaktuar në objektet bërthamore të Iranit është i krahasueshëm me dëmin nga një sulm nga Forcat Ajrore izraelite. Bota filloi të fliste për luftërat e një brezi të ri. Sulmet kibernetike mund të jenë mjete ideale për luftërat e ardhshme - ato janë të shpejta, efektive në destruktivitetin e tyre dhe zakonisht anonime. Sot, shtetet po bien dakord me nxitim për një strategji të përbashkët për të luftuar kërcënimet kibernetike. Çfarë do të jetë nesër? Fatkeqësisht, aforizmi i trishtuar i Ajnshtajnit mbetet ende përgjigja më realiste për këtë pyetje.
Irani është i pafuqishëm përballë kërcënimit tekno
Faqet e para të shtypit botëror ishin të mbushura me profeci të zymta për ardhjen e një epoke luftërash teknologjike. Ekspertët nga fusha të ndryshme po përpiqen të zbulojnë Stuxnet - virusin që goditi objektet bërthamore të Iranit - nga siguria e IT deri te linguistika dhe antropologjia. Stuxnet u zbulua nga laboratorët antivirus shumë kohë më parë, por bota mësoi për shtrirjen e vërtetë të infeksionit në fund të shtatorit, kur u bë e ditur për vonesën në nisjen e termocentralit të parë bërthamor Bushehr në Iran. Ndërsa Ali Akbar Salehi, kreu i Organizatës së Energjisë Atomike të Iranit, tha se vonesa nuk ishte e lidhur me virusin, Mark Fitzpatrick i Institutit Ndërkombëtar për Studime Strategjike vuri në dukje se kjo tingëllon "jo shumë serioze" dhe Irani priret të hedhë problemet reale në centralet bërthamore. Pak kohë më vonë, Mahmoud Jafari, menaxher i projektit për stacionin në Bushehr, e la të rrëshqasë. Sipas tij, Stuxnet “goditi disa kompjuterë, por nuk shkaktoi asnjë dëmtim në sistemin kryesor operativ të stacionit”. Sapienti u ul. Objektet bërthamore të Iranit në Natanz gjithashtu u dëmtuan rëndë, me 1,368 nga 5,000 centrifuga të çaktivizuara nga Stuxnet. Kur Mahmud Ahmadinexhad u pyet drejtpërdrejt për problemet teknologjike me programin bërthamor pas seancës së Asamblesë së Përgjithshme të OKB-së, ai vetëm ngriti supet dhe nuk u përgjigj. Vini re se sipas New York Times, dëmi nga veprimet e virusit në Iran është i krahasueshëm, ndoshta, me sulmin e Forcave Ajrore izraelite.Autor! Autor!
Për arsye të dukshme, zhvilluesit e Stuxnet preferojnë të mbajnë një profil të ulët, por është e qartë se kompleksiteti i virusit mund të quhet i paparë. Krijimi i një projekti të tillë kërkon investime të mëdha intelektuale dhe financiare, që do të thotë se vetëm strukturat e shkallës shtetërore mund ta bëjnë këtë. Të gjithë ekspertët pajtohen se virusi nuk është rezultat i përpjekjeve të një "grupi entuziastësh". Laurent Eslo, drejtor i sistemeve të sigurisë në Symantec, vlerëson se të paktën gjashtë deri në dhjetë persona kanë punuar në krijimin e Stuxnet gjatë një periudhe prej gjashtë deri në nëntë muaj. Frank Rieger, drejtor teknik i GSMK, mbështet kolegun e tij - sipas tij, virusi u krijua nga një ekip prej dhjetë programuesish me përvojë, dhe zhvillimi zgjati rreth gjashtë muaj. Rieger përmend gjithashtu koston e përafërt të krijimit të Stuxnet: është të paktën 3 milionë dollarë.Evgeny Kaspersky, CEO i Kaspersky Lab, thotë për qëllimet ushtarake të virusit: "Stuxnet nuk vjedh para, nuk dërgon spam dhe nuk vjedh. informacion konfidencial. Ky malware u krijua për të kontrolluar proceset e prodhimit, fjalë për fjalë për të menaxhuar kapacitete të mëdha prodhuese. Në të kaluarën jo shumë të largët ne kemi luftuar kriminelët kibernetikë dhe ngacmuesit e internetit, tani kam frikë se është koha për terrorizëm kibernetik, armë kibernetike dhe luftëra kibernetike." Tillmann Werner, një anëtar i Projektit Honeynet, një komunitet specialistësh të sigurisë në internet, është i sigurt se hakerat e vetmuar nuk janë të aftë për këtë. "Stuxnet është aq i avancuar teknikisht sa duhet të supozohet se ekspertët e qeverisë janë përfshirë në zhvillimin e malware, ose se ata të paktën kanë ofruar një ndihmë në krijimin e tij," tha Werner.
Gjatë analizës së Stuxnet, disa media arritën në përfundimin se Izraeli qëndronte pas krijimit të virusit. John Markoff, një gazetar për New York Times, ishte i pari që foli për përfshirjen e Izraelit në sulmin ndaj Iranit, duke thënë se analistët vunë re në mënyrë specifike emrin e një prej fragmenteve të kodit "myrtus" ("myrtle"). E përkthyer në hebraisht, "mirta" tingëllon si "adas", e cila, nga ana tjetër, është në përputhje me emrin "Adassah" që i përket Esterit (Esterit) - heroinës së historisë hebreje, e cila shpëtoi popullin e saj nga shkatërrimi në Perandorinë Persiane. Duke tërhequr një analogji me Persinë e lashtë, në territorin e së cilës ndodhet Irani modern, disa analistë besojnë se Izraeli la një "kartë telefonike" në kodin e virusit. Megjithatë, sipas një numri ekspertësh, ky version nuk mban ujë dhe i ngjan komplotit të një historie detektive të lirë - "dorëshkrim" tepër primitiv, si për një projekt të kësaj përmasash.
Në të njëjtën kohë, duhet theksuar se verën e kaluar (kujtojmë se shpërndarja e Stuxnet filloi në vitin 2009) WikiLeaks raportoi për një aksident të rëndë bërthamor në Natanz. Menjëherë pas kësaj, u bë e ditur se kreu i Organizatës së Energjisë Atomike të Iranit, Gholam Reza Aghazadeh, dha dorëheqjen pa asnjë shpjegim. Në të njëjtën kohë, deklaratat e politikanëve dhe ushtrisë izraelite për një konfrontim të mundshëm me Iranin në frontin teknologjik u shfaqën në media. Përveç kësaj, Izraeli e rregulloi datën e parashikuar që Irani të merrte bombën atomike në vitin 2014 dhe Meir Dagan, kreut të Mossad-it, iu zgjat mandati për të marrë pjesë në "projekte të rëndësishme" të paidentifikuara.
Faktori njerëzor
Vlen të përmendet historia e infeksionit parësor, që shënoi fillimin e përhapjes së virusit. Natyrisht, sistemet e automatizuara të kontrollit të këtij niveli nuk janë të lidhura me Ueb. Një ekspert nga Qendra Kibernetike e NATO-s në Estoni, Kenneth Geers, sugjeroi në një konferencë sigurie se suksesi i sulmit Stuxnet varej vetëm nga kontaktet me njerëzit e duhur dhe ... disqet elementare USB. “Mund të paguani dikë për të ekzekutuar një trojan në një sistem të mbyllur, ose për të ndërruar një flash drive që ishte vetëm për përdorim të brendshëm”, mendon Gears. "Mjafton të futni një USB flash drive të infektuar në një port standard USB në kompjuterin tuaj dhe Stuxnet menjëherë hidhet automatikisht në sistemin operativ dhe asnjë program antivirus ose masa të tjera mbrojtëse nuk mund të ndërhyjnë në të." Dhe me të vërtetë, "lidhja e dobët" doli të ishte faktori njerëzor - Stuxnet u fut në sistem përmes një disku të rregullt USB, të cilin një punonjës i pakujdesshëm e futi pa dashje në stacionin e punës. Vlen të përmendet se pas deklaratave të Ministrit të Inteligjencës së Iranit Heydar Moslehi (Heydar Moslehi) për ndalimin e "spiunëve bërthamorë" (ata rezultuan se ishin teknikë rusë plotësisht të pa përfshirë), menaxhmenti i Siemens pranoi se virusi ishte futur nga kompania punonjësit, duke theksuar natyrën e paqëllimshme të infeksionit. Duhet të theksohet se Stuxnet prek vetëm një lloj specifik të kontrolluesit Siemens, përkatësisht SIMATIC S7, i cili, sipas IAEA, përdoret nga Irani.Lufta kibernetike. Fushë beteje - Tokë?
Në konferencën e Virus Bulletin 2010, mbajtur në Vankuver, Kanada, vëmendja e publikut u tërhoq nga një prezantim i shkurtër nga Liam O Murchu, një nga ekspertët kryesorë të sigurisë IT të Symantec. Analisti kreu një eksperiment që shpjegoi më mirë rreziqet e një kërcënimi kibernetik sesa qindra raporte formale. O Merchu instaloi një pompë ajri në skenë me një sistem operativ Siemens, infektoi stacionin e punës që kontrollonte pompën me virusin Stuxnet dhe e vuri procesin në veprim. Pompa e fryu shpejt balonën, por procesi nuk u ndal - tullumbace u fry derisa shpërtheu. "Imagjinoni që ky nuk është një tullumbace, por një central bërthamor iranian," tha eksperti, duke i dhënë fund pyetjes së "seriozitetit" të luftërave kibernetike.
Kolegët O Merchu ndajnë plotësisht shqetësimet e tij. Studiuesi i Trend Micro, Paul Ferguson, tha se me krijimin e Stuxnet, bota ka një armë kibernetike të plotë që shkon përtej skemave tradicionale destruktive (vjedhja e numrave të kartave të kreditit, etj.) dhe mund të çojë në aksidente të rënda në objektet industriale shumë të rrezikshme. Ferguson thekson se tani analistët "fjalë për fjalë do të frikësojnë qeverinë në mënyrë që ajo të fillojë të marrë masa serioze sigurie".
Në të vërtetë, gjenerali Keith Alexander, kreu i Komandës Kibernetike të sapokrijuar të SHBA-së në Pentagon, ka deklaruar publikisht në Kongres se kërcënimi i luftës kibernetike është rritur në mënyrë eksponenciale gjatë viteve të fundit. Aleksandri kujtoi dy sulme kibernetike ndaj shteteve të tëra - në Estoni (në 2007, pas çmontimit të Ushtarit të Bronzit) dhe në Gjeorgji (në 2008, gjatë luftës me Rusinë).
Në një intervistë për Berliner Zeitung, presidenti i Estonisë, Toomas Hendrik Ilves, ngre në nivelin më të lartë çështjen e kërcënimeve kibernetike. Presidenti estonez thekson se vendimi i NATO-s për vendosjen e Qendrës së Sigurisë Kibernetike në Talin (kujtojmë se u hap në maj 2008) është për faktin se Estonia është një nga vendet më të kompjuterizuara në Evropë, si dhe shteti i parë që i nënshtrohet një sulm kibernetik në shkallë të plotë në 2007. Pas sulmit, i cili paralizoi infrastrukturën e të gjithë vendit, ministri estonez i Mbrojtjes Jaak Aaviksoo madje kërkoi që NATO të barazojë këto sulme kibernetike me veprime ushtarake. Presidenti po bën pika të ngjashme sot: “Virusi Stuxnet ka treguar se sa seriozisht duhet të marrim sigurinë kibernetike, sepse infrastruktura jetike mund të shkatërrohet me produkte të tilla. Në rastin e Iranit, virusi dukej se synonte programin bërthamor, por viruse të ngjashëm mund të shkatërronin ekonominë tonë të kontrolluar nga kompjuteri. Kjo duhet diskutuar në NATO: nëse një raketë shkatërron një termocentral, hyn në fuqi paragrafi 5. Por çfarë duhet bërë në rast të një sulmi të virusit kompjuterik? pyet Toomas Hendrik Ilves. Propozimi i presidentit është në përputhje me tendencat aktuale: “Edhe BE-ja dhe NATO duhet të zhvillojnë një politikë të përbashkët, duke përfshirë normat ligjore, të cilat do të përbëjnë bazën për mbrojtjen kolektive kundër kërcënimit në hapësirën kibernetike”, mendon kreu i shtetit.
Toomas Hendrik Ilves është në marrëveshje të plotë me Zëvendës Sekretarin e Mbrojtjes të SHBA-së, William J. Lynn. Në një intervistë për Radio Liberty, Lynn u përpoq t'i përgjigjet pyetjes së ngritur nga Ilves: "Nëse goditja preku elementë thelbësorë të ekonomisë sonë, ne duhet ta konsiderojmë ndoshta një sulm. Por nëse rezultati i hakimit ishte vjedhja e të dhënave, atëherë mund të mos ishte një sulm. Ka shumë opsione të tjera midis këtyre dy ekstremeve. Për të artikuluar një vijë të qartë politike, ne duhet të vendosim se ku qëndron linja midis hakimit dhe sulmit, ose midis spiunazhit dhe vjedhjes së të dhënave. Besoj se si në qeveri ashtu edhe jashtë saj ka një diskutim për këtë temë dhe nuk mendoj se ky diskutim tashmë është ezauruar.
Përveç kësaj, pika kyçe e fjalimit të William Lynn ishte shpallja publike e pesë parimeve mbi të cilat bazohet strategjia e re e sigurisë kibernetike e Shteteve të Bashkuara. Ne citojmë Zëvendës Sekretarin Amerikan të Mbrojtjes pa shkurtime:
“I pari nga këto parime është se ne duhet ta njohim hapësirën kibernetike për atë që tashmë është bërë – një zonë e re lufte. Ashtu si toka, deti, ajri dhe hapësira e jashtme, ne duhet ta konsiderojmë hapësirën kibernetike si një sferë të operacioneve tona, të cilën do ta mbrojmë dhe në të cilën do ta shtrijmë doktrinën tonë ushtarake. Kjo është ajo që na motivoi për të krijuar një Komandë Kibernetike të unifikuar brenda Komandës Strategjike.
Parimi i dytë, të cilin e kam përmendur tashmë, është se mbrojtja duhet të jetë aktive. Ai duhet të përfshijë dy linja të pranuara përgjithësisht të mbrojtjes pasive - në fakt, kjo është higjienë e zakonshme: rregulloni në kohë, përditësoni programet tuaja antivirus, përmirësoni mbrojtjen tuaj. Ne kemi nevojë gjithashtu për një linjë të dytë mbrojtjeje, e cila përdoret nga kompanitë private: detektorë të ndërhyrjes, programe të monitorimit të sigurisë. Të gjitha këto mjete ndoshta do t'ju ndihmojnë të zmbrapsni rreth 80 për qind të sulmeve. Pjesa e mbetur prej 20 për qind është një vlerësim shumë i përafërt - sulme të sofistikuara që nuk mund të parandalohen ose ndalohen duke ngulur vrima. Nevojitet një arsenal shumë më aktiv. Ne kemi nevojë për mjete që mund të identifikojnë dhe bllokojnë kodin me qëllim të keq. Ju nevojiten programe që do të zbulojnë dhe ndjekin elementë keqdashës që pushtojnë rrjetin tuaj brenda rrjetit tuaj. Kur t'i keni gjetur, duhet të jeni në gjendje të bllokoni komunikimin e tyre me rrjetin e jashtëm. Me fjalë të tjera, duket më shumë si një luftë manovrimi sesa një linjë Maginot.
Parimi i tretë i një strategjie të sigurisë kibernetike është mbrojtja e infrastrukturës civile.
Së katërti, SHBA dhe aleatët e saj duhet të marrin masa mbrojtëse kolektive. Në samitin e ardhshëm të NATO-s në Lisbonë do të merren vendime të rëndësishme në këtë drejtim.
Së fundi, parimi i pestë është se Shtetet e Bashkuara duhet të qëndrojnë në ballë të zhvillimit të produkteve softuerike.”
Mjaft i spikatur është reagimi i përfaqësuesit të përhershëm të Rusisë në NATO, Dmitry Rogozin, ndaj proceseve që po ndodhin në Aleancë. Me sa duket, Rusia është jashtëzakonisht e shqetësuar për samitin e ardhshëm të NATO-s në Lisbonë, i cili do të mbahet më 20 nëntor, sepse planifikohet të sqarohet dilema në të, nëse një sulm ndaj rrjeteve kompjuterike ushtarake dhe qeveritare të një anëtari të NATO-s konsiderohet si një sulm. arsye për të përdorur nenin 5 të Traktatit të Uashingtonit dhe për t'u përgjigjur me një sulm ushtarak kolektiv. Rogozin, në stilin e tij karakteristik, shkruan: “Më në fund do të zbulojmë nëse është e lejueshme që NATO të godasë apartamentet e hakerëve me një bombë bërthamore apo supozohet se lufta kibernetike nuk do të shkojë në fund të fundit përtej hapësirës kibernetike. Në skenarin e fundit, kam arsye të forta për të dyshuar. Fjalë për fjalë para syve tanë, një skandal i madh po shpaloset në gazetat periodike perëndimore në lidhje me përhapjen e një krimbi kompjuterik të quajtur Stuxnet. Unë isha mësuar të lexoja dhe dërgoja SMS në latinisht, kështu që menjëherë lexova emrin e virusit si një folje ruse në kohën e ardhshme: "zbret". Të jeni të sigurt, diçka do të shuhet ose do të bjerë për dikë dhe për ata që e kanë lëshuar këtë virus. Siç e dini, kushdo që mbjell erën do të korrë vorbullën”. Duke mos guxuar të komentojmë kërkimet letrare dhe krijuese të z. i plotfuqishmi mbresëlënës.
Kështu, në sfondin e histerisë së provokuar nga Stuxnet, një sërë shtetesh deklaruan nevojën për të formuar një politikë të përbashkët për të parandaluar sulmet kibernetike. A do të çojë kjo në rezultatin e dëshiruar, edhe nëse supozojmë se do të zhvillohet (dhe nënshkruhet) një dokument i caktuar që rregullon përdorimin e teknologjive shkatërruese? Java e biznesit IT duket jashtëzakonisht e dyshimtë, tundimet e ofruara nga teknologjitë e larta janë shumë të mëdha: anonimiteti, siguria (për një sulmues), një raport i paparë kosto/efektivitet. Kjo do të thotë se Stuxnet ishte vetëm shenja e parë e epokës së revolucionit tekno-social, i cili nuk filloi aspak ashtu siç ishte ëndërruar.
Etiketa:
- virus
- Stuxnet
- Irani
