вірус Stuxnet

[BARAKUDA]

В создании "противоядерного" вируса Stuxnet заподозрили Израиль и США

Израиль и США заподозрили в создании вируса Stuxnet, который атаковал ядерные обьекты Ирана. Как сообщает New-York Times со ссылкой на неназванных экспертов, компьютерного червя якобы испытывали в Израиле, где были построены центрифуги, подобные иранским.

Сообщения о вирусе на иранских ядерных объектах появились в сентябре 2010 года. Он разрушал двигатели центрифуг, так как заставлял компьютеры часто менять частоту вращения. Как заявили власти Ирана, избавить электронные машины от червя удалось за несколько дней. Однако, по данным специалистов, вирус отбросил ядерную программу на два года назад.

Эксперты говорят, что такая диверсия могла быть организована только большим коллективом, собрать который способно лишь несколько развитых стран.

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь Conficker.

Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

Он умеет принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами

А самое, не побоюсь этого слова, сенсационное - вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, пока неизвестно. Подробности. Это, кстати, объясняет способ распрстранения через флешки - промышленные системы редко подключены к Интернету.

Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная, стояла на строящемся реакторе в Бушере. На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1.

Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.

(Update: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

[Deemon]

 Брітанскіє учьониє  

[Vadimm]

ну прям маладци!

[BACbOK]

Да, непоганий такий вірус.

Цікаво, чи ідентифікують його найпопулярніші антивіруси?

[Zevs_Isver]

по-моему штаты уже когда-то удалённо выключали технологическое оборудование в какой-то стране

но было это лет 15 назад

[Ko3bMa]

Обновленная версия технологии Intel Anti-Theft позволяет удаленно заблокировать ноутбук на базе новых процессоров семейства Core iX с помощью SMS-сообщения, отправленного по 3G сети

По мнению некоторых экспертов, удаленная блокировка предоставляет дополнительные возможности для злоумышленников.

Ноутбуки с новыми процессорами Intel Core iX (кодовое название - Sandy Bridge) и поддержкой технологии защиты от кражи Intel Anti-Theft (Intel AT) в случае хищения или утери можно будет удаленно заблокировать на уровне микросхем, отправив на ноутбук зашифрованное SMS-сообщение по 3G сети. Анонс новых процессоров Intel Core iX ожидается 5 января 2011 г.

Для отправки зашифрованного сообщения на ноутбук пользователю потребуется связаться со службой технической поддержки. Дистанционно блокировать ноутбук с помощью зашифрованного сообщения позволяла и более ранняя версия технологии, однако она давала возможность отправить его на украденное устройство лишь по LAN и беспроводной сети. Таким образом, удаленная блокировка ноутбука была возможна лишь при наличии подключения к интернету.

Технология Intel AT предусматривает и автоматическую блокировку ноутбука, которая срабатывает, если обнаруживается «подозрительное» поведение. Таковым Intel AT считает, к примеру, превышенное число попыток залогиниться, а также отсутствие подключения к сети в течение определенного периода времени. Intel AT дополнительно шифрует жесткий диск ноутбука, чтобы предотвратить доступ к важной информации в случае кражи устройства.

После блокировки ноутбук впадает в режим «theft mode» («украден»), и с ним становится невозможно произвести какие-либо действия кроме как разобрать на запчасти. При запуске компьютера пользователь видит лишь экран с инструкциями, как вернуть ноутбук владельцу и как его разблокировать. Текст, отображаемый на экране в theft mode, изначально может редактироваться владельцем устройства. Для того, чтобы разблокировать ноутбук, пользователю необходимо самому ввести пароль или получить специальный код от службы техподдержки.

По мнению некоторых экспертов, новая технология порождает и новые угрозы. Так, главный аналитик компании Infowatch Николай Федоров отмечает, что она может привести к несанкционированной блокировке процессоров в некраденых ноутбуках, например, используемых для атак, для нарушения авторских прав, для распространения запретного контента, импортированных с нарушениями таможенных правил, разогнанных несанкционированно и т.д.

А в случае утечки секретного ключа (кода, алгоритма) функция, по мнению эксперта, может использоваться для блокировки с целью получения выкупа или из хулиганских побуждений.

Помимо всего прочего технология Intel предоставляет новые возможности для бизнеса по «разблокированию» и «восстановлению», а также создает почву для юридических коллизий на тему интеллектуальной собственности, о защите информации, о вредоносных программах и т.д., полагает Федоров.

Директор по маркетингу компании SecurIT Алексей Ковалев считает, что теоретически возможны перехват и подделка SMS с командой о блокировке ноутбука, однако вряд ли на текущий момент эти риски следует расценивать всерьез.

«Во-первых, содержание SMS будет шифроваться, во-вторых, наверняка команды блокировки будут одноразовыми, то есть, даже перехватив и расшифровав текст SMS, злоумышленник не сможет заблокировать ноутбук или стереть на нём какие-то данные», – говорит Ковалев. Реальные риски технологии, по его мнению, станут известны лишь через несколько лет её реального использования.

Стоит отметить, что идея «убийства» краденого ноутбука с помощью SMS не нова. Так, еще в 2009 г. компания Lenovo представила несколько моделей ноутбуков ThinkPad, оснащенных встроенными WWAN-адаптерами для работы в сотовых сетях. Для блокировки украденного ноутбука владельцу необходимо отправить с мобильного телефона команду на блокировку устройства.

[hyrurg]

Херня це все, славянську тягу до взлому не перепреш ніякими блокуваннями

[BARAKUDA]

Да, непоганий такий вірус.

Цікаво, чи ідентифікують його найпопулярніші антивіруси?

думаю, що ні... там ж повинні були стояти антивіруси...

[BACbOK]

А я думаю, що знає, бо вірус існує вже більш, ніж рік.

Сам задав запитання, сам і відповідаю - Kaspersky, DrWeb, Avira, Nod32.

[Shkoder]

я вообще не в курсе, как там в Иране с коррупцией, распилами и откатами, но звучит более чем странно - сначала использовать для стратегического проекта программный продукт потенциального противника, без исходников и c количеством дыр over 9000, а потом рассказывать про "два года назад" (я так понимаю, это много миллиардов баксов вперед)

интересно, почему изначально не использовалась собственная разработка или хотя бы продукт на базе открытого года (любые подходящие *никсы)..

[nameless]

Его явно писала команда - пол-мегабайта кода на ассемблере, С и С++.

Декілька строчок коду, скомпільованих в підвалі якимось бомжиком за допомогою віжуалстудіо, яка начіпляла на проект своїх бібліотек, в результаті він заважив біля 2хМб

Взагалі брєдятіна якась - на маразм більше хсоже

[nemo]

я вообще не в курсе, как там в Иране с коррупцией, распилами и откатами, но звучит более чем странно - сначала использовать для стратегического проекта программный продукт потенциального противника, без исходников и c количеством дыр over 9000, а потом рассказывать про "два года назад" (я так понимаю, это много миллиардов баксов вперед)

интересно, почему изначально не использовалась собственная разработка или хотя бы продукт на базе открытого года (любые подходящие *никсы)..

Це стара новина, даний вірус заражає не софт а ПЛК Simantic S300.

Ну а про свої розробки там не все так просто, да і контроллери на *ніксах чи інших системах поки не пройшли тест на роботу в реальному часі

з параметрами 24х365 + до того всього мені цікаво як на *ніксах робити годинник реального часу, таймер, та процесс який виконується сторого 50мс,

да і ще багато чого.

Мало того він зашивається в контроллері в спеціальний чіп та реагує тільки на відповідну конфігурацію системи.

Доречі, Siemens був вибраний там по історичним причинам.

П.С. Процессори та інші мікросхеми плати тестуються не меньше року у серйозних виробників (Siemens,Omron,Shneider), там неспрацювання не завжди приводить до перезапуску інколи до запуску... )))