Pull to refresh
0

Stuxnet. Истерия продолжается…

Reading time 4 min
Views 18K
Уже много раз обсуждалась тема червя Stuxnet на Хабре. Казалось бы, осветили данное событие со всех сторон, однако все же много важных моментов осталось за кадром. Дело в том, что за всем этим «желтоватым» информационным шумом, фигурирующем сейчас в СМИ, не видно сути. А ведь до сих пор никто не может ответить точно на вопрос, зачем и кому могла быть выгодна такая атака. Прямых фактов не у кого нет, а фигурируют лишь домыслы, сделанные на довольно шатком фундаменте косвенных улик. Но давайте поговорим обо всем по порядку.

На конференции VB’2010, которая прошла в Ванкувере на прошлой неделе, очень много говорили об этой атаке, причем с разных ракурсов. Наиболее интересным по данной теме было выступление «An indepth look into Stuxnet» от исследователя из Symantec, Liam O'Murchu. В рамках его доклада была проведена любопытная демонстрация, которая показывала результат эксплуатации SCADA-системы.



Какова цель атаки Stuxnet? На этот вопрос никто не можетответить до сих пор, потому что, несмотря на все статистические индикаторы, не понятно, какой объект мог являться истинной целью злоумышленников, а, быть может, этих целей было несколько, или задачей было поразить как можно больше объектов использующих системы SCADA от Siemens. Обсуждая функциональные возможности Win32/Stuxnet, стоит учитывать следующие факторы:

— Наличие функционала, позволяющего ему отправлять интересующие злоумышленников параметры системы на удаленный сервер;
— Возможность обновлять себя и расширять свой функционал с удаленного сервера.

Учитывая эти факты, цели злоумышленников могли изменяться, как от каждой конкретной пораженной червем системы, так и в зависимости от временного периода развития атаки. Такие выводы сильно затрудняют поиск истинных мотивов создателей Win32/Stuxnet. Так же стоит учесть, что внимание к себе этот червь привлек только в конце июня 2010. Но существует информация, указывающая на то, что эта атака уже имеет свое развитие на протяжении длительного времени (примерно около года). Например, специалистами Symantec был обнаружен экземпляр червя, датированный июнем 2009 года, причем по своим возможностям он более скромен.

Теперь давайте обратимся к статистическим данным. На сегодняшний день наиболее насыщенным регионом, с точки зрения числа инцидентов, являются азиатские страны. По нашим статистическим данным, распределение с начала обнаружения и до конца сентября выглядит следующим образом:

image

image

Статистика других антивирусных компаний также указывает на то, что Иран, является наиболее активной зоной. Стоит, конечно, учитывать, что все эти данные сделаны лишь на основе количества рабочих станций с установленным тем или иным антивирусным продуктом. Но, тем не менее, статистическая выборка сделана за достаточно длительный временной период, что снижает возможность ошибки.

На основе этих данных некоторые пытаются делать выводы о том, что Иран является основной целью вирусописателей. На самом деле, эти данные не говорят о целях ровным счетом ничего. Но по цифрам можно сделать предположение о том, что, возможно, первые экземпляры червя были активированы именно в Азии, а мошенники не могли контролировать число заражений. Дело в том, что в последней версии Win32/Stuxnet уже имеется в наличии функционал позволяющий, контролировать количество заражений. Может быть, именно эта версия распространялась в других регионах, что позволило злоумышленникам начать контролировать его распространение.

И напоследок, хочется порассуждать на тему стоимости такого рода атаки, и кто бы мог за всем этим стоять. Вредоносная программа Win32/Stuxnet реализована на высоком техническом уровне во многих случаях со знанием того, как обходятся современные защитные средства. Тщательно продуманная объектно-ориентированная архитектура, модульная система и большой объем кода, позволяет сделать выводы о том, что над этой разработкой работала целая группа профессионалов (примерно около 5-7 человек). В качестве основного механизма распространения применялась уязвимость нулевого дня MS10-046. Эта уязвимость в LNK/PIF файлах позволяющая выполнить произвольный код. Использовалась червем для распространения через внешние носители.

Так же присутствовал второй эшелон из уязвимостей, который эксплуатировался при распространении уже внутри локального сетевого сегмента:

MS10-061 – уязвимость в сервисе Print Spooler, которая позволяет выполнить удаленно произвольный код;
MS08-067 – уязвимость в RPC, которая уже давно закрыта и использовалась для своего распространения червем Conficker. В данном случае, этот вектор распространения использовался как дополнительный;
— (отсутствует Vendor-ID) уязвимость в win32k.sys, позволяющая повысить локальные привилегии на системах Win2000/WinXP. Использовалась червем при недостаточных привилегиях в процессе инсталляции.
— (отсутствует Vendor-ID) уязвимость в Task Scheduler, позволяющая повысить локальные привилегии на системах Vista/Win7.

Обе эти незакрытые уязвимости уже стали появляться в продаже и, вероятнее всего, получат в ближайшее время широкое распространение. Сейчас еще нет ни официальных бюллетеней на эти уязвимости, ни официальной информации о том, когда они будут закрыты.

Еще одной интересной уязвимостью нулевого дня является CVE-2010-2772. На этот раз она была найдена в системах Siemens Simatic WinCC и PCS 7 SCADA. Заключается она в жестко прошитом пароле для доступа к базе данных Microsoft SQL из программы WinCC.

Учитывая все это, только стоимость технической реализации Win32/Stuxnet достигает суммы превышающей 500.000 Евро. Это очень большие вложения, и, учитывая тот факт, что прямой схемы монетизации данная вредоносная программа не имеет, вероятнее всего, злонамеренное ПО было создано какой-то влиятельной или правительственной организацией. Истинные мотивы и цели создания Win32/Stuxnet могут раскрыть только самим авторы этой атаки, но, судя по всему, их так никто и не поймает.

Сейчас основными источниками технической информации по червю Win32/Stuxnet, являются два исследовательских отчета:
Stuxnet Under the Microscope, ESET;
W32.Stuxnet Dossier, Symantec.
Tags:
Hubs:
+23
Comments 34
Comments Comments 34

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия