Comments 34
Захватывающий сюжет)
Одно могу сказать, это не Таджикистан… Вспомнился анекдот на эту тему… Про вирус, который просил удалить какие-нибудь важные данные и переслать этот вирус своим знакомым)
malaya-zemlya.livejournal.com/589347.html
Раскрылась новое обстоятельство, от которого, правда, дело не проясняется: оказывается, сырой вариат виря был у Symantec в базе подозрительного кода аж с июля 2009 года. Тогда на него никто не обратил внимания. Сейчас начали искать детские фото знаменитости, и нашли. Он был юн, неопытен, и не умел подделывать подписи на дравйверах. Контрафактные драйвера появились только прошлой зимой. IMHO, серьезный аргумент против теории едиовременного точечного удара. Если ракета цели достигла, то зачем воровать для нее новый ключ? А если не дошла, то одного ключа не хватит. И почему когда первый ключ был отозван в середине этого лета, откуда-то сразу появился червь с ключем от другой фирмы? Это вообще странно. К тому моменту Stuxnet уже палился некоторыми антивирусами. Взяли и выкинули сертификат на ветер.
в компьютерре тоже довольно подробно рассматривался вопрос.), там предполагают, что атака была против конкретной фабрики в Натанзе, и завершилась успехом, поэтому глава Иранской организации по атомной энергии ушел в отставку
…фабрика центрифуг по обогащению урана состоит из тысяч идентичных узлов, которые объединены в структуры, именуемые каскадами. Каждый из этих узлов по необходимости повторяет своих соседей, поскольку для увеличения численности центрифуг обогащения так устроено массивное масштабирование системы. При такой архитектуре червю Stuxnet потребовалось бы заразить каждую из центрифуг, а затем вызвать лавину массовых отказов оборудования. (Имеются неофициальные свидетельства, что именно это и произошло в Натанзе).
чёрт, ссылку-то и не дал
я, кстати, согласна с Киви. то есть, по крайней мере, ход его мыслей вполне логично выстроен.
насчет правительственной или «влиятельной» организации вы загнули :) большинство так называемых хацкеров — студенты и остальные человеки, возраст большей части которых не превышает 27 лет. часть из которых может только на васме флудить или писать не приносящие ничего PoC'ы. в данном примере работали скажем студенты cо cвязями(внутри uground тусовки)/деньгами, в группе ~3 человек, хотя цель их творения до сих пор непонятна. если бы заказывала какая нибудь достаточно серьезная, предположим, правительственная организация — последствия были бы совсем другими.
Ну пока суд да дело, Greatis выпустили бесплатную специализированную утилиту для удаления Stuxnet: greatis.com/security/stuxnet_remover.html
Исходя из «особенностей» работы их продукта UnHackMe, а также не менее «особенного» сервиса проверки имени файла в базе вредоносных, не дам 100% гарантии на полную функциональность данной утилиты, но потуги и шаги в эту сторону, без сомнения, заслуживают похвалы.
Касательно незакрытых уязвимостей — ну не всё так плохо, уже есть KB2286198 и KB2347290 — не надо паниковать :)
Кстати, есть цикл статей «Мирт и Гуава» от Kaspersky Lab на www.securelist.com — это в дополнение к референсам. Не найдёте сами — могу покопаться и дать ссылки.
Исходя из «особенностей» работы их продукта UnHackMe, а также не менее «особенного» сервиса проверки имени файла в базе вредоносных, не дам 100% гарантии на полную функциональность данной утилиты, но потуги и шаги в эту сторону, без сомнения, заслуживают похвалы.
Касательно незакрытых уязвимостей — ну не всё так плохо, уже есть KB2286198 и KB2347290 — не надо паниковать :)
Кстати, есть цикл статей «Мирт и Гуава» от Kaspersky Lab на www.securelist.com — это в дополнение к референсам. Не найдёте сами — могу покопаться и дать ссылки.
Кстати, кто-то из участников конференции может нормально пояснить ролик из статьи? Очень плохое качество звука — не смог разобрать перевод, и что там должно было произойти за «три секунды» и к чему там надувающийся и лопающийся шарик.
Или это был презерватив, который должен был защитить SCADA от вируса? Тогда, конечно, очень наглядно и понятно!
Или это был презерватив, который должен был защитить SCADA от вируса? Тогда, конечно, очень наглядно и понятно!
Лично мне кажется, что история связанная с Stuxnet`ом слишком уж притянута за уши. Интересно посмотреть на список объектов, которые были подвержены нападению (или на которые были запланированы). На опасных производствах, как правило, устанавливают полноценную АСУТП (РСУ+ПАЗ), а не SCADA-подобные системы. Мне кажется, что нужно более четко определять куда вирус просочился и на что нацелен. А то получается, на производстве стоит и РСУ, и ПАЗ и еще и SCADA система, занимающаяся, к примеру, сбором информации, вирус попал на станцию SCADA, и все начинают говорить, А!, опасность производству, но на самом деле это же не так еще есть и РСУ и ПАЗ. Я даже написал статью о современных АСУ ТП, потому что когда я слышу о вирусе Stuxnet, сразу такое ощущение, что мелковозрастные хакеры уже получили доступ ко всем производствам галактики.
Приятно видеть специалиста, но я всё же рекомендую внимательно читать первоисточники, а не вольные пересказы журналистов (даже у Берда Киви в материале полно ляпов).
Мои 5 риалов:
1. Червь был заточен под конкретный PLC (или группу однотипных PLC) конкретного производства. У разработчиков явно была копия «хардвари» и «блоков» проекта Step7 атакуемого производственного объекта.
2. Червь вполне мог пролезть на «инженерную станцию», ибо зачастую эти станции — просто ноутбуки разработчиков, которые на них что только не творят в свободное время (и игры, и интернет). Мой ноут тоже такой :), недавно только закупили специализированный ноутбук SIMATIC Field PG, на котором соблюдаем «карантин». Впрочем, мне пока на опасных производствах не доводилось работать :)
3. Червь загружает вредоносный код в PLC в момент его программирования с инженерной станции путём перехвата трафика между станцией и PLC (заодно червь перехватывает обратный трафик и скрывает свой код). Таким образом, все пароли на проект идут лесом.
4. Если с незаражённой станции попытаться глянуть зараженный червем блок в PLC, то Step действительно ругнётся, что блоки в локальном проекте и в PLC не совпадают. Вот только очень редко другой инженер при этом откроет блок из «онлайна» (из PLC), чтобы посмотреть чего там не то, а скорее пнёт другого инженера (с заражённым ноутом), чтобы тот внёс нужные изменения или слил свежую версию проекта (заражённую червем ;). Да и вообще, как правило, при работе над сложной системой несколько разработчиков делают каждый свой кусок, а блоки, отвечающие за последовательность работы программы в целом пишет более опытный мега-инженер, настолько уверовавший в своё всемогущество, что позволил себе днём ранее почитать на своём ноуте свежее ТЗ, которое какой-то неизвестный местный притащил ему на флешке.
дисклеймер: всё вышеописанное является вымыслом, все совпадения с реальностью случайны и не имели место в действительности :)
Мои 5 риалов:
1. Червь был заточен под конкретный PLC (или группу однотипных PLC) конкретного производства. У разработчиков явно была копия «хардвари» и «блоков» проекта Step7 атакуемого производственного объекта.
2. Червь вполне мог пролезть на «инженерную станцию», ибо зачастую эти станции — просто ноутбуки разработчиков, которые на них что только не творят в свободное время (и игры, и интернет). Мой ноут тоже такой :), недавно только закупили специализированный ноутбук SIMATIC Field PG, на котором соблюдаем «карантин». Впрочем, мне пока на опасных производствах не доводилось работать :)
3. Червь загружает вредоносный код в PLC в момент его программирования с инженерной станции путём перехвата трафика между станцией и PLC (заодно червь перехватывает обратный трафик и скрывает свой код). Таким образом, все пароли на проект идут лесом.
4. Если с незаражённой станции попытаться глянуть зараженный червем блок в PLC, то Step действительно ругнётся, что блоки в локальном проекте и в PLC не совпадают. Вот только очень редко другой инженер при этом откроет блок из «онлайна» (из PLC), чтобы посмотреть чего там не то, а скорее пнёт другого инженера (с заражённым ноутом), чтобы тот внёс нужные изменения или слил свежую версию проекта (заражённую червем ;). Да и вообще, как правило, при работе над сложной системой несколько разработчиков делают каждый свой кусок, а блоки, отвечающие за последовательность работы программы в целом пишет более опытный мега-инженер, настолько уверовавший в своё всемогущество, что позволил себе днём ранее почитать на своём ноуте свежее ТЗ, которое какой-то неизвестный местный притащил ему на флешке.
дисклеймер: всё вышеописанное является вымыслом, все совпадения с реальностью случайны и не имели место в действительности :)
Да, с вашим взглядом на ситуацию согласен. Но тут несколько моментов, во-первых, к системам ПАЗ (а на опасных производствах тем более) отношение всегда предельно серьезное. А во-вторых, вирус может причинить вред системе двумя способами: или организовать удаленное управление асу (ну, это из области фантастики, как правило к внешним сетям станции не подключены), или не выполнить свою функцию (а для этого надо знать как работает именно эта конкретная асу тп, т.е. злоумышленник (а не вирус) должен внести вредоносные изменения в проект).
Интересно, а как оценили стоимость вируса в 500.000 Евро?
— Возможность обновлять себя и расширять свой функционал с удаленного сервера.
И что же мешает найти злоумышленников, имея такую информацию? Меня лично этот вопрос беспокоит больше, чем поднятые в статье.
И что же мешает найти злоумышленников, имея такую информацию? Меня лично этот вопрос беспокоит больше, чем поднятые в статье.
За инструкциями червяк стучался на следующие сайты:
www.mypremierfutbol.com
www.todaysfutbol.com
домены зарегены анонимно. на момент изучения антивирусниками DNSы указывали в совершенно «левые» места…
Как будем искать?
www.mypremierfutbol.com
www.todaysfutbol.com
домены зарегены анонимно. на момент изучения антивирусниками DNSы указывали в совершенно «левые» места…
Как будем искать?
какой-то червь по определенным правилам генерировал домен на который надо было заходить и вроде бы даже в антивирусной компании нарегали имен чтобы захватить контроль над ботами.
будем смотреть, каким образом произведена оплата за них и в случае банковских карт искать владельцев карт? Будем смотреть записи доменов в бэкапах? Следователям виднее, вряд ли я смогу сказать что-то новое.
Снова упали продажи антивирусов?
времена холодных воин прошли. сейчас время высоких технологий.
«Уже много раз обсуждалась тема червя Stuxnet на Хабре»
или уже без корвалола
«На Хабре уже много раз обсуждалась тема червя Stuxnet»?
или уже без корвалола
«На Хабре уже много раз обсуждалась тема червя Stuxnet»?
Фундамент для 2012 года =)
А где Китай? В других странах?
Это так, на заметку.
Это так, на заметку.
Sign up to leave a comment.
Stuxnet. Истерия продолжается…