Изощрённость Stuxnet

Эксперты подозревают, что червь был разработан могущественной организацией типа израильской спецслужбы Моссад, Intelligence Unit 8200 или ЦРУ. До сих пор ни одна организация не взяла на себя ответственность за это.

«Сначала я хотел бы заявить, что не знаю, кто это сделал, и не имею к этому никакого отношения, — заявляет наш собеседник, старший эксперт по безопасности данных компании IBM Ади Шахарабани. — Тем не менее, я хотел бы поделиться некоторыми интересными вещами о Stuxnet».

«Прежде всего, для того чтобы распространяться, как и любой червь, он должен состоять из двух компонентов: один — это воспроизводящий компонент, и второй, отвечающий за фактические действия червя».

Для репродуцирования используется уязвимость определённой системы. Это могут быть как известные, так и неизвестные уязвимости. «Например, если хакер нашёл уязвимость в Windows системах, то он может использовать для распространения червей, либо продать информацию об этом некоторым организациям. Используют как известные, так и неизвестные уязвимости. Получить неизвестные относительно трудно».

Но как оказалось, Stuxnet основывался на четырёх неизвестных уязвимостях, что просто беспрецедентно.

«Четыре неизвестных уязвимости — вовсе не какая-то банальность. Судя по всему, для червя нет никакого интереса в использовании сразу всех четырёх. Лучше использовать только одну, и когда в организации её исправят, червь сможет использовать другую».

Однако для эффективного распространения его создатель должен будет получить цифровую подпись, либо закрытый ключ, являющиеся центральным звеном системы безопасности. Закрытые ключи позволяют компании подписывать свои программные компоненты, и компьютер будет знать, что это программное обеспечение в порядке. Это обеспечило несрабатывание предупреждений, сигнализации или запросов на подтверждение.

«В мире известны только две компании, производящие компоненты оборудования вместе с программным обеспечением и драйверами: JMicron и Realtek. При установке их драйвера на звук на вашем компьютере он работает хорошо, потому, что эти программы имеют подпись JMicron или Realtek».

Те, кто разработал Stuxnet, смогли использовать подписи этих двух компаний для проникновения. Единственная стоявшая на пути проблема была в том, что, как правило, нет кабеля, соединяющего закрытые ключи с Интернетом. Такие ключи хранятся на съёмном USB диске в сейфе.

«Я могу вам сказать, что офисы компаний JMicron и Realtek, подписи которых были украдены, находятся в одном и том же промышленном парке в Тайване, и относительно близко друг от друга. Это может означать, что, кто бы ни разработал Stuxnet, это организация с возможностями, позволяющими ворваться в эти отделения и завладеть ключами».

Одна из проблем для червя — как туда попасть. Те, кто немного знаком с деятельностью спецслужб, знают, что доступ к компьютерам в секретных организациях, как правило, строжайше лимитирован. Они не подключены к Интернету кабелем, и очень труднодоступны для подключения внешних устройств, таких как флэш-накопители.

«В организациях, где доступ к компьютерам очень ограничен и ничего нельзя установить, необходимо использовать процесс обновления ПО, такой как обновление операционной системы, Outlook или программного обеспечения для центрифуг», — продолжает он.

Шахарабани объясняет, что во время обновления можно воспользоваться моментом, чтобы запустить червя в компьютеры организации. Другой возможный вариант заключается в том, что один из сотрудников этой организации по ошибке или намеренно использует карты памяти.

Как только червь проник на ядерный объект, он делает нечто очень похожее на то, что мы видим в боевиках. «В первую очередь записывается вся деятельность центрифуг. После записи деятельности систем управления, он делает две вещи: отправляет команду центрифуге об изменении движения, так быстро, насколько это возможно, не обращая внимания на теплодатчики, на чём они и обожглись. В то же время, к системе управления отправляется записанная информация о нормальной деятельности».

«Это похоже на то, как показывают в кино. С камеры слежения записывается и потом воспроизводится видеопоток. Охранник видит это и думает, что всё в порядке. Это очень, очень впечатляет», — заканчивает эксперт.

Версия на английском