Найден источник промышленного кибервируса Stuxnet.

04.10.10
Источник: Взгляд
Компания Siemens Systems созналась в том, что вина за атаку вируса Stuxnet на компьютеры иранского ядерного реактора лежит на ее сотрудниках. Впрочем, последние внедряли червя "неумышленно". Ранее главным подозреваемым в распространении "заразы" считался "Моссад". Впрочем, создатели все еще неизвестны.
Немецкий инженерный гигант – компания Siemens Systems – признался, что за распространением компьютерного червя и, в частности, его внедрением в компьютеры иранского ядерного реактора стоят его сотрудники. При этом представитель компании подчеркнул, что это было сделано "неумышленно".
По оценкам специалистов, Stuxnet – один из первых вирусов, созданных для срыва работы реальных объектов инфраструктуры, таких как электростанции и промышленные предприятия.
За последний месяц как минимум 15 компаний, использовавших технологию Siemens, в том числе электростанции, химические заводы и другие промышленные предприятия, сообщили об обнаружении данного вируса в своих компьютерах, передает Deutsche Welle.Между тем специалисты Siemens успокаивают: вирус не так опасен, как кажется – им удалось изолировать его и поместить в тестовую среду для дальнейшего изучения. Однако пока "исследования не дали никаких определенных результатов, цель вируса и его создатели по-прежнему неизвестны".По мнению некоторых экспертов, вирус Stuxnet может быть "первым кибернетическим супероружием", способным проникать в компьютеры, управляющие машинами промышленных центров и систем жизнеобеспечения, передающим управление над ними в руки злоумышленников, передает MigNews.
Напомним, в конце сентября официальные источники в Иране объявили, что около 30 тыс. компьютеров в центральной компьютерной системе иранской промышленности были атакованы вирусным червем Stuxnet.
Глава совета по информационным технологиям при министерстве промышленности и рудников ИРИ Махмуд Лиайи позднее заявил, что обнаружение Stuxnet в компьютерах сотрудников иранской АЭС в Бушере может служить признаком того, что "против Ирана объявлена электронная война".
Напрямую источник вируса не назывался, однако в первую очередь в этом подозревали израильскую разведку – особенно после того, как о том, что якобы умышленно запущенный вирус "перепутал цели", сообщили израильские СМИ.
Эксперты особо подчеркивают: создание такого высокоточного и высокотехнологичного кибероружия едва ли под силу частным лицам или криминальным группировкам. Делались предположения, что здесь потрудились спецслужбы одного из технологически высокоразвитых государств.По некоторым данным, наиболее высокий уровень атак вируса в 60% поражения промышленного оборудования управления отмечен в Иране, 20% – в Индонезии и восемь – в Индии, отмечает ИТАР-ТАСС.
Между тем по статистике, полученной ThreatSense.Net (глобальный сервис, обеспечивающий автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа), первое место по распространению червя Win32/Stuxnet, как называют его программисты, занимают США – на долю этой страны приходится 57% от всех зараженных компьютеров. Второе место занимает Иран – 30%, а следом идет Россия – 4% машин.

Редактор: Клаузевиц


------------------------------------------------

05.10.10 08:32
Источник: mskit.ru
Компания Symantec выпустила комплексный бюллетень с детальным описанием всех свойств вируса W32.Stuxnet, летом этого года атаковавшего АЭС в Бушере.
Бюллетень составлен на основании различных отдельных исследований, проводимых экспертами компании в течение последних трёх месяцев. На основе проведённого комплексного анализа, эксперты компании Symantec заключили, что Stuxnet - необычайно опасная и сложная угроза безопасности компьютерных систем, основной задачей которой было заражение систем контроля промышленным оборудованием, которые, в частности, используются на трубопроводах и электростанциях. Путём изменения кода логических контроллеров (programmable logic controllers - PLC) вирус пытался перепрограммировать системы контроля промышленных систем (industrial control systems – ICS), чтобы, незаметно от операторов систем, захватить над ними контроль.
Для достижения этой цели, создатели задействовали необычайно широкий спектр вирусных механизмов в одном черве. Среди них - "уязвимости нулевого дня"[1], руткит под Windows, первый известный руткит для PLC, алгоритм отключения антивирусных программ, заражение сложных системных процессов, заражение кода исполняемых файлов и хукинг (hooking)[2] , механизмы распространения через сетевые соединения и децентрализованного (peer-to-peer) обновления кода червя, поддержка единого интерфейса удалённого управления.

В отчёте детально разобраны все механизмы функционирования червя, а также рассмотрены возможные цели, преследуемые создателями Stuxnet.

Основные выводы по итогам комплексного анализа вируса Stuxnet следующие:

- Stuxnet был создан для атаки на промышленные компьютерные системы Ирана, отвечающие за контроль работы газопроводов и электростанций. Целью червя было вывести эти системы из строя, путём перепрограммирования PLC и нарушения стандартных технологических процессов.
- Хотя Stuxnet был выявлен в июле 2010 года, есть подтверждения существования этого вируса за год до его обнаружения и даже ранее. Основная часть инфицированных компьютеров расположена в Иране. Stuxnet содержит немало интересных вирусных свойств, а именно:
  • Саморепликация через USB-носители, за счёт эксплуатации уязвимости Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732)
  • Активное распространение по сети за счёт исползование уязвимости в "Диспетчере печати" Windows - Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)
  • Распространяется через протокол сообщений сервера (SMB) используя Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)
  • Самореплицируется и запускается на выполнение с общих сетевых дисков
  • Удалённо самореплицируется и запускается на выполнение на компьютерах, с запущенным сервером баз данных WinCC
  • Копирует себя в проекты промышленного ПО Step 7 (Siemens), автоматически запускается на выполнение при загрузке этих проектных файлов в клиентскую систему
  • Поддерживает механизм обновлений peer-to-peer по локальной сети
  • Использует четыре уязвимости MS Windows, для которых заранее не было выпущено патчей, две из которых (механизмы саморепликации) были известны на момент появления Stuxnet, а две другие были ранее неизвестны
  • Контактирует с сервером, контролирующим червь, который позволяет хакеру скачивать и выполнять код с заражённых машин, в том числе и удалённо обновлять код червя
  • Содержит Windows руткит, скривыющий от системы файлы с кодом вируса
  • Пытается отключить установленное ПО для безопасности компьютера
  • Оставляет следы в ICS и модифицирует код Siemens PLC для потенциального выведения системы из строя
  • Скрывает модификацию кода PLC за счёт руткита для PLC


Редактор: Фыва

http://www.warandpeace.ru/ru/news/view/51573/