Stuxnet

Stuxnet - вредоносный компьютерный червь, впервые обнаруженный в 2010 году, который, как считается, разрабатывался по крайней мере с 2005 года. Stuxnet нацелен на системы диспетчерского управления и сбора данных (SCADA) и, как полагают, несет ответственность за нанесение существенного ущерба ядерной программе Ирана. Хотя ни одна из стран открыто не признала свою ответственность, червь широко известен как кибероружие, созданное совместно Соединенными Штатами и Израилем в рамках совместных усилий, известных как операция "Олимпийские игры". Программа, начатая при администрации Буша, была быстро расширена в первые месяцы президентства Барака Обамы.

Stuxnet специально предназначен для программируемых логических контроллеров (ПЛК), которые позволяют автоматизировать электромеханические процессы, такие как те, которые используются для управления оборудованием и промышленными процессами, включая газовые центрифуги для разделения ядерного материала. Используя четыре ошибки нулевого дня, [7] Stuxnet функционирует, ориентируясь на компьютеры, использующие операционную систему Microsoft Windows и сети, а затем ищет программное обеспечение Siemens Step7. Сообщается, что Stuxnet скомпрометировал иранские ПЛК, собирая информацию о промышленных системах и заставляя быстро вращающиеся центрифуги разрываться на части.[8] Дизайн и архитектура Stuxnet не зависят от предметной области и могут быть адаптированы как платформа для атаки на современные SCADA и PLC-системы (например, на заводских сборочных линиях или электростанциях), большинство из которых находятся в Европе, Японии и Соединенных Штатах. Сообщается, что Stuxnet разрушил почти пятую часть ядерных центрифуг Ирана. Червь, нацеленный на промышленные системы управления, заразил более 200 000 компьютеров и привел к физическому выходу из строя 1000 машин.

Stuxnet состоит из трех модулей: червь, который выполняет все процедуры, связанные с основной полезной нагрузкой атаки; файл ссылки, который автоматически запускает распространяемые копии червя; и компонент руткита, отвечающий за сокрытие всех вредоносных файлов и процессов, чтобы предотвратить обнаружение Stuxnet. Обычно он вводится в целевую среду через зараженный флэш-накопитель USB, таким образом, преодолевая любой воздушный зазор. Затем червь распространяется по сети, сканируя программное обеспечение Siemens Step7 на компьютерах, управляющих ПЛК. При отсутствии любого из этих критериев Stuxnet становится бездействующим внутри компьютера. Если оба условия выполнены, Stuxnet внедряет зараженный руткит в ПЛК и программное обеспечение Step7, изменяя код и отдавая неожиданные команды ПЛК, возвращая пользователям цикл значений нормальной операционной системы.

Открытие[править]

Stuxnet, открытый Сергеем Уласеном, первоначально распространялся через Microsoft Windows и был нацелен на промышленные системы управления Siemens. Хотя это не первый случай, когда хакеры нацеливаются на промышленные системы, и не первый публично известный преднамеренный акт кибервойны, который будет реализован, это первая обнаруженная вредоносная программа, которая шпионит и подрывает промышленные системы, и первая, которая включает руткит программируемого логического контроллера (PLC).

Изначально червь распространяется без разбора, но включает в себя узкоспециализированную вредоносную программу, предназначенную только для систем диспетчерского управления и сбора данных Siemens (SCADA), настроенных для управления и мониторинга конкретных производственных процессов. Stuxnet заражает ПЛК, подрывая программное приложение Step-7, которое используется для перепрограммирования этих устройств.

Различные варианты Stuxnet нацелены на пять иранских организаций, причем вероятной целью, как предполагают многие, является инфраструктура по обогащению урана в Иране;[22][24][25] В августе 2010 года Symantec отметила, что 60% зараженных компьютеров по всему миру находились в Иране.[26] Siemens заявила, что червь не нанес ущерба ее клиентам, но иранская ядерная программа, в которой используется оборудование Siemens, закупленное тайно, на которое наложено эмбарго, пострадала от Stuxnet. "Лаборатория Касперского" пришла к выводу, что сложная атака могла быть проведена только "при поддержке национального государства".[30] Главный исследователь F-Secure Микко Хиппонен, когда его спросили, была ли задействована возможная поддержка национального государства, согласился: "Да, так это выглядело бы"

В мае 2011 года программа PBS Need To Know процитировала заявление Гэри Самора, координатора Белого дома по контролю над вооружениями и оружием массового уничтожения, в котором он сказал: "Мы рады, что у них [иранцев] возникли проблемы с их центрифугой, и что мы – США и их союзники –мы делаем все возможное, чтобы убедиться, что мы усложняем для них ситуацию", предлагая "подмигивающее признание" участия Соединенных Штатов в Stuxnet.[32] Согласно The Daily Telegraph, в телевизионном ролике, который был показан на вечеринке по случаю выхода на пенсию главы Армии обороны Израиля (ЦАХАЛ) Габи Ашкенази, упоминался Стакснет как один из его оперативных успехов в качестве начальника штаба ЦАХАЛа.

1 июня 2012 года в статье в New York Times говорилось, что Stuxnet является частью разведывательной операции США и Израиля под названием Operation Olympic Games, разработанной АНБ при президенте Джордже У. Буш и казнен при президенте Бараке Обаме.

24 июля 2012 года в статье Криса Матышика из CNET сообщалось, как Организация по атомной энергии Ирана отправила по электронной почте главному научному сотруднику F-Secure Микко Хиппонену сообщение о новом экземпляре вредоносного ПО.

25 декабря 2012 года иранское полуофициальное информационное агентство объявило о кибератаке со стороны Stuxnet, на этот раз на промышленные предприятия в южной части страны. В последние месяцы вредоносная программа была нацелена на электростанцию и некоторые другие предприятия в провинции Хормозган.

По словам эксперта Евгения Касперского, червь также заразил атомную электростанцию в России. Однако Касперский отметил, что, поскольку электростанция не подключена к общедоступному Интернету, система должна оставаться безопасной.

История[править]

Червь был впервые обнаружен охранной компанией VirusBlokAda в середине июня 2010 года. Сообщение в блоге журналиста Брайана Кребса от 15 июля 2010 года стало первым широко читаемым сообщением о черве.Первоначальное название, данное VirusBlokAda, было "Руткит.Tmphider;" Однако Symantec назвала его "W32.Temphid", позже изменив на "W32.Stuxnet". Его текущее название происходит от комбинации некоторых ключевых слов в программном обеспечении (".stub" и "mrxnet.sys ").Причиной обнаружения в это время объясняется случайное распространение вируса за пределы намеченной цели (завод в Натанзе) из-за ошибки программирования, внесенной в обновление; это привело к распространению червя на компьютер инженера, который был подключен к центрифугам, и дальнейшему распространению, когда инженер вернулсявернулся домой и подключил свой компьютер к Интернету.

Эксперты "Лаборатории Касперского" сначала предположили, что Stuxnet начал распространяться примерно в марте или апреле 2010 года, но первый вариант червя появился в июне 2009 года. 15 июля 2010 года, в день, когда о существовании червя стало широко известно, была предпринята распределенная атака типа "отказ в обслуживании" насерверы для двух ведущих списков рассылки по безопасности промышленных систем. Эта атака из неизвестного источника, но, вероятно, связанная со Stuxnet, вывела из строя один из списков, тем самым прервав работу важного источника информации для электростанций и заводов. С другой стороны, исследователи из Symantec обнаружили версию компьютерного вируса Stuxnet, который использовался для атаки на ядерную программу Ирана в ноябре 2007 года и разрабатывался еще в 2005 году, когда Иран все еще создавал свой завод по обогащению урана.

Второй вариант, со значительными улучшениями, появился в марте 2010 года, по-видимому, потому, что его авторы считали, что Stuxnet распространяется недостаточно быстро; третий, с незначительными улучшениями, появился в апреле 2010 года.Червь содержит компонент с отметкой времени сборки от 3 февраля 2010 года. 25 ноября 2010 года в Соединенном Королевстве Sky News сообщила, что получила информацию от анонимного источника в неизвестной организации ИТ-безопасности о том, что Stuxnet или разновидность червя были проданы начерный рынок.

В 2015 году "Лаборатория Касперского" отметила, что Equation Group использовала две одинаковые атаки нулевого дня до их использования в Stuxnet, в другой вредоносной программе под названием fanny.bmp. и прокомментировала, что "схожий тип использования обоих эксплойтов вместе в разных компьютерных червях, по крайней мерепримерно в то же время указывает, что Equation Group и разработчики Stuxnet либо одно и то же лицо, либо тесно сотрудничают".

В 2019 году исследователи Chronicle Хуан Андрес Герреро-Сааде и Сайлас Катлер представили доказательства того, что по крайней мере четыре различные вредоносные платформы, представляющие угрозу, сотрудничают для создания различных версий Stuxnet.Сотрудничество получило название "СПЛЕТНИЦА" после того, как группа угроз просочилась из секретных слайдов CSE, в том числе Flame.СПЛЕТНИЦА - это кооперативная организация, в которую входят the Equation Group, Flame, Duqu и Flowershop (также известная как "Чеширский кот").

В 2020 году исследователь Факундо Муньос обнаружил доказательства, свидетельствующие о том, что Equation Group сотрудничала с разработчиками Stuxnet в 2009 году, предоставив им по крайней мере один эксплойт нулевого дня и один эксплойт 2008 года[58], который активно использовался в дикой природе компьютерным червем Conficker и китайскими хакерами. В 2017 году группа хакеров, известных как Shadow Brokers, слила огромное количество инструментов, принадлежащих Equation Group, включая новые версии обоих эксплойтов, скомпилированных в 2010 году, что показывает значительное совпадение кода, поскольку эксплойты Stuxnet и Equation Group были разработаны с использованием набора библиотек под названием "ExploitФреймворк разработки" также просочился от Теневых брокеров.

Затронутые страны[править]

Исследование распространения Stuxnet, проведенное Symantec, показало, что основными странами, пострадавшими в первые дни заражения, были Иран, Индонезия и Индия:[

stuxnet

Страна	Доля зараженных компьютеров
Иран	58.9%
Индонезия	18.2%
Индия	8.3%
Азербайджан	2.6%
США	1.6%
Пакистан	1.3%
Другие страны	9.2%

Сообщалось, что Иран "усилил" свои возможности в области кибервойны после атаки Stuxnet, и его подозревали в ответных атаках на банки Соединенных Штатов].

Операция[править]

В отличие от большинства вредоносных программ, Stuxnet наносит небольшой вред компьютерам и сетям, которые не соответствуют определенным требованиям к конфигурации; "Злоумышленники очень тщательно следили за тем, чтобы были поражены только их назначенные цели ... Это была работа меткого стрелка ". Хотя червь является беспорядочным, он становится инертным, если программное обеспечение Siemens не найдено на зараженных компьютерах, и содержит меры предосторожности, предотвращающие распространение червя на каждом зараженном компьютере более чем на три других и самоустранение 24 июня 2012 года.

Для своих целей Stuxnet содержит, среди прочего, код для атаки "человек посередине", которая подделывает сигналы датчиков управления промышленным процессом, чтобы зараженная система не отключилась из-за обнаруженного аномального поведения. Такая сложность очень необычна для вредоносных программ. Червь состоит из многоуровневой атаки на три разные системы:

Операционная система Windows,

• Приложения Siemens PCS 7, WinCC и STEP7 для промышленного программного обеспечения, работающие на Windows и
• Один или несколько ПЛК Siemens S7.

Заражение Windows[править]

Stuxnet атаковал системы Windows, используя беспрецедентные четыре атаки нулевого дня (плюс уязвимость CPLINK и уязвимость, используемая червем Conficker). Первоначально он распространяется с помощью зараженных съемных дисков, таких как флэш-накопители USB, которые содержат файлы ярлыков Windows для запуска исполняемого кода.Затем червь использует другие эксплойты и методы, такие как одноранговый удаленный вызов процедур (RPC), для заражения и обновления других компьютеров в частных сетях, которые напрямую не подключены к Интернету.Количество используемых эксплойтов нулевого дня необычно, поскольку они высоко ценятся, а создатели вредоносных программ обычно не используют (и, следовательно, не делают видимыми одновременно) четыре разных эксплойта нулевого дня в одном и том же черве. Среди этих эксплойтов было удаленное выполнение кода на компьютере с включенным общим доступом к принтеру[69] и уязвимость LNK / PIF, при которой выполнение файла выполняется при просмотре значка в проводнике Windows, что сводит на нет необходимость взаимодействия с пользователем. Stuxnet необычайно большой, размером в половину мегабайта, и написан на нескольких разных языках программирования (включая C и C ++), что также не подходит для вредоносных программ. Компонент вредоносного ПО для Windows является беспорядочным в том смысле, что он распространяется относительно быстро и без разбора.

Вредоносная программа поддерживает как пользовательский режим, так и руткит в режиме ядра под Windows, а драйверы ее устройств имеют цифровую подпись с помощью закрытых ключей двух сертификатов открытых ключей, которые были украдены у отдельных известных компаний JMicron и Realtek, расположенных в научном парке Синьчжу на Тайване.[46][66]Подписание драйвера помогло ему успешно установить драйверы руткита режима ядра без уведомления пользователей, и, таким образом, он оставался незамеченным в течение относительно длительного периода времени. Оба скомпрометированных сертификата были отозваны Verisign.

Два веб-сайта в Дании и Малайзии были настроены в качестве серверов управления и управления вредоносным ПО, что позволило обновлять его и осуществлять промышленный шпионаж путем загрузки информации. Оба этих доменных имени впоследствии были перенаправлены их поставщиком услуг DNS на Dynadot в рамках глобальных усилий по отключению вредоносного ПО.

Шаг 7 заражение программного обеспечения[править]

По словам исследователя Ральфа Лангнера, после установки в системе Windows Stuxnet заражает файлы проекта, принадлежащие программному обеспечению управления SCADA WinCC / PCS 7 от Siemens[ (шаг 7), и подрывает ключевую коммуникационную библиотеку WinCC called s7otbxdx.dll. Это позволяет перехватывать обмен данными между программным обеспечением WinCC, работающим под управлением Windows, и целевыми устройствами Siemens PLC, когда они подключены через кабель для передачи данных. Вредоносная программа способна незаметно изменять код на ПЛК-устройствах и впоследствии маскировать свое присутствие от WinCC, если управляющее программное обеспечение пытается считывать зараженный блок памяти из системы ПЛК.

Кроме того, вредоносная программа использовала эксплойт нулевого дня в программном обеспечении базы данных WinCC / SCADA в виде жестко закодированного пароля базы данных.

Заражение ПЛК[править]

Полный код Stuxnet еще не раскрыт, но его полезная нагрузка предназначена только для тех конфигураций SCADA, которые соответствуют критериям, которые он запрограммирован для идентификации.

Stuxnet требует, чтобы к целевой системе Siemens S7-300 и связанным с ней модулям были подключены специальные ведомые частотно-регулируемые приводы (преобразователи частоты). Он атакует только те системы ПЛК с частотно-регулируемыми приводами от двух конкретных поставщиков: Vacon из Финляндии и Fararo Paya из Ирана. Кроме того, он отслеживает частоту подключенных двигателей и атакует только системы, которые вращаются в диапазоне от 807 Гц до 1210 Гц. Это намного более высокая частота, чем у двигателей, работающих в большинстве промышленных применений, за исключением газовых центрифуг. Stuxnet устанавливает вредоносное ПО в блок памяти DB890 ПЛК, который контролирует шину обмена сообщениями Profibus системы.[68]При соблюдении определенных критериев он периодически изменяет частоту до 1410 Гц, затем до 2 Гц, а затем до 1064 Гц и, таким образом, влияет на работу подключенных двигателей, изменяя их частоту вращения.Он также устанавливает руткит – первый подобный задокументированный случай на этой платформе, – который скрывает вредоносное ПО в системе и маскирует изменения скорости вращения от систем мониторинга.

Удаление[править]

Siemens выпустила средство обнаружения и удаления для Stuxnet. Siemens рекомендует обратиться в службу поддержки клиентов при обнаружении заражения и рекомендует установить обновления Microsoft для устранения уязвимостей в системе безопасности и запретить использование USB-накопителей сторонних производителей.[78] Siemens также рекомендует немедленно обновить коды доступа к паролям.

Способность червя перепрограммировать внешние ПЛК может усложнить процедуру удаления. Лиам О'Мерчу из Symantec предупреждает, что исправление систем Windows может не полностью устранить проблему заражения; может потребоваться тщательный аудит ПЛК. Несмотря на предположения о том, что неправильное удаление червя может нанести ущерб,[80] Siemens сообщает, что за первые четыре месяца с момента обнаружения вредоносная программа была успешно удалена из систем 22 клиентов без каких-либо побочных эффектов.[78][81]

Безопасность системы управления[править]

Основная статья: Безопасность системы управления

Предотвращение инцидентов безопасности системы управления , таких как вирусные инфекции, такие как Stuxnet, является темой, которая рассматривается как в государственном, так и в частном секторе.

Национальный отдел кибербезопасности Министерства внутренней безопасности США (NCSD) управляет Программой безопасности системы управления (CSSP).Программа управляет специализированной группой реагирования на компьютерные чрезвычайные ситуации, называемой Группой реагирования на кибер-чрезвычайные ситуации в промышленных системах управления (ICS-CERT), проводит проводимую раз в два года конференцию (ICSJWG), проводит обучение, публикует рекомендуемые методы и предоставляет инструмент самооценки. В рамках плана Министерства внутренней безопасности по улучшению американской компьютерной безопасности в 2008 году ИТ-отдел и Национальная лаборатория штата Айдахо (INL) работали с Siemens над выявлением дыр в системе безопасности в широко используемой системе управления технологическими процессами компании 7 (PCS 7) и ее программном обеспечении Step 7. В июле 2008 года INL и Siemens публично объявили о недостатках в системе управления на конференции в Чикаго; Stuxnet воспользовался этими недостатками в 2009 году.

Несколько отраслевых организаций и профессиональных обществ опубликовали стандарты и рекомендации по передовой практике, содержащие указания и рекомендации для конечных пользователей систем управления о том, как создать программу управления безопасностью системы управления. Основная предпосылка, общая для всех этих документов, заключается в том, что предотвращение требует многоуровневого подхода, часто называемого глубокой защитой. Уровни включают политики и процедуры, осведомленность и обучение, сегментацию сети, меры контроля доступа, меры физической безопасности, усиление системы, например, управление исправлениями, а также мониторинг системы, антивирусную систему и систему предотвращения вторжений (IPS). Стандарты и лучшие практики [кто?] также все [неправильный синтез?] рекомендуем начать с анализа рисков и оценки безопасности системы управления.

Цель и источник[править]

Эксперты считают, что Stuxnet потребовал самых больших и дорогостоящих усилий по разработке в истории вредоносных программ.[39] Для развития его многочисленных возможностей потребовалась бы команда высококвалифицированных программистов, глубокие знания производственных процессов и интерес к атакам на промышленную инфраструктуру. Эрик Байрес, имеющий многолетний опыт обслуживания и устранения неполадок систем Siemens, сказал Wired, что написание кода заняло бы много человеко-месяцев, если не человеко-лет. По оценкам Symantec, группа разработчиков Stuxnet состояла бы из пяти-тридцати человек, и на подготовку ушло бы шесть месяцев. The Guardian, BBC и New York Times утверждали, что (неназванные) эксперты, изучающие Stuxnet, считают, что сложность кода указывает на то, что только национальное государство могло бы его создать.Самоуничтожение и другие гарантии в кодексе подразумевали, что западное правительство несет ответственность или, по крайней мере, несет ответственность за его развитие.[39]Однако эксперт по безопасности программного обеспечения Брюс Шнайер первоначально осудил освещение Stuxnet в новостях в 2010 году как шумиху, заявив, что оно почти полностью основано на спекуляциях. Но после последующих исследований Шнайер заявил в 2012 году, что "теперь мы можем окончательно связать Stuxnet со структурой центрифуги в лаборатории ядерного обогащения в Натанзе в Иране".

Иран как цель[править]

Ральф Ленгнер, исследователь, который определил, что Stuxnet заразил ПЛК, впервые публично предположил в сентябре 2010 года, что вредоносная программа имеет израильское происхождение и нацелена на иранские ядерные объекты.Однако Лангнер совсем недавно, на конференции TED, записанной в феврале 2011 года, заявил, что "Мое мнение таково, что в этом замешан Моссад, но ведущей силой является не Израиль. Ведущая сила, стоящая за Stuxnet, является кибер–сверхдержавой - есть только одна; и это Соединенные Штаты ". Кевин Хоган, старший директор по безопасности Symantec, сообщил, что большинство зараженных систем были в Иране (около 60%), что привело к предположению, чтовозможно, он был преднамеренно нацелен на "дорогостоящую инфраструктуру" в Иране, включая атомную электростанцию в Бушере или ядерный объект в Натанзе.Лангнер назвал вредоносную программу "одноразовым оружием" и сказал, что намеченная цель, вероятно, была поражена, хотя он признал, что это были домыслы. Другой немецкий исследователь и представитель немецкого компьютерного клуба Chaos, Фрэнк Ригер, первым предположил, что целью был Натанц.

Ядерные объекты в Натанзе[править]

Согласно израильской газете Haaretz, в сентябре 2010 года эксперты по Ирану и специалисты по компьютерной безопасности все больше убеждались, что Stuxnet предназначался "для саботажа установки по обогащению урана в Натанзе, где производительность центрифуги за последний год упала на 30 процентов". 23 ноября 2010 года было объявленочто обогащение урана в Натанзе несколько раз прекращалось из-за ряда серьезных технических проблем. "Серьезная ядерная авария" (предположительно, остановка некоторых центрифуг) произошла на объекте в первой половине 2009 года, что, как предполагается, заставилоГолам Реза Агазаде, глава Организации по атомной энергии Ирана (ОАЭИ), уходит в отставку. Статистика, опубликованная Федерацией американских ученых (FAS), показывает, что количество работающих в Иране центрифуг для обогащения УРАНА таинственным образом сократилось примерно с 4700 до 3900, начиная примерно с того времени, когда должен был произойти ядерный инцидент, упомянутый WikiLeaks. Институт науки и международной безопасности (ISIS) предполагает, в отчете, опубликованном в декабре 2010 года, говорится, что Stuxnet является разумным объяснением очевидного ущерба в Натанзе и, возможно, уничтожили до 1000 центрифуг (10 процентов) где-то между ноябрем 2009 года и концом января 2010 года. Авторы приходят к выводу:

Атаки, по-видимому, направлены на принудительное изменение скорости вращения ротора центрифуги, сначала повышая скорость, а затем понижая ее, вероятно, с целью вызвать чрезмерные вибрации или искажения, которые могут привести к разрушению центрифуги. Если его целью было быстрое уничтожение всех центрифуг в FEP [Завод по обогащению топлива], Stuxnet потерпел неудачу. Но если целью было уничтожить более ограниченное количество центрифуг и замедлить прогресс Ирана в эксплуатации FEP, затруднив при этом обнаружение, возможно, это удалось, по крайней мере временно.

В отчете Института науки и международной безопасности (ISIS) далее отмечается, что иранские власти пытались скрыть поломку, устанавливая новые центрифуги в больших масштабах.

Червь работал, сначала заставляя зараженную иранскую центрифугу IR-1 увеличивать ее нормальную рабочую частоту с 1064 герц до 1410 Герц в течение 15 минут, прежде чем вернуться к нормальной частоте. Двадцать семь дней спустя червь снова заработал, снизив частоту зараженных центрифуг до нескольких сотен герц на целых 50 минут. Напряжения от чрезмерных, а затем более низких скоростей приводили к расширению алюминиевых центробежных труб, что часто приводило к достаточному контакту частей центрифуг друг с другом, что приводило к разрушению машины.

По данным Washington Post, камеры Международного агентства по атомной энергии (МАГАТЭ), установленные на объекте в Натанзе, зафиксировали внезапный демонтаж и вывоз примерно 900-1000 центрифуг в то время, когда червь Stuxnet, по сообщениям, был активен на заводе. Иранские технические специалисты, однако, смогли быстро заменить центрифуги, и в отчете был сделан вывод, что обогащение урана, вероятно, было нарушено лишь на короткое время[111].

15 февраля 2011 года Институт науки и международной безопасности опубликовал доклад, в котором делается вывод о том, что:

Если предположить, что Иран проявит осторожность, Stuxnet вряд ли уничтожит еще больше центрифуг на заводе в Натанзе. Иран, вероятно, очистил вредоносное ПО от своих систем управления. Чтобы предотвратить повторное заражение, Ирану придется проявлять особую осторожность, поскольку так много компьютеров в Иране содержат Stuxnet. Хотя Stuxnet, по-видимому, предназначен для уничтожения центрифуг на объекте в Натанзе, уничтожение ни в коем случае не было полным. Более того, Stuxnet не снижала производство низкообогащенного урана (НОУ) в течение 2010 года. Количество НОУ, безусловно, могло быть больше, и Stuxnet может быть важной частью причины, по которой оно существенно не увеличилось. Тем не менее, остаются важные вопросы о том, почему Stuxnet уничтожил только 1000 центрифуг. Одно из наблюдений состоит в том, что уничтожить центрифуги с помощью кибератак может оказаться сложнее, чем часто считается.

Реакция Ирана[править]

Агентство Associated Press сообщило, что 24 сентября 2010 года полуофициальное информационное агентство иранских студентов опубликовало заявление, в котором говорится, что эксперты из Организации по атомной энергии Ирана встретились на прошлой неделе, чтобы обсудить, как Stuxnet может быть удален из их систем.[20] По мнению аналитиков, таких как Дэвид Олбрайт, западные спецслужбы пытались саботировать иранскую ядерную программу в течение некоторого времени.

Глава атомной электростанции в Бушере сообщил агентству Рейтер, что Stuxnet заразил только персональные компьютеры персонала станции, а государственная газета Iran Daily процитировала Резу Тагипура, министра телекоммуникаций Ирана, который сказал, что это не нанесло "серьезного ущерба правительственным системам".[92] Директор Совета по информационным технологиям при Министерстве промышленности и шахт Ирана Махмуд Лиаи заявил, что: "Против Ирана начата электронная война... Этот компьютерный червь предназначен для передачи данных о производственных линиях с наших промышленных предприятий за пределы Ирана ".

В ответ на заражение Иран собрал команду для борьбы с ним. Поскольку в Иране было затронуто более 30 000 IP-адресов, чиновник заявил, что инфекция быстро распространяется в Иране, и проблема усугубляется способностью Stuxnet мутировать. Иран создал свои собственные системы для очистки от заражений и рекомендовал не использовать антивирус Siemens SCADA, поскольку есть подозрение, что антивирус содержит встроенный код, который обновляет Stuxnet вместо его удаления.

По словам Хамида Алипура, заместителя главы правительственной компании информационных технологий Ирана, "атака все еще продолжается, и распространяются новые версии этого вируса". Он сообщил, что его компания начала процесс очистки в иранских "чувствительных центрах и организациях". "Мы ожидали, что сможем искоренить вирус в течение одного-двух месяцев, но вирус нестабилен, и с тех пор, как мы начали процесс очистки, появились три его новые версии.распространяется", - сказал он информационному агентству Исламской Республики 27 сентября 2010 года[.

29 ноября 2010 года президент Ирана Махмуд Ахмадинежад впервые заявил, что компьютерный вирус вызвал проблемы с контроллером, управляющим центрифугами на его объектах в Натанзе. Согласно Reuters, он сказал журналистам на пресс-конференции в Тегеране: "Им удалось создать проблемы для ограниченного числа наших центрифуг с помощью программного обеспечения, которое они установили в электронных частях".

В тот же день два иранских ученых-ядерщика стали жертвами отдельных, но почти одновременных взрывов заминированных автомобилей возле Университета Шахида Бехешти в Тегеране. Маджид Шахриари, квантовый физик, был убит. Ферейдун Аббаси, высокопоставленный чиновник Министерства обороны, был тяжело ранен. Wired предположил, что убийства могут указывать на то, что тот, кто стоял за Stuxnet, считал, что этого недостаточно для прекращения ядерной программы. В той же статье Wired предполагалось, что за убийствами могло стоять иранское правительство.[122] В январе 2010 года другой иранский ученый-ядерщик, профессор физики Тегеранского университета, был убит в результате аналогичного взрыва бомбы. 11 января 2012 года директор завода по обогащению урана в Натанзе Мостафа Ахмади Рошан был убит в результате нападения, очень похожего на то, в результате которого погиб Шахрияри.

Анализ, проведенный FAS, показывает, что мощности Ирана по обогащению УРАНА выросли в течение 2010 года. Исследование показало, что центрифуги Ирана, по-видимому, работают на 60% лучше, чем в предыдущем году, что значительно сократит время Тегерана на производство урана бомбового качества. Отчет FAS был рассмотрен должностным лицом МАГАТЭ, которое подтвердило результаты исследования.

Европейские и американские официальные лица, а также частные эксперты сообщили агентству Рейтер, что иранские инженеры добились успеха в нейтрализации и очистке Stuxnet от ядерного оборудования своей страны.

Учитывая рост иранских возможностей по обогащению урана в 2010 году, страна, возможно, намеренно распространила дезинформацию, чтобы заставить создателей Stuxnet поверить, что червь был более успешным в отключении иранской ядерной программы, чем это было на самом деле.

Израиль[править]

Израиль, через подразделение 8200, считается страной, стоящей за Stuxnet, во многих сообщениях СМИ и такими экспертами, как Ричард А. Фалькенрат, бывший старший директор по политике и планам Министерства внутренней безопасности США. Йосси Мелман, который освещает разведданные для израильской газеты Haaretz и написал книгу об израильской разведке, также подозревал, что Израиль был вовлечен, отметив, что Меир Даган, бывший (до 2011 года) глава национального разведывательного управления Моссад, в 2009 году продлил свой срок, потому что, как говорили, он будьте вовлечены в важные проекты. Кроме того, в 2010 году Израиль стал ожидать, что Иран получит ядерное оружие в 2014 или 2015 году – по крайней мере, на три года позже, чем предполагалось ранее, – без необходимости израильского военного нападения на иранские ядерные объекты; "Они, кажется, что-то знают, что у них больше времени, чем первоначально предполагалось", - сказал он.добавлено.[29][62] Израиль публично не комментировал атаку Stuxnet, но в 2010 году подтвердил, что кибервойна теперь является одним из столпов его оборонной доктрины, а подразделение военной разведки создано для реализации как оборонительных, так и наступательных вариантов.Когда осенью 2010 года спросили, стоит ли за вирусом Израиль, некоторые израильские официальные лица [кто?] расплылись в "широких улыбках", разжигая слухи о том, что правительство Израиля причастно к его происхождению.Советник президента США Гэри Самор также улыбнулся, когда был упомянут Stuxnet, хотя американские официальные лица предположили, что вирус возник за границей. Согласно The Telegraph, израильская газета Haaretz сообщила, что видео, посвященное оперативным успехам Габи Ашкенази, начальника штаба Армии обороны Израиля (IDF), ушедшего в отставку, былопоказан на вечеринке по случаю его отставки и содержит ссылки на Stuxnet, что усиливает утверждения о том, что ответственность несут израильские силы безопасности.

В 2009 году, за год до обнаружения Stuxnet, Скотт Борг из Подразделения США по борьбе с киберпреступлениями (US-CCU)[137] предположил, что Израиль, возможно, предпочтет организовать кибератаку, а не военный удар по ядерным объектам Ирана.[114] А в конце 2010 года Борг заявил"У Израиля, безусловно, есть возможность создать Stuxnet, и в такой атаке мало недостатков, потому что было бы практически невозможно доказать, кто это сделал. Таким образом, такой инструмент, как Stuxnet, является очевидным предпочтительным оружием Израиля". Иран использует центрифуги P-1 в Натанзе, конструкцию которых А. К. Хан украл в 1976 году и вывез в Пакистан. Его сеть по распространению ядерного оружия на черном рынке продавала P-1, среди прочих клиентов, Ирану. Эксперты полагают, что Израиль также каким-то образом приобрел P-1 и испытал Stuxnet на центрифугах, установленных на объекте в Димоне, который является частью его собственной ядерной программы.[62]Оборудование может быть из Соединенных Штатов, которые получили P-1 от бывшей ядерной программы Ливии.

Некоторые также ссылались на несколько подсказок в коде, таких как скрытая ссылка на слово MYRTUS, которое, как полагают, относится к латинскому названию мирт Миртового дерева, которое на иврите называется хадасса. Хадасса – имя при рождении бывшей еврейской царицы Персии, царицы Эстер. Однако, возможно, что ссылка "МИРТУС" - это просто неверно истолкованная ссылка на компоненты SCADA, известные как RTU (Удаленные терминальные устройства), и что эта ссылка на самом деле "Мой RTU" -функция управления SCADA. Кроме того, число 19790509 встречается в коде один раз и может относиться к дате 1979 09 мая, в день, когда Хабиб Эльганиан, персидский еврей, был казнен в Тегеране. Другая дата, которая фигурирует в коде, - "24 сентября 2007 года", день, когда президент Ирана Махмуд Ахмадинежад выступил в Колумбийском университете и сделал комментарии, ставящие под сомнение обоснованность Холокоста.Такие данные не являются окончательными, поскольку, как отмечает Symantec, "... у злоумышленников было бы естественное желание привлечь к ответственности другую сторону".

США[править]

Также были свидетельства об участии Соединенных Штатов и их сотрудничестве с Израилем, причем в одном отчете говорится, что "исчезающе мало сомнений в том, что [это] сыграло роль в создании червя".[39]Сообщалось, что Соединенные Штаты в рамках одной из своих самых секретных программ, инициированной администрацией Буша и ускоренной администрацией Обамы, стремились уничтожить ядерную программу Ирана новыми методами, такими как подрыв иранских компьютерных систем. Дипломатическая телеграмма, полученная WikiLeaks, показала, как Соединенным Штатам было рекомендовано нацелиться на ядерные возможности Ирана с помощью "скрытого саботажа".[148] Статья в New York Times в январе 2009 года приписывала тогда неуказанной программе предотвращение израильского военного нападения на Иран, где некоторые усилия были сосредоточены на способахдля дестабилизации центрифуг.[149]В статье Wired утверждалось, что Stuxnet "предположительно был создан Соединенными Штатами". Голландский историк Питер Кооп предположил, что специализированные операции доступа могли разработать Stuxnet, возможно, в сотрудничестве с Израилем.

Тот факт, что Джон Бумгарнер, бывший офицер разведки и член Подразделения США по борьбе с киберпреступлениями (US-CCU), опубликовал статью до того, как Stuxnet был обнаружен или расшифрован, в которой описывался стратегический киберудар по центрифугам и предполагалось, что кибератаки допустимы против национальных государств, которые осуществление программ по обогащению урана, нарушающих международные договоры, придает некоторую убедительность этим заявлениям. Бумгарнер отметил, что центрифуги, используемые для переработки топлива для ядерного оружия, являются ключевой мишенью для кибератак и что их можно заставить уничтожить самих себя, манипулируя их скоростями вращения.

В марте 2012 года в интервью журналу "60 минут" генерал ВВС США в отставке Майкл Хейден, который занимал пост директора Центрального разведывательного управления и Агентства национальной безопасности, отрицая, что знает, кто создал Stuxnet, сказал, что, по его мнению, это была "хорошая идея", но у нее был недостаток в том, что онаузаконил использование сложного кибероружия, предназначенного для нанесения физического ущерба. Хейден сказал: "Есть те, кто может взглянуть на это ... и, возможно, даже попытаться использовать это в своих целях". В том же отчете Шон Макгарк, бывший сотрудник Департамента внутренней безопасности по кибербезопасности, отметил, что исходный код Stuxnet теперь можно загружать онлайн и изменять для использования в новых целевых системах. Говоря о создателях Stuxnet, он сказал: "Они открыли коробку. Они продемонстрировали свои возможности... Это не то, что можно вернуть назад".

Совместные усилия и другие государства и цели[править]

В апреле 2011 года официальный представитель иранского правительства Голам Реза Джалали заявил, что расследование показало, что за атакой Stuxnet стоят Соединенные Штаты и Израиль.[155] Фрэнк Ригер заявил, что спецслужбы трех европейских стран согласились с тем, что Stuxnet был совместным проектом США и Израиля. Код для инжектора Windows и полезная нагрузка ПЛК отличаются по стилю, что, вероятно, подразумевает сотрудничество. Другие эксперты считают, что американо-израильское сотрудничество маловероятно, поскольку "уровень доверия между разведывательными и военными учреждениями двух стран невысок".

Статья в журнале Wired об американском генерале Ките Б. Александр заявил: "И он и его кибервоины уже начали свою первую атаку. Кибероружие, получившее название Stuxnet, было создано и создано АНБ в партнерстве с ЦРУ и израильской разведкой в середине 2000-х годов"[156].

Китай, Иордания и Франция - это другие возможности, и Siemens, возможно, также участвовал.[39][145] Лангнер предположил, что инфекция могла распространиться с USB-накопителей, принадлежащих российским подрядчикам, поскольку иранские цели были недоступны через Интернет.[22][158] В 2019 году сообщалось, что иранский крот, работающий на голландскую разведку по указке Израиля и ЦРУ, внедрил вирус Stuxnet с помощью флэш-накопителя USB или убедил другого человека, работающего на объекте в Натанзе, сделать это.

Сандро Гайкен из Свободного университета Берлина утверждал, что атака на Иран была уловкой, чтобы отвлечь внимание от истинной цели Stuxnet. По его словам, его широкое распространение на более чем 100 000 промышленных предприятиях по всему миру предполагает полевые испытания кибероружия в различных культурах безопасности, проверку их готовности, устойчивости и реакции - все это очень ценная информация для подразделения кибервойны.

Соединенное Королевство отрицает свою причастность к созданию червя.

Документы Stratfor, опубликованные WikiLeaks, предполагают, что международная охранная фирма "Stratfor" считает, что за Stuxnet стоит Израиль – "Но мы не можем предполагать, что, поскольку они создали Stuxnet, они способны совершить и этот взрыв".

В июле 2013 года Эдвард Сноуден заявил, что Stuxnet был совместно разработан Соединенными Штатами и Израилем.

Развертывание в Северной Корее[править]

Согласно сообщению агентства Рейтер, АНБ также пыталось саботировать ядерную программу Северной Кореи, используя версию Stuxnet. Сообщается, что эта операция была начата одновременно с нападением на иранские центрифуги в 2009-10 годах. Ядерная программа Северной Кореи имеет много общего с иранской, поскольку обе были разработаны с использованием технологий, переданных пакистанским ученым-ядерщиком А.К. Ханом. Однако попытка провалилась, поскольку чрезвычайная секретность и изоляция Северной Кореи сделали невозможным внедрение Stuxnet на ядерный объект.[

Кибератака Stuxnet 2.0[править]

В 2018 году Голамреза Джалали, глава Национальной организации пассивной обороны Ирана (NPDO), заявил, что его страна отразила атаку, подобную Stuxnet, нацеленную на телекоммуникационную инфраструктуру страны. Министр телекоммуникаций Ирана Мохаммад-Джавад Азари Джахроми с тех пор обвинил Израиль в организации нападения. Иран планирует подать в суд на Израиль через Международный суд (МС), а также готов нанести ответный удар, если Израиль не прекратит.

Похожие вредоносные программы[править]

"Тайный двойник Stuxnet"[править]

В статье, опубликованной в ноябре 2013 года в журнале Foreign Policy, утверждается о существовании более ранней, гораздо более изощренной атаки на центрифужный комплекс в Натанзе, направленной на увеличение частоты отказов центрифуг в течение длительного периода времени путем скрытного создания инцидентов с избыточным давлением газа гексафторида урана. Эта вредоносная программа могла распространяться только при физической установке, вероятно, с помощью ранее зараженного полевого оборудования, используемого подрядчиками, работающими над системами управления Siemens в комплексе. Неясно, была ли эта попытка атаки успешной, но то, что за ней последовала другая, более простая и традиционная атака, является показательным.

Duqu[править]

Основная статья: Duqu

1 сентября 2011 года был обнаружен новый червь, предположительно связанный со Stuxnet. Лаборатория криптографии и системной безопасности (CrySyS) Будапештского университета технологии и экономики проанализировала вредоносное ПО, назвав угрозу Duqu. Symantec, основываясь на этом отчете, продолжила анализ угрозы, назвав ее "почти идентичной Stuxnet, но с совершенно другим цель", и опубликовал подробный технический документ.Основной компонент, используемый в Duqu, предназначен для сбора информации, такой как нажатия клавиш и системная информация. Извлеченные данные могут быть использованы для обеспечения возможности будущей атаки, подобной Stuxnet. 28 декабря 2011 года директор по глобальным исследованиям и анализу "Лаборатории Касперского" рассказал агентству Рейтер о результатах недавних исследований, показывающих, что платформы Stuxnet и Duqu были созданы в 2007 году и упоминаются как наклоненные из-за ~d в начале имен файлов. Также в ходе этого исследования была раскрыта возможность еще трех вариантов, основанных на тильдированной платформе.

Пламя[править]

Основная статья: Flame (вредоносное ПО)

В мае 2012 года была обнаружена новая вредоносная программа "Flame", предположительно связанная со Stuxnet. Исследователи назвали программу "Flame" по названию одного из ее модулей.[172] Проанализировав код Flame, "Лаборатория Касперского" заявила, что существует тесная взаимосвязь между Flameи Stuxnet. Ранняя версия Stuxnet содержала код для распространения инфекций через USB-накопители, который почти идентичен модулю Flame, использующему ту же уязвимость.

Нацелен на военное командование, управление, связь и разведку[править]

Бывший министр обороны США Уильям Дж . Перри и Том З. Коллина, директор по политике Фонда орала, написала, что каждый день происходят тысячи, а может быть, и миллионы атак на использование военными США Интернета и аналогичных средств связи только для Минобороны. Если кибератака на какое-либо государство, обладающее ядерным оружием, приведет к тому, что США и Израиль, по сообщениям, сделали с Ираном с помощью Stuxnet, это может убедить лидеров этой страны в том, что на них было совершено нападение с применением ядерного оружия, хотя это было не так. Это может привести к тому, что они по ошибке начнут ядерную войну, полагая, что могут потерять способность адекватно реагировать, если будут ждать дополнительной информации.

Если бы целью такой кибератаки была Индия или Пакистан, то в результате ядерной войны, вероятно, наступила бы ядерная осень, во время которой примерно четверть человечества, большинство из которых не пострадали непосредственно от ядерных взрывов, могли бы умереть с голоду, если бы не умерли от чего-то другого раньше. Если бы Соединенные Штаты, Россия или Китай (или, возможно, даже Соединенное Королевство или Франция) подверглись такой кибератаке, результатом ядерной войны, вероятно, стала бы ядерная зима, во время которой 98 процентов человечества умерли бы от голода, если бы они не поддались чему-то другому раньше.[актуально?]

Перри и Коллина также отметили, что случайная ядерная война гораздо более вероятна, чем нанесение Россией первого удара по Соединенным Штатам. Они утверждали, что основные мировые ядерные арсеналы сосредоточены не на той проблеме. Они сослались на несколько источников в поддержку этого утверждения, включая исследование GAO, которое показало, что многие передовые системы вооружения в США используют коммерческое и бесплатное программное обеспечение без изменения паролей по умолчанию. Хакеры, работающие на GAO, смогли проникнуть в системы Министерства обороны незамеченными, частично используя пароли по умолчанию, найденные в Интернете.[актуально?]

Освещение в СМИ[править]

С 2010 года Stuxnet и его последствия широко освещались международными СМИ. В раннем комментарии The Economist указал, что Stuxnet был "новым видом кибератаки". 8 июля 2011 года Wired опубликовал статью, в которой подробно описывалось, как эксперты по сетевой безопасности смогли расшифровать происхождение Stuxnet. В этой статье Ким Зеттер утверждал, что "соотношение затрат и выгод Stuxnet все еще под вопросом". Более поздние комментаторы, как правило, сосредотачивались на стратегическом значении Stuxnet как кибероружия. После публикации статьи Wired Хольгер Старк назвал Stuxnet "первым цифровым оружием геополитического значения, которое может изменить способ ведения войн". Между тем, Эдди Уолш назвал Stuxnet "новейшей асимметричной угрозой высокого класса в мире". В конечном счете, некоторые утверждают, что"широкое освещение в СМИ, предоставленное Stuxnet, послужило лишь рекламой уязвимостей, используемых различными группами киберпреступников". Хотя это может быть так, освещение в средствах массовой информации также повысило осведомленность об угрозах кибербезопасности.

Документальный фильм Алекса Гибни "Нулевые дни" 2016 года рассказывает о феномене, связанном со Stuxnet.Уязвимость нулевого дня (также известная как уязвимость 0 дней) - это уязвимость компьютерного программного обеспечения, которая неизвестна или не рассматривается теми, кто должен быть заинтересован в устранении уязвимости (включая поставщика целевого программного обеспечения). Пока уязвимость не устранена, хакеры могут использовать ее для негативного воздействия на компьютерные программы, данные, дополнительные компьютеры или сеть.

В 2016 году стало известно, что генерал Джеймс Картрайт, бывший глава Стратегического командования США, допустил утечку информации, связанной со Stuxnet. Позже он признал себя виновным во лжи агентам ФБР, проводившим расследование утечки. 17 января 2017 года президент Обама полностью помиловал его по этому делу, тем самым сняв с него судимость.

В популярной культуре[править]

Помимо вышеупомянутого документального фильма Алекса Гибни "Нулевые дни" (2016), в котором рассматривается вредоносное ПО и окружающая его кибервойна, другие работы, в которых упоминается Stuxnet, включают:

В сериале "Касл", 8 сезон, 18 серия "Предатель" выясняется, что Stuxnet был (вымышленно) создан МИ-6, и его версия используется для отключения лондонской электросети.

• "Троянский конь" - роман, написанный автором утилит для Windows и романистом Марком Руссиновичем. Он показывает использование вируса Stuxnet в качестве основной сюжетной линии для истории и попытки Ирана обойти его.
• ^В Ghost in the Shell: Arise Stuxnet - это компьютерный вирус, который заразил Кусанаги и Манамуру, позволяя внедрить ложные воспоминания.
• В июле 2017 года MRSA (Mat Zo) выпустили трек под названием "Stuxnet" на лейбле Hospital Records.
• В видеоигре 2013 года от Ubisoft Tom Clancy's Splinter Cell: Blacklist главный герой, Сэм Фишер, использует мобильный воздушный штаб ("Паладин"), который, как говорят, в какой-то момент в сюжетном режиме игры был атакован вирусом типа Stuxnet, в результате чего его системы были повреждены. потерпите неудачу, и самолет накренился бы в сторону океана и разбился бы без вмешательства Фишера.
• В фильме Майкла Манна "Blackhat" 2015 года код, показанный как принадлежащий вирусу, используемому хакером для взрыва насосов охлаждающей жидкости на атомной станции в Чайване, Гонконг, является фактическим декомпилированным кодом Stuxnet.
• В третьем эпизоде Star Trek: Discovery, "Контекст для королей", персонажи идентифицируют сегмент кода как часть экспериментальной транспортной системы. Показанный код является декомпилированным кодом Stuxnet. Большая часть того же кода показана в восьмом эпизоде The Expanse "Pyre", на этот раз как визуальное представление "диагностического эксплойта", взломавшего программное обеспечение управления ядерными ракетами.

Смотрите также[править]

• Продвинутая постоянная угроза
• DigiNotar
• Убийственный тычок
• Махди (вредоносная программа)
• Нитро Зевс
• Операция "Хайроллер"
• Операция "Мерлин"
• Атака с контролем PIN-кода
• Regin (вредоносная программа)
• Вирус Stars
• Индивидуальные операции доступа
• Уязвимость атомных станций к атакам

Читать[править]

.cbsnews.com/

• web.archive.org/web/20140201101050/htl
• .langner.com/2010/12/the-short-path-frs/
• //dale-peterson.com/digital-bond-archives/
• langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf
• community.broadcom.com/symantecenterprise/communities/commun
• archive.f-secure.com/weblog/archives/00002040.html
• cnet.com/
• /media.ccc.de/v/27c3-4245-en-adventures_in_analyzing_stuxnet
• .wired.com/2011/07/how-digital-detectives-deciphered-stuxnet/

Пруф[править]

/securelist.com/a-fanny-equation-i-am-your-father-stuxnet/68787/

• /github.com/loneicewolf/fanny.bmp
• //archive.org/details/Stuxnet
• youtube.com/watch?v=qwn3QHkYl0A

Отношения между Северной Кореей и Соединенными Штатами]]