Король комп’ютерних черв’яків

Навіщо була зроблена програма , яку підозрюють у замаху на атомну електростанцію в Бушері ?

Фахівці з комп’ютерної безпеки часто дивуються , як преса вибирає теми , про які пише . Час від часу вибір нез’ясовний – чому саме цей вірус або черв’як привернули увагу журналістів? Іноді вибір очевидний – приклад тому історія Stuxnet .

Черв’як Stuxnet був розроблений і запущений , згідно найпоширенішим версіями , чи то американським , чи то ізраїльським урядом для атаки на атомну електростанцію в іранському Бушері . Як можна не написати про сюжет , що включає шпигунів , комп’ютерні атаки , АЕС , спецслужби і країну – ізгоя ? Одна проблема: історія ця складається з суцільних домислів. 50 Ось , що нам відомо . Stuxnet – це черв’як , що заражає комп’ютери з операційною системою Windows. Він поширюється в основному через флеш -диски , завдяки чому здатний проникати на машини, що не приєднані до мережі. Потрапивши у внутрішню мережу , черв’як заражає сусідні машини і одержує адміністраторські права . Серед засобів , до яких він вдається , вже знайдені і залатані діри в безпеці , а крім того , чотири так званих « експлойта нульового дня» – раніше невідомі уразливості системи . Сьогодні всі вони вже вилікувані .

Заражені комп’ютери лише проміжна мета Stuxnet . Через них він шукає спеціальну модель так званого програмованого логічного контролера ( PLC) , виробництва Siemens. PLC – це програмовані механізми, що виконують найрізноманітніші автоматизовані процеси – на хімічних або нафтоперегінних заводах , трубопроводах і , звичайно , на атомних електростанціях. Часто вони управляються комп’ютерами з Windows за допомогою програми SIMATIC WinCC / Step 7 – вона-то черв’якові і потрібна.

Не знайшовши на комп’ютері цієї програми , Stuxnet нічого не робить. Якщо програма виявляється , черв’як заражає її , використовуючи ще одну нову уразливість , після чого змінює певні шматочки даних у PLC. Неможливо сказати , до чого це призводить , не знаючи , на що запрограмований PLC. Проте зміни в коді носять дуже специфічний характер , через що багато хто думає , що вони спрямовані на роботу певного контролера , і творці Stuxnet точно знали , куди цілити .

Повідомляється про 50 000 заражених комп’ютерів і , за даними Siemens , 14 PLC , більшість з них знаходяться в Німеччині . (Зрозуміло , ці дані застарівають в міру того , як я набираю їх на клавіатурі ) . Про фізичне збиток від хробака нічого не відомо , але ходять чутки , що в липні він вивів з ладу індійський супутник INSAT -4B .

Всі антивірусні програми діагностують і видаляють Stuxnet .

Черв’як був виявлений в кінці червня , але деякі припускають , що випустили його роком раніше. Він вкрай складний і , поширюючись , стає ще складніше. Крім атаки на безліч вразливостей , Stuxnet встановлює в систему свій драйвер. Драйвер – програма для управління пристроями – повинен мати цифровий підпис , сертифікат справжності Microsoft . Черв’як використовує крадений сертифікат , причому , коли це виявилося 16 липня, сертифікат відкликали . Вже наступного дня з’явилася копія хробака з новим краденим сертифікатом.

З плином часу розробники замінювали непрацюючі частини Stuxnet новими , мабуть намацуючи шляху до мети. Сертифікати , які використовувалися драйвером хробака , вперше були випущені в січні. Можливість атакувати USB -диски з’явилася в березні.

Stuxnet вміє оновлюватися двома способами. По-перше , він синхронізується з двома серверами – в Малайзії і Данії , а по-друге , обмінюється інформацією з товаришами : зустрівшись , дві копії хробака звіряють коди і переконуються , що кожен з них – новітньої версії. Крім того , в нього вбудована дата самознищення : 24 июня 2012 роки він перестане розмножуватися і зітре свій код з комп’ютера.

Stuxnet не схожий на звичайну злочинну програму. Він не розмножується без розбору , не краде інформацію про кредитні картки й облікових записах , не об’єднує комп’ютери в ботнет , тобто не намагається акумулювати їх обчислювальні ресурси . Він використовував відразу кілька невідомих до того вразливостей , у той час як злочинцям розумніше було б зробити по одному черв’якові на кожну. Stuxnet не грозить промисловим саботажем , як вимагачі : він здійснює саботаж.

Ми не знаємо , хто створив Stuxnet , навіщо і куди він хотів проникнути , але , як ви бачите , чутки про участь уряду аж ніяк не безпідставні. < / p >

Розробка такого коду повинна була дорого коштувати. За оцінками фахівців , на його написання пішло півроку роботи 8-10 програмістів. Безсумнівно , вони мали у своєму розпорядженні тестовою лабораторією – той , хто пішов на всі ці витрати , повинен був протестувати хробака , перш ніж випустити його на волю , – а також розвідданими про об’єкт атаки. Крім того, не знайдені ще уразливості представляють цінність , оскільки їх важко шукати , а знайшовши , можна використовувати лише одного разу .

Хто б не робив Stuxnet , він готовий був витратити купу грошей , щоб зробити роботу напевно.

Ніщо , втім , не вказує на АЕС в Бушері. «Атомна » теорія належить німецькому дослідникові Ральфу Лагнеру , і сам він визнає її «дуже дискусійною ». Основні аргументи на користь Бушера – незвично високе поширення хробака в Ірані , привабливість Бушерської АЕС в якості мішені , а також те , що в інших країнах з високим епідеміологічним фоном – Індії , Індонезії і Пакистані – працює підрядник , який бере участь у будівництві електростанції. Слух передрукувала комп’ютерна преса , потім – масова , розгубивши по дорозі всі сумніви , і він став загальноприйнятою думкою .

Автори хробака з рідкісною старанністю подбали , щоб в коді не містилося ніяких натяків на його походження . У той же час деякі символи програмного коду можна , маючи гарну фантазією , інтерпретувати як мітки , залишені ізраїльськими розробниками . Але мітки міг би залишити і той , хто хотів вказати на Ізраїль , і ізраїльські спецслужби , щоб ми думали , що хтось хоче звинуватити Ізраїль , – по цій дорозі можна йти до нескінченності.

Потім , якщо за хробаком стоять ізраїльські спецслужби , від чого Stuxnet настільки недбало наведений на ціль ? Наприклад , виявивши , що потрапив не туди , черв’як не пере свій код. У коді є інструкція , що пропонує , проникнувши в локальну мережу через USB – диск , заразити лише три додаткових машини і знищитися через три тижні , але вона не спрацьовує. Це помилка програмістів або невикористовувана поки що функціональність ? Може бути , ці заходи покликані перешкодити нам з’ясувати його справжню мету . Поширивши Stuxnet по всьому світу , автори пішли на масові жертви серед мирних комп’ютерів – не надто далекоглядно з точки зору зовнішньої політики . Але можливо , їх це просто не хвилювало.

Вважаю , що автори хробака і його мета назавжди залишаться загадкою. Але це не робить його менш цікавим об’єктом для вивчення.

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.