Стал ли промышленный червь началом «электронной войны»

В минувшие выходные одним из главных IT-событий стала то ли вирусная атака, то ли просто массовое заражение вирусом Win32/Stuxnet промышленных объектов в Иране. И в первую очередь, Бушерской АЭС

В минувшие выходные одним из главных IT-событий стала то ли вирусная атака, то ли просто массовое заражение вирусом Win32/Stuxnet промышленных объектов в Иране. И в первую очередь, Бушерской АЭС, которая пока еще не запущена в промышленную эксплуатацию. Домашним пользователям этого червя, но не последствий его деятельности, опасаться не стоит. Так считают, например, в компании Eset, которая буквально на следующий день после этого поделилась своими знаниями о Win32/Stuxnet — компания выпустила аналитический отчет Stuxnet Under the Microscope. В нем рассмотрены технические особенности внутреннего устройства названного червя, характер его распространения, а также цели, преследуемые создателями вредоносной программы.

Напомним, вирус Win32/Stuxnet был обнаружен в середине июля. В первые дни наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой пришлось около 4% зараженных ПК.

Отличительной особенностью этого зловреда стало его воздействие на системы класса SCADA. То есть Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Также червь Win32/Stuxnet может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

Как уже отмечалось, первыми пострадавшими от Win32/Stuxnet стали США, Иран и Россия. К настоящему времени, по данным Eset, ситуация значительно изменилась. Так, Иран занял место главной жертвы вируса — на его долю пришлось 52,2% заражений. Второе и третье места достались Индонезии (17,4%) и Индии (11,3%). США удалось свести угрозу от Win32/Stuxnet на нет — 0,6%, а на Россию приходится 2,1% от общего числа заражений.

Как отмечают сотрудники Eset, Win32/Stuxnet очень хорошо спроектированная и продуманная до мелочей вредоносная программа, каждый элемент которой преследует свою цель. При этом вирус обладает механизмами контроля количества заражений и самоликвидации. То есть Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Так, червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, часть из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше.

По мнению сотрудников Eset, в случившейся атаке на Бушерскую АЭС, если это была атака, для обычных киберпреступников не было мотивов ее осуществления. В то же время, если это была атака, то стоила она очень дорого.

По сообщениям зарубежных СМИ, заражение этим вирусом компьютеров Бушерской АЭС стало поводом для иранцев заявить о начале против них «электронной войны».

Ситуацию BFM.ru прокомментировали руководитель Центра вирусных исследований и аналитики российского представительства Eset Александр Матросов, главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев и руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров.

— Насколько сложен червь по сравнению с другими вирусами? Можно ли сказать, что для его разработки потребовалась команда специалистов, формирование которой для написания обычного вируса просто не нужно?

Александр Матросов: Сложность червя Win32/Stuxnet в первую очередь связана с большим объемом анализируемой информации. Хорошо продуманная архитектура этой вредоносной программы и большое количество модулей не дают возможности сделать однозначные выводы о функционале и возможностях до окончания полного анализа. Над разработкой этой вредоносной программы работала группа экспертов — это совершенно однозначно. Это видно даже по коду программы. В частности, для компиляции разных модулей использовались различные версии средств разработки.

По сравнению с вредоносными программами, с которыми мы сталкиваемся в больших объемах каждый день, Win32/Stuxnet отличается и тем, что для своего распространения используют несколько векторов атаки и неизвестные ранее уязвимости, часть из которых не закрыта до сих пор.

Не сразу стали понятны и цели злоумышленников. Так, вначале не было ясно, ради чего этот червь создан. Сейчас, закончив наше детальное исследование Stuxnet Under the Microscope, мы понимаем, что цели могли быть самыми разными. Это не только возможность диверсии, поскольку червь имеет возможность загружать новый функционал с удаленного сервера.

Александр Гостев: Простым его уж точно не назовешь. StuxNet использует неизвестные ранее уязвимости «нулевого дня» и сертификаты компаний Realtek и JMicron, что позволило вредоносной программе долгое время избегать детектирования. К слову, на данный момент червь успешно детектируется и обезвреживается всеми продуктами «Лаборатории Касперского». Две уязвимости были обнаружены экспертами компании, после нашего сигнала Microsoft выпустили соответствующие патчи.

Безусловно, Stuxnet был создан командой высококвалифицированных профессионалов. Авторы червя обладают глубокими знаниями SCADA-технологии, используемой в системах мониторинга и управления промышленными, инфраструктурными и сервисными объектами.

Сергей Комаров: Большинство современных угроз создается меньшими усилиями. Но этот червь — не уникальный образец. Сложных вирусов существует довольно много. Конечно, для написания Trojan.Stuxnet потребовалась очень серьезная команда разработчиков, знакомых с промышленным ПО, специалистов по поиску уязвимостей «нулевого дня».

— Заражения этим вирусом приходятся преимущественно на Иран. Это случайность или все-таки атака?

А. М.: Сложно однозначно утверждать что-либо, так как пока еще не до конца ясны мотивы разработчиков. И вряд ли их удастся прояснить вплоть до поимки злоумышленников, что тоже весьма сомнительно. Статистические данные, указывающие на большой процент заражений в азиатских странах, могут говорить лишь о том, что на момент обнаружения этой угрозы там была наибольшая ее концентрация. Не исключено и то, что таким образом кто-то пытается пустить нас по ложному следу, поскольку Win32/Stuxnet имеет механизмы контроля числа заражений и возможность самоликвидации с зараженной машины. При этом концентрация числа заражений в Иране значительно превышает другие регионы.

А. Г.: Одним из основных аргументов «иранской» теории считается мнение, что Иран являлся эпицентром эпидемии, якобы в нем отмечено наибольшее количество зараженных компьютеров. На самом же деле, практически все источники подтверждают, что наибольшему заражению червем подверглись три страны — Иран, Индия, Индонезия. Кто-то ставит на первое место Иран, кто-то Индию. К сожалению, при этом забывается тот факт, что эпидемия Stuxnet не статична. Она продолжается и сейчас. Червь по-прежнему распространяется от компьютера к компьютеру. Какая-то часть ранее зараженных систем уже вылечена, какая-то еще нет. Наблюдая за эпидемией в динамике за три месяца, мы оценили изменения, и попробовали установить страну, из которой началось первоначальное распространение червя. Данные, собранные при помощи нашей cloud-технологии Kaspersky Security Network подтверждают общую оценку — тройку лидеров составляют Индия, Иран и Индонезия. И согласно статистике, Иран находится не на первом месте и даже не на втором. В таблице указаны данные по двадцатке стран за все время с момента добавления детектирования Stuxnet в наши антивирусные базы (в начале июля) и до сегодняшнего момента.

Более того, хотелось бы добавить, что эпидемия развивалась в каждой стране по-разному, и в самом начале разрыв между тройкой лидеров был не столь значителен.

С. К.: Действительно, распространение началось с Ирана, и большинство специалистов сходится во мнении, что это была направленная атака.

— Сколько времени и какие ресурсы, в том числе финансовые, необходимы для излечения пораженной информационной системы?

А. М.: На данный момент многие антивирусные программы успешно справляются с деактивацией Win32/Stuxnet. Вопрос состоит, скорее, в профилактике, которую предстоит провести на многих предприятиях. Возможно, понадобится пересмотреть политику безопасности, что может «влететь в копеечку».

А. Г.: Для лечения этого вируса достаточно воспользоваться антивирусным решением, которое способно его обнаружить. В процедуре лечения нет ничего сложного. Ну и, конечно, необходимо найти и вылечить зараженные USB-накопители.

С. К: Совсем немного — лечение этого вируса ничего сложного собой не представляет. Утилиты Dr.Web CureIt! или Dr.Web CureNet! справятся с ним очень быстро.

— Кто входит в «группу риска» Win32/Stuxnet?

А. М.: В первую очередь червь представляет опасность для предприятий, на которых используются SCADA-системы от Siemens. Но домашние пользователи могут послужить неплохим распространителем червя в отдельно взятом регионе. В то же время чем больше число заражений, тем выше вероятность раннего обнаружения этой атаки, так что домашние пользователи не являются целями Win32/Stuxnet.

А. Г.: Этот зловред может внести нарушения в работу крупных производственных мощностей. Он нацелен на одну единственную цель, только никто не знает, на какую именно. Возможно, это электростанция или аэропорт, или даже военный объект в какой-либо точке мира. Если говорить более конкретно, то его интересует программирумый контроллер (PLC), работающий на особом процессоре и обслуживаемый программным обеспечением компании Siemens.

С. К.: Организации, использующие Simatic WinCC. Червь Trojan.Stuxnet нарушает функционирование системы, что может привести к сбоям в работе управляемого оборудования.

Таким образом, даже эксперты не могут однозначно подтвердить или опровергнуть утверждение иранцев о начале «электронной войны» против их страны. В то же время можно вспомнить, что буквально за месяц до обнаружения Win32/Stuxnet на конференции в Урюпинске обсуждались в том числе вопросы возможного дальнейшего направления развития киберпреступности. Тогда Евгений Касперский», глава «Лаборатории Касперского», высказал предположение, что одним из следующих шагов киберпреступников может стать их выход на промышленный сегмент. То есть речь шла о появлении вирусов, специально созданных для поражения промышленных объектов. Тогда же Касперский порадовался, что в этом плане Россия намного лучше защищена по сравнению с западными странами, где к Интернету подключают все, что можно и что нельзя. У нас же в стране дело с подключением к Сети промышленных объектов намного строже.