Различные факты о защите персональных данных. Федеральная служба опасности

В последние дни все мировые СМИ внезапно вспомнили о черве WIN32/Stuxnet, обнаруженном еще в июне сего года. По компьютерным меркам трехмесячный срок - это как в обычной жизни несколько лет. Даже неторопливая Microsoft успела выпустить патч, закрывающий одну из четырех уязвимостей, присутствующих в Windows и используемых зловредом. Правда, не для всех версий операционной системы, а только для Vista и «семерки», тогда как 2000 и XP остались Stuxnet-неустойчивыми, и вся надежда только на сторонние антивирусные программы. Которые все равно понадобятся, благо остальные уязвимости живут и здравствуют.

И вдруг Stuxnet снова замелькал в заголовках новостных ресурсов. Оказывается, это не просто очередной «червяк», пусть и довольно заковыристо написанный (полмегабайта шифрованного кода, где используется сразу несколько языков программирования, от C/C++ до ассемблера), а цифровой шпион-диверсант. Он пробирается на промышленные объекты, где используются аппаратно-программные комплексы Siemens, получает доступ к системе Siemens WinCC, отвечающей за сбор данных и оперативное диспетчерское управление производством, и через нее пытается перепрограммировать логические контроллеры (PLC).

Вам уже страшно? Погодите, это только начало! Stuxnet заточен не под какие-то там цеха по разливу пива. Его главная цель - иранская атомная станция в городе Бушере! Якобы, именно под ее конфигурацию заточена вся злая сила червя, и он то ли уже успел сильно напортачить иранцам, раз они с августа не могут запустить станцию, то ли втихаря прошил контроллеры, и, когда АЭС заработает, даст команду на взрыв. И вот тогда…

Позволю себе процитировать несколько мнений знающих людей. Так, Евгений Касперский в своем блоге называет Stuxnet «шедевром малварно-инженерной мысли» и, в свою очередь, приводит выдержки из материала Александра Гостева, по мнению которого речь идет вообще об «оружии промышленного саботажа». Сделал его, понятное дело, израильский Моссад, дабы остановить работу Бушерской атомной станции.

Аппаратно-программные комплексы Siemens используются на очень разных производствах. Ладно, если речь идет о литье чугуна…

… но представьте, как дрогнут сердца сотен тысяч мужчин, если червь навредит линии по производству пива?

Аналитики ESET чуть менее эмоциональны. Они не уверены, что цель Stuxnet именно БАЭС, однако отдают должное качеству кода и красоте задумки. «Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше».

Оговорка про внешние носители очень важна. Как мы понимаем, системы управления заводами и атомными станциями не имеют доступа в Интернет, поэтому Stuxnet умеет заражать флэшки, и уже с них пробираться в закрытые сети. Службы безопасности? Да, они, конечно, работают, и порой - весьма эффективно. Однако наряду с банальным человеческим фактором (читаем - разгильдяйством) существуют довольно хитрые способы маскировки флэш-накопителей. Например, аккуратно подкупленный сотрудник может пронести на рабочее место мышку со встроенной флэш-памятью, и подменить ей казенную. Спросите, а зачем тогда вообще нужно распространение по Интернету? Так ведь для отвода глаз, чтобы те же руководители службы безопасности не врага в коллективе искали, а уверенно кивали на случайное проникновение извне. Между тем, для облегчения работы червя некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов Stuxnet был способен обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

ESET еще приводит чудесную табличку с географией зафиксированных заражений вирусом, которая, с одной стороны, подтверждает намеки Гостева, а с другой - заставляет любителей конспирологии еще активнее строчить комментарии в форумах и блогах. Шутка ли, зараза поражает крупнейшие развивающиеся страны, и для завершенности картины в таблице не хватает только Китая вместо Индонезии.

Вам уже страшно, как и Евгению Касперскому? Подождите. Давайте переведем дух.

Во-первых, надо понимать - почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.

Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции - грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так - червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них - в следующем пункте.

В-третьих, как удалось выяснить, для автоматизации электростанций (в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC - это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным - какие такие PLC Stuxnet собрался перешивать в Бушере?

Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.

Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.

Так что оружие-то он оружие, но до реальных взрывов дойдет вряд ли. Разве что взрывов негодования при очередном визите в магазин или получении счета за электроэнергию. Все эти промышленные войны ведутся в конечном итоге за счет нас, потребителей.

При написании этой статьи были обижены в лучших чувствах сотни конспирологов

Не успел мир толком разобраться с грозным червем Stuxnet, разработанным явно не без помощи государственных спецслужб, как в Сети появился DUQU, использующий тот же исходный код. По мнению Берда Киви, у основательно доработанного наследника есть все шансы превзойти родителя, но что именно станет его целью?

Во время Второй мировой войны имел однажды место такой случай. Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Очень уж британцам было нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.

Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США...

Конечно же, произошло это совсем не случайно и не по недоразумению. Просто глава ФБР Эдгар Гувер — в годы войны ставший еще и главным контрразведчиком страны — был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его же контролем. А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.

Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой Дикий Билл) велел своим сотрудникам собрать на Гувера суровый компромат. А когда таковой был добыт, все проблемы разведки с ФБР стали решаться легко и просто — элементарным методом под названием «циничный и беспощадный шантаж». Но это уже совсем другая история...

Предупреждения об угрозе

Этот забавный эпизод мы сегодня вспоминаем вот по какой причине. Под конец октября сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе — вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).

На фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet. Напомним, в минувшем году он просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.

И хотя документальных — или тем более официальных — подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают на разведки государств, приложивших к нему руку, а именно США и Израиля.

Иначе говоря, налицо следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (если «отжать» все многословные рекомендации, то получается, что, в общем-то, никак, кроме регулярного обновления штатных антивирусов).

С одной стороны, конечно, было бы странно, если бы никакой реакции не последовало вообще — учитывая крайне нервное отношение общества к появлению Stuxnet. С другой же стороны, совершенно неясно, каким образом одни структуры государства способны реально защищать от других — более мощных, эффективных и засекреченных.

Готовых ответов на подобные вопросы, естественно, ни у кого нет. Но чтобы лучше понять суть проблемы и масштаб обозначившейся угрозы, имеет смысл поподробнее рассмотреть историю появления Дуку и особенности устройства этой интересной программы.

История явления DUQU

Хотя первой официальной публикацией о выявлении новой вредоносной программы, несущей в себе известные признаки Stuxnet, стал отчет антивирусной фирмы Symantec от 17 октября этого года, реальная история обнаружения DUQU антивирусным сообществом началась на полтора месяца раньше.

Причем основную роль сыграли венгерские исследователи и испанский антивирусный проект VirusTotal. VirusTotal.com — это веб-сервис, организованный в свое время фирмой Hispasec из Малаги, где осуществляется «тотальный анализ» присылаемых сюда подозрительных файлов с помощью множества самых разных антивирусных движков. На выходе предоставляется список имен опознания, присвоенных данному вредоносному коду разными компаниями (если, конечно, такой код был уже кем-то выявлен ранее). Ныне VirusTotal является как бы совместным предприятием всего антивирусного сообщества. На данный момент число набранных вскладчину антивирусных программ составляет 43, а всякий новый выявленный образец кода-вредителя оперативно рассылается всем компаниям и лабораториям, принимающим участие в работе сервиса.

Именно здесь и произошло «первое свидание» DUQU с антивирусным сообществом, когда 1 сентября 2011 года некий неизвестный источник из Венгрии прислал в VirusTotal на предмет сканирования подозрительный файл под именем ~DN1.tmp. Наиболее известные антивирусные программы не увидели в этом файле ничего подозрительного, однако два менее популярных движка, BitDefender и AVIRA (точнее, четыре работающие на них антивирусные программы), детектировали его как вредоносный троянец-шпион. Вскоре после этого начального детектирования данный файл был добавлен в базы данных многих антивирусных фирм. Однако абсолютно ничего примечательного в связи с этим далее не случилось — просто обычное пополнение базы.

Затем, 9 сентября и снова, похоже, из Венгрии на сканирование в Virustotal был прислан еще один, теперь уже «настоящий» файл DUQU. Почему именно этот файл-драйвер следует считать «более настоящим» главным модулем DUQU, нежели предыдущего троянца, будет разъяснено подробнее в следующем разделе, посвященном многомодульной структуре этой программы. Здесь же важно отметить лишь то, что при первичном сканировании ни одна из 43 антивирусных программ, участвующих в проекте Virustotal, не детектировала данный файл как вредоносный.

Это очень примечательный факт, свидетельствующий о том, насколько профессионально и тщательно авторы программы DUQU делают свою шпионскую работу. Как покажет последующее изучение, именно этот, главный модуль DUQU несет в своем коде явное и неоспоримое сходство с кодом Stuxnet (первый файл-троянец не имел с ним ничего общего), но при этом авторы новой программы сумели изменить код до такой степени, что он абсолютно успешно прошел тесты на [не]выявление при анализе всеми мало-мальски популярными в мире антивирусными средствами...

Накапливаемые в базах Virustotal признаки файлов свидетельствуют, что этот же модуль-драйвер, но уже под другим именем и под маркой иной компании-изготовителя, еще раз поступал на сканирование в Virustotal 18 сентября. И опять, судя по всему, из Венгрии. И вновь, как это было и с первым драйвером, никаких выявлений вредоносной сути кода не произошло вплоть до 18 октября — когда, наконец, был опубликован официальный отчет Symantec. После которого сразу у всех, что называется, внезапно открылись глаза.

Отчет Symantec сам по себе представляется весьма примечательным документом, наглядно отражающим довольно «скользкую» природу как антивирусного бизнеса, так вообще занятий по защите информации в условиях непростых реалий нашего мира.

С одной стороны, отчет однозначно констатирует, что DUQU несет в себе очевидное фамильное сходство с Stuxnet (по убеждению аналитиков, авторы обеих программ при их создании и компиляции явно пользовались одним и тем же исходным кодом). С другой стороны, американская компания Symantec тщательно избегает любых упоминаний о том, что наиболее очевидным автором Stuxnet считаются спецслужбы США. Более того, к документу Symantec приложен еще более обширный аналитический отчет, полученный от другой «иностранной лаборатории с сильными международными связями», которая, собственно говоря, и выявила как DUQU, так и его сходство с Stuxnet. Однако название и госпринадлежность этой замечательной лаборатории «не раскрываются по ее просьбе».

Наконец, еще одна «страшная тайна», скрытая в отчете Symantec, это реальное название тайваньской фирмы, цифровая подпись которой подтверждает подлинность файла-драйвера DUQU. Именно эта особенность программы-шпиона, собственно, и была одной из главных причин, по которой все 43 антивирусных теста не выявили файл как вредоносный. Точно такая же особенность — похищенные у законных владельцев подлинные цифровые сертификаты — была и фирменной фишкой для обеспечения невидимости Stuxnet.

Но эта тайна, впрочем, раскрылась очень быстро, когда финская антивирусная компания F-Secure по имевшемуся у нее образцу DUQU идентифицировала данную тайваньскую фирму как C-Media Electronics Incorporation. Странное же замалчивание этого факта в отчете Symantec объясняется, скорее всего, тем, что сертификат для C-Media выдавал сертификационный сервис VeriSign — а владельцем его является... Symantec. Данный сертификат имел срок действия до августа 2012 года, однако VeriSign отозвал его сразу же, едва в Symantec занялись изучением вредоносной программы,

полученной от коллег.

Как только в прессе поднялся шум вокруг новоявленного «DUQU, сына Stuxnet», а таинственность его первооткрывателя стала порождать всевозможные безответственные спекуляции, авторы исходного отчета все же решились выйти из тени. Через несколько дней, 21 октября, на сайте CrySyS, венгерской «Лаборатории криптографии и системной безопасности» (Cryptography and System Security при Будапештском университете технологий и экономики) появился очень краткий пресс-релиз с официальным подтверждением их непосредственного участия в истории:

«Наша лаборатория участвовала в обнаружении вредоносной программы DUQU в рамках международного сотрудничества. В процессе углубленного ознакомления с функциональностью этой программы мы установили, что данная угроза почти идентична Stuxnet. После тщательного анализа образцов мы подготовили подробный отчет о программе DUQU, получившей это название от нас. Мы сразу же предоставили исходный отчет в компетентные организации… Но мы не можем раскрыть никакой дополнительной информации конкретно о данном случае».

Иначе говоря, венгерские исследователи решительно не пожелали раскрывать сведений о том, в чьих конкретно компьютерах они обнаружили образцы этой шпионской программы (основываясь на датах компиляции полученного от венгров кода, в Symantec заключили, что атаки с применением этой программы проводятся по меньшей мере с декабря 2010-го. То есть всего пять месяцев спустя после того, как был обнаружен червь Stuxnet).

Похожий сценарий с умалчиваниями о местах выявления заражений стал повторяться и далее, когда антивирусные фирмы начали объявлять, что файлы с признаками DUQU обнаружены, помимо двух случаев в Венгрии, также в Австрии, Великобритании, Индонезии, Иране, Судане... Скорее всего, список стран продолжает расти и поныне. Но каков именно профиль организаций и предприятий, пораженных DUQU, — никто, во-первых, не раскрывает. А, во-вторых, те, кто даже знают что-то определенное, не могут усмотреть какой-либо системы. Судя по всему, цели для внедрения шпионской программы выбираются сугубо индивидуально и по каким-то особым принципам, ведомым лишь тем, кто подсаживает этот код в машины.

И, что самое интересное, практически всегда удается выявлять только факт заражения системы главным модулем DUQU, но больше нигде не видно детектированного в самом начале троянца-шпиона. Для того чтобы понять вероятный смысл происходящего, пора рассмотреть, как этот DUQU устроен изнутри.

Устройство DUQU и его особенности

Уже на самом начальном этапе выявления DUQU, сопровождавшегося публикацией имен разных файлов, так или иначе относящихся к этой программе, возникла довольно серьезная путаница. И вот с чем она связана.

Модульная структура DUQU предполагает наличие как минимум трех типов существенно разных программ, функционально друг с другом практически не связанных. Во-первых, непременно должен быть так называемый файл-установщик, осуществляющий доставку главного модуля DUQU в машину-жертву (сам главный модуль такой функции не имеет, но, что интересно, ни на одной из машин, зараженных DUQU, ничего похожего на файл-установщик пока выявить не удалось). Во-вторых, собственно главный модуль DUQU, также имеющий отчетливую составную конструкцию из собственных модулей-компонентов (о выполняемых ими троянских функциях речь пойдет чуть ниже). И, в-третьих, собственно вредоносная программа для шпионского сбора и похищения информации в зараженной системе. Ее в разных источниках называют либо «расширенный кейлоггер», либо «инфостилер», но суть от этого не меняется. К слову, этот модуль работает вполне независимо от уже упомянутых двух, которые обеспечивали его незаметное внедрение в компьютер.

Что бы там ни говорили в Иране, но Stuxnet смог здорово притормозить развитие ядерной программы этой страны. На что же натаскивается сейчас DUQU?

Все то, что говорится в прессе и отчетах антивирусных исследований относительно близкого родства между DUQU и Stuxnet, относится лишь к основному модулю (не занимающемуся хищениями информации). Но при этом само название DUQU, которое совокупная программа получила от венгров, пошло от характерного имени файлов вида ~Dqx.tmp, где временно хранит собираемые в зараженной системе данные модуль-кейлоггер. Иначе говоря, характерный префикс DQ в именах выявляемых файлов на самом деле не имеет почти никакого отношения к работе главного модуля DUQU. Можно говорить, что взаимосвязь основного модуля и кейлоггера друг с другом установлена на основе того факта, что оба они выявлены на одной машине, а главный модуль функционально способен загружать в машину из сети любые другие компоненты.

Что же представляет собой этот главный модуль? В его составе обычно выделяют три основных компонента:

1. Драйвер, встраивающий свою библиотеку DLL в системные процессы;

2. Зашифрованный файл DLL (с системным расширением PNF), который также имеет дополнительный модуль и скрытно работает через сеть с удаленным сервером команд и управления

3. Настроечный конфигурационный файл (также зашифрован).

Подобно ранее изученному Stuxnet, главный модуль DUQU использует весьма изощренную и во многом уникальную технологию, обеспечивающую сокрытие своих компонентов в оперативной памяти, а не на жестком диске машины, — дабы эффективно избегать обнаружения антивирусными средствами. Обе программы, DUQU и Stuxnet, используют особый драйвер ядра, который расшифровывает нужные зашифрованные файлы и встраивает их в уже работающие процессы. Такого рода «инъекции» в работающую память — это действительно очень эффективный способ избегать выявления, потому что здесь не происходит обращения к диску. А именно на последнее обычно и реагируют антивирусы.

Помимо этих методов обеспечения невидимости в системе, первые из исследованных вариантов программы DUQU были сконфигурированы для работы в течение 36 дней, после чего главный модуль автоматически удаляет себя из зараженной системы. Из анализа последующих образцов стало ясно, что этот период работы не является жестко заданным, так что в других случаях самоуничтожение может происходить и раньше, и позже.

Около года тому назад по результатам анализа Stuxnet экспертами «Лаборатории Касперского» было сделано заключение, что программа состоит фактически из двух разных частей — несущей платформы и самостоятельного отдельного модуля, отвечающего за работу с PLC, т.е. программируемыми логическими контроллерами для диверсионного управления промышленными процессами.

По сути дела, Stuxnet в виде кода воплощал собой нечто типа боевой ракеты из реальной жизни, где имеется модуль-ракетоноситель (собственно червь) и его боеголовка (то есть модуль PLC). На основании такой конструкции тогда же было предположено, что часть Stuxnet, отвечающая за его распространение и заражение системы, может быть использована вновь и вновь с самыми различными «боеголовками».

Ныне же, наблюдая за происходящим вокруг DUQU, можно заключить, что примерно такой сценарий разворачивается и здесь. За тем лишь исключением, что «боеголовки» у DUQU пока не обнаружено. Единственное, что иногда удавалось засечь, это лишь сравнительно безобидный шпион-кейлоггер для предварительной «разведки на местности». Однако по самой природе своей эта программа способна доставить в зараженную систему любую «боеголовку» и запустить ее против любой цели.

В отличие от Stuxnet, который без разбора заражал огромное множество машин, но при этом искал совершенно определенную систему, DUQU, по наблюдениям антивирусных экспертов, избирательно заражает очень небольшое количество весьма специфических систем по всему миру. Но для каждой из систем DUQU может использовать существенно разные модули — с разными именами, разной длиной файлов и разными значениями чек-сумм.

Еще одна их характерных особенностей DUQU заключается в том, что здесь код не имеет функции размножения или самораспространения. Иначе говоря, вредоносная программа не является компьютерным червем или вирусом в общепринятом смысле этих терминов. С другой стороны, ни на одной из зараженных систем по сей день так и не удалось найти модуль-инсталлятор (дроппер), то есть остается неясным, с помощью каких механизмов основной модуль DUQU внедряется в систему. А значит, неизвестно, является ли этот инсталлятор самовоспроизводящимся и какие именно уязвимости защиты он использует. На текущий момент именно это считается главным недостающим звеном во всей головоломке. Потому что именно файл полагают ключом к успешному решению загадки DUQU и отысканию эффективного антидота.

Уже известные (весьма унылые) результаты всеобщей борьбы с угрозами типа Stuxnet, реально способными выводить из строя промышленные предприятия и критически важные инфраструктуры, невольно наводят на мысль, что и с противостоянием угрозам типа DUQU в итоге получится примерно то же самое.

Чтобы более выпукло и наглядно проиллюстрировать, к чему ныне свелась защита компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера (Ralph Langner) — широко известного ныне специалиста в данной области, в свое время первым разобравшегося с «начинкой боеголовки» Stuxnet.

В последних числах сентября Лангнеру довелось принимать участие в промышленной конференции WeissCon, где выступал некто Марти Эдвардс (Marty Edwards) — нынешний глава структуры ICS-CERT, в составе правительства США отвечающей за компьютерную безопасность индустриальных систем управления. Суть удивительного доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости — путем исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.

Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак.

Такой подход, по свидетельству эксперта, самым радикальным образом — примерно на 90% — сокращает число уязвимостей, поскольку подавляющее большинство так называемых «моментов» в безопасности, с которыми сталкивается индустрия, — это не баги программирования, а конструктивные дефекты системы.

До того как разразилась гроза с выявлением Stuxnet, уязвимостью официально именовали следующее: «Дефект или слабость в конструкции системы, в ее реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы». Ну а теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что многие проблемы вдруг просто взяли и исчезли. Остались одни только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то ныне все стало легко и просто. По крайней мере, для организации ICS-CERT. Ну а остальным, заключает с горечью Лангнер, не полегчало, потому что в итоге совершенно не принципиально — атаковали вашу систему через «баг» или «особенность». Последствия останутся неприятными, а порой и катастрофическими.

Возвращаясь же к DUQU, надо подчеркнуть, что аналитиков антивирусных фирм, опубликовавших подробности об этой программе, больше всего поразило дальнейшее поведение ее неведомых создателей. После такой широкой огласки, казалось бы, те должны были тихо исчезнуть из виду или хотя бы на время затаиться. Но ничего подобного не произошло. Уже на следующий день после публикации стали детектироваться все новые и новые модули DUQU с совсем свежими датами компиляций и множеством совершенно новых внешних признаков.

Иначе говоря, шпионы доходчиво продемонстрировали, что намерены и дальше делать эту свою работу — чего бы там не предпринимали структуры компьютерной безопасности.

Почти как во времена Дикого Билла и Эдгара Гувера.

Про вирус Stuxnet September 18th, 2010

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update : Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных, записи в блоге фирмы Symantec ,
в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.

Бонус : Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

Выясняются все новые и новые подробности о вирусе , обнаруженый в Июне этого года. Чем вирус необычен? Да много чем…

В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk ) Это уже само по себе экзотично в век Интернета.

Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, известную, но очень злую уязвимость в RPC сервисе, которую уже во всю эксплуатировал червь .

Вирус был подписан краденой цифровой подписью. В целях защиты, Майкрософт требует, чтобы все драйвера в системе были подписаны. Не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Не любительская работа.

Его явно писала команда — пол-мегабайта кода на ассемблере, С и С++.

Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу в интернете, и где нормальным вирусам самая благодать, а в Иране. 60% заражений произошло в государстве исламской революции.

Он умеет принимать команды и обновляться децентрализованно, по типу P2P . Классические ботнеты пользуются центральными командными системами

А самое, не побоюсь этого слова, сенсационное — вирус не рассылает спам, не форматирует диск и даже не крадет банковские данные. Он занимается вредительством на производстве. Точнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC . Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. . Это, кстати, объясняет способ распрстранения через флешки — промышленные системы редко подключены к Интернету.

Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение — от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.

Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update : Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)

Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных , фабричные пароли к базам данным лежали на форумах . P2P-шные ботнеты обсуждались, как теоретическая возможность. Про WinCC — фотка выше. Очень умная стратегия. Во-первых экономия средств, во-вторых, невозможно проследить путь информации. Вопрос "кто мог это знать?" сильно усложняется — а кто угодно мог.

Следим, короче, за новостями. На следующей неделе — презентация Ральфа Лангнера на конференции по системым промышленного управления , 29 сентября — исследователей из фирмы Symantec, а также исследователей из Касперского.

Бонус : Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.

http://malaya-zemlya.livejournal.com/584125.html

Статьи на тему:

• 
  Восстание машин? Skynet становится реальностью… Вирус, впервые обнаруженный около двух недель назад компьютерной системой военных Host-Based Security System, не помешал операторам-...
• 
  Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный.exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметк...
• 
  На Землю примерили ослепляющую сеть Известное утверждение, что военные готовятся к прошедшим войнам, сегодня особенно верно. Впрочем, как и всегда. По мнению генерала армии Андрея Николаева: &ld...

Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.

Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security

Про этого червя писали много. Но все же по странным причинам не так много, как могли бы, ведь речь идёт не просто об обычном вирусе. Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки. Его появление не только выявило очередные уязвимости в операционных системах Microsoft, но и устремило взоры специалистов по информационной безопасности в абсолютно новую для них область - безопасность промышленных систем. Раньше мало кто задумывался об этом, хотя некоторые компании предупреждали об этом ещё несколько лет назад. Причины вполне ясны: промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование и ПО, все процессы чётко регламентированы. Казалось бы, никакой опасности быть просто не может! Но как выясняется, это не так. Подобную «фантастическую» картину мы могли видеть в уже достаточно старом фильме «Хакеры». Разработчикам червя Stuxnet удалось без труда обойти эту, казалось бы, самую надёжную физическую защиту. Почему «разработчикам»? Потому что тут речь, несомненно, идёт не об одном человеке, а о целой группе, в составе которой кроме профессиональных программистов и эксплоитописателей были и инженеры, и специалисты по АСУ ТП, знающие специфику работы с промконтроллерами и другим периферийным оборудованием. Вопросов много, а ответов… несмотря на то, что прошло уже 4 месяца с момента первого обнаружения червя, чётких ответов пока нет. Причин этого несколько:

• Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
• Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
• Ну и последнее - поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.

Digital Security - одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.

Итак, попробуем разобраться по порядку…

Промышленная сеть: что это такое?

Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC - контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet - это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр. Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.

Сам контроллер - это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах - обычно собственной разработки производителя, информация о которой малодоступна - QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек - оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ - Автоматизированное Рабочее Место. АРМ - это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько - их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.

У многих малознакомых с АСУ ТП людей возникает вполне логичный вопрос: если есть полноценные компьютеры, которые могут всем управлять, то зачем еще и контроллеры? Ответ прост: им не доверяют. Компьютеры под управлением Windows имеют свойство «виснуть», и, собственно, Windows никак не претендует на звание Realtime OS. А у контроллеров своя операционная система, свое промышленное резервированное питание, и отказоустойчивость в разы выше, чем у любого персонального компьютера.

Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное - о проблемах, связанных с его лечением. Итак, Stuxnet…

Stuxnet - что это такое?

Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители - как и почему, будет рассказано немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.

Червь устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и содержит в себе специализированное ПО для выполнения основной задачи. Драйверы, которые троян устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. Известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют цифровую подпись для «тихой» установки драйверов руткита в целевую систему. В системах безопасности многих производителей файлы, подписанные известными фирмами, заведомо считаются безопасными, и наличие подписи дает возможность беспрепятственно, не выдавая себя, производить действия в системе. Кроме того, червь располагает механизмами контроля количества заражений, самоликвидации и дистанционного управления.

Кроме распространения посредством внешних носителей червь также успешно заражает компьютеры посредством соединения через локальную сеть. То есть оказавшись на компьютере вне промышленной сети, он анализирует все активные сетевые соединения и «пробивается» к промышленной сети всеми возможными способами. После внедрения в систему вредоносное ПО ищет в ней присутствие SCADA-системы фирмы Siemens. Причем им атакуются только системы SCADA WinCC/PCS7. Данных о заражении другой SCADA-системы от Siemens - Desigo Insight, которая широко используется для автоматизации зданий и жилых комплексов, аэропортов и т.д., у нас нет. Это говорит о «заточенности» червя на крупные промышленные и стратегические объекты.

Когда червь «понимает», что оказался на машине с WinCC, он заходит в систему, используя стандартные учётные записи. Стоит заметить, что официальный Siemens не рекомендует менять стандартные пароли на своих системах, так как «это может повлиять на работоспособность системы», и использование червем стандартных паролей гарантирует почти 100% успешной авторизации. Итак, вирус соединяется с WinCC и таким образом получает доступ к технологическому процессу. Но и это еще не все… Он «осматривается» в локальной сети АРМа. Найдя в ней другие АРМы, червь заражает и их, используя 0day уязвимости в службе печати Windows (кроме того, червь может получать права системы, в случае необходимости используя две другие уязвимости нулевого дня). Также червь видит в сети и контроллеры. Тут мы дошли, пожалуй, до самого главного и опасного его функционала: да, Stuxnet умеет перепрограммировать PLC, естественно не все, а только Simatic фирмы Siemens. И это не так мало, если учесть, что на этих контроллерах построен технологический процесс на огромном количестве объектов, в том числе стратегических и военных. Например, атомная станция в Иране (Бушер), которую многие эксперты считают «целью» этого кибероружия (именно так охарактеризовал червя Евгений Касперский), конечно, не использует контроллеры Siemens для управления самим реактором, но использует их в большом количестве для управления вспомогательным оборудованием. А этого вполне достаточно чтобы червь мог парализовать работу атомной станции. Причем сам процесс «парализации» проходит очень интересно. Троян не записывает в контроллеры мусор и не выводит их из строя. «Живя» в системе достаточно долгое время, он накапливает информацию о технологическом процессе, о режимах работы оборудования - о тех самых «уставках» температуры, давления, частоте работы двигателей о которых я уже говорил выше. И в какой-то момент троян их меняет. Пример: допустим, аварийная уставка по температуре охлаждающей жидкости в установке равна 75°С. Нормальная температура работы - 40-45°С. Изменение значения аварийной остановки в контроллере с 75 до 40’ приведёт к тому, что контроллер будет инициировать остановку агрегата по аварии в тот момент, когда он достигает своей нормальной рабочей температуры. Или ещё хуже - уставка меняется в другую сторону, и агрегат продолжает работать после перегрева до полного самоуничтожения. При этом на экране SCADA-системы оператор продолжает видеть нормальные значения и уставки, которые троян подменяет в реальном времени. И если это, например, установка, перекачивающая газ, управляемая САУ турбоагрегатами «последнего» поколения, то изменение уставок может привести к исчезновению с карты всей компрессорной станции вместе с прилегающими к ней районами.

В одной из версий червя, «разобранной» специалистами компании Symantec, найден функционал управления частотно-регулируемыми приводами (ЧРП) электродвигателей, причем двух конкретных производителей, при работе на определенной частоте. По последним данным, в Иране червь уже привел к выходу из строя большого количества центрифуг, используемых для обогащения урана. В управлении ими как раз применялись ЧРП. Читатель может задать логичный вопрос: нас должно волновать, что в Иране ломаются центрифуги? Ответ прост: Stuxnet может, например, вывести из строя сверхскоростные поезда «Сапсан», которые полностью построены на системах Simatic и используют в работе большое количество тех самых «частотников»… И не только «Сапсан», а огромное количество самых разных систем…

Еще одна интересная функциональная особенность вируса - искать активное Интернет-соединение и отсылать информацию на определенные адреса. По всей видимости, именно эта особенность стала причиной заявления специалистов антивирусной лаборатории Данилова о возможном использовании трояна в качестве инструмента для промышленного шпионажа. Также червь умеет обновлять себя через Интернет, и именно этим обусловлен тот факт, что у разных аналитиков «выловленные» копии вируса сильно отличаются как по размеру (примерно от 500к до более чем 2Мб), так и по функционалу.

Зачем все эти интернет-функции, когда промышленные сети не связаны с интернетом? Хочу вас расстроить: связаны. Не все, и не постоянно, но связаны. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на АРМе для дистанционного контроля и сбора статистики, на других - GSM-модемом для удаленной техподдержки или диспетчеризации. В некоторых случаях АСУ ТП и ERP-система предприятия вообще бывает «в одном флаконе»… Способов выхода во внешний мир много, и это непринципиально… главное - сам факт: многие промышленные сети связаны с сетями общего доступа на постоянной или временной основе.

Политика и ситуация «на местах»

На сегодняшний день все современные антивирусные программы успешно чистят компьютеры от червя Stuxnet. И, казалось бы, все хорошо: антивирусы лечат машины от червя, Microsoft выпустил обновления для устранения критических уязвимостей, которые использует червь для распространения, SIEMENS тоже выпустил «заплатку» для WinCC. Проблема решена? Нет… Антивирус очищает от зловреда только АРМ, то есть ту часть технологической сети, которая работает под управлением Windows. А как же контроллеры? А вот тут мы подходим к самому интересному…

Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать - вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.

Как же защититься от подобных действий персонала? Если CD/DVD приводы просто не устанавливаются в машины пользователей, то USB входы всегда есть по умолчанию. Элегантное решение нашли технические специалисты одного из коммерческих банков Санкт-Петербурга - все USB порты были залиты клеем из термопистолета. Но такое решение не всегда можно использовать, т.к. может существовать необходимость использования портов USB, например, для ключей защиты программных продуктов или для переноса информации инженерно-техническим персоналом. К тому же через USB зачастую работают средства пользовательского интерфейса и принтеры, так что физическое уничтожение портов не совсем уместно, вот почему не рекомендуется прибегать к таким радикальным мерам. Единственный способ уберечь системы от заражений, и не только Stuxnetом, но и другой заразой - это соблюдение персоналом регламентов предприятия и элементарных правил информационной безопасности. К сожалению, этому аспекту уделяют мало внимания, а зачастую и вовсе забывают об этом. По личному опыту знаю - персонал на большинстве объектов даже не задумывается о том, к каким последствиям может привести установленная на АРМе компьютерная игра, или принесенный с собой GSM-модем для «серфинга» с АРМа по сети Интернет. Среди персонала также часто наблюдается отсутствие элементарной компьютерной грамотности. Начальство же либо не знает о происходящем, либо закрывает на это глаза, хотя не должно ни в коем случае. Персонал, непосредственно работающий с АРМами и другими частями современной АСУ ТП, должен проходить соответствующее обучение и инструктаж, в том числе и по проблемам информационной безопасности, но этого, к сожалению, не происходит.
Именно этим объясняется то, что Stuxnet присутствует на большом количестве объектов и систем, но факт такого присутствия тщательно скрывается персоналом и руководителями «на местах». Нам известны факты такого сокрытия, когда руководство крупной компании после появления Stuxnet разослало по всем своим объектам инструкции и ПО для выявления и лечения вируса. И вирус действительно нашли на многих объектах, но НИКТО ЕГО НЕ ЛЕЧИТ! Причина: для успешной очистки системы от вируса необходима перезагрузка системы (систем), то есть остановка технологического процесса. Также настоятельно рекомендуется присутствие специалистов для выявления и возможного исправления изменений в контроллерах. Остановить установку, цех или все предприятие - дело непростое: это ЧП, которое нужно чем-то обосновывать. А обосновывать наличием вредоносного ПО нельзя, ведь именно руководители на местах отвечают за выполнение регламента и инструкций. Если червь попал в систему, значит инструкции не выполнялись, и у руководителя будут неприятности. А неприятностей никто не хочет… Объекты так и живут со Stuxnetом, и не только с ним, а мы все сидим на этой «пороховой бочке». Именно на «пороховой бочке», потому что никто не может гарантировать, что пока что «спящий» троян в какой-то момент не атакует любой из этих объектов или не появится новый экземпляр. По нашим данным, кроме ядерной программы Ирана Stuxnet уже успел навредить некоторым промышленным предприятиям в Китае и разным объектам других странах, и системы эти не имели отношения к ядерным программам.

Лечение

Как написано выше, Stuxnet успешно выявляется и лечится всеми современными антивирусными средствами. И, тем не менее, существуют свои тонкости: после очистки систем от червя необходимо проверить, чтобы программы и уставки в контроллерах соответствовали актуальным значениям, необходимым для нормальной работы АСУ. При необходимости программы должны быть откорректированы. В этом могут помочь специалисты отделов контрольно-измерительных приборов и автоматики КИПиА или производители АСУ ТП. Мы в Digital Security также можем в этом помочь. При лечении систем на базе Windows CE/Embedded ни в коем случае нельзя устанавливать антивирусное ПО непосредственно на компьютер с этой версией Windows. Систему необходимо остановить, через специальный адаптер подключить носитель к другому компьютеру с установленным антивирусным ПО и очистить. С официальными инструкциями по удалению червя Stuxnet можно ознакомиться на сайте Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view . Там же можно скачать и специальную утилиту для удаления Stuxnet, патч для WinCC и патч от Microsoft, которые необходимо установить, чтобы избежать повторного заражения. Если у вас возникнут вопросы - обратитесь за помощью к специалистам по информационной безопасности. Уместно будет заметить, что главный «виновник торжества» - фирма SIEMENS со своим «дырявым» ПО и замечательными рекомендациями о «недопустимости смены паролей» (интересно, зачем в таком случае нужно было тратить время на создание функции запроса паролей) очень немногословна в своих заявлениях. Компания утверждает, что по ее сведениям червь обнаружен всего чуть больше, чем у двух десятков ее клиентов, и случаев нарушения технологического процесса не наблюдалось. Здесь необходимо дать некоторые уточнения:

1. Говоря о количестве заражений, компания имеет в виду своих прямых клиентов, то есть объекты, которые «строил» непосредственно сам SIEMENS без посредников. Таких объектов действительно не так много, и речь идет о крупнейших объектах в мировом масштабе. По неофициальным данным Stuxnet заразил миллионы компьютеров, и десятки тысяч объектов по всему миру, и по данным антивирусного мониторинга продолжает заражение со скоростью в десятки тысяч машин в сутки.
2. Далеко не на всех предприятиях проведены проверки, и на многих объектах Stuxnet есть, но об этом никто не знает.
3. Ну и самое страшное: на многих объектах червь есть, об этом знают, но ничего не делают с этим. О причинах такого поведения, которое кроме как преступным не назвать, было написано выше.

1. Проверить на наличие Stuxnet и другого вредоносного ПО все промышленные системы. Господа руководители крупных компаний, простой директивы «на места» не достаточно - никто ничего не сделает! Необходимо либо отправить на объекты своих людей для принудительного выявления и лечения, либо обратиться за помощью к сторонним независимым специалистам.
2. Провести обновление ОС на АРМах последними доступными обновлениями и патчами.
3. На АРМы, которые по каким-либо причинам связаны с сетями общего пользования, необходимо установить антивирусное ПО и следить за его обновлениями.
4. Обеспечить систему резервными копиями ПО в начальном его состоянии для обеспечения возможности восстановления в случае повреждения вирусами или другими факторами.
5. Провести программу обучения персонала по проблемам информационной безопасности.
6. Проводить регулярный аудит систем АСУ ТП квалифицированными специалистами на соответствие требованиям безопасности. Такой аудит должен включать в себя минимум проверку сегментации сети, процедуры обновления, процесс контроля, осведомленность операторов АРМ и многое другое.

При подготовке использованы материалы компаний: ESET , SYMANTEC , Антивирусная лаборатория Касперского , Антивирусная лаборатория Данилова , Siemens , а также личный опыт автора, полученный при работе инженером-пусконаладчиком АСУ ТП.
Автор выражает особую благодарность инженерно-техническому персоналу Научно-производственной компании «ЛЕНПРОМАВТОМАТИКА» Digital Security ,являясь ведущим специалистом по информационной безопасности технологических систем.