Вы слышали о вирусе Stuxnet? В начале нового десятилетия давайте вспомним одно из крупнейших событий в сфере безопасности операционных технологий и промышленных систем управления за последние десять лет – вирус-шифровальщик Stuxnet.
Stuxnet считается одним из первых специальных вредоносных программ, нацеленных на очень специфические условия в операционных средах с целью изменения запущенных процессов.
Что такое кибервойна: определение, виды и примеры?
Что такое Stuxnet
Stuxnet – это очень сложный компьютерный червь, который стал широко известен в 2010 году. Он использовал ранее неизвестные уязвимости нулевого дня Windows для заражения целевых систем и распространения на другие системы. Stuxnet был нацелен в основном на центрифуги иранских заводов по обогащению урана с намерением тайно сорвать ядерную программу Ирана, которая тогда только зарождалась.
Однако со временем Stuxnet был модифицирован так, чтобы он мог атаковать другие объекты инфраструктуры, такие как газопроводы, электростанции и водоочистные сооружения.
Хотя Stuxnet попал на страницы мировых газет в 2010 году, считается, что его разработка началась еще в 2005 году. Он считается первым в мире кибероружием и именно поэтому привлек к себе значительное внимание СМИ. Как сообщается, червь уничтожил почти пятую часть ядерных центрифуг Ирана, заразил более 200 000 компьютеров и привел к физической деградации 1 000 машин.
Понимание (или, по крайней мере, оценка) Stuxnet, того, как он работал и что он делал, помогает понять нюансы и значение безопасности, а также дает представление о том, как нам нужно продолжать развивать наш подход к безопасности в этих средах.
Что такое фишинг? Примеры фишинговых атак и защиты
Создано самое сложное вредоносное программное обеспечение Stuxnet
В 2010 году исследователи обнаружили очень сложное вредоносное программное обеспечение; считается, что это была первая часть специального вредоносного программного обеспечения, которое было использовано для целенаправленной атаки на среду операционных технологий – Stuxnet.
Вокруг Stuxnet существует много ложных представлений и сенсаций. На самом деле, то, как происходила атака Stuxnet, является более захватывающим, чем рассказы, благодаря тому, как вредоносное программное обеспечение перемещалось по сетям, выбирало своей целью ключевую процедуру и заставляло механический процесс незаметно подрывать и разрушать сами себя.
На сегодняшний день вредоносное программное обеспечение Stuxnet считается одним из самых сложных из когда-либо разработанных. Целевым объектом вредоносного программного обеспечения был иранский завод по переработке урана в Натанзе, целью которого было нанести физический ущерб центрифугам, являющимся основой этого завода.
Иранское правительство никогда не обнародовало никакой информации об этой атаке. Однако эксперты предполагают, что вредоносное программное обеспечение повредило до 1000 центрифуг и привело к снижению операционной мощности завода на 30%.
Какой радиус поражения ядерной бомбы: анализируем опасность
Основные выводы из Stuxnet:
Вы не можете остановить мотивированного, хорошо финансируемого злоумышленника – вы можете только замедлить его действия.
Критическая национальная инфраструктура более широко связана с внешними сетями, чем вы думаете – “воздушная прослойка” не является безопасностью и не существует.
Атака не должна быть многословной, чтобы быть эффективной. Небольшие изменения, внесенные в операционную среду, могут иметь значительное влияние.
Мы слишком полагаемся на роль автоматизации и не всегда знаем, что на самом деле происходит в наших операционных средах.
500 КБ, изменивших мир
Вредоносное программное обеспечение Stuxnet до сих пор считается одним из самых сложных вредоносных программ, имеющих размер чуть более 500 кб. Хотя точное авторство так и не было установлено, сложность вредоносного программного обеспечения и ресурсы, необходимые для его разработки, а также политический характер цели, заставляют многих считать, что эта атака была увековечена актером национальной сцены.
Конечной целью атаки было изменение программируемых логических контроллеров, регулирующих скорость вращения центрифуг, чтобы нанести им ущерб и повлиять на процесс обогащения на объекте.
Что такое DARPA – история секретного технологического агентства Пентагона
Проникновение
Считается, что вредоносное программное обеспечение попало в сеть объекта в Натанзе через зараженное USB-устройство. Для облегчения перемещения по сети, а также для избежания обнаружения, вредоносное программное обеспечение Stuxnet содержало ряд уязвимостей “нулевого дня”, похищенные сертификаты, а также учетные данные доступа по умолчанию. Это позволило вредоносному программному обеспечению распространяться по сети, не привлекая к себе внимания.
Навигация по сети
Операционные среды часто сильно отделены от корпоративной системы, чтобы обеспечить определенный уровень безопасности. Чтобы обойти это, вредоносное программное обеспечение реплицирует себя на системы и съемные носители, чтобы распространяться дальше в сети предприятия.
Если после нескольких прыжков вредоносное программное обеспечение не достигало своей конечной цели, оно прекращало распространение, чтобы избежать срабатывания средств контроля безопасности.
Уникальной особенностью вредоносного программного обеспечения была его способность связываться со своими командными и контрольными серверами даже без прямого доступа к Интернету. Вредоносное программное обеспечение общалось через компьютеры, которые оно уже скомпрометировало в сети, находя маршрут к интернету и передавая информацию обратно, позволяя злоумышленникам модифицировать свой код даже в пределах объекта.
Нацеленность
Вредоносное программное обеспечение было специально нацелено на ПЛК Siemens s7-300, контролируя определенные физические активы, которые поддерживали и контролировали вращение центрифуг. Чтобы убедиться, что вредоносное программное обеспечение достигло своей цели, но не привлекло внимания к своему присутствию в сети, вредоносное программное обеспечение распространялось на три машины, прежде чем удалиться с зараженного USB или исходного компьютера.
Атака
После того, как было определено аппаратное обеспечение и условия работы, вредоносное программное обеспечение вставляло вредоносные функциональные блоки. Целью этого функционального блока было увеличение скорости вращения центрифуг в заранее определенное время, что фактически приводило к выходу из строя компонентов и разрушению центрифуг с течением времени.
Изменения, внесенные этой злонамеренно внедренной функцией, были чрезвычайно незначительными. Изменение увеличило скорость вращения центрифуг до Гц на 15 минут, после чего центрифуги были замедлены на 50 минут. После этого периода они вернулись к нормальной работе, в то время как вредоносный код оставался неактивным в течение 27 дней. Такое изменение в течение длительного периода времени могло нанести центрифугам такой физический ущерб, что их пришлось постоянно заменять.
Заметание следов
Чтобы не вызвать подозрений у операторов, вредоносное программное обеспечение подделывало сигналы, поступавшие к операторам, чтобы замаскировать реальные действия центрифуг. Таким образом, когда центрифуги замедлялись и ускорялись, операторы видели на своих дисплеях нормальную скорость вращения. Этот метод обычно называют атакой “Человек посередине”. Злоумышленник может изменять данные, отправляемые оператору, предоставляя ложную информацию.
Кибернетические последствия
До атаки Stuxnet считалось, что операционная среда и системы эффективно изолированы, отключены и достаточно закрыты, чтобы быть защищенными от кибератак.
Хотя атака непосредственно повлияла на работу иранского завода по переработке ядерного топлива, Stuxnet продемонстрировал способность кибератак непосредственно влиять на физические системы и процессы.
Реальное влияние атаки Stuxnet является несколько приземленным по сравнению с распространенными представлениями о ней. Stuxnet не привел к взрывам на объекте и не был быстрым процессом. На разработку и развертывание атаки ушло много времени и ресурсов.
Воздействие заключалось в медленном повреждении более 1000 центрифуг на ядерном объекте в Натанзе путем незначительного изменения их работы. Никаких объяснений относительно остановки работы не было предоставлено, но есть подозрение, что это было сделано для проверки контроля и систем, которые пострадали после обнаружения вредоносного программного обеспечения.
Вредоносное программное обеспечение было обнаружено, когда оно начало распространяться с объекта, на который была направлена атака, и исследователи обнаружили его. Не было предоставлено никаких объяснений, почему в код вредоносного программного обеспечения были внесены изменения, которые привели к такому эффекту прорыва.
Чему это нас научило?
Stuxnet показал нам, что существуют организации, группы и страны, которые активно развивают возможности для подрыва критически важных национальных инфраструктур. Эпоха безопасности из-за неизвестности окончательно и бесповоротно закончилась.
После того, как Stuxnet стал общедоступным, вредоносное программное обеспечение было переработано и перепрофилировано. Это обеспечило платформу для атак имитаторов, а также план для будущих атак и целенаправленных действий. Кибероружие национального государства не требует много времени, чтобы стать инструментом, который может получить каждый, кто имеет доступ к интернету.
Просто Stuxnet показал миру, что сети критической национальной инфраструктуры, от которых мы все зависим, являются более уязвимыми, чем мы сначала считали.
Независимо от того, был ли этот инцидент вызван неправильной конфигурацией, случайным заражением или целенаправленной атакой, он принес ощущение неотложности в мировое сообщество и, возможно, стал катализатором развития событий и подходов, которые мы используем сегодня для защиты этих критических сред.
Источник: https://gemserv.com/