Stuxnet: злобный червь, открытый белорусами

Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, - излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям "Компьютерных вестей" рассказал начальник отдела разработки антивирусного ядра белорусской компании "Вирусблокада" Сергей Уласень.

- Правда ли, что Вы как раз тот человек, который и обнаружил вирус?

- Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и "говорящая голова" в данном случае.

- Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?

- В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.

 

Stuxnet - троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей "нулевого дня". По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.

- Чем же этот троян так всех впечатлил, что о нем столько пишут?

- Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.

- И как вы поступили?

- После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.

Уязвимость "нулевого дня" - уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.

- Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?

- С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии - что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.

- А появились ли еще какие-то черви, использующие те же уязвимости?

- Появились. Например, Sality - достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.

- Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?

- Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.

ОДО "ВирусБлокАда" является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО "ВирусБлокАда" является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.

Беседовал Вадим СТАНКЕВИЧ

Версия для печатиВерсия для печати

Номер: 

39 за 2010 год

Рубрика: 

Эксклюзивное интервью
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Страницы

Аватар пользователя ЫнкогнитА
Тем более. Что разводите панику!
Аватар пользователя Logicby
>ЫнкогнитА > Тем более. Что разводите панику!

Виноват, но 1368 из 5000 центрифуг всё же гойкнулось.

Аватар пользователя Logicby
mike (old student) > В Бушере SCADA НЕ управляет реактором, этим занимается российский софт под переработанным Линем...

"инженер группы поддержки программных средств цехов основного производства по производству ТТ (Топливных Таблеток)... Новосибирского Завода ХимКонцентратов...

I. Разработка:

1) Новые автоматизированные линии по сборке ТВЭЛ работают именно под управлением WinСС под Windows...

II. Эксплуатация в сети:

1) На клиентских компьютерах — WinXP, на серверах — Win2003.

2) Везде настроены автологоны, ибо разработчикам вломы было перелогиниться на этапе «настройки», да так и закрепилось.

3) Все эти ПК соединены в сеть с доменом, в которой кроме данных технологических ПК находятся и другие, с других участков, управляющие другими контроллерами/процессами.

4) Доменный пользователь, под которым работает проект, обладает правами локального администратора на ВСЕХ ПК.

5) И НА СЕРВЕРАХ ТОЖЕ — для вашего удобства.

6) На всех ПК, ВКЛЮЧАЯ СЕРВЕРА, установлен RAdmin для удобства. И Viewer для еще большего удобства. Зацикленные экраны — обычное дело.

7) Стандартный виндовый терминал и RDS тоже доступны без ограничений. Сервера тоже в деле.

8) Пароль на Radmin состоит из названия соответствующего продукта Siemens.

11) USB и DVD никак не защищены — вставляй что хочешь. Авторан не отключен.

III. Обслуживание:

1) До недавнего времени (конкретно — до осени прошлого года) на ПК и серверах не было антивирусной защиты. Совсем. Потому что разработчикам казалось, что антивирус мешает работе столь RT-требовательной системы.

6) За лицензии WinCC отданы огромные бабки, что не решило проблем с багами (версия 6), ибо переход на 7 стоит тоже не мало, а ведь «уже уплочено». При этом на всех — и ПК, и серверах, WinCC постоянно ругается на отсутствие лицензии. Видать, «варяги» призажали. Nobody cares — не саботирует работу, и то ладно. Окошко убирается в сторону и все.

Для тех, кто уже забыл начало текста — мы производим ядерное топлииво. В том числе для иранского Бушера."

------------------

Аватар пользователя Logic
"Израиль провел испытания мощного компьютерного вируса Stuxnet, могущего вывести из строя атомную станцию, на своей собственной АЭС..

Для этого на секретном израильском предприятии "Димона" были воспроизведены условия, существующие в Натанце, иранском центре по обогащению урана.

По данным газеты, американские и израильские специалисты в течение двух лет испытывали компьютерный "червь" на тщательно охраняемой "Димоне" в пустыне Негев.

Газета приводит заявления неназванных военных экспертов и специалистов по разведке, знакомых с "Димоной", о том, что там установлены центрифуги, практически идентичные тем, что используются в Натанце."

Аватар пользователя mike
>Газета приводит заявления неназванных военных...

"А газэта пишэ, йаке сон розкошэ!" ((С) Варшава, 3-я программа) Даже СБ честнее: всё-таки приводит фамилии. :)

Аватар пользователя Logicby
"Российская госкорпорация Росатом заявила, что в информационной системе иранской АЭС Бушер нет вирусов, угрожающих безопасности станции.

"Никаких вирусов в информационных системах станции, тем более в тех, которые отвечают за безопасность станции, нет, поскольку компьютерная система полностью является локальной, обособленной от внешних источников"..."

Страницы