Оригинал материала находится по адресу ibusiness.ru/blogs/4592
21.10.2011

Вирус Duqu и государственный терроризм: где ждать нового удара?

Поимка и убийство очередного арабского лидера занимают сегодня первые полосы всех сетевых изданий. Окровавленный, жалкий Каддафи, извлечённый за ногу из канавы, запечатлён на смартфоны повстанцев и теперь ещё долго будет таращиться с дисплеев и телеэкранов. Пусть техника и культура шагнули далеко вперёд, человек в среднем — всё такое же животное, каким был и сто, и тысячу лет назад: мало что сравнится с удовольствием наблюдать за чужой болью, устроившись на тёплом диване…

Вероятно, та же первобытная жажда зрелищ объясняет и интерес широких масс к весьма специфическим «военным» действиям в киберпространстве. Помните, какой ажиотаж вызвал обнаруженный в прошлом году червь Stuxnet? На этой неделе история получила продолжение: найден компьютерный вирус, предположительно принадлежащий тем же людям и созданный с той же целью — масштабного промышленного саботажа. Свежая информация продолжает поступать, поэтому сделайте скидку если что-то из нижеизложенного к моменту прочтения окажется не совсем точным.

Stuxnet, пойманный в середине 2010, был чрезвычайно сложным творением оставшейся неизвестной группы программистов. Используя сразу несколько известных и ещё неизвестных уязвимостей в операционной системе MS Windows, замечательно маскируя своё присутствие на компьютере от антивирусных программ, он устроил небольшую, хоть и глобальную эпидемию. Всего насчитали кто несколько десятков, кто — несколько сот тысяч заражений Stuxnet по всему миру. Однако почти две трети инфицированных машин располагались в Иране, и этот факт, плюс сложность и необычная функциональность вируса, привели к выводу: авторами Stuxnet являются спецслужбы одной из стран, заинтересованной в уничтожении иранской атомной программы.

Попав на компьютер, Stuxnet не стирал файлов, не крал номеров кредитных карт. Он активизировался только в случае, если на машине работала SCADA-система производства Siemens: программное обеспечение, управляющее неким промышленным оборудованием. В данном случае в качестве оборудования выступали центрифуги для обогащения урана, повредить которые (путём изменения скорости вращения) и пытался Stuxnet.

Точных данных о причинённом Stuxnet ущербе нет до сих пор. Но имеются косвенные сведения, позволяющие считать, что цель отчасти была достигнута. Так, в ноябре 2010, после трёх месяцев слухов и пересудов, Махмуд Ахмадинежад признал, что компьютерный вирус привёл к проблемам на ограниченном числе центрифуг на горно-обогатительном комбинате в Натанзе.

Stuxnet по сей день называют самой интересной находкой за всю историю существования компьютерных вирусов. Не только из-за сложности реализованных алгоритмов, но и потому, что он вживую продемонстрировал бывшую до того теоретической возможность кибератаки против объектов реальной (не цифровой!) инфраструктуры.

Это было год назад. С тех пор ему посвятили тысячи статей, относительно его происхождения выдвинуты десятки теорий (ни одна не получила уверенного подтверждения), и рано или поздно кто-то должен был сделать следующий шаг — воспользоваться подобным вирусом для поражения новых целей. Неделю назад это произошло: вирус Duqu, обнаруженный специалистами Symantec 14 октября, вписал новую страницу в историю годичной давности.

Формально, Duqu — «троянский конь», обманом внедряемый на компьютер жертвы и не умеющий размножаться самостоятельно. Его имя произведено от префикса ~DQ, который фигурирует в названиях создаваемых временных файлов. Но описывая этот вирус, следует отметить прежде всего чрезвычайное сходство со Stuxnet. Устройство, методы маскировки, масса тонких деталей настолько точно повторяют «иранский штамм», что в Symantec, F-Secure и MacAfee, анализировавших находку независимо друг от друга, не сомневаются: авторы Duqu имели доступ к исходным текстам (не просто бинарной копии) Stuxnet. Логично предположить, что написаны оба вируса одним коллективом.

Duqu маскируется под драйвер MS Windows и подписан легитимным цифровым сертификатом — по всей видимости, украденным у тайваньской компании C-Media Electronics (подробно о сертификатах см. «Взлом DigiNotar и его последствия»). Кроме того, не умея заражать компьютеры сам, он ещё и настроен на самоуничтожение спустя месяц после начала работы. Три этих факта однозначно свидетельствуют: Duqu — не ровня обычной цифровой заразе, а своеобразное высокоточное оружие, произведённое не стеснённой в средствах организацией для поражения единичных целей (отдельное рабочее место, небольшой компании и т.п.).

Однако найденный Symantec вирус лишён деструктивных функций. Вместо этого он оснащён богатым арсеналом средств удалённого управления и мониторинга. Попросту, с его помощью можно скрупулёзно следить за действиями пользователя, вмешиваясь в случае необходимости. На текущий момент неизвестно ни кто написал Duqu, ни как его внедряли на компьютеры, ни какие сведения им передавались (IP-адрес центра управления указывает на Индию, но это и всё, что удалось узнать). Зато точно установлено, что собранные данные могли быть использованы для организации атак, подобных той, что провели с помощью Stuxnet.

Вероятный сценарий, набросанный антивирусными экспертами, таков: Duqu внедряют в компанию, производящую или эксплуатирующую SCADA-системы, собирают с его помощью данные об уязвимостях, после чего (с помощью Duqu или параллельно) активируют программное обеспечение, которое выводит оборудование из строя.

Технический анализ Duqu занимает аж полсотни страниц и выходит за рамки этой статьи. Но страшные выводы, сделанные специалистами, даже интересней. Во-первых, следует признать, что проводившиеся с помощью Stuxnet и его преемника акции относятся к террористическим. Это не война. Законы войны определены международным гуманитарным правом и предполагают применение силы только в ограниченных случаях и с соблюдением ряда обязательных атрибутов. Тайные операции против атомных объектов Ирана, шпионаж за европейскими производителями систем промышленного управления (подробнее дальше) — терроризм в чистом виде. Прискорбно, что в истории Stuxnet явно просматривается и российский след.

Вокруг этой скучной таблицы сейчас ломают копья десятки экспертов и ещё больше простых наблюдателей. Здесь представлен (частично) перечень свойств Stuxnet и Duqu, наглядно иллюстрирующий схожесть двух вирусов. Изюминка в том, что не все согласны считать идентичность кода доказательством родства. Попросту, кто может гарантировать, что Duqu не изготовили иранцы, чтобы насолить Западу?

Во-вторых, обнаружение Duqu можно расценивать как свидетельство подготовки следующих террористических актов авторами Stuxnet. Этого ждали, но куда будет направлен новый удар? Специалисты Symantec и их упоминавшиеся выше коллеги получили образцы Duqu из нескольких источников, располагающихся в Европе, Ближнем Востоке и Африке. Имена, понятное дело, не называются, но известно, что вирусом были заражены компьютеры крупной исследовательской лаборатории и нескольких разработчиков SCADA-систем. Таким образом, вероятная цель — опять промышленные объекты непримиримых ближневосточных государств.

Справедливости ради, отмечу, что есть теория, будто бы Duqu написан не авторами Stuxnet, а его жертвами (к примеру, спецслужбами Ирана). И схожесть с предшественником ему придана умышленно, чтобы спутать следы в случае обнаружения. Но даже если это правда, следует признать, что антивирусная индустрия в частности и специалисты по информационной безопасности вообще расписались в бессилии перед новой угрозой.

Авторы Duqu и Stuxnet, кто бы они ни были, продолжают наносить удар за ударом, а лучшее, на что способны защитники вычислительных систем, это оперативно среагировать уже после обнаружения вируса на инфицированных машинах. Ни цифровые сертификаты, ни эвристические алгоритмы не предотвратили заражений. Отдельной «благодарности» удостоились SCADA-девелоперы, за прошедший с момента обнаружения Stuxnet год так и не задумавшиеся об устранении слабых мест в своих программных комплексах.

Обывателю в этой невесёлой истории отведена роль зрителя и, возможно, жертвы. Кто, где и как использует украденные с помощью Duqu сведения о слабостях систем управления? Будут ли это центрифуги на секретном заводе в Иране или система переработки ядерных отходов во Франции? А может быть навороченная интеллектуально-транспортная система Москвы?


Duqu,вирус,Stuxnet,Иран,Symantec,безопасность,киберкриминал,SCADA,терроризм




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены