Метка «Stuxnet»

Здесь не будет историй о проникновении кибер террористов на ядерные объекты и массовом применении кибер оружия для уничтожения инфраструктуры неприятеля. А будет несколько обыденных примеров из личной практики, по модному ныне тренду безопасности АСУТП на типичном среднем Российском производстве.
Читать полностью »

Развитие информационных технологий сказывается на разработке всего спектра программного обеспечения (ПО). Не обходит оно стороной и вредоносные программы. Можно выделить основные приемы, применяемые при разработке «передового» вредоносного программного обеспечения (ВПО).
Читать полностью »

На волне интереса к кибервойнам новостные сайты запестрели броскими заголовками о страшных кибератаках, не забывая упомянуть такие примеры, как кибератака на Эстонию в 2007 и Грузию в 2008. Каковы последствия этих атак, при этом почему-то умалчивается. Зато все помнят о нехорошей стране России, где злобные хакеры сидят в шапках-ушанках в заснеженных снегах Сибири и с помощью микрокалькулятора MK-54 проводят кибератаки на Пентагон в промежутках между распитием водки стаканами. Это еще один пример успешной информационной операции, только жертвы тут не Эстония и Грузия.
Эксперты в области информационной безопасности отмечают, что, в основном, весь контент, который касается ИБ, берется из зарубежных источников. То есть у нас толковых писателей раз-два и обчелся. Почитав месяц-другой новости и сравнив их с первоисточниками на английском (которые, как правило, не указываются), можно убедится, насколько искажается общий фон новости из-за незначительных изменений в угоду «сенсационности». Ну конечно, журналисты же любят броские заголовки и слова кибервойна, киберугроза и кибероружие. Не отстают от журналистов и антивирусные компании. Особенно этим отличается компания Kaspersky Lab, в статьях которой на сайте securelist.com подозрительно часто мелькают слова Иран и Ближний Восток.
Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:

  • июль 2010 — Stuxnet (VBA);
  • октябрь 2011 — Duqu (Kaspersky);
  • март 2012 — Wiper (Kaspersky обнаружил следы);
  • апрель 2012 — Flame (Kaspersky);
  • август 2012 — Gauss (Kaspersky);
  • октябрь 2012 — MiniFlame (Kaspersky).

В добавок к ним несколько образцов поменьше калибром:

  • июль 2012 — Madi (Kaspersky);
  • август 2012 — Shamoon (Kaspersky);
  • ноябрь 2012 — Narilam (Symantec).

Читать полностью »

Тема кибероружия сейчас у всех на слуху. Больше всех любят эту тему муссировать эксперты Kaspersky Lab. По их заявлениям все значимые образцы ВПО последних трех лет связаны между собой. Например, Stuxnet и Duqu. Но так ли это на самом деле? Нужно признать, что материал по Stuxnet далеко не полон. Например, отсутствует описание процедуры внедрения Stuxnet на компьютер. Похожа ли она, как заявляют сотрудники Kaspersky Lab, на аналогичную в Duqu? Ответ — не совсем. Но обо все по порядку.
Читать полностью »

Описание

9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:

  • Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
  • для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
  • несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.ini (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
  • для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
  • Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
  • присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
  • необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами (SCADA).

Читать полностью »

Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы.
Читать полностью »

Остаться в живых. Безопасность SCADA

Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются...Читать полностью »

Stuxnet, Flame и Duqu — три самые известные программы, предположительно созданные спецслужбами в качестве «кибеоружия» против других стран. Программа Stuxnet успешно вывела из строя 80% иранских центрифуг по обогащению урана, а шпионская программа Flame несколько лет скрытно работала на иранских компьютерах, установившись как обновление Windows.

На прошлой неделе предположения об американском заказе подтвердились: выяснилось, что президент Обама лично следил за внедрением вируса Stuxnet на иранские компьютеры. Насчёт Flame и Duqu прямых доказательств пока нет. Но вряд ли приходится сомневаться, что эти программы тоже созданы по заказу американцев.

Самое интересное, что во всех трёх программах использовалась библиотека LZO, которая распространяется строго под лицензией GNU GPL.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js