Архив   Авторы  

Червивый атом
Hi-tech

Нападение компьютерного вируса на АЭС — это информационная или все‑таки настоящая война?

 

Информационные волны на тему невиданного доселе компьютерного вируса, который якобы поразил жизненно важные системы атомной станции в иранском городе Бушере, более месяца сотрясали мировые информационные агентства. И наконец отступили, оставив, однако, ощущение остросюжетного боевика — страшно, но ничего плохого не случилось.

А какой отменный был повод для сенсации — антивирусные гуру мирового уровня дружно объявили: Welcome to cyberwar. Судите сами: вирус Win32/Stuxnet сумел попасть во внутреннюю сеть станции, которая на таких объектах никогда не имеет доступа в Интернет. Причем он использовал сразу несколько уязвимостей в ОС Windows, чтобы проникнуть в сеть через флэшку и далее распространяться по локальной сети через совместно используемые файлы и общий доступ к принтеру. При этом он повышал свои права доступа к системным ресурсам, собирал данные (правда, ничего особо секретного — версия ОС, IP-адрес зараженного компьютера) и отправлял их какому-то контролирующему серверу (где он находится, осталось загадкой), а также целенаправленно искал компьютеры, на которых установлена SCADA-система Siemens SIMATIC Win CC. Интересна она тем, что с ней работают дежурные диспетчеры, следящие за работоспособностью блоков и агрегатов станции. Найдя такой ПК, вирус встраивал себя в служебные проекты SIMATIC и автоматически запускался, когда такой «испорченный» проект активировался. Правда, главной его целью была не диспетчерская система, а связанные с ней контроллеры (они отвечают за работу разнообразных заслонок, фильтров, клапанов и т. п.), которые можно программно переконфигурировать. Злодейский замысел очевиден: вирус находит доступ к управлению промышленными контроллерами и перепрограммирует их работу. Но что-то не срослось… По последним сообщениям пресс-службы компании «Атомстройэкспорт», участвующей в запуске этого объекта в эксплуатацию, вирус не получил доступ к управлению технологическими процессами. По многим признакам киберсенсация по имени Stuxnet сильно напоминает информационную войну.

Впервые этот злобный червь был замечен еще в 2009 году, но тогда он еще не умел прятаться от антивирусов и записывать себя в Windows-системы. Такие навыки он приобрел в начале нынешнего года. А по оценкам иранских специалистов, летом в Бушере поймали уже пятую версию зловредины. Но вот почему-то громкую огласку получило именно это заражение и именно во второй половине лета, когда в Бушере готовились к физическому пуску энергоблока. Причем к этому времени Stuxnet был хорошо известен, счет шел уже на сотни тысяч зараженных компьютеров в десятках стран мира. Сегодня тройку лидеров по количеству заражений составляют Иран, Индия, Индонезия. Далее в списке: Пакистан, Узбекистан, Казахстан, Киргизия, Таджикистан, Афганистан, Куба и т. д. Есть и Россия, и США, и Великобритания с Германией, но доля стран, скажем так, с неустойчивой демократией наводит на мысль о политической подоплеке этого информационного бума: как можно Ирану заниматься атомными программами, если он не может даже обезопасить энергоблок от вируса? При этом остальные участники истории — все в белом: Microsoft выпускает свои «заплатки» (осталась вроде бы одна из тех четырех «дыр» в ПО, в которые пролезал злобный червь), Siemens — свои.

К сожалению, полностью списать происшествие на информационную атаку не удастся. «Мы располагаем информацией о подобных целевых вирусных атаках на конкурентов как в России, так и за рубежом», — говорит Александр Чачава, президент LETA Group. А белорусский разработчик антивирусных решений «ВирусБлокАда», которому, говорят, принадлежат лавры первооткрывателей Stuxnet, с 2008 года ведет мониторинг инцидентов с компьютерными «инфекциями» промышленных предприятий в разных странах мира. Большая доля таких инцидентов приходится как раз на энергетические системы, что в общем-то объяснимо: сбой в электроснабжении — это серьезная угроза для целого региона. Вот почему в бушерской истории искали государственный — то ли американский, то ли израильский — след. Да и стоимость иранской «задумки» велика. По оценкам Александра Матросова, руководителя Центра вирусных исследований и аналитики российского представительства ESET, — на уровне 500 тысяч евро, потому что требуется участие целой группы высококлассных специалистов. И результаты «препарирования» Stuxnet на строчки исходного кода заставляют задуматься о мощной исследовательской программе.

«Вредоносная программа обладает возможностью устанавливать дополнительный функционал с удаленного сервера, — рассказывает Александр Матросов. — Это говорит о том, что цели и возможности злоумышленников могли изменяться в зависимости от пораженной цели или в зависимости от временного периода развития атаки». Причем при анализе Win32/Stuxnet «целевого» функционала обнаружено не было, добавляет эксперт, так что «мотивы» вируса выяснить не удалось. Свое мнение у Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского»: «Вирус нацелен на конкретный программируемый контроллер — Stuxnet должен найти его и перепрограммировать. Но никто не знает, где он находится и что к нему подключено».

Похоже, что летняя активность Stuxnet — это всего лишь этап в большом исследовательском проекте, в который помимо своей воли вовлекаются десятки тысяч предприятий по всему миру. А целью этого этапа может быть отработка технологии поиска на любом объекте того контроллера, который отвечает, скажем, за отображение данных на экране диспетчера. Ведь в настоящей атомной катастрофе вряд ли кто-либо сильно заинтересован, достаточно внести неразбериху в показания приборов, и тогда само руководство станции остановит ее в штатном режиме для выяснения причин неполадок. А это для атомной станции — не минуты или часы, а несколько дней. Дней с замершим транспортом, неработающими заводами, конторами, может быть, военными системами…

Страшновато как-то и дальше продолжать жить, как раньше, в режиме «подождем, когда вирус проявится, и тогда напишем «заплатку». К тому же при нынешнем подходе к разработке программных систем это бесперспективно. Ведь уязвимости, которыми пользуются вирусы, — это не ошибки программистов, а стандартный прием: таким образом архитекторы ПО оставляют себе возможность в случае сбоя проникнуть в уже установленную систему с самыми высокими правами доступа и что-то поправить. Может быть, в ожидании следующей реинкарнации Stuxnet стоит исправить что-нибудь в «консерватории», то есть в производстве самого ПО, управляющего работой атомных реакторов и нефтехимических комплексов? И еще раз взвесить за и против создания отечественных операционных и прочих SCADA-систем?

Какой главный вывод стоит сделать из инцидента с вирусом Stuxnet?

Случай со Stuxnet очень похож на голливудский блокбастер. Это первый преданный огласке случай, когда была показана возможность установления контроля над производственными процессами и передачи управления ими в руки злоумышленников. Данный случай также демонстрирует, что в нашем взаимосвязанном мире IT-безопасность важна, как никогда ранее, и что даже те сценарии, которые ранее считались невероятными, теперь должны приниматься во внимание.


Олег Шабуров

стар­ший сис­тем­ный ин­же­нер Symantec в Рос­сии и СНГ

Это проблема переходного периода на цифровые средства управления. Разработчикам сложных промышленных систем стоит задуматься о внутренних средствах защиты, ведь пока встроенных антивирусов они не имеют. На данный момент спасение утопающих — дело рук самих утопающих: резервное копирование, отсутствие входа-выхода для съемного накопителя на машинах пользователей, четко прописанные правила внутренней безопасности, серьезное антивирусное ПО — арсенал велик.


Григорий Чернобыль

глав­ный биз­нес-кон­суль­тант «PTC Рос­сия»

Изначально мы придерживались версии о том, что Stuxnet — это шпионское ПО: мы видели работу с базой данных в «сименсовском» софте. Но потом стало понятно: главная задача вируса — не шпионаж за зараженными системами, а подрывная деятельность. Stuxnet — первый из обнаруженных червей, который нацелен на перепрограммирование систем управления промышленным производством. На сегодняшний день это наиболее изощренный сценарий целевых атак.


Александр Гостев

глав­ный ан­ти­ви­рус­ный эк­сперт «Лабо­ра­то­рии Кас­пер­ско­го»

К оружию!

Первый выстрел кибервойны

То, о чем так долго говорили айтишники и лгали киношники, свершилось. Вредоносная программа впервые поразила стратегический объект на территории противника. Из истории со Stuxnet уши торчат настолько отчетливо, что у знающих людей нет сомнений: программа писалась под конкретный реактор. Прочие компьютеры, флэшки и другие носители Stuxnet заражал, но вреда не причинял. (Кстати, некоторые наивно полагают, что, отключив локальную сеть от Интернета, они застраховали себя от внешних угроз.) Он имел в своем коде странное условие срабатывания, которое долго не могли понять специалисты-антивирусники. Как позже обнаружилось, условие это выполняется лишь на единственной в мире АСУ единственного атомного реактора.

Для размножения и распространения Stuxnet использовал несколько разных уязвимостей, причем достаточно дорогих. Сведения об уязвимости и соответствующий эксплоит на черном рынке стоят денег. Особенно дорого ценится так называемый «0-day» эксплоит (или «0-day» уязвимость). Это «дырка», о которой еще не знает производитель. Используя ее, вирус имеет временную фору и зеленый свет во всех системах.

Позволить себе использование «0-day» может далеко не каждый вирусописатель. А Stuxnet имел в арсенале сразу несколько таких уязвимостей. Следовательно, эту вредоносную программу заказывал миллионер. Или тот, кто денег не считает, ибо на госбюджете. Зато с таким пробивным арсеналом Stuxnet не мог не добраться до цели.

Как вредоносная программа, Stuxnet достаточно обычный червь-троян. Просто навороченный и живучий. Самое интересное и уникальное в нем — та «боеголовка», которую он несет. Stuxnet поражает только один атомный реактор в мире. Все другие компьютеры и информационные системы от него почти не страдают, он их использует лишь для распространения.

Судя по всему, первый выстрел кибервойны достиг цели. Наверняка какие-нибудь майоры отчитались перед какими-то генералами об успешной операции. Следует ожидать запуска кибероружия в серию.


Николай Федотов

глав­ный ана­ли­тик InfoWatch

Добавить в:  Memori  |  BobrDobr  |  Mister Wong  |  MoeMesto  |  Del.Icio.Us  |  Google Bookmarks  |  News2.ru  |  NewsLand.ru

Политика и экономика

Что почем
Те, которые...

Общество и наука

Телеграф
Культурно выражаясь
Междометия
Спецпроект

Дело

Бизнес-климат
Загранштучки

Автомобили

Новости
Честно говоря

Искусство и культура

Спорт

Парадокс

Анекдоты читателей

Анекдоты читателей
Популярное в рубрике
Яндекс цитирования NOMOBILE.RU Семь Дней НТВ+ НТВ НТВ-Кино City-FM

Copyright © Журнал "Итоги"
Эл. почта: itogi@7days.ru

Редакция не имеет возможности вступать в переписку, а также рецензировать и возвращать не заказанные ею рукописи и иллюстрации. Редакция не несет ответственности за содержание рекламных материалов. При перепечатке материалов и использовании их в любой форме, в том числе и в электронных СМИ, а также в Интернете, ссылка на "Итоги" обязательна.

Согласно ФЗ от 29.12.2010 №436-ФЗ сайт ITOGI.RU относится к категории информационной продукции для детей, достигших возраста шестнадцати лет.

Партнер Рамблера