Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Обнаружен украинский ЗРК "Бук", который сбил пассажирский авиалайнер над Донбассом
Лавров рассказал о пределах терпения России
Рябков не увидел оснований для скорых новых переговоров с США по гарантиям безопасности
Главная страница » Репортажи » Просмотр
Версия для печати
Секретный близнец червя Stuxnet
21.11.13 00:01 Наука, техника, образование

Основные элементы общепринятой истории о вирусе Stuxnet - либо неправда, либо не отражают полной картины, утверждает в статье для Foreign Policy Ральф Ленгнер, один из руководителей консалтинговой фирмы Langner Group, работающей в области кибербезопасности.

"На самом деле Stuxnet - не одно оружие, а два", - поясняет автор. По большей части внимание приковано к относительно мелкой и простой подпрограмме Stuxnet, которая меняет скорость уранообогатительной центрифуги. "Но вторая и "забытая" подпрограмма - на порядок сложнее и незаметнее. Тот, кто разбирается в безопасности промышленных контрольных систем, сочтет ее кошмаром. И, как ни странно, эта более изощренная атака была нанесена первой. Более простая, более привычная подпрограмма появилась всего несколько лет спустя - и была обнаружена сравнительно скоро", - говорится в статье.

Ленгнер сообщает, что последние три года анализировал не только коды программы, но и объект атаки - уранообогатительный комбинат - и процессы его работы. "Я обнаружил: полная картина, включающая первый и менее известный вариант Stuxnet, приглашает к пересмотру самой атаки. Оказывается, атака была гораздо опаснее, чем кибероружие, представление о котором укоренилось в массовом сознании", - говорится в статье.

По словам Ленгнера, в 2007 году неизвестный передал на антивирусный сайт VirusTotal образчик некого кода. Спустя 5 лет было обнаружено, что это "первый вариант Stuxnet - по крайней мере, первый из известных нам", - пишет автор. Но, если бы не вторая, упрощенная версия, первоначальный Stuxnet, возможно, так и остался бы незамеченным. "Сегодня мы знаем, что код содержал оружие для сильных помех системе, разработанной для защиты центрифуг на уранообогатительном комбинате в Натанзе", - говорится в статье.

При второй, более известной атаке, Stuxnet пытался ускорить вращение роторов в центрифугах, чтобы они сломались. "Первоначальное" оружие применило другую тактику. Оно пыталось вызвать слишком сильное давление на центрифуги в Натанзе, саботируя каскадную систему", - пишет автор. В Натанзе используется уникальная система защиты, без которой "устаревшие и ненадежные центрифуги IR-1" станут почти бесполезны. Эти центрифуги - "становой хребет" иранского обогащения урана, добавляет Ленгнер.

Иранцы придумали остроумную защиту от сбоев: каскадная система защиты позволяет продолжать обогащение урана, изолируя отдельные центрифуги, которые барахлят.

Правда, если изолировать много центрифуг на одной и той же стадии обогащения урана, рабочее давление опасно возрастет. Иранцы и тут нашли остроумный выход: срабатывает датчик, открывается выпускной клапан, и давление сбрасывается.

Однако эта система сделала центрифуги Натанза уязвимыми к "кибератаке, настолько нестандартной, что закрадывается подозрение - может, ее создатели были под кайфом?" - пишет автор.

Каскадная система защиты в Натанзе опирается на промышленные контроллеры Siemens S7-417. Stuxnet был разработан, чтобы заразить эти контроллеры и взять их под полный контроль непредвиденным способом.

Компьютер, зараженный первым вариантом Stuxnet, отрывается от физической реальности и "видит" только то, что ему внушает червь.

Первым делом этот вариант Stuxnet заметает следы: записывает показания датчиков в течение 21 секунды. "Затем, пока длится атака, он проигрывает эти 21 секунду снова и снова, в виде закольцованного ролика. В машинном зале кажется, что все нормально, - как людям-операторам, так и подпрограммам, которые должны подавать аварийные сигналы", - разъясняет специалист.

После этого Stuxnet начинает строить козни. Он закрывает изоляционные клапаны на первых двух и последних двух стадиях обогащения урана. Давление растет и в конечном итоге может повлечь за собой переход гексафторида урана в твердое состояние, что непоправимо испортит центрифуги. Впрочем, автор считает, что при атаках на объект в Натанзе старались избежать повальных разрушений, чтобы вторжение осталось незамеченным.

На взгляд автора, был также риск, что атака вообще не удастся: код подпрограммы настолько сложный, что даже малейшая смена конфигурации влечет за собой нейтрализацию или сбой.

"Неизвестно, каковы были бы результаты атаки через рост давления. В любом случае, в 2009-м атакующие решили попробовать что-нибудь другое", - пишет автор.

По словам Ленгнера, новый вариант Stuxnet чрезвычайно отличался от старого: более простой и не столь малозаметный, он атаковал другую систему - ту, которая управляет скоростью роторов в центрифугах.

Распространялся он тоже по-другому. Первую версию должен был целенаправленно распространять агент атакующих - например, на флешке с зараженным файлом конфигурации контроллеров Siemens.

"Новая версия воспроизводила себя сама, распространяясь по доверенным сетям и USB-флешкам по самым разным компьютерам, а не только по тем, где был установлен софт Siemens с конфигурацией контроллеров. Можно предположить, что атакующие утратили возможность доставить вредоносную программу в пункт назначения, напрямую заражая системы авторизованных сотрудников, либо что система моторов центрифуг была установлена и конфигурирована другими сторонами, к которым был невозможен прямой доступ", - говорится в статье.

Вдобавок Stuxnet внезапно был оснащен комплексом слабых мест в программах Microsoft Windows и крадеными сертификатами, позволяющими "червю" выдавать себя за легальный драйвер.

Автор заключает, что переделкой Stuxnet началась некая "новая организация". "Напротив, разработку атаки через рост давления можно воспринять как труды "инсайдеров" - группы высококлассных специалистов по безопасности промышленных контрольных систем и кодировщиков, которые существовали в некой "экзотической экосистеме", очень далекой от стандартной ИТ-безопасности", - говорится в статье. Атаки через превышение скорости указывают, что "круг стал шире и обрел новый центр тяжести", по образному выражению автора. Ленгнер заключает: если Stuxnet создан в Америке, то центр тяжести - штаб-квартира АНБ.

Как бы то ни было, новый вариант Stuxnet гораздо проще опознавался как вредоносная программа. Атаковал он так, что на комбинате должны были почуять неладное просто по шуму центрифуг. Значит, создатели второго варианта смирились с риском, что атака будет замечена.

Автор предполагает: "У атакующих была возможность "сломать шею" жертве, но они предпочли периодически душить ее, вновь и вновь. Stuxnet - "малопроизводительное" оружие, главная задача которого - сократить срок службы иранских центрифуг и создать впечатление, что с замысловатыми контрольными системами у иранцев происходит что-то непостижимое".

Ленгнер ищет мотивы этой тактики. Однократное уничтожение оборудования не помешало бы стратегии Ирана (имелись резервные центрифуги). Но Stuxnet, по подсчетам автора, отбросил иранскую ядерную программу на два года назад. Вдобавок слабые атаки Stuxnet крайне озадачивали иранских инженеров. Возможно, в итоге иранцы отчаялись бы и сочли, что не смогут наладить центрифуги и защитную систему.

По легендам, летом 2010 года Stuxnet "ускользнул" с комбината в Натанзе. Автор в это не верит: "Stuxnet распространялся лишь с компьютера на компьютер, которые были подключены к одной локальной сети или обменивались файлами через USB-флешки".

У автора своя версия: "Скорее всего, подрядчики, работавшие в Натанзе, пришли со своими лэптопами, зараженными Stuxnet, к своим второстепенным клиентам и подключили лэптопы к "локальным" сетям клиентов". Так червь в итоге распространился в другие страны и (когда люди осуществляли дистанционное обслуживание по интернету) на другие континенты.

"Поскольку Stuxnet докладывал об IP-адресах и хост-именах зараженных систем в свои центры управления, по-видимому, атакующие ожидали его распространения на "системы мирных граждан", мирились с этим и охотно желали внимательно отследить это распространение", - говорится в статье. На взгляд автора, так была добыта информация о подрядчиках из Натанза, их других клиентах и, возможно, даже секретных ядерных объектах Ирана.

Stuxnet также указал удобный путь к проникновению на хорошо защищенные объекты. "Заражались уязвимые цели, имевшие законный допуск в "эпицентр", - подрядчики", - пишет автор. Рано или поздно подрядчики нечаянно принесли на комбинат зараженные мобильные устройства и флешки.

Автор предостерегает: практически все промышленные и военные объекты зависимы от подрядчиков, многие из которых попросту не умеют соблюдать меры безопасности.

И еще один тревожный вывод: хотя Stuxnet явно был создан неким государством, не исключено, что будущие атаки с использованием подобных вредоносных программ станут наноситься "частными" игроками". Велика вероятность, что такие игроки нанесут удары по гражданской инфраструктуре: "эти системы не только более доступны, но и стандартизованы".

Автор возвращается к применению двух вариантов Stuxnet в Иране: "Это была скорее кампания, чем атака, и, похоже, ее приоритеты сильно изменились во время ее осуществления".

По мнению автора, операция "Олимпийские игры" (как он ее называет) началась как эксперимент. Она показала, что кибероружие эффективно, да к тому же не создает риска для военных, наносит меньший побочный ущерб, может применяться исподтишка и очень дешево. "Содержимое этого ящика Пандоры имеет последствия далеко за пределами Ирана: на его фоне "аналоговая война" кажется отсталой, жестокой, устаревшей - оставшейся в XX веке", - говорится в статье.

Обнаружение Stuxnet показало миру, на что способно кибероружие в руках сверхдержавы. "Оно также спасло Америку от унижения. Если бы другая страна - возможно, даже враждебная - первой продемонстрировала мастерство в виртуальной сфере, это был бы форменный новый "момент спутника" в истории США", - пишет автор.

Неясно, был ли Stuxnet предан огласке намеренно. "Но одно мы знаем: он изменил глобальную военную стратегию в XXI веке", - заключает Ральф Ленгнер.

 

Аббе21.11.13 07:28
С чего начинается хана? С усилий легальных игроков. Считайте. первое же, что пришло на ум.
1)Больничные бактерии. Их выводят всё более мощниыми посредством применения всё более мощных антибиотиков для очищения клиник от бактерий. Фактически в США созданы супербактерии за деньги налогоплательщиков и НИКТО не может контролировать ситуацию.
2)Относительно героина были сведения про его использование 100 лет назад в качестве лекарства от кашля.
3)Крылатые ракеты. Вопрос только времени, КОГДА они пойдут в качестве средств решения ЧАСТНЫХ проблем в реальность. Доставка наркотиков? Разборки между наркобандами? Комплектующие для ЭРЗАЦЕВ - всё более доступны.
4)Вирусы для компьютеров? Здесь уже описаны высшие и сложные формы вирусной войны. Что будет завтра? Увидим.
5)Пластиковые отходы.
6)Химические отходы.
7)Исламизм, ЛГБТ, правозащитники, гринписовцы........
Что то ещё?
Человек может называть себя разумным. Мало ли чего взбредёт ему в голову.
Вот с человечеством - вопрос остаётся открытым.
veldinc`21.11.13 11:02
"Stuxnet распространялся лишь с компьютера на компьютер, которые были подключены к одной локальной сети или обменивались файлами через USB-флешки". - т.е., для заражения необходимо иметь прямой и непосредственный доступ к конкретному компу или сети. С изолированными системами такие фокусы не проходят. Все остальное - дело контрразведки...
Hayama21.11.13 12:18
Stuxnet - офигительно успешная компания сабоатжа, которая, которая... Не нанесла никакого существенного ущерба и не остановила Иранскую ядерную программу. Видимо поэтому нужны статьи о великолепном кибер оружии США. Ато смеятся начнут.
USSR221.11.13 22:03
Аббе, как только за некоторые формы поведения введут смертную казнь, так сразу разум обозначится. И вообще, если угрозы человечеству воспринимать как угрозы и уничтожать на корню - то шанс у человечества появится.
Наркоманов - в ноль.
Извращенцев - в ноль.
Мафиози - в ноль.
Методы обсуждаются.
Metropolis22.11.13 09:53

В производстве, где я работаю, используются в системе АСУ ТП контроллеры Siemens S7. Страшно подумать, если в них могла быть заложена закладка, которая сработает в назначенное время. Несколько минут команды двигателей на майна и производству хана. Надеюсь всё же, что мои опасения необоснованы.

Ходун24.11.13 12:52

"У атакующих была возможность "сломать шею" жертве, но они предпочли периодически душить ее, вновь и вновь. Stuxnet - "малопроизводительное" оружие, главная задача которого - сократить срок службы иранских центрифуг и создать впечатление, что с замысловатыми контрольными системами у иранцев происходит что-то непостижимое".

В качестве конспирологии - вспомнились комментарии специалистов по поводу аварии на Саяно-Шушенской ГЭС: "Катастрофа на Саяно-Шушенской ГЭС, произошедшая 17 августа, является загадкой для специалистов - оборудование повело себя вопреки законам физики, заявил глава Ростехнадзора Николай Кутьин".

English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» С Новым Годом!
» Меняющееся лицо российской методики ведения контрпартизанской войны
» О книге проф. К.Куигли ТРАГЕДИЯ И НАДЕЖДА
» На смерть открытого общества
» Последние дни свободы человечества
» С Днем Победы!
» «Темные пятна» биографии Председателя ЦБ РФ
» Последний искренний сталинист

 Новостивсе статьи rss

» Китай готовит к запуску ракету нового поколения CZ-8
» Ландсбергис: Мы предупредим Китай о последствиях его действий против Литвы
» Кудрин призвал создать конкурентов Москве на базе крупных российских городов
» Кишинев обиделся на «Газпром»: Мы запомним, что к нам отнеслись не по-дружески
» В Кремле ответили на вопрос о размещении российских военных баз в Венесуэле
» Эксперты о перспективах криптовалют в РФ после доклада Банка России
» Шойгу предложил главе Минобороны Британии встретиться в Москве
» В МИД рассказали о действиях Москвы, если ответ Запада разочарует

 Репортаживсе статьи rss

» Организаторы хаоса в Казахстане: что осталось за кадром в «деле Аблязова»
» Москва избавила Америку от русских хакеров
» О чем говорили на Гайдаровском форуме
» В Турции начали опасаться казахстанского сценария
» Тимур Иванов рассказал, что возводят 30 тысяч военных строителей
» "Росгеология": Вклад геологии в экономику РФ за 5 лет - 150 трлн рублей
» Не "Северным потоком" единым. Что еще с размахом строит Россия
» Китай опасается вмешательства США в события в Казахстане

 Комментариивсе статьи rss

» Анкара привержена англосаксам и подрывает усилия Москвы — российский тюрколог
» Между Алжиром и Марокко назревает война?
» Дочь чемпиона мира по шахматам Михаила Таля о том, почему Запад борется с Россией
» Китай украл у Америки самое ценное
» Le Figaro: «никаких признаков» — украинцы не верят в предупреждения Запада о скором российском вторжении
» «Большая игра» и кризис наследника — интервью эксперта о событиях в Казахстане
» Самый абсурдный способ выбора главы государства в истории человечества?
» США возглавили антиэкологическую гонку

 Аналитикавсе статьи rss

» Долговая петля затягивается: 2022 год готов принести череду государственных дефолтов
» Чем Иран будет соблазнять Россию
» Кто и как протестует в Казахстане? Контекст и социальные противоречия
» Скупают всё: китайцы разогнали цены на продовольствие
» МИР ЧЕРЕЗ ТРИДЦАТЬ ЛЕТ ПОСЛЕ СССР
» Вызов и момент истины: AUKUS посягает на интересы Индии и толкает ее к России и Китаю
» Минобороны: НАТО готовится к крупномасштабному вооруженному конфликту с РФ
» России незачем морозить Европу — она справляется сама
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2022 Inca Group "War and Peace"