martinis09 (martinis09) wrote,
martinis09
martinis09

Categories:

США и Израиль применили кибернетическое оружие

США и Израиль применили кибернетическое оружие

секреты крадут и осуществляют диверсии с помощью программ, которые сами и продают

 

 

 

«Иной преступник полжизни отдаст за бумажку на твоем или моем столе…»

капитан Жеглов, к/ф"Место встречи изменить нельзя" 

 

Компьютерный червь Stuxnet, запущенный на прошлой неделе в локальную сеть Бушерской атомной станции в Иране, по мнению специалистов был создан и использован не отдельным хакером, а мощной государственной структурой, способной привлечь большой коллектив программистов. Сложность кодирования, использованного при написании вируса, число примененных и сведенных воедино разных приемов одновременного проникновения через все известные «дыры» операционной системы Windows убеждают специалистов по компьютерной безопасности, что создать Stuxnet было под силу не просто государству, а крупной стране, или даже группе стран, имеющих в своем распоряжении серьезные разведданные.

 

 

Вирус использует четыре различные неизвестные ране уязвимости «нулевого дня» (zero-day), а также два действительных сертификата Realtek и JMicron, которые позволили Stuxnet долгое время избегать детектирования. Он попадал в закрытые сети через зараженные флешки и начинает действовать не сразу, а через определенное время, появляясь одновременно на многих зараженных компьютерах, уничтожая всю систему управления объектами. Конечной целью червя был доступ к системам предприятий Simatic WinCC SCADA, которые используются для мониторинга и управления промышленными, инфраструктурными и сервисными процессами. Подобные системы широко применяются в нефтепроводах, электростанциях, крупных системах связи, аэропортах, судах и даже на военных объектах по всему миру.

 

Иран, где этот вирус заразил больше 30 000 компьютеров, стал жертвой нового типа войны – с применением кибероружия. Власти страны уже заявили, что компьютерная атака с помощью червя Stuxnet была организована спецслужбами США и Израиля для нарушения работы объектов национальной атомной энергетики.

 

Компания Siemens, чье оборудование в Бушере оказалось мишенью вируса, утверждает, что ее специалистам уже известно о 15 случаях проникновения вирусов в промышленные контрольные системы, в основном в Германии. Однако, в отличие от «иранской атаки», не было случаев, когда бы воздействию подвергался производственный процесс или были удавшиеся попытки срыва работы предприятий. При этом специалисты Siemens считают, что по глобальным стандартам безопасности программное обеспечение Microsoft «вообще не должно применяться для управления критически важными процессами в производстве из-за прорех в его операционной системе».

 

Корпорация Microsoft подтвердила, что данный червь активно заражает компьютеры под ОС Windows, работающие в составе крупномасштабных систем управления промышленными предприятиями.  Такого рода системы управления часто обозначают акронимом SCADA - англоязычным сокращением от словосочетания SupervisoryControl And Data Dcquisition, т.е. «диспетчерское управление и сбор данных».

 

Всего в операционной системе Windows выявлено 6 «дыр» в системе безопасности, причем многие эксперты считают, что компанией они оставлены осознанно. Эти «дыры» позволяют даже обычным хакерам снимать по Интернету информацию с жесткого диска практически любого компьютера. Правительство России лишь недавно наконец-то приняло решение о переводе наиболее важных организаций на собственный клон операционной системы Unix без таких «дыр». Лучше поздно, чем никогда.

 

Специалисты назвали инцидент началом войны с применением кибероружия. Впрочем, момент его применения не случаен  - осталось лишь несколько дней, как в США официально с 1 октября тысячи американских военных хакеров и шпионов приступят к боевым действиям в киберпространстве. В полном соответствии с концепцией «сетецентричной войны», в самом широком смысле этого слова.

 

Современные средства связи – не только удобство, но еще и способ получать информацию или дистанционно управлять объектами, при этом съем информации может происходить за тысячи километров. Между тем, нынешние российские руководители обожают играться с компьютерами. Они пишут и отправляют по сети записи в блогах, отправляют и принимают почту. Да и жизнь страны, которой им выпало руководить, российские лидеры в основном воспринимают через экран своего монитора. При этом они таскают ноутбуки и на закрытые совещания.

 

Снятие информации любого офисного оборудования не представляет особого труда.  Современные цифровые технологии вкупе с Интернетом позволяют превратить почти любое офисное устройство в орудие сбора информации. Возможности даже обыкновенного офисного цифрового телефона полностью известны лишь самим разработчикам его программного обеспечения. Любой Siemens, Panasonic или (тем более) ATT, может быть запрограммирован так, что в определенное время будет направлять по нужному адресу отчеты о номерах, набранных его хозяином, длительности разговоров, или даже их дублировать. Именно такие телефоны стоят у нас в большинстве федеральных и региональных органах власти и у их руководства дома.

 

Еще более интересны мобильные телефоны, которые могут служить как мощный и постоянно работающий микрофон – даже если выключен. При этом телефоны дают возможность узнать, где находятся их владельцы, с погрешностью в 50–100 м. Несколько лет назад швейцарская компания Swisscom записала перемещения 1 млн мобильных телефонов своих клиентов за полгода. При этом было точно известно, кто с кем встречался, и сколько времени длилась встреча, поскольку телефонная трубка регулярно посылает в сеть сигнал доступности. Передавать что-либо его лишает возможности лишь полное отсоединение батареи.

 

Цена информации, добытой таким путем, бывает невероятно высокой. В 1995 году Саудовская Аравия проводила тендер на закупку пассажирских самолетов, общая цена контракта составляла $6 млрд. Конкурс выигрывала европейская Airbus, но так и не выиграла. В последний момент компании Boeing и McDonnell Douglas с помощью специалистов подразделения Echelon Агентства национальной безопасности США техническими средствами сняли информацию о цене, которую предложили европейцы за свои самолеты, дали чуть меньше и получили контракт.

 

В 90-е годы в Подмосковье из-за оплошности связистов на недостаточно защищенную кабельную линию правительственной связи американцы установили устройство для съема телефонных разговоров, которое в течение нескольких месяцев передавало собранную информацию на спутник-шпион, пролетавший над Москвой.

 

P.S. Что касается кибератаки на иранскую атомную станцию, то специалисты полагают, что червь Stuxnet сумел похитить все нужные секреты из компьютеров Бушера и передать их в Израиль. Сейчас иранские специалисты пытаются срочно «латать дыры» в информационных сетях ядерных объектов.

 

Любопытное дополнение. Известно, что компьютеры Бушерской атомной станции, считаные недели назад запущенной в Иране с помощью России, находились под контролем Stuxnet минимум несколько месяцев. Т.е. в тот момент, когда в Бушере с визитом была делегация Росатома, червь Stuxnet уже ждал своего часа в компьютерных сетях станции. Это вполне может означать, что ноутбуки российской делегация, побывавшей в Иране, оказались заражены новым вирусом, и он гуляет и по России. Потому что российские и иранские специалисты в ходе совместной работы обменивались информацией используя флешки.

 

Как сказал Олдос Хаксли, - здравствуй, «О, дивный новый мир»… или «Novus Ordo Seclorum»?




Update

 

Мирт и гуава: Эпизод Мирт

 

В последние дни тема Stuxnet вернулась на большие экраны новостных сайтов. Дровишек, в начавший было затухать костер, подбросили мы с Микрософтом,, почти два месяца скрывая найденное.  Впрочем, пофиксано еще не все, и хотя MS считает парочку незакрытых EoP уязвимостей всего лишь important, а не критическими — я так не считаю (потому что знаю как они работают), но рассуждать на эту тему не буду.

Поговорим лучше о главном. Кто и зачем сделал Stuxnet ?

Скажем прямо, первая же версия, родившаяся лично у меня, как только была получена карта заражений и стал понятен принцип работы червя — так и осталась единственной и все последующие "находки" и сторонние факты — только добавляли кирпичиков именно к ней, а не к каким-то другим версиям. Но, чтобы не раздувать истерии (а то и международных скандалов) — лучше было помолчать.

Однако, постепенно, когда все больше и больше фактов стало проникать в СМИ — тем все чаще и чаще эта же версия стала муссироваться уже и там. Сначала все тише, но в последние дни пару дней она стала основной. Правда, пока еще не озвучена массово, но думаю вот-вот и это произойдет.

Последний гвоздик забил вчера Ральф Лангнер,
рассказавший о том, что конкретно делает Stuxnet с Siemens PLC. Кто не читал — читайте, но вкратце вывод прост — Stuxnet является оружием промышленного саботажа (а не шпионажа) и явно был создан для атаки на одну единственную конкретную цель. Да, со всеми своими наворотами и зеродеями — ради одного "снайперского" выстрела.

Который, вероятно, достиг цели.

Сегодня еще один исследователь
собрал все факты в кучу и вывалил полученные мысли. Что же, это действительно на все 100% то о чем думал все это время и я. Поэтому ограничусь все лишь переводом ключевых мест идеи.

Хотя, если отвечать на вопрос "кто" — Моссад. "Зачем" — Бушерская атомная электростанция в Иране.

- Иран является одним из наиболее пострадавших от червя регионов. Судя по динамике данных о заражениях — примерно в мае-июне Иран был лидером по числу заражений, потом больше заражений стало в Индии, но понятно почему — просто там больше компьютеров.
Какое производство в Иране, является самой привлекательной военной целью ? Бушерская атомная электростанция.

- Стацию в Бушере начали строить еще в 1970-е. Строительство вела компания Сименс. В 1979 году Сименс прекратил работы в этой стране (из-за революции). Впоследствии Сименс вернулся в Иран и это был один из его крупнейших рынков.
В январе этого года Сименс снова обьявил о прекращении сотрудничества с Ираном. Используется ли на Бушерской АЭС софт Siemens для управления процессами — официально неизвестно (см. P.S). Однако, этим летом Сименс попался на поставке комплектующих в Бушер.

- Мысли
об участии в этой истории российской компании Атомстройэкспорт оставим за рамками. Отметим только что у компании есть проекты в Индии (тоже еще одной из стран наиболее пострадавших от червя), а еще их сайт содержит iframe на эксплоиты, зачищенные пару лет назад.

- Израиль является одной из наиболее заинтересованных в _уничтожении_ Бушерской АЭС стран. Как известно, Иран подозревают в том, что на этой станции, под видом ядерного топлива, иранцы будут клепать запасы для производства собственного ядерного оружия. Которое, конечно они тут же нацелят на Израиль.


Израиль входит в число стран обладающих серьезнейшими специалистами по айти-безопасности, в том числе использованию таких технологий и для атак и для шпионажа.
Все было сказано еще год назад.

 

Asked to speculate about how Israel might target Iran, Borg said malware -- a commonly used abbreviation for "malicious software" -- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians.


"A contaminated USB stick would be enough," Borg said.


- Самая клевая часть теории, которую я не знал, но просто идеально легла в тему. В книге
Эштар в Библии рассказывается о том, как Эштар (бывшая женой персидского царя) сообщает Царю о заговоре против евреев. Царь в ответ разрешает евреям защитить себя и убить своих врагов.
Имя Эштар данное ей при рождении — Hadassah, что
переводится как "Мирт".

Наличие в коде Stuxnet строчки "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" привело к тому, что весь цикл публикаций о нем я и назвал "Мирт и Гуава". Гуава — растение из семейства миртовых.
Растение — a plant. Электростанция — a plant.

- Бушерская АЭС должна была начать работу в августе этого года. 21 августа началась загрузка топлива, однако тут же резко застопорилась. Фактически, ее запуск был отложен. По официальной причине — "из-за сильной жары". Однако, температура в Иране в это время была абсолютно в пределах климатических норм. Задержка в запуске станции составила три недели.

Загрузка топлива в реактор займет месяца три. После этого он начнет работать.


 

P.S. Теперь мы знаем, что в Бушере стоит WinCC

 

источник  (спасибо alemv)


Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 33 comments