Тред №275347

Цитата: Voyager77
Появилась новая версия червя Stuxnet

Специалисты по информационной безопасности обнаружили недостающий фрагмент семейства широко известных сетевых червей Stuxnet. Таким образом эти черви способны атаковать все типы управляющих систем, используемые на современных атомных станциях и другом специализированном промышленном оборудовании.

Как ранее выявили специалисты, черви Stuxnet нацелены на промышленные заводские системы контроля класса SCADA, производимые компанией Siemens. Данные черви распространяются  либо через уязвимости в Windows, где нет последних версий патчей, либо через USB-накопители. Вредоносное ПО инфицирует только персональные компьютеры, подключенные к промышленным системам управления. Stuxnet в принципе способен перепрограммировать или саботировать системы, в которых он оказался.

Теперь специалисты сообщают об обнаружении версии  Stuxnet для частотных конвертеров, используемых как минимум в Иране и Финляндии. Исследователи установили, что новая версия Stuxnet атакует только конвертеры, работающие в диапазоне 807-1210 герц. Задача новой версии червя - изменить исходящие частоты и скорость связанных с ними механизмов на промышленных объектах. Такие операции в принципе способы привести к саботажу, но с другой стороны привести к проблемам, диагностировать которые на ранней стадии очень трудно.

Стоит пояснить, что низкогармонические частотные конвертеры работают на определенных частотах и они взаимодействуют с системами, необходимыми для обогащения урана в промышленных целях. В разных странах для работы конвертеров применяются разные частоты, например в США конвертеры работают на частоте 600 Герц (экспортная версия).

Интересный комментарий к статье:

Почему-то в новостях на секлабе (впрочем и не только) забывают упомянуть про такую мегафичу вируса, как наличие легально подписанных модулей, благодаря чему он и внедряется без помех.

А по сабжу, это урок всем идиотам, использующим проприетарную суперпупервдупусертифицированную винду для промышленных устройств, а не только для игрушек. В несертифицированном линуксе админ может сам настроить безопасность так, что все подписи под его контролем будут, а не под контролем дяди.

http://www.securityl…399575.php

Ну, и до кучи:

Эксперт: Цель червя Stuxnet - атомная электростанция в Бушере

Немецкий эксперт по киберзащите промышленных систем Ральф Лангнер выяснил, что червь Stuxnet был создан с намерением поразить конкретную цель. Лангнер предполагает, что этой целью является атомная электростанция в Бушере (Иран).

Напомним, что Stuxnet был обнаружен специалистами белорусской компании "ВирусБлокАда". Очень быстро стало понятно, что на этот раз антивирусники столкнулись с исключительно хитроумной вредоносной программой, явно созданной профессионалами.

Так, червь распространялся через флеш-накопители при помощи неизвестной ранее уязвимости Windows и, к тому же, был подписан легальной цифровой подписью известной компании (а именно, Realtek). Выяснилось также, что, несмотря на столь эффективные возможности для распространения, Stuxnet интересуется исключительно системами контроля производственными процессами (SCADA), которые работают под управлением SIMATIC WinCC корпорации Siemens.

Более пристальное изучение червя антивирусными специалистами выявило, что вредонос содержит ещё несколько эксплойтов, в том числе для так называемых уязвимостей нулевого дня. Эти уязвимости, использующиеся червём для распространения по локальным сетям, были обнаружены специалистами "Лаборатории Касперского", а также, независимо от них, экспертами Symantec. Одну из них в Microsoft уже успели устранить, выпустив соответствующую "заплатку" в начале этого месяца.

Казалось бы, все эти свойства Stuxnet свидетельствуют в пользу гипотезы о том, что речь идёт о промышленном шпионаже. Однако Лангнер недавно обнаружил в коде червя ещё один весьма примечательный фрагмент. Оказалось, что Stuxnet на самом деле интересуется не всеми подряд системами SIMATIC WinCC, а лишь той, что настроена на работу с определённым программируемым логическим контроллером (ПЛК). При обнаружении именно этого "железа" червь внедряет в него особый код.

Таким образом, очень дорогостоящий червь распространяется по многочисленным компьютерам мира с единственным намерением — найти одну конкретную цель. Очевидно, что для атакующих эта цель имеет особую важность. Очевидно и то, что с атакой долго тянуть нельзя, ведь рано или поздно червь будет обнаружен и исследован.

В связи этим Лангнер предположил, что червь уже, скорее всего, достиг цели. И высказал гипотезу, что этой целью является Бушерская АЭС в Иране. Хотя долгожданный запуск этой станции официально состоялся 21 августа, работу она так и не начала. Вскоре появились признания со стороны высокопоставленных иранских чиновников о том, что к АЭС до сих пор свозится топливо, и задержка вызвана якобы жаркими погодными условиями.

В поддержку гипотезы Лангнера говорят также несколько косвенных фактов, а именно: широкое распространение Stuxnet в Иране и близлежащих странах и игнорирование иранскими атомщиками вопросов киберзащиты. Для иллюстрации второго факта Лангнер приводит скриншот с просроченным WinCC на Бушерской АЭС, а также даёт ссылку на одну из заражённых страничек сайта российского "Атомстройэкспорта", занимавшегося постройкой реактора.

http://www.securityl…397976.php

Внедрить какой-либо код на контроллер не так то и просто.
По обычным информационным интерфейсам внедрить врядли что удастся.
Там интерфейс обычно 485\235, и протокол Profibus.
Прошивают контроллеры, а именно в этот момент можно "подменить"
напрямую подключившись к ним например с нотебука.
Операционная система контроллера как правило зашита в ПЗУ.
Возможности этих ОС очень ограничены. Это как правило ОС-9, линукс, QNX или ДОС
Все запущенные процессы легко заметны.
Сделать так, чтобы контролер вроде бы правильно работал,
и вместе с тем был "агентом запада" - немыслимая задача. Легче слетать на солнце.
Да, действительно можно организовать сбои, зависания.
Но причина этого нормальным инженером будет установлена за 1 день.

WINCC тут вовсе не причом. Это всего лишь "отображатель".
Действительный обмен с контроллером, и соответственно управление ведут
как правило специально разработанные для этого модули связи.
Как не тужься с помощью СКАДЫ чо то там передать не такое - модуль связи это просто не сумеет.
Видоизменить ВинСС так чтобы она вела себя не тем образом что нужно????
Блин, да никаким червем с эксплоитом этого не сделать.
Тут нужно километр кода, и лысиной об экран месяц биться.


Вобщем, все это похоже на наброс г..на на вентилятор.