Промышленные хакерские атаки: кибероружие наносит удар

Повсеместное распространение информационных технологий дает большой простор злоумышленникам.
Хакерские атаки, совершенствуясь, превращаются в настоящее кибероружие.
Текущий год ознаменовался двумя крупными промышленными нападениями - им подверглись Google
и атомная электростанция в Иране
.
Троянские программы, вирусы и черви - не новость для современного мира. Однако, если ущерб, наносимый ими отдельными пользователям или организациям сравнительно невелик, атака на крупное предприятие может привести к огромным убытками или даже промышленной катастрофе. ИТ-системы таких предприятий защищены особенно тщательно и обычные вредоносные программы не представляют для них большой опасности. Но и здесь можно найти лазейки. По мере выявления новых "дыр" производители выпускают заплатки и обновления, но есть еще не выявленные уязвимости. Такие "скрытые" дыры, еще не известные производителям, но уже обнаруженные хакерами, называются уязвимостями нулевого дня. Вирусы для атак на промышленные объекты как правило разрабатываются с учетом их особенностей.

Первая промышленная хакерская атака
Впервые хакерская атака в промышленных масштабах была совершена в СССР еще в 70-х годах. В то время напряженной обстановки между Союзом и Америкой шла непрерывная гонка технологий. Обе страны пытались выкрасть как можно больше тайн друг у друга, прибегая к самым разнообразным способам. В этот период СССР обратился к США с предложением продать им ПО по управлению системами на газопроводе. Получив отказ, советский союз принял решение выкрасть программу. О тайных планах русских стало известно в ЦРУ и была подготовлена копия программы с небольшим изменением. После установки украденного обеспечения на советском газопроводе все функционировало исправно.

Взрыв на газопроводе Уренгой — Сургут — Челябинск стал результатом первой известной промышленной хакерской атаки
Но через некоторое время под видом системного теста стал запускаться дописанный в ЦРУ код – троян. Его задача заключалась в постепенном повышении давления в трубах. В результате в 1982 году американские разведывательные спутники стали свидетелями взрыва мощностью почти в 3 килотонны в глуши Сибири. К счастью, взрыв не унес человеческих жизней, но последствия могли быть гораздо серьезнее.

Нападение на Google
В этом году официально известно два случая промышленных атак. Первый состоялся в начале года. Под удар попали крупные компании США, среди которых: Google, Yahoo, Symantec, Adobe и другие. В два бинарных файла и часть файлового пути вируса входило слово aurora, за что атаку так и назвали – "Аврора". "Аврора" относится к классу гибко модифицированных атак, известных как продвинутые постоянные угрозы ("advanced persistent threats", APT). Они с ювелирной точностью доставляют свой опасный груз и когда раскрываются, становится слишком поздно. Случай в январе показал, что большинство компаний крайне уязвимы к подобным атакам направленного типа и являются очень прибыльными целями, так как обладают интеллектуальной собственностью.

Время нападения было выбрано не случайно, в это время значительная часть сотрудников отдыхала на рождественских каникулах, что позволило скрыть следы проникновения. Для проникновения использовалась уязвимость нулевого дня в Microsoft Internet Explorer совместно с другими уязвимостими для получения доступа к системам компании. Впоследствии слабые места были изучены и устранены. По заключению Google, главной целью хакеров был взлом аккаунтов Gmail китайских правозащитников, но сходным атакам подверглись также не менее 20 других крупных компаний, в том числе финансовые, медийные и химические.

Червь Stuxnet в Иране
Вторая атака произошла летом текущего года. Целью злоумышленников была АЭС в Иране. Системы станции поразил червь Win32/Stuxnet. Впервые червь был обнаружен в июле 2010 года, после чего началось его изучение. Вирус был узкоспециализирован и предназначался для внедрения вредоносного функционала в промышленные информационные системы класса SCADA. Ввиду того что станцию не запустили в августе, как планировалось, а червь был найден, серьезных последствий удалось избежать.

Червь оснащен уникальной системой заражения. Для изменения процесса работы систем программируемых логических контроллеров (ПЛК), Stuxnet перехватывает запросы чтения/записи. Перехватив и определив цель, червь увеличивает размер блока запросов и дописывает в его начало свой код. Сам же взломщик прячется на компьютере под управлением Windows. Код, отправляемый в систему ПЛК записывается в специальном формате МС7, в то же время механизм маскировки для Windows написан на C/C++. Таким образом, вирус способен подчинить себе управление основными промышленными процессами и задать последовательность команд, которые в свою очередь могут привести всю комплексную систему к режиму самоуничтожения. Для проникновения он использует неизвестные раннее и малоизученные уязвимости. Также интересен тот факт, что Stuxnet имеет механизм распространения через флеш-накопители. Но самое поразительное – система маскировки червя. Для этого он использует реальные подписи, что позволяло ему маскироваться под драйвер, и скрываться от антивирусных систем.

Целью июльской атаки хакеров была АЭС в Иране.

"Мы впервые столкнулись со столь хорошо спроектированной и продуманной до мелочей вредоносной программой, – говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. – Каждый нюанс работы Win32/Stuxnet преследует определенную цель. Червь располагает механизмами контроля количества заражений и самоликвидации. Атаки с использованием столь сложного ПО готовятся очень длительное время. Без всякого сомнения, Win32/Stuxnet имеет целевую направленность".

В коде червя отсутствуют черты, характерные для одного разработчика, вкупе со сложностью кода это приводит к выводу, что над вредоносной программой работало несколько программистов. Анализируя природу Stuxnet, международные эксперты в сфере безопасности интернета, приходят к мнению, что за теми, кто запустил в интернет этого "червя", стоит целое государство, пока не называемое. Только техническая реализация достигает суммы превышающей 50000 евро. Истинные мотивы и цели создания Win32/Stuxnet могут быть раскрыты только самими авторами этой атаки, но, судя по всему, их так никто и не поймает. Кстати, американский эксперт Скотт Борг из околоправительственной организации US Cyber Consequences Unit как раз год назад предлагал заражать иранские ядерные объекты через USB–драйвы.

Червь не обошел стороной и другие страны. Виленд Симон (Wieland Simon) - представитель компании Siemens по работе с прессой, сообщает, что почти треть зафиксированных случаев заражения промышленных объектов червем Stuxnet имеют головной офис в Германии. Всего в компанию Siemens поступило 15 сообщений о заражении.

Но не стоит забывать, что это не полный список атак. Вся информация подобного рода тщательно скрывается, ввиду того что за ними могут стоять влиятельные правительственные организации. К тому же разглашение наносит урон еще и имиджу организаций.

Кибероружие нашего времени
Если раньше конфликты между странами решались огнестрельным оружием, то благодаря кибероружию, можно будет обойтись без патронов. Информационные системы сейчас контролируют практически все, и вывод этих систем из строя может привести к катастрофическим последствиям. Кибероружие наподобие Stuxnet и "Авроры" способно снять оборону противника или выкрасть информацию практически незаметно для него и при этом не оставить следов проникновения. Свою работоспособность черви уже продемонстрировали. При этом они, конечно, не распространяются массово в сети, что что не позволяет изучить их заранее и подготовиться к их нападению. Так что антивирусы пригодные для вредоносного ПО широкого спектра действия, бессильны против кибероружия.

Под ударом могут оказаться все страны в том числе и Россия. В случае нападения мы будем бессильны из-за доступности используемых ОС. "Меня, как эксперта, пугает использование операционных систем от Microsoft в различных организациях, в том числе в сетях, которые обрабатывают достаточно критичную информацию. И несмотря на дополнительные исследования и сертификации программных платформ MS со стороны государства, уязвимостей в них меньше от этого не становится", - комментирует Александр Матросов. Рынок вредоносного ПО начинает менять ориентацию с вирусов широкого спектра действия, на узконаправленных, но более серьезных вредителей, которые способны не только скрытно выкрасть информацию, но и привести к разрушениям.

Виталий Краснов

Обновлено: 11.03.2015