Stuxnet: злобный червь, открытый белорусами

Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, - излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям "Компьютерных вестей" рассказал начальник отдела разработки антивирусного ядра белорусской компании "Вирусблокада" Сергей Уласень.

- Правда ли, что Вы как раз тот человек, который и обнаружил вирус?

- Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и "говорящая голова" в данном случае.

- Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?

- В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.

Stuxnet - троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей "нулевого дня". По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.

- Чем же этот троян так всех впечатлил, что о нем столько пишут?

- Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.

- И как вы поступили?

- После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.

Уязвимость "нулевого дня" - уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.

- Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?

- С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии - что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.

- А появились ли еще какие-то черви, использующие те же уязвимости?

- Появились. Например, Sality - достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.

- Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?

- Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.

ОДО "ВирусБлокАда" является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО "ВирусБлокАда" является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.

Беседовал Вадим СТАНКЕВИЧ

Версия для печатиВерсия для печати

Номер: 

39 за 2010 год

Рубрика: 

Эксклюзивное интервью
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
>В Иране "сломалось" туевая куча ЦЕНТРИФУГ!

Точно! Причём задолго до появления Stuxnet. :)

>Они чем управляются?

Аппаратной автоматикой.

>Вот где собака...

В головах у тех, кто флэшками ставит пиратские WinCC.

Аватар пользователя Logicby
mike (old student) >

Точно! Причём задолго до появления Stuxnet. :)

За долго до ОБЪЯВЛЕНИЯ(!) о появлении. Разницу просекаешь?

>Аппаратной автоматикой.

Которая на чём то ПРОШИВАТСЯ! и имеет ЦЕТР управления, ПО которого на чём то работает!

>кто флэшками ставит пиратские WinCC.

А кто этому "объекту с центрифугами" позволит купить НЕ пиратские WinCC?!

Яволь?

Аватар пользователя mike
>За долго до ОБЪЯВЛЕНИЯ(!) о появлении. Разницу просекаешь?

Задолго до ОБЪЯВЛЕНИЯ(!) о пРоявлении. Разницу просекаешь?

>на чём то ПРОШИВАТСЯ!

Логик, я написал десятки боевых прог для контроллеров, и поверь, что зашитая в ПЗУ прога не портиццо виндовирем (шёпотом): системы команд разные. :)

Аватар пользователя Logicby
mike (old student) > зашитая в ПЗУ прога не портиццо виндовирем (шёпотом): системы команд разные. :)

mike - Stuxnet - это тока с виду виндовирь - винду он использует как среду доставки, доставки НЕ виндового кода.

Яволь?

Аватар пользователя mike
>винду он использует как среду доставки, доставки НЕ виндового кода

И пишет в ПЗУ, давно прошитое не в Иране? Ржунимагу!

Аватар пользователя Logicby
mike (old student) > И пишет в ПЗУ, давно прошитое не в Иране? Ржунимагу!

Да верно, пишет в ПЗУ во время его прошивки. Ну уж в Иране ли или на Руси ... это уж как пойдёт. имхо

Аватар пользователя mike
>в Иране ли или на Руси ... это уж как пойдёт...

...фантазия.

Аватар пользователя Logic
mike (old student) > ...фантазия.

Бают на эту фантазию(вирус) ушло около 500 000$.

Аватар пользователя mike
>на эту фантазию(вирус) ушло около 500 000$.

LOL! Не юли. Я о твоей беззатратной фантазии, которая "это уж как пойдёт".

Аватар пользователя Logic
mike (old student) >Я о твоей беззатратной фантазии, которая "это уж как пойдёт".

А я о том, как ты пытаешься вирус за 500 000$ просто списать в корзину.

Страницы