Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, - излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям "Компьютерных вестей" рассказал начальник отдела разработки антивирусного ядра белорусской компании "Вирусблокада" Сергей Уласень.
- Правда ли, что Вы как раз тот человек, который и обнаружил вирус?
- Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и "говорящая голова" в данном случае.
- Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?
- В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.
Stuxnet - троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей "нулевого дня". По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.
- Чем же этот троян так всех впечатлил, что о нем столько пишут?
- Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.
- И как вы поступили?
- После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.
Уязвимость "нулевого дня" - уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.
- Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?
- С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии - что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.
- А появились ли еще какие-то черви, использующие те же уязвимости?
- Появились. Например, Sality - достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.
- Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?
- Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.
ОДО "ВирусБлокАда" является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО "ВирусБлокАда" является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.
Беседовал Вадим СТАНКЕВИЧ
Комментарии
Страницы
Конкуренцию сбиваю. Вот, сработал вирь отматывать приборы учёта, беру в долю. ОК?
(Мля, не дай Бог, какой-нито чинуша иль журнализд примет за чистую монету..)
Нет, мля, УМЫШЛЕННО! Причин хватает. Главная -- отучить пиратить. Думаю, что Stuxnet -- продукт работы др. малвари, зашитой разработчиками в контроллеры и заражающей скаду, если обнаруживается нелицензионность. Есть такой приёмчик. Далее вир переносится через флэшку при копировании скады.
Есть производства с центрифугами, которые вращаются непрерывно годами(!) и рубильник для них - это означает полный П...Ц! имхо
Спи спокойно, такие объекты имеют АВР.
Нет, этим центрифугам АВР не поможет. Эти центрифуги то и не падают благодаря постоянному управлению.
АВР = автоматический ввод резерва. Для п-ца нужен доступ к рубильникам независимых фидеров. Гугли исчо.
Идея в том, что имей АВР или рубильник - всё равно против Stuxnet это не проканает.
Да нет у тебя никакой идеи. Идея была у парней из SS, и у них это получилось.
У парней из SS? Слабо верится. Ибо это им не на пользу. имхо
Твоё "имхо" им пофиг: "червь" распространялся через пиратские копии; теперь будут цивилизованно покупать; so, "на пользу".
Страницы