Stuxnet: злобный червь, открытый белорусами

Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, - излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям "Компьютерных вестей" рассказал начальник отдела разработки антивирусного ядра белорусской компании "Вирусблокада" Сергей Уласень.

- Правда ли, что Вы как раз тот человек, который и обнаружил вирус?

- Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и "говорящая голова" в данном случае.

- Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?

- В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.

Stuxnet - троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей "нулевого дня". По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.

- Чем же этот троян так всех впечатлил, что о нем столько пишут?

- Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.

- И как вы поступили?

- После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.

Уязвимость "нулевого дня" - уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.

- Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?

- С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии - что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.

- А появились ли еще какие-то черви, использующие те же уязвимости?

- Появились. Например, Sality - достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.

- Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?

- Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.

ОДО "ВирусБлокАда" является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО "ВирусБлокАда" является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.

Беседовал Вадим СТАНКЕВИЧ

Версия для печатиВерсия для печати

Номер: 

39 за 2010 год

Рубрика: 

Эксклюзивное интервью
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
>ты пытаешься вирус за 500 000$ просто списать в корзину

Конкуренцию сбиваю. Вот, сработал вирь отматывать приборы учёта, беру в долю. ОК?

(Мля, не дай Бог, какой-нито чинуша иль журнализд примет за чистую монету..)

Аватар пользователя mike
Stuxnet и взаправду впервые был открыт белорусами: "Stuxnet was discovered in July 2010, when a Belarus-based security company discovered the worm on computers belonging to an Iranian client"; я заблуждался, аки Фома неверующий. Но фишка в том что, как сообщается в http://imperiya.by/news.html?id=54935, "Siemens Systems признался, что за распространением компьютерного червя ...стоят его сотрудники. ...Это было сделано «неумышленно»".

Нет, мля, УМЫШЛЕННО! Причин хватает. Главная -- отучить пиратить. Думаю, что Stuxnet -- продукт работы др. малвари, зашитой разработчиками в контроллеры и заражающей скаду, если обнаруживается нелицензионность. Есть такой приёмчик. Далее вир переносится через флэшку при копировании скады.

Аватар пользователя Logic
"Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда."

Есть производства с центрифугами, которые вращаются непрерывно годами(!) и рубильник для них - это означает полный П...Ц! имхо

Аватар пользователя mike
>рубильник для них - это означает полный П...Ц!

Спи спокойно, такие объекты имеют АВР.

Аватар пользователя Logicby
mike (old student) > Спи спокойно, такие объекты имеют АВР.

Нет, этим центрифугам АВР не поможет. Эти центрифуги то и не падают благодаря постоянному управлению.

Аватар пользователя mike
>...АВР не поможет. Эти центрифуги то и не падают...

АВР = автоматический ввод резерва. Для п-ца нужен доступ к рубильникам независимых фидеров. Гугли исчо.

Аватар пользователя Logicby
mike (old student) > Для п-ца нужен доступ к рубильникам независимых фидеров

Идея в том, что имей АВР или рубильник - всё равно против Stuxnet это не проканает.

Аватар пользователя mike
>Идея в том, что...

Да нет у тебя никакой идеи. Идея была у парней из SS, и у них это получилось.

Аватар пользователя Logicby
mike (old student) >Идея была у парней из SS, и у них это получилось.

У парней из SS? Слабо верится. Ибо это им не на пользу. имхо

Аватар пользователя mike
>это им не на пользу. имхо

Твоё "имхо" им пофиг: "червь" распространялся через пиратские копии; теперь будут цивилизованно покупать; so, "на пользу".

Страницы