На волне интереса к кибервойнам новостные сайты запестрели броскими заголовками о страшных кибератаках, не забывая упомянуть такие примеры, как кибератака на Эстонию в 2007 и Грузию в 2008. Каковы последствия этих атак, при этом почему-то умалчивается. Зато все помнят о нехорошей стране России, где злобные хакеры сидят в шапках-ушанках в заснеженных снегах Сибири и с помощью микрокалькулятора MK-54 проводят кибератаки на Пентагон в промежутках между распитием водки стаканами. Это еще один пример успешной информационной операции, только жертвы тут не Эстония и Грузия.
Эксперты в области информационной безопасности отмечают, что, в основном, весь контент, который касается ИБ, берется из зарубежных источников. То есть у нас толковых писателей раз-два и обчелся. Почитав месяц-другой новости и сравнив их с первоисточниками на английском (которые, как правило, не указываются), можно убедится, насколько искажается общий фон новости из-за незначительных изменений в угоду «сенсационности». Ну конечно, журналисты же любят броские заголовки и слова кибервойна, киберугроза и кибероружие. Не отстают от журналистов и антивирусные компании. Особенно этим отличается компания Kaspersky Lab, в статьях которой на сайте securelist.com подозрительно часто мелькают слова Иран и Ближний Восток.
Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:
- июль 2010 — Stuxnet (VBA);
- октябрь 2011 — Duqu (Kaspersky);
- март 2012 — Wiper (Kaspersky обнаружил следы);
- апрель 2012 — Flame (Kaspersky);
- август 2012 — Gauss (Kaspersky);
- октябрь 2012 — MiniFlame (Kaspersky).
В добавок к ним несколько образцов поменьше калибром:
Обнаружение Stuxnet имело несколько последствий:
- продемонстрирован реальный образец «наступательного» кибероружия для саботажа, способный воздействовать на физические процессы, одна из версий (не доказанная) — нарушение функционирования завода по обогащению урана в Натанзе (Иран);
- внимание специалистов по информационной безопасности устремилось на системы SCADA, как показывают многочисленные отчеты — в настоящее время для SCADA уровень информационной безопасности не сильно отличается от того, что был для обычных компьютеров в конце 90 годов (то есть почти никакой);
- обозначился новый тренд – использование цифровых сертификатов (как правило, украденных) для подписи вредоносного программного обеспечения, этот трюк в большинстве случаев позволяет ВПО обходить антивирусную защиту в процессе своей работы на компьютере.
Stuxnet имеет следующие признаки, позволяющие отнести его к кибероружию:
- анализ работы показал, что его модули написаны с использованием нескольких сред разработки и языков программирования, что свидетельствует о тщательном проектировании и работе группы программистов различной направленности;
- модуль, нарушающий штатное функционирование системы SCADA Siemens WinCC;
- разработка такого уровня предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка нескольких zero-day уязвимостей, доступ к системе SCADA Siemens WinCC.
Интересная ситуация складывается с количеством заражений Stuxnet, берем четыре источника:
- Eset, июль 2010, США (57,71%), Иран (30,00%), Россия (4,09%);
- Kaspersky, июль 2010, Индия (18307), Индонезия (34138), Иран (14171), Россия (773);
- Kaspersky, сентябрь 2010, Индия (86258), Индонезия (14010), Иран (11952), Россия (7904), суммарно около 180 тысяч;
- Eset (Indonesia), сентябрь 2010, Иран (52,2%), Индонезия (17,4%), Индия (11,3%), Россия (2,1%).
При поиске в Google видно, что некоторые Интернет ресурсы содержат первоначальные варианты статьи от Eset, где Иран указан в качестве основной пострадавшей страны. Такая же картина в отчете Eset «Stuxnet Under the Microscope», ссылка на который почему-то пропала с сайта esetnod32.ru. Компания Symantec не отстает от компании Eset, в отчете «W32.Stuxnet Dossier» приведены следующие цифры: Иран (58,31%), Индонезия (17,83%), Индия (9,96%). Анализируя figure 5 из этого отчета, можно определить, что приблизительное количество зараженных компьютеров тоже равно 180 тысячам, как и у Kaspersky Lab, только распределение другое.
Знаете, как это называется? Заказуха! Компания Eset публикует данные, которые выгодны ей. США они показывают одно, а Ближнему востоку — другое. Естественно, такие откровения возбуждают подозрения — а ну как и в других мелочах тоже врут? Kaspesky Lab тоже молодцы, везде им кибервойна мерещится — глядишь, и расширится рынок сбыта на Ближнем Востоке.
Краткие характеристики
ВПО | Stuxnet | Duqu | Flame | Gauss |
Дата обнаружения | июль 2010 | сентябрь 2011 | май 2012 | август 2012 |
Количество заражений (по данным KSN) | около 180 тысяч | около 20 | около 700 | около 2500 |
Где больше всего было заражений | Индия, Индонезия, Иран | Иран, Индия, Судан, Вьетнам, Франция, Нидерланды, Швейцария, Украина, Австрия, Венгрия, Индонезия, Великобритания (по данным Symantec) | Иран, Израиль | Ливан, Израиль, Палестина |
Первоначальный вектор заражения | неизвестен (возможно, USB Flash); | через документ Microsoft Word, адресно отправляемый по электронной почте интересуемым людям | неизвестен, имеется метод распространения через поддельный механизм обновления Windows, подпись Microsoft позволяет инсталлироваться без предупредждений | неизвестен |
Метод запуска при загрузке компьютера | загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти | загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти | основной модуль регистрируется в качестве LSA Authentication Package | изменяет запись в реестре, отвечающую за загрузку подсистемы wbem, на себя и потом вызывает оригинальную библиотеку wbem |
Среда разработки (язык) | Visual Studio (основной модуль) | Visual Studio, основной модуль написан с применением объектной надстройки над языком Си | С++, часть кода написана на интерпретируемом языке Lua | С++ |
Использование цифровой подписи | Realtek | C-Media (возможно, JMicron) | Microsoft (сертификат создан путем подбора коллизии MD5) | нет |
Отличительные особенности | основной модуль содержит несколько компонентов в виде ресурсов | контейнерная структура — матрешка | большой размер — порядка 20 Mb, использование большого количества стороннего кода | использование «полезной нагрузки», расшифровываемой только в случае наличия на компьютере заданного пути (path) |
Функционал | поиск и передача файлов, внедрение в систему SCADA Siemens WinCC | поиск и передача файлов, отслеживание нажатий на клавиатуру, сбор данных о сетевой инфраструктуре | поиск и передача файлов, запись речевой информации, использование bluetooth перехвата информации с других устройств | поиск и передача файлов, перехват паролей систем дистанционного банковского обслуживания Ближнего Востока, перехват паролей в социальных сетях, почтовых сервисах и системах мгновенного обмена сообщениями |
Цель | нарушение функционирования системы SCADA Siemens WinCC | шпионаж и подготовка данных для последующего внедрения в сетевую инфраструктуру | шпионаж | воздействие на социальную обстановку |
Сходство с другим ВПО | метод запуска похож на аналогичный в Duqu, использование в версии 2009 года модуля заражения USB аналогичного Flame | метод запуска похож на аналогичный в Stuxnet | использование модуля заражения USB аналогичного Stuxnet версии 2009 года, множество модулей c расширением OCX как у Gauss | множество модулей c расширением OCX как у Flame |
Предположительный год разработки | 2009 | 2008 | 2006 | 2011 |
Специалисты Dell SecureWorks считают, что сходство некоторых элементов вредоносных программ Stuxnet и Duqu является случайностью. Аналогичные методы применяются в других образцах ВПО. Тема сравнения Stuxnet и Duqu раскрыта здесь. Со связью Gauss и Flame вообще связан курьезный случай. Сотрудники Kaspesky Lab организовали sinkhole маршрутизатор. Упрощённо, речь идёт о создании поддельных управляющих центров, которые вредоносные программы начинают воспринимать как свои. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость. На sinkhole маршрутизатор завели на него трафик с Gauss и Flame. А специалисты компании FireEye, обнаружив, что Gauss и Flame обращаются к одному и тому же серверу, сделала вывод, что за разработкой данных ВПО стоят одни и те же люди. Чуть позднее FireEye принесла публичные извинения за свою ошибку и введение в заблуждение.
Таким образом, все попытки связать между собой Stuxnet, Duqu, Flame и Gauss не очень впечатляют. К тому же было бы слишком затратно разрабатывать для разных операций новый образец ВПО, достаточно было бы изменить уже имеющееся для устранения возможности детектирования антивирусными средствами и нарастить функционал модулями. Вполне вероятно, что мы наблюдаем лишь верхушку айсберга событий, происходящих на Ближнем Востоке, и данные ВПО разработаны разными странами или организациями, не связанными между собой. На арене кибервойн можно выделить следующих ключевых игроков: США, Китай, Россия, Израиль, Южная Корея. К тому же видно, что здесь подключились и местные игроки — некоторые образцы ВПО написаны на Deplhi (Madi, Shamoon, Narilam), что является показателем недостаточно профессиональной работы, однако они с успехом выполняют свои задачи по сбору и удалению информации.
Россия, кстати, занимает особое положение. Есть сомнения, что Россия принимает участия в событиях, происходящих на ближневосточном театре военных кибердействий. Согласно анализу Trend Micro, киберпреступники стран бывшего СССР создают достаточно высокотехнологичные образцы ВПО, например Sality и Zeus. Но что, интересно, обладая такими большими возможностями, они не «лезут» в политику, они просто зарабатывают деньги на обычных пользователях сети Интернет. Что это — отсутствие духа патриотизма или «страх» перед серьезным расследованием в случае посягательства на тайны отдельно взятого государства? А может, Россия давно уже держит весь Интернет под контролем? Хотелось бы верить.
Резюме:
- антивирусные компании излишне «раздувают» тему кибервойн, манипулируя фактами. Делают они это для расширения рынков сбыта. Лучше бы рассказали, как замечательно работают все их эвристические методы, проактивные защиты и песочницы, если ВПО годами делает свою «черную» работу;
- не доверяйте новостным сайтам, там тоже украшательств много. В идеале неплохо читать статьи в оригинале, но не все же хорошо владеют английским языком, да и поиск первоисточников тоже порядком напрягает.
Но в любом случае, несмотря на все передергивания антивирусных компаний, мы с интересом будем следить за процессом развития кибероружия, хотя называть все вышеперечисленное этим громким словом было бы несколько самоуверенно.
Автор: nuklearlord