- PVSM.RU - https://www.pvsm.ru -

Кибервойнушка — Stuxnet, Duqu, Flame, Gauss и все, все, все…

На волне интереса к кибервойнам новостные сайты запестрели броскими заголовками о страшных кибератаках, не забывая упомянуть такие примеры, как кибератака на Эстонию в 2007 и Грузию в 2008. Каковы последствия этих атак, при этом почему-то умалчивается. Зато все помнят о нехорошей стране России, где злобные хакеры сидят в шапках-ушанках в заснеженных снегах Сибири и с помощью микрокалькулятора MK-54 проводят кибератаки на Пентагон в промежутках между распитием водки стаканами. Это еще один пример успешной информационной операции, только жертвы тут не Эстония и Грузия.
Эксперты в области информационной безопасности отмечают, что, в основном, весь контент, который касается ИБ, берется из зарубежных источников. То есть у нас толковых писателей раз-два и обчелся. Почитав месяц-другой новости и сравнив их с первоисточниками на английском (которые, как правило, не указываются), можно убедится, насколько искажается общий фон новости из-за незначительных изменений в угоду «сенсационности». Ну конечно, журналисты же любят броские заголовки и слова кибервойна, киберугроза и кибероружие. Не отстают от журналистов и антивирусные компании. Особенно этим отличается компания Kaspersky Lab, в статьях которой на сайте securelist.com подозрительно часто мелькают слова Иран и Ближний Восток.
Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:

  • июль 2010 — Stuxnet [1] (VBA);
  • октябрь 2011 — Duqu [2] (Kaspersky);
  • март 2012 — Wiper (Kaspersky обнаружил следы);
  • апрель 2012 — Flame (Kaspersky);
  • август 2012 — Gauss (Kaspersky);
  • октябрь 2012 — MiniFlame (Kaspersky).

В добавок к ним несколько образцов поменьше калибром:

  • июль 2012 — Madi (Kaspersky);
  • август 2012 — Shamoon [3] (Kaspersky);
  • ноябрь 2012 — Narilam [4] (Symantec).


Обнаружение Stuxnet имело несколько последствий:

  • продемонстрирован реальный образец «наступательного» кибероружия для саботажа, способный воздействовать на физические процессы, одна из версий (не доказанная) — нарушение функционирования завода по обогащению урана в Натанзе (Иран);
  • внимание специалистов по информационной безопасности устремилось на системы SCADA, как показывают многочисленные отчеты — в настоящее время для SCADA уровень информационной безопасности не сильно отличается от того, что был для обычных компьютеров в конце 90 годов (то есть почти никакой);
  • обозначился новый тренд – использование цифровых сертификатов (как правило, украденных) для подписи вредоносного программного обеспечения, этот трюк в большинстве случаев позволяет ВПО обходить антивирусную защиту в процессе своей работы на компьютере.

Stuxnet имеет следующие признаки, позволяющие отнести его к кибероружию:

  • анализ работы показал, что его модули написаны с использованием нескольких сред разработки и языков программирования, что свидетельствует о тщательном проектировании и работе группы программистов различной направленности;
  • модуль, нарушающий штатное функционирование системы SCADA Siemens WinCC;
  • разработка такого уровня предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка нескольких zero-day уязвимостей, доступ к системе SCADA Siemens WinCC.

Интересная ситуация складывается с количеством заражений Stuxnet, берем четыре источника:

При поиске в Google видно, что некоторые Интернет ресурсы содержат первоначальные варианты [9] статьи от Eset, где Иран указан в качестве основной пострадавшей страны. Такая же картина в отчете Eset «Stuxnet Under the Microscope» [10], ссылка на который почему-то пропала с сайта esetnod32.ru. Компания Symantec не отстает от компании Eset, в отчете «W32.Stuxnet Dossier» [11] приведены следующие цифры: Иран (58,31%), Индонезия (17,83%), Индия (9,96%). Анализируя figure 5 из этого отчета, можно определить, что приблизительное количество зараженных компьютеров тоже равно 180 тысячам, как и у Kaspersky Lab, только распределение другое.
Знаете, как это называется? Заказуха! Компания Eset публикует данные, которые выгодны ей. США они показывают одно, а Ближнему востоку — другое. Естественно, такие откровения возбуждают подозрения — а ну как и в других мелочах тоже врут? Kaspesky Lab тоже молодцы, везде им кибервойна мерещится — глядишь, и расширится рынок сбыта на Ближнем Востоке.

Краткие характеристики

ВПО Stuxnet Duqu Flame Gauss
Дата обнаружения июль 2010 сентябрь 2011 май 2012 август 2012
Количество заражений (по данным KSN) около 180 тысяч около 20 около 700 около 2500
Где больше всего было заражений Индия, Индонезия, Иран Иран, Индия, Судан, Вьетнам, Франция, Нидерланды, Швейцария, Украина, Австрия, Венгрия, Индонезия, Великобритания (по данным Symantec) Иран, Израиль Ливан, Израиль, Палестина
Первоначальный вектор заражения неизвестен (возможно, USB Flash); через документ Microsoft Word, адресно отправляемый по электронной почте интересуемым людям неизвестен, имеется метод распространения через поддельный механизм обновления Windows, подпись Microsoft позволяет инсталлироваться без предупредждений неизвестен
Метод запуска при загрузке компьютера загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти основной модуль регистрируется в качестве LSA Authentication Package изменяет запись в реестре, отвечающую за загрузку подсистемы wbem, на себя и потом вызывает оригинальную библиотеку wbem
Среда разработки (язык) Visual Studio (основной модуль) Visual Studio, основной модуль написан с применением объектной надстройки над языком Си С++, часть кода написана на интерпретируемом языке Lua С++
Использование цифровой подписи Realtek C-Media (возможно, JMicron) Microsoft (сертификат создан путем подбора коллизии MD5) нет
Отличительные особенности основной модуль содержит несколько компонентов в виде ресурсов контейнерная структура — матрешка большой размер — порядка 20 Mb, использование большого количества стороннего кода использование «полезной нагрузки», расшифровываемой только в случае наличия на компьютере заданного пути (path)
Функционал поиск и передача файлов, внедрение в систему SCADA Siemens WinCC поиск и передача файлов, отслеживание нажатий на клавиатуру, сбор данных о сетевой инфраструктуре поиск и передача файлов, запись речевой информации, использование bluetooth перехвата информации с других устройств поиск и передача файлов, перехват паролей систем дистанционного банковского обслуживания Ближнего Востока, перехват паролей в социальных сетях, почтовых сервисах и системах мгновенного обмена сообщениями
Цель нарушение функционирования системы SCADA Siemens WinCC шпионаж и подготовка данных для последующего внедрения в сетевую инфраструктуру шпионаж воздействие на социальную обстановку
Сходство с другим ВПО метод запуска похож на аналогичный в Duqu, использование в версии 2009 года модуля заражения USB аналогичного Flame метод запуска похож на аналогичный в Stuxnet использование модуля заражения USB аналогичного Stuxnet версии 2009 года, множество модулей c расширением OCX как у Gauss множество модулей c расширением OCX как у Flame
Предположительный год разработки 2009 2008 2006 2011

Специалисты Dell SecureWorks считают [12], что сходство некоторых элементов вредоносных программ Stuxnet и Duqu является случайностью. Аналогичные методы применяются в других образцах ВПО. Тема сравнения Stuxnet и Duqu раскрыта здесь [13]. Со связью Gauss и Flame вообще связан курьезный случай [14]. Сотрудники Kaspesky Lab организовали sinkhole маршрутизатор. Упрощённо, речь идёт о создании поддельных управляющих центров, которые вредоносные программы начинают воспринимать как свои. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость. На sinkhole маршрутизатор завели на него трафик с Gauss и Flame. А специалисты компании FireEye, обнаружив, что Gauss и Flame обращаются к одному и тому же серверу, сделала вывод, что за разработкой данных ВПО стоят одни и те же люди. Чуть позднее FireEye принесла публичные извинения за свою ошибку и введение в заблуждение.
Таким образом, все попытки связать между собой Stuxnet, Duqu, Flame и Gauss не очень впечатляют. К тому же было бы слишком затратно разрабатывать для разных операций новый образец ВПО, достаточно было бы изменить уже имеющееся для устранения возможности детектирования антивирусными средствами и нарастить функционал модулями. Вполне вероятно, что мы наблюдаем лишь верхушку айсберга событий, происходящих на Ближнем Востоке, и данные ВПО разработаны разными странами или организациями, не связанными между собой. На арене кибервойн можно выделить следующих ключевых игроков: США, Китай, Россия, Израиль, Южная Корея. К тому же видно, что здесь подключились и местные игроки — некоторые образцы ВПО написаны на Deplhi (Madi, Shamoon, Narilam), что является показателем недостаточно профессиональной работы, однако они с успехом выполняют свои задачи по сбору и удалению информации.
Россия, кстати, занимает особое положение. Есть сомнения, что Россия принимает участия в событиях, происходящих на ближневосточном театре военных кибердействий. Согласно анализу [15] Trend Micro, киберпреступники стран бывшего СССР создают достаточно высокотехнологичные образцы ВПО, например Sality [16] и Zeus. Но что, интересно, обладая такими большими возможностями, они не «лезут» в политику, они просто зарабатывают деньги на обычных пользователях сети Интернет. Что это — отсутствие духа патриотизма или «страх» перед серьезным расследованием в случае посягательства на тайны отдельно взятого государства? А может, Россия давно уже держит весь Интернет под контролем? Хотелось бы верить.
Резюме:

  • антивирусные компании излишне «раздувают» тему кибервойн, манипулируя фактами. Делают они это для расширения рынков сбыта. Лучше бы рассказали, как замечательно работают все их эвристические методы, проактивные защиты и песочницы, если ВПО годами делает свою «черную» работу;
  • не доверяйте новостным сайтам, там тоже украшательств много. В идеале неплохо читать статьи в оригинале, но не все же хорошо владеют английским языком, да и поиск первоисточников тоже порядком напрягает.

Но в любом случае, несмотря на все передергивания антивирусных компаний, мы с интересом будем следить за процессом развития кибероружия, хотя называть все вышеперечисленное этим громким словом было бы несколько самоуверенно.

Автор: nuklearlord

Источник [17]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/21573

Ссылки в тексте:

[1] Stuxnet: http://habrahabr.ru/post/159053

[2] Duqu: http://habrahabr.ru/post/159669

[3] Shamoon: http://habrahabr.ru/post/159049

[4] Narilam: http://habrahabr.ru/post/159993

[5] Eset, июль 2010: http://www.esetnod32.ru/company/press/center/?id=7953&sphrase_id=2667

[6] Kaspersky, июль 2010: https://www.securelist.com/ru/blog/34307/Mirt_i_guava_Epizod_4

[7] Kaspersky, сентябрь 2010: https://www.securelist.com/ru/blog/34361/Mirt_i_guava_Epidemiya_v_dinamike

[8] Eset (Indonesia), сентябрь 2010: http://blog.eset.co.id/index.php/stuxnet-menggila-waspada-industri-di-indonesia

[9] первоначальные варианты: http://www.3dnews.ru/software-news/eset-vipustila-analiticheskiy-otchet-o-cherve-win32stuxnet

[10] «Stuxnet Under the Microscope»: http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

[11] «W32.Stuxnet Dossier»: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[12] считают: http://www.securitylab.ru/news/409209.php

[13] здесь: http://habrahabr.ru/post/159533

[14] случай: http://blogs.computerra.ru/37814

[15] анализу: http://www.cybersecurity.ru/news/161059.html

[16] Sality: http://habrahabr.ru/post/159055

[17] Источник: http://habrahabr.ru/post/160937/