Москва
22 ноября ‘24
Пятница

Червь Stuxnet разработали для глобального шпионажа

Эксперты по информационной безопасности решили, что червь Stuxnet, о котором стало известно летом, не обычное интернет-хулиганство, а тщательно спланированная дорогостоящая операция, организованная для получения нелегального и немалого заработка.

Необходимо напомнить, что от прочих вредоносных программ червь Win32/Stuxnet отличался тем, что изначально был нацелен не на компьютеры простых пользователей, а на промышленные компьютерные системы, предназначенные для управления производством.

По словам руководителя Центра вирусных исследований и аналитики российского представительства ESET Александра Матросова, каждый нюанс работы Win32/Stuxnet преследует определенную цель. Червь располагает механизмами контроля количества заражений и самоликвидации.

«Атаки с использованием столь сложного ПО готовятся очень длительное время, - говорит эксперт. - Без всякого сомнения, Win32/Stuxnet имеет целевую направленность».

По мнению, антивирусных аналитиков, Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых не закрыты и сегодня.

По данным ESET, стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше.

В «Лаборатории Касперского», в которой также занимались исследованием загадочного червя, насчитали в общей сложности 4 уязвимости нулевого дня, которые использовались червем Stuxnet. Нетрудно посчитать, во сколько примерно обошлась заказчикам подготовка атаки.

«Лично я бы оценил эту цифру в 50-70 тысяч евро, - поделился с Infox.ru генеральный директор компании Group IB Илья Сачков. – По своему опыту осмелюсь предположить, что разработчиков было не менее трех человек».

«У нас нет полной информации о киберпреступной экономике, - отметил Александр Матросов. – Опираясь на те данные, которыми мы обладаем, можно лишь сделать следующие выводы: над червем Win32/Stuxnet работала длительное время группа профессионалов, и стоимость их работы достаточно велика; В Win32/Stuxnet использовано 4 ранее не известные уязвимости, общая стоимость которых может достигать 100 тысяч евро».

Представитель компании Symantec Джерри Иган, комментируя ситуацию вокруг червя «Вестям», сообщил, что для создания столь серьезного вредоносного кода нужно не меньше пяти человек и полгода работы.

Немалых усилий и финансовых вливаний должен был стоить процесс получения легальных цифровых подписей компании Jmicron и Realtek, которые использовались червем для того, чтобы обходить некоторые технологии защиты от несанкционированного проникновения.

«Версий по поводу кражи цифровых подписей уважаемых компаний Jmicron и Realtek существует много, - рассказал Александр Матросов. – Одна из них – это кража с использованием другой вредоносной программы. Например, подходящим функционалом обладает троянец Zeus. Возможно, это дело рук инсайдера или сертификаты были попросту куплены на черном рынке. Повторюсь, версий существует много, и все они хорошо ложатся в контекст этой атаки».

«Такие операции нельзя провести наскоком – это долгая работа, связанная с аналитикой и подбором нужной уязвимости или слабого места, - добавил Илья Сачков. – Очень часто таким местом становятся именно люди. И тут как раз используется социальная инженерия. Несмотря на то, что этот тип работы хакеров был известен ещё в начале девяностых годов, до сих пор он очень эффективно используется в хакерской работе. «Подброс» флешек в лифтовый холл, звонки от имени службы безопасности и многие другие вещи – это все очень эффективно, если в компании не практикуется обучение сотрудников подобным угрозам безопасности».

С момента обнаружения червя специалисты склонялись к тому, что он не предназначен – как большинство прочего хакерского ПО – для быстрой монетизации. Скорее для сбора информации или для получения контроля над производственными компьютерными системами.

География распространения вируса только подтвердила «шпионскую» версию. Большинство случаев заражения с самого начала времени наблюдения за атакой регистрировалось в Иране, а недавно иранские власти официально подтвердили факт заражения некоторых компьютерах на промышленных предприятиях страны и даже на АЭС в Бушере. Однако специалисты по информационной безопасности не спешат с выводами.

«Случай уникальный, - отметил Илья Сачков. – Случается такое редко и ещё реже становится известно об этом широкой общественности. Последний публичный случай – это операция "Аврора" (атака на компанию Google). Подобные сложные атаки проводят с конкретной целью – получить какую-то информацию по заказу или как-то её потом монетизировать. Пока сложно сказать, какая цель стояла перед злоумышленниками в этот раз».

«Несмотря на большое количество заражений в Иране, мы не можем делать однозначных выводов о том, что целью злоумышленников была Бушерская АЭС, – добавил Александр Матросов. – С технической точки зрения мы можем утверждать лишь то, что стоимость этой атаки очень велика, а для обычных киберпреступников не видно мотивов ее осуществления. Вполне вероятно, что за атакой может стоять какая-нибудь влиятельная организация».

Полная версия