Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
26 сеп
2010
 
 

Stuxnet е бил създаден за атака на иранската ядрена програма?

След като експертите се запознаха с червея, някои казаха, че вероятната цел е била реактора на Иран в Бушер

6726 прочитания

Изключително сложен компютърен червей, който се разпространи в Иран, Индонезия и Индия, е бил създаден да наруши дейността на една единствена цел: ядрения реактор на Иран в град Бушер.

 

Строящата се ядрена централа в Бушер е вероятна цел на червея Stuxnet

 

Това е налагащият се извод на мнозина експерти по сигурността, които са проучвали червея Stuxnet. През последните няколко седмици те са разбили криптографския код, който стои в основата на зловредния софтуер, и са проучили как работи червеят в тестова среда. Учените, проучващи червея, са единодушни, че Stuxnet е бил създаден от много способен атакуващ екип, може би дори държавна институция, и е бил проектиран да разруши нещо голямо.

Въпреки че е разработен преди повече от година, Stuxnet бе открит през юли 2010 г., когато белоруска компания за сигурност откри червея в компютри, принадлежащи на неин ирански клиент. Оттогава той е обект на проучвания от специалисти по сигурността, които твърдят, че досега не са виждали подобен код. Днес, след няколко месеца на спекулации, някои учени, които познават най-добре Stuxnet, твърдят, че може би е изграден за саботиране на иранската ядрена програма.

През миналата седмица Ралф Лангнер, атворитетен специалист по сигурността на индустриални системи, публикува анализ за червея, който атакува софтуерни системи на Siemens, и предположи, че вероятно е бил използван за саботиране на ядрения реактор на Иран в Бушер. Експерт в Siemens, Лангнер симулирал индустриална мрежа на Siemens и след това анализирал атаката на червея.

Специалистите първо помислили, че Stuxnet е писан за крадене на индустриални тайни – промишлени формули, които да се ползват за изграждане на подправени продукти. Лангнер обаче открил нещо доста по-различно. Червеят всъщност търсел специфични настройки на Siemens – тип отпечатъци, които му съобщават, че е бил инсталиран на много специализиран логически контролер (Programmable Logic Controller - PLC) – и след това е вкарвал свой собствен код в тази система.

Заради комплексността на атаката целта „трябва да е имала изключително висока стойност за атакуващия", пише Лангнер в своя анализ.

Той смята да представи своите открития при закрити врати на конференцията за сигурност в Мериленд, на която ще се проведе и техническа дискусия с инженери на Siemens. Лангнер заяви, че не е готов да говори още пред репортери („материята на това нещо е толкова странна, че трябва да си събера мислите как да обясня това на обществеността", пише той в свое е-писмо), но други експерти, видели неговите данни, казват, че който и да е написал Stuxnet е имал предвид ясна цел. „Той търси специфични неща в точно определени места в тези PLC контролери. А това наистина би означавало, че е проектиран да търси специфичен завод", казва Дейл Петерсън, CEO на Digital Bond.

Тази специфична цел може да е бушерския реактор на Иран, който все още се строи, казва Лангнер в своя блог. От АЕЦ в Бушер миналата година обявиха сериозно изоставане от графика, само няколко месеца след предполагаемото създаване на Stuxnet, и според екранни изображения на завода, публикувани от UPI, централата ползва Windows базиран PLC софтуер на Siemens, атакуван от Stuxnet.

Петерсън смята, че Бушер е възможна цел. „Ако трябваше да предположа какво е било, да, това е логична цел, казва той. - Но това са само хипотези."

Лангнер смята, че е възможно Бушер да е заразен през руски доставчик, който сега изгражда централата – АтомСтрой Експорт. Наскоро уеб сайтът на АтомСтрой Експорт бе атакуван, а някои от страниците все още са блокирани от доставчици на решения за сигурност, тъй като се знае, че съдържат зловреден код. Това не е добър знак за компания, която сключва договори, съдържащи ядрени тайни.

Главният технологичен директор на Byres Security Ерик Байерс е специалист по сигурността на индустриални системи, който следи Stuxnet от откриването му. Първоначално той смяташе, че е проектиран за промишлен шпионаж, но след като прочел анализа на Лангнер, е променил мнението си. „Предположенията ми бяха грешни, казва той. - След като видях кода, който Ралф е извлякъл от това, разбрах, че той е прав."

Лангнер открил още, че когато Stuxnet най-сетне открие целта си, той прави промени в част от кода на Siemens, наречен Organizational Block 35. Този компонент на Siemens следи критични индустриални операции – неща, които искат реакция в рамките на 100 милисекунди. Смесвайки се с Operational Block 35, Stuxnet може лесно да причини повреда на центрофуга в рафинерия, но може да удари и други цели, казва Байерс. „Мога да кажа само, че е нещо, проектирано да предизвика гръм", добавя той.

Който и да е писал Stuxnet, той е разработил 4 дотогава непознати атаки тип „ден 0" и P2P комуникационна система, компрометирайки цифровите сертификати, принадлежащи на Realtek Semiconductor и JMicron Technology, и е демонстрирал изключително добро познаване на индустриалните системи. Това не е нещо, с което би се справил средностатистически хакер. Много анализатори на сигурността мислят, че за реализирана на такъв код са нужни ресурсите на цяла държава.

През миналата година се появиха слухове, че Израел може да опита кибератака към иранските ядрени мощности.

Бушер е една възможна цел, но това могат да бъдат и други индустриални мощности – рафинерии, химически заводи или фабрики, казва Скот Борг, CEO на групата съветници по сигурността на САЩ Cyber Consequences Unit. „Не е категорично ясно, че това е ядрена програма, казва той. - Иран има и други контролни системи, които могат да бъдат атакувани."

Представители на иранското правителство не коментираха случая, но източници от страната, казаха, че Иран е бил ударен много сериозно от червея. Когато е бил открит, 60% от заразените с Stuxnet компютри са се намирали в Иран, твърдят от Symantec.

Днес, когато атаката на Stuxnet е известна на обществеността, компаниите за индустриални системи за контрол са в неловко положение. И има доста неща, за които да се тревожат.

„Проблемът не е Stuxnet. Stuxnet е история, казва Лангнер в своето е-писмо. - Проблемът е в следващото поколение зловреден код, който ще го наследи."

IDG News Service, Сан Франциско 

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ

Слайдшоу
ИНТЕРВЮ
Рей О’Фаръл, VMware: Светът на облаците ще е хибриденРей О’Фаръл, VMware: Светът на облаците ще е хибриден

Техническият директор на компанията е уверен, че публичните услуги няма да заменят собствените сървъри.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас