2 декабря 2010 г.

Война 2.0. S01E01. Stuxnet. P02. Конспирология

За полгода активного паблисити, формировавшегося как традиционными СМИ, так сетевыми ресурсами, вирус Stuxnet приобрел также и внушительный шлейф различных конспирологических теорий относительно его разработчиков, атакуемых целей, намеков и «закладок», оставленных в коде. Я не ставил перед собой цель собрать всю Stuxnet-ориентированную конспирологию в одном посте – просто свел здесь наиболее интересные факты и домыслы, встретившиеся мне по ходу изучения истории вируса.

Анализ Symantec
Один из самых первых предварительных анализов относительно разработчиков Stuxnet и их намерений появился в блоге Symantec 21 июля 2010 – «The Hackers Behind Stuxnet»:
Мы знаем, что люди, стоящие за этой атакой, не являются любителями, но их окончательные намерения пока неясны. Основные факты на данный момент:
·         Атакующие обнаружили и использовали уязвимость «0-day», воздействующую на все версии MS Windows.
·         Они разработали и использовали механизм руткит, чтобы скрыть присутствие вируса в системе.
·         Их мишенью является ПО, предназначенное для управления промышленными системами и процессами; при этом использовались глубокие знания по данным программным продуктам.
·         Хакеры сумели подписать свои файлы легальной цифровой подписью, принадлежащей непричастной третьей стороне. Сертификат подписи был дезавуирован в июне, но в июле появился новый драйвер, также подписанный цифровой подписью с использованием сертификата другой компании. Обе компании имеют офисы, расположенные на Тайване. Хакеры либо похитили закрытые ключи, либо имели возможность воспользоваться ими для подписывания своих файлов. Атакующие могут иметь в своем распоряжении и другие скомпрометированные цифровые подписи.
·         Хакеры не использовали узконаправленные средства атаки. Вместо этого, угроза реплицируется с использованием USB-ключей и может поражать любой компьютер под управлением Windows.
Уязвимость «0-day», руткит, главные исполняемые модули, украденные цифровые сертификаты, глубокие знания ПО для SCADA – все это высококачественные ресурсы атаки. Комбинация всех этих факторов делает данную угрозу крайне редкой, если не абсолютно оригинальной.

Далее в посте рассматриваются гипотезы относительно возможных авторов вируса:
  • Волк-одиночка. Практически нереально, чтобы типичный хакер «из мамочкиного подвала» смог украсть два цифровых сертификата, использовать несколько уязвимостей типа «0-day» и обладать невероятно глубокими знаниями по продуктам SCADA.
  • Недовольный сотрудник. Глубокие знания в области SCADA наводят на мысль, что злоумышленником мог бы быть инсайдер – например, недовольный чем-то сотрудник компании, использующей ПО. Правда, вероятность того, что такой саботажник одновременно был в состоянии использовать уязвимость типа «0-day» и украсть два цифровых сертификата, также исчезающе мала.
  • Конкуренты по бизнесу. Существует вероятность, что вирус был создан кем-то из конкурентов компаний, попавших в «зону поражения», с целью нанести любой возможный урон – вплоть до временной приостановки производственных процессов. Правда, в таких случаях обычно нанимается специальная команда хакеров и атака является строго прицельной. В рассматриваемом же случае угроза распространяется вслепую, без учета того, установлено ли на компьютере ПО SCADA или нет. Если это все-таки случай промышленного шпионажа и/или саботажа, то, скорее всего, злоумышленники смогли только достаточно близко подобраться к своей цели и использовали репликацию через USB-ключи как средство гарантированной доставки угрозы к целевой SCADA-системе. При этом они понимали, что вирус получит широкое распространение во всем мире, и надеялись что их атака увенчается успехом до того момента, когда угроза будет зафиксирована радарами антивирусных компаний.
  • Шпионаж, спонсируемый на государственном уровне. Известны случаи, когда правительства санкционировали хакерские действия за пределами собственных границ – это делалось с целью похищения государственных или военных секретов. Если данная атака санкционирована государством, то ее цели могут быть идентичными целям конкурентов по бизнесу, включая также добычу военных секретов. Сложность и качество атакующих средств заставляют думать, что только государство имело достаточно ресурсов для организации и исполнения подобной атаки.
  • Националистические, политические, религиозные и другие сходные мотивы. Обычно атаки, нацеленные на государства, могут исполняться гражданами, движимыми националистическими, политическими и/или религиозно-фанатическими настроениями. Хакеры, действующие по подобным мотивам, могут выбрать целью атаки страну, организацию или компанию, которую они считают своим врагом. Такие хакерские группы часто обладают достаточными терпением и опытом, чтобы собрать все средства, необходимые для атаки, атаковать и повторять свои попытки (если предыдущие были неудачными), постоянно совершенствуя свое орудие нападения до тех пор, пока цель атаки не будет достигнута.
  • Терроризм. Одна из худших возможностей состоит в том, что атака мотивирована терроризмом. Если атакующие смогут перехватить управление электростанцией или другим критически важным объектом инфраструктуры, они могут причинить большой ущерб (отключение, вывод из строя, разрушение объекта). И хотя подобный сценарий больше похож на киносюжет, количество и качество средств, использованных для атаки, заставляют всерьез задуматься и о такой вероятности в данном случае.
Намеки в коде вируса
В конце поста из блога Symantec, цитировавшегося и пересказывавшегося выше, сказано, что хакеры оставили некий намек в коде вируса. В одном из «драйверов» (программных модулей вируса, устанавливаемых в заражаемую систему под видом дравера)  содержится строка - “b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb”. Понятно, что сама строка представляет просто путь к файлам проекта на компьютере, где собирался вирус, но что означают слова в этой строке? «Myrtus» - это вечнозеленое растение мирт, гуава – растение семейства миртовых. При чем здесь гуава или мирт? Одно из мнений, высказывавшихся аналитиками, состоит в том, что авторы вируса просто называли так весь проект - «Myrtus». А вот почему они его так назвали – вопрос.

Приведу самую красивую версию (не утверждаю, что она истинная). Версия базируется на гипотезе, что Stuxnet был создан в Израиле (об этом еще поговорим позже).

Итак, «мирт» на иврите – «Hadassah» (по русски произносится – «Гадасса»). «Hadassah» же – это имя, данное при рождении библейской царице Эсфири (она же – Эстер, Эштар, Esther), которой посвящена одноименная книга Библии. Собственно, царицей Эсфирь стала, выйдя замуж за персидского царя Артаксеркса (то, что Иран раньше назывался Персией, думаю, знают все). Процитирую Википедию (выделение жирным шрифтом мое – А.Б.):
«Эсфирь (прежде Гадасса) была родственницей и воспитанницей еврея Мардохея (Мордехая), жившего в Сузах и однажды спасшего жизнь персидскому царю Артаксерксу. Когда царь выбирал себе новую жену, вместо отвергнутой им гордой царицы Астинь (греч., в оригинале: Вашти), выбор его пал на Эсфирь. Эсфирь была не только красива. Это была тихая, скромная, но энергичная и горячо преданная своему народу и своей религии женщина.
Возвышение иудейки возбудило зависть и злобу у некоторых придворных и особенно у Амана-амаликитянина, пользовавшегося властью с крайним высокомерием и деспотизмом. Раздражённый тем, что Мардохей относился к нему без раболепства, Аман решил погубить не только его самого, но и весь его народ, и добился согласия царя на издание указа об истреблении евреев. Узнав об этом, Мардохей потребовал от Эсфири, чтобы она заступилась перед царём за свой народ. Мужественная Эсфирь под страхом потерять своё положение и жизнь, вопреки строгому придворному этикету явилась к царю без приглашения и убедила его посетить приготовленный ею пир, во время которого и обратилась к нему с просьбой о защите. Узнав в чём дело, царь приказал повесить Амана на той виселице, которую он приготовил было для Мардохея, а в отмену указа об истреблении иудеев разослан был новый указ: о праве их противиться исполнению первого. В силу этого указа иудеи, с оружием в руках, восстали на защиту своей жизни и избили множество врагов, причём и десять сыновей Амана подверглись одной участи со своим отцом.»

Хотя, по другой версии «Myrtus» значит всего-навсего «My RTUs» (т.е. «Мои RTU», а RTU – это Remote Terminal Unit, Удаленное Терминальное Устройство, один из элементов SCADA-системы). А гуава уже появилась именно по аналогии с миртом.

Еще говорящие буквы и цифры из кода вируса. Одна из подпрограмм, выполняемых в теле вируса, в качестве возможного кода завершения может передавать в точку вызова 16-ричное число DEADF007, что на хакерском жаргоне может интерпретироваться как «Dead Fool» или «Dead Foot». Второй термин, кстати, используется в авиации в качестве кодового обозначения отказа двигателя. Совсем недавно, когда цель вирусной атаки стала очевидной, обе трактовки данного кода приобрели достаточно издевательский смысл.

Знаковые даты
Идем дальше... Вирус отмечает свое присутствие на зараженном компьютере числом «19790509», записываемом в реестр Windows. Это число можно трактовать как дату – 9 мая 1979, записанную в формате ГГГГММДД. С этой датой связано одно знаковое событие – в этот день в Иране новое революционное исламское правительство казнило бизнесмена-еврея Хабиба Эльганяна, обвинив его в коррупции, контактах с Израилем и сионизме. Данный факт дал приверженцам конспирологических теорий возможность утверждать, что Stuxnet написан израильскими программистами и однозначно нацелен против Ирана.
Правда, по другой версии (тоже часто встречающейся) 9 мая 1979 – день рождения кого-то из команды разработчиков вируса. Что ж, вполне возможно. 30 лет – подходящий возраст для высоковалифицированного хакера.

Вообще, версия об израильском происхождении вируса имеет под собой серьезные основания – помимо упоминания библейского мирта и знаковой для Израиля даты. И я вернусь к вопросу о возможных авторах вируса дальше в посте.

Еще одна дата присутствует в коде - 24 июня 2012. В этот день вирус должен включить механизм самоуничтожения, т.е. стереть себя со всех зараженных компьютеров. Почему именно это число в календаре выбрано разработчиками для завершения жизни Stuxnet? Приготовьтесь, сейчас будет страшно...
«Астрологически и астрономически, 24 июня 2012 – дата, когда Плутон в Козероге образует квадрат к Урану в Овне. В астрологии это называется «большой крест»: считается, что с этого момента начнется трехлетний период революционных изменений (aka III-я мировая война), которые, в конце концов, приведут к образованию единого мирового правительства. Или, как считают другие предсказатели, это может послужить толчком к началу конца нашего мира, который – в соответствии с интерпертациями календаря майя – должен наступить в декабре 2012.» (отсюда)

Кто авторы?
За год до обнаружения Stuxnet, в июле 2009, агентство Reuters опубликовало статью Дэна Уильямса (Dan Willams) под заголовком «Опасаясь открытой силы, израильтяне планируют кибервойну против Ирана» («Wary of naked force, Israelis eye cyberwar on Iran»). Одна цитата из этой статьи сейчас читается как гениальное предвидение – или просто как изложение секретного сценария, который уже находится в фазе реализации, и о котором известно говорящему (жирный шрифт, как всегда, мой – А.Б.):
Будучи спрошенным о том, как Израиль мог бы атаковать Иран, Борг (Скотт Борг, директор, U.S. Cyber Consequences Unit – А.Б.) сказал, что вредоносное ПО могло бы быть внедрено, чтобы повредить, перехватить контроль или полностью разрушить управление критическими объектами, такими, как заводы по обогащению урана.
Такая атака могла бы быть немедленной, или она могла бы быть латентной, с вредоносным кодом, «болтающимся» незамеченным и ожидающим внешнего сигнала-«спускового крючка», или она могла бы быть спланирована таким образом, чтобы нанести удар, когда зараженный объект достигнет некоего критического уровня активности. Поскольку иранские ядерные объекты. скорее всего, будут изолированы от внешних компьютеров, хакеры не смогут получить к ним непосредственный доступ, сказал Борг. Израильские агенты могли бы замаскировать вредоносный код внутри ПО, используемого иранскими специалистами, или скрытно разместить его в портативном оборудовании, которое может быть пронесено внутрь ничего не подозревающим техническим персоналом.
«Зараженного USB-устройства было бы достаточно», - сказал Борг.

Гипотезу о том, что вирус Stuxnet был разработан и запущен высокопрофессиональной командой, поддерживаемой и спонсируемой на государственном уровне, высказывали многие эксперты. Вспомним классическое латинское выражение – «Is fecit cui prodest» (Сделал тот, кому выгодно). Кому выгодны задержки, неудачи и аварии в иранской ядерной программе? США и Израиль однозначно занимают два первых места в списке возможных «выгодоприобретателей». И именно США и Израиль имеют самые продвинутые на сегодня подразделения для ведения кибервойны. Погуглите в интернете выражение «unit 8200 stuxnet» - найдете много интересного. Правда, насчет достоверности найденного я не так чтобы очень уверен.

Россия и Stuxnet
Россия достаточно часто упоминается в связи с вирусом Stuxnet, но, к сожалению, далеко не в самом выгодном аспекте. Именно российских специалистов многие эксперты называют инициаторами (сознательными или действовавшими «втемную») вирусной атаки Stuxnet. То, что АЭС в Бушере строится Россией, всем известно. Понятно, что российские специалисты постоянно присутствуют в Иране – и в Бушере, и, скорее всего, в Натанзе. И понятно, что многие из них участвуют в наладке различного оборудования – в том числе, и с использованием ноутбуков и USB-устройств. Так что, разработчикам Stuxnet достаточно было получить доступ всего лишь к одному из ноутбуков...
Косвенным подтверждением «российского следа» можно считать тот факт, что достаточно высокий процент зараженных компьютеров выявлен также в Индии и Индонезии – странах, где также работают российские специалисты-атомщики.

Я не буду никак комментировать эту версию сейчас (хотя к теме информационной безопасности на предприятиях Росатома еще вернусь чуть позже). Но задам – в информационное пространство – всего лишь один вопрос: как так случилось, что Stuxnet был впервые обнаружен белорусской антивирусной командой? Как Stuxnet оказался в Белоруссии?

И да, на КДПВ в начале поста – та самая библейская царица Эсфирь.

Комментариев нет:

Отправить комментарий