Война 2.0. S01E01. Stuxnet. P05. Профайлинг нападающего

Возможно, кому-то уже надоело читать про Stuxnet, но мне пока не надоело писать про него – тем более, что темы с расследовательским уклоном все еще имеются. На этот раз я хочу пересказать (близко к исходному тексту) один из постов Ральфа Лангнера, который посвящен не анализу кода вируса, а анализу его происхождения – конечно, не на уровне фамилий разработчиков, но, хотя бы, на уровне их государственной принадлежности.

И аналитики Symantec, и Р.Лангнер практически с самого начала утверждали, что вирус такого уровня, как Stuxnet, невозможно создать в любительских условиях, «на коленке». Над вирусом работала команда – высоко квалифицированная, хорошо оснащенная технически и не стесненная в финансовых средствах. И, скорее всего, команда, пользовавшаяся поддержкой государственных структур. В качестве стран наиболее вероятного происхождения Stuxnet чаще всего назывались Израиль и США – и этим версиям, вроде бы, было достаточно конспирологических подтверждений (см. мой пост на тему Stuxnet-конспирологии). Но... Не слишком ли явные следы оставлены в коде вируса для вычисления возможных авторов? Можно ли поверить, что люди, до тонкостей проработавшие код «цифровых боеголовок», просто забыли убрать из загрузочных модулей следы сборки проекта Myrtus?

Р.Лангнер решил проанализировать код вируса более глубоко – и прежде всего, в тех его частях, которые нацелены на работу внутри программируемых логических контроллеров. Дело в том, что Windows-ориентированные части кода Stuxnet практически ничего не говорят о его авторах - кроме того, что с финансированием у разработчиков все было хорошо (3 уязвимости «0-day» и 2 цифровых сертификата таки стоят денег...). А вот код для PLC способен привести к гораздо более серьезным выводам. Лангнер называет этот код Myrtus Control System Unit (CSU) и выделяет в нем три больших блока – CSU-GEN, CSU-315 и CSU-417.

Война 2.0. S01E01. Stuxnet. P04. «Мы производим ядерное топливо...»

Обычно я сначала пишу текст поста, а потом придумываю ему название. В случае с сериальными постами у меня в заголовке уже есть название сериала и название эпизода – остается только придумать название конкретного поста. Что я и делаю, дописав пост до конца. Для текста, который чуть ниже пойдет курсивом, я долго не мог придумать название – так вот и оставил поначалу только много-много-многоточие. Потому что цензурное название у меня никак не получалось. А потом, перечитав – в который уже раз – весь текст, я понял, что лучшее название – это одна из заключительных фраз.

Практически весь текст поста не мой. Первоисточник здесь – Форум 3Dnews, пост пользователя под говорящим ником Koe_kto_v_teme. Я же вышел на этот пост через ЖЖ ФСО.

Я не стал ничего комментировать по ходу цитирования и после всей длинной цитаты. Мой текст в этом посте – только до начала курсива. Нечего тут комментировать...

И еще пара коротких замечаний:

Сначала я хотел немного подсократить текст, но перечитал несколько раз – и оставил все, как есть. Хотел также, по своему обыкновению, выделить наиболее ударные места жирным шрифтом, но понял, что выделять придется практически весь текст. В итоге – выделил только заключительную фразу...

И да – в этом посте нет ни слова про Stuxnet. Почему – думаю, понятно. Но то, что этот пост однозначно имеет отношение именно к эпизоду «Stuxnet», надеюсь, тоже понятно.

Война 2.0. S01E01. Stuxnet. P03. Welcome to Matrix 2.0

Я долго боролся со своей креативной сущностью по поводу того, как назвать третий пост эпизода. Хотелось продолжить в рифму «-логия» («Хронология», «Конспирология»...) и назвать пост «Технология» - тем более, что это название было бы вполне в тему. Но в итоге пост получил то название, которое получил. Помните трилогию брата и сестры братьев Вачовски? Так вот – вирус Stuxnet делает реальной кинематографическую Матрицу и помещает в эту Матрицу программируемый логический контроллер фирмы Siemens. Кстати, за этот художественный образ (контроллер в Матрице) я благодарю ЖЖ-френда malaya_zemlya.

Пойдем по порядку.

В первом посте эпизода я писал, что основной анализ программного кода вируса был выполнен экспертами Symantec. Паралелльно с ними свое собственное расследование вел немецкий специалист в области компьютерной безопасности Ральф Лангнер. Правда, если Symantec публиковал свои сообщения чуть ли не в режиме реального времени с середины июля, Лангнер оттянул момент начала публикаций в своем блоге до сентября (первый пост – 13.09.2010). Но именно Лангнер первым высказал предположение, что целью атаки является иранская атомная программа. Точнее, сначала он только утверждал, что вирус нацелен на конкретную «точечную» цель, но не уточнял, какую именно. Конкретно об Иране он начал упоминать только через неделю, и то поначалу делал это в многочисленных интервью для СМИ, а не у себя в блоге (в общем, чувак пиарился по полной).

Однако, вплоть до середины ноября у экспертов не было уверенности в том, какой же именно из физических объектов является главной мишенью – сама ли АЭС в Бушере или завод по обогащению урана в Натанзе. Первыми про центрифуги в Натанзе (правда, без конкретных географических названий и точных указаний на вид оборудования) написали все-таки аналитики Symantec. Лангнер подтвердил их основные выводы, однако, посчитал анализ Symantec неполным. Дело в том, что в коде Stuxnet были обнаружены две «цифровые боеголовки» (digital warhead) (кстати, авторство этого красивого термина принадлежит именно Лангнеру, аналитики Symantec предпочитали термин «полезная нагрузка» - «payload»), и анализ Symantec относился только к одной из них.

Война 2.0. S01E01. Stuxnet. P02. Конспирология

За полгода активного паблисити, формировавшегося как традиционными СМИ, так сетевыми ресурсами, вирус Stuxnet приобрел также и внушительный шлейф различных конспирологических теорий относительно его разработчиков, атакуемых целей, намеков и «закладок», оставленных в коде. Я не ставил перед собой цель собрать всю Stuxnet-ориентированную конспирологию в одном посте – просто свел здесь наиболее интересные факты и домыслы, встретившиеся мне по ходу изучения истории вируса.

Анализ Symantec

Один из самых первых предварительных анализов относительно разработчиков Stuxnet и их намерений появился в блоге Symantec 21 июля 2010 – «The Hackers Behind Stuxnet»:

Мы знаем, что люди, стоящие за этой атакой, не являются любителями, но их окончательные намерения пока неясны. Основные факты на данный момент:

·         Атакующие обнаружили и использовали уязвимость «0-day», воздействующую на все версии MS Windows.

·         Они разработали и использовали механизм руткит, чтобы скрыть присутствие вируса в системе.

·         Их мишенью является ПО, предназначенное для управления промышленными системами и процессами; при этом использовались глубокие знания по данным программным продуктам.

·         Хакеры сумели подписать свои файлы легальной цифровой подписью, принадлежащей непричастной третьей стороне. Сертификат подписи был дезавуирован в июне, но в июле появился новый драйвер, также подписанный цифровой подписью с использованием сертификата другой компании. Обе компании имеют офисы, расположенные на Тайване. Хакеры либо похитили закрытые ключи, либо имели возможность воспользоваться ими для подписывания своих файлов. Атакующие могут иметь в своем распоряжении и другие скомпрометированные цифровые подписи.

·         Хакеры не использовали узконаправленные средства атаки. Вместо этого, угроза реплицируется с использованием USB-ключей и может поражать любой компьютер под управлением Windows.

Уязвимость «0-day», руткит, главные исполняемые модули, украденные цифровые сертификаты, глубокие знания ПО для SCADA – все это высококачественные ресурсы атаки. Комбинация всех этих факторов делает данную угрозу крайне редкой, если не абсолютно оригинальной.

Война 2.0. S01E01. Stuxnet. P01. Хронология

Как и обещал совсем недавно, начинаю новый сериал – «Война 2.0» (она же – кибервойна, К-Война). Мне даже самому странно, что до сих пор я ничего не написал на эту тему. Ну вот – надо эту странность искоренять. Война 2.0 уже не выдумка фантастов и сценаристов из Голливуда – это реальность наших дней.

Первым эпизодом сериала я решил сделать историю с вирусом Stuxnet. Публичная известность к Stuxnet пришла в июле 2010 (хотя реальная история началась существенно раньше – примерно за год до этого), потом все несколько поутихло, потом последовал всплеск интереса в сентябре 2010, когда появились первые гипотезы относительно наиболее вероятной мишени вируса, потом опять небольшое затухание интереса в октябре (хотя эксперты в своих сообществах и блогах уже не оставляли эту тему), и вот – очередной пик, связанный с практически полным прояснением механизма функционирования вируса и не оставивший сомнений относительно главной цели вирусной атаки. А самые последние новости из Ирана фактически не только подтвердили догадки относительно цели вируса, но и то, что вирус этой цели достиг!

Вот хронология основных событий. Ссылки на заслуживающие внимания источники, интересные подробности, конспирологические изыскания последуют в ближайших постах.

Июнь 2010. Аналитики белорусской компании «ВирусБлокАда» обнаружили новый вирус, использующий для своего распространения неизвестную ранее (так называемую «0-day», т.е. для которой еще нет соответствующего патча системы безопасности) уязвимость Windows – через обработку .lnk-файлов (это файлы «иконок», располагающихся на рабочем столе). Эта уязвимость позволяла вирусу распространяться не совсем обычным образом – через зараженные USB-накопители, что делало возможным (при подсоединении «флешки» к USB-порту) заражение компьютеров, не имеющих физического подключения к компьютерным сетям. В век Интернета подобный способ распространения – большая экзотика. Точнее, это выглядело экзотикой – до тех пор, пока детальный анализ кода вируса не начал прояснять наиболее вероятную цель атаки.