ESET: Stuxnet - история продолжается

1174

Компания ESET проанализировала доступные сведения с конференции VB’2010, которая совсем недавно прошла в Ванкувере, и представила объедененный с Symantec материал.

Какова цель атаки Stuxnet? На этот вопрос никто не может ответить до сих пор, потому что, несмотря на все статистические индикаторы, не понятно, какой объект мог являться истинной целью злоумышленников, а, быть может, этих целей было несколько, или задачей было поразить как можно больше объектов использующих системы SCADA от Siemens. Обсуждая функциональные возможности Win32/Stuxnet, стоит учитывать следующие факторы:

  • Наличие функциональности, позволяющей ему отправлять интересующие злоумышленников параметры системы на удаленный сервер;
  • Возможность обновлять себя и расширять свою функциональность с удаленного сервера.

Учитывая эти факты, цели злоумышленников могли изменяться, как от каждой конкретной пораженной червем системы, так и в зависимости от временного периода развития атаки. Такие выводы сильно затрудняют поиск истинных мотивов создателей Win32/Stuxnet. Также стоит учесть, что внимание к себе этот червь привлек только в конце июня 2010. Но существует информация, указывающая на то, что эта атака уже имеет свое развитие на протяжении длительного времени (примерно около года). Например, специалистами Symantec был обнаружен экземпляр червя, датированный июнем 2009 года, причем по своим возможностям он более скромен.

Теперь давайте обратимся к статистическим данным. На сегодняшний день наиболее насыщенным регионом, с точки зрения числа инцидентов, являются азиатские страны. По нашим статистическим данным, распределение с начала обнаружения и до конца сентября выглядит следующим образом:


Статистика других антивирусных компаний также указывает на то, что Иран, является наиболее активной зоной. Стоит, конечно, учитывать, что все эти данные сделаны лишь на основе количества рабочих станций с установленным тем или иным антивирусным продуктом. Но, тем не менее, статистическая выборка сделана за достаточно длительный временной период, что снижает возможность ошибки.

На основе этих данных некоторые пытаются делать выводы о том, что Иран является основной целью вирусописателей. На самом деле, эти данные не говорят о целях ровным счетом ничего. Но по цифрам можно сделать предположение о том, что, возможно, первые экземпляры червя были активированы именно в Азии, а мошенники не могли контролировать число заражений. Дело в том, что в последней версии Win32/Stuxnet уже имеется в наличии функциональность позволяющая, контролировать количество заражений. Может быть, именно эта версия распространялась в других регионах, что позволило злоумышленникам начать контролировать его распространение.

Вредоносная программа Win32/Stuxnet реализована на высоком техническом уровне во многих случаях со знанием того, как обходятся современные защитные средства. Тщательно продуманная объектно-ориентированная архитектура, модульная система и большой объем кода, позволяет сделать выводы о том, что над этой разработкой работала целая группа профессионалов (примерно около 5-7 человек). В качестве основного механизма распространения применялась уязвимость нулевого дня MS10-046. Эта уязвимость в LNK/PIF файлах позволяющая выполнить произвольный код. Использовалась червем для распространения через внешние носители.

Также присутствовал второй эшелон из уязвимостей, который эксплуатировался при распространении уже внутри локального сетевого сегмента:

  • MS10-061 – уязвимость в сервисе Print Spooler, которая позволяет выполнить удаленно произвольный код;
  • MS08-067 – уязвимость в RPC, которая уже давно закрыта и использовалась для своего распространения червем Conficker. В данном случае, этот вектор распространения использовался как дополнительный;
  • (отсутствует Vendor-ID) уязвимость в win32k.sys, позволяющая повысить локальные привилегии на системах Win2000/WinXP. Использовалась червем при недостаточных привилегиях в процессе инсталляции.
  • (отсутствует Vendor-ID) уязвимость в Task Scheduler, позволяющая повысить локальные привилегии на системах Vista/Win7.

Еще одной интересной уязвимостью нулевого дня является CVE-2010-2772. На этот раз она была найдена в системах Siemens Simatic WinCC и PCS 7 SCADA. Заключается она в жестко прошитом пароле для доступа к базе данных Microsoft SQL из программы WinCC.

Учитывая все это, только стоимость технической реализации Win32/Stuxnet достигает суммы превышающей 500.000 Евро. Это очень большие вложения, и, учитывая тот факт, что прямой схемы монетизации данная вредоносная программа не имеет, вероятнее всего, злонамеренное ПО было создано какой-то влиятельной или правительственной организацией. Истинные мотивы и цели создания Win32/Stuxnet могут раскрыть только самим авторы этой атаки, но, судя по всему, их так никто и не поймает.

5 октября 2010

00:25

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Видеокарта Radeon Vega 64 Liquid Cooled Edition оснащена ЖСО Cooler Master, благодаря которой температура GPU составляет 53 градуса: Radeon Vega 64 Liquid Cooled Edition разобрали и запечатлели внутреннее строение5

Процессоры Ryzen Threadripper 1950X и Core i9-7960X установили несколько рекордов: CPU Core i9-7960X установил два мировых рекорда3

3D-карта Asus Radeon RX Vega 64 Strix в сравнении с референсом работает на больших частотах, но с большим потреблением энергии: Появились тесты Asus Radeon RX Vega 64 Strix9

Apple может стать первой компанией, чьи умные часы массово будут использоваться в медицинских целях: Apple ведёт переговоры с Aetna45

Наушники Apple EarPods и AirPods будут лучше держаться в ушной раковине с аксессуаром Dodocool: Цена набора в данный момент составляет 10 долларов14

Смартфон Doogee BL7000 получил три датчика изображения Samsung ISOCELL и аккумулятор емкостью 7060 мА•ч: На стадии предзаказа смартфон предлагается по цене 160 долларов11

Анонс камеры Nikon D850 ожидается 24 августа: Поставки Nikon D850 могут начаться уже в середине сентября9

Смартфон Samsung Galaxy Note8 «засветился» на сайте производителя: Кроме того, опубликовано два видеоролика с участием Samsung Galaxy Note8

Компания Mercedes-Benz показала роскошный электромобиль Vision Mercedes-Maybach 6 Cabriolet : Запас хода Vision Mercedes-Maybach 6 Cabriolet — 500 км36

Apple продолжает активно расширять офисное пространство, еще не закончив штаб-квартиру Apple Park: С 1998 года штат Apple увеличился на 1500%12

Cмартфон Xiaomi Mi Mix 2 сможет распознавать пользователей по лицам: Анонс Xiaomi Mi Mix 2 ожидается в сентябре3

Передняя панель компьютерного корпуса Sharkoon TG5 изготовлена из закаленного стекла: Корпус Sharkoon TG5 рассчитан на системные платы типоразмера ATX1

IP-ядро процессора изображения Pinnacle Denali-MC поддерживает HDR: К достоинствам Denali-MC разработчик относит 16-битное представление данных

Ассортимент EK Water Blocks пополнил водоблок EK-FB GA X299 Gaming RGB Monoblock: Водоблок EK-FB GA X299 Gaming RGB Monoblock стоит 120 евро

Точка доступа EnGenius EAP2200 соответствует спецификации 802.11ac Wave 2: Продажи EAP2200 уже начались по цене $2393

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

октябрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать