Как работает «червь» Stuxnet
Stuxnet — это вредоносная компьютерная программа (англ. malware) являющаяся ключевым инструментом таргетированной кибератаки (англ. advanced persistent threat, APT), произведенной на иранском заводе, занимающемся обогащением урана. Это был очень нетривиальный и нашумевший кейс, который повлиял не только на индустрию кибербезопасности в тот период времени, но и имел политические последствия во взаимоотношениях стран Запада (прежде всего, США и Израиля) и Ирана.
Как стало известно из расследования инцидента, Stuxnet был загружен в сетевую инфраструктуру (сервера, автоматизированные рабочие места операторов, хранилища данных и сети передачи) автоматизированной системы управления технологическим процессом (АСУ ТП и англ. SCADA) иранского ядерного комплекса. Простым языком — вредоносный код попал на компьютеры, управляющие технологическим циклом обогащения ядерного материала.
Программа установила неверные технические параметры работы ключевых агрегатов завода: скорости вращения вала центрифуг, датчиков давления, температуры, системы вентиляции и охлаждения — в результате чего оборудование стало работать во внештатном режиме и впоследствии через какое-то время вышло из строя. Проблема заключалась в том, что агрегаты из-за неверной конфигурации стали выполнять физические действия, которые невозможно было исправить на программном уровне. Поврежденное оборудование оказалось очень дорогостоящим, и его замена потребовала большого количества времени.
Это всё полностью парализовало работу завода на долгое время. Фактически произошедшее было эквивалентно ракетной атаке или диверсии с большим количеством взрывчатки, произведенной в комплексе. Говоря о последствиях этой кибератаки, можно вспомнить слова госсекретаря США Хиллари Клинтон в 2011 году, которая откровенно заявила, что проект по разработке вируса Stuxnet оказался успешным и иранская ядерная программа будет отброшена на несколько лет назад. Иранцам пришлось избавиться от 1 тысячи центрифуг для обогащения уранового топлива, пораженных Stuxnet.
Если вдаваться в технические детали кибератаки, то вредонос Stuxnet использовал недокументированные возможности операционной системы Windows (что также иногда называют «программной закладкой», или на англ. backdoor), которая была установлена на всех управляющих компьютерах и автоматизированных рабочих местах операторов завода. Это позволило обойти все стандартные средства защиты и получить полный доступ к технологическому оборудованию.
Усугубляло ситуацию то, что уязвимость ПО получила классификацию уязвимости нулевого дня, — то есть для нее на момент обнаружения не был доступен пакет обновления от разработчика, то есть от Microsoft.
Хотя на текущий день существует несколько версий появления Stuxnet, одна из вероятных говорит о том, что в ОС Windows компанией-разработчиком изначально закладывались такие лазейки в программном коде, которые в случае критической необходимости могли быть использованы национальными спецслужбами для проведения кибердиверсии. Это негативно повлияло на Microsoft, дав широкой общественности дополнительный повод подозревать ее в связях с АНБ или ЦРУ. Именно этот инцидент значительно повлиял на ускоренный выход на рынок продуктов, нацеленных на защиту АСУ ТП (SCADA), изменения подхода к управлению уязвимостями ПО и необходимости сертификации ПО, используемого для критически важной инфраструктуры.
Проводились ли подобные кибератаки впоследствии
То, что произошло в Иране, — пожалуй, самый известный и громкий кейс кибердиверсии, в котором использовалось вредоносное программное обеспечение, использующее уязвимость нулевого дня для атаки на критически важную инфраструктуру. Причем это был показательный кейс, настоящий успех той стороны, которая подготовила и провела операцию. Такие кибероперации требуют большого количества времени на подготовку, штат лучших специалистов в своей области, существенный бюджет и большое материальное обеспечение. Это под силу только государственным структурам или хакерским группировкам мирового уровня.
Результат должен стоить всех вложенных в него усилий. Поэтому атаки такого рода — довольно редкие явления. Но это не значит, что таких киберопераций больше не проводится.
Скорее всего, мы просто не читаем о них в новостях. И тому есть несколько причин. Во-первых, не все кейсы получают громкую огласку, часть из них сознательно «заминаются» — ведь это существенный удар по репутации компании и стоимости ее акций на бирже. Во-вторых, с 2010 года на рынке появился класс продуктов безопасности, которые предусматривают превентивную защиту от атак, связанных с уязвимостью нулевого дня. Программное обеспечение, используемое в госорганах и критической инфраструктуре, теперь проходит обязательную сертификацию на предмет обнаружения недокументированных возможностей, а сетевой периметр систематически должен проходить проверку «тестированием на проникновение» (англ. penetration test).
Это усложняет и удорожает процесс подготовки к проведению кибератак, а в некоторых случаях делает их невозможными. Однако уязвимости нулевого дня и вредоносное программное обеспечение не редкость в современном мире. Их использование — большая головная боль для экспертов по кибербезопасности.
Так, например, в 2014 году в Германии жертвой атаки стал один из металлургических заводов. Хакеры, применив социальную инженерию, получили доступ к компьютеру одного сотрудника, а далее через него — к внутренней сети системы управления. В результате этого стало невозможным выключить одну из плавильных домен (печей), что нанесло огромный ущерб предприятию. Другой случай связан с атакой на электросеть Украины, которая произошла в 2015 году. В результате свыше 600 тысяч жителей на какое-то время остались без электричества.
С учетом того, что информационные системы сегодня стали в том числе и полем боя, мы можем всё чаще и чаще слышать о применении кибероружия. И, судя по тем тенденциям, что сейчас происходят в мире, мы скоро снова увидим громкие кейсы в этой сфере.
Похожие сообщения
Актуальное
В Элисте во время обыска в квартире взорвалась бомба, ранены три росгвардейца. Обыск проходил по делу о другом взрыве
Взрывное устройство сработало в квартире жителя Элисты во время обыска, ранены три росгвардейца. Об этом сообщает ТАСС со ссылкой на правоохранительные органы Калмыкии. Мужчина, к которому пришли с обыском, подозревается в том, что накануне взорвал бомбу в центре по оказанию психологической помощи.
Президент Венгрии Новак подала в отставку. Она помиловала сообщника педофила, которого оппозиция связала с партией Орбана
Президент Венгрии Каталин Новак, которая находилась в должности с 10 мая 2022 года, досрочно сложила полномочия. Ее обращение к гражданам опубликовал венгерский телеканал М1.
Defense One: Россия использует спутниковые устройства Starlink компании SpaceX Илона Маска в Украине по всему фронту
Российские войска используют десятки терминалов Starlink на всей протяженной линии фронта в Украине, сообщает американский военный портал Defense One со ссылкой на украинские источники. Свидетельства этому начали появляться в соцсетях несколько месяцев назад. Российские волонтерские группы, поддерживающие армию, также демонстрировали терминалы Starlink, приобретенные для боевых подразделений.
В Санкт-Петербурге на территории завода алюминиевых сплавов нашли взрывное устройство — SHOT
На территории Всеволжского завода алюминиевых сплавов в Санкт-Петербурге было найдено взрывное устройство мощностью около 2 кг тротила, сообщает SHOT со ссылкой на источники. Оно было обезврежено.