Znajdź zawartość

Microsoft potwierdził, że nowy niebezpieczny robak Duqu wykorzystuje nieznaną dotychczas dziurę w jądrze Windows. Niektórzy eksperci sądzą, że Duqu jest dziełem twórców Stuxneta. Dziurę w jądrze wykryła przed kilkoma dniami węgierska firma CrySyS, która analizowała instalator Duqu. Szkodliwy kod rozprzestrzenia się w jako odpowiednio spreparowany plik Worda. Specjaliści odkryli, że przynajmniej w jednym przypadku Duqu dokonał infekcji poprzez współdzielone w sieci wewnętrznej zasoby, zarażając maszynę, która nie miała bezpośredniego połączenia z internetem. Dotychczas Duqu był używany prawdopodobnie tylko przez osiem dni w sierpniu i tylko podczas precyzyjnych ataków. Zdaniem firmy Symantec ich ofiarami padło sześć firm działających we Francji, Holandii, Szwajcarii, na Ukrainie, w Indiach, Iranie, Sudanie i Wietnamie. Pojawiły się też informacje o infekcjach w Wielkiej Brytanii, Austrii i Indonezji. Wiadomo, że jednym z zadań Duqu jest szpiegowanie producentów przemysłowych systemów kontroli. To budzi podejrzenia, że zdobyte w ten sposób informacje zostaną użyte podczas kolejnych ataków. Ekspertom udało się zidentyfikować i wyłączyć jeden z serwerów kontrolujących Duqu. Maszyna znajdowała się w Belgii. Microsoft pracuje nad poprawką łatającą dziurę, którą wykorzystuje Duqu.

Znany włoski specjalista ds. bezpieczeństwa, Luigi Auriemma, znalazł 14 nowych dziur w systemach SCADA. Podatne na ataki są produkty Beckhoffa, MeasureSoftu, Rockwella, Carela, Progei, AzeoTecha oraz Cogenta. Oprogramowanie tych firm wykorzystywane jest m.in. w przemyśle lotniczym, kosmicznym i zbrojeniowym. Auriemma już w marcu bieżącego roku ujawnił 34 dziury zero-day w systemach SCADA. Ekspert krytykowany jest za to, że szybko ujawnia informacje o dziurach. Ja jedynie znajduję je i upubliczniam informacje tak szybko, jak to możliwe. I pamiętajcie - ja znajduję dziury, nie tworzę do nich złośliwego kodu. To developerzy są odpowiedzialni (oczywiście pośrednio), za jego powstawanie - czytamy na witrynie Auriemmy. W ubiegłym roku o systemach SCADA stało się głośno, dzięki odkryciu atakującego je robaka Stuxnet. Do dzisiaj nie wiadomo, kto jest jego autorem.

Po wielu miesiącach pracy Ralph Langner, jeden z najbardziej znanych badaczy Stuxneta, oficjalnie stwierdził, że robak jest dziełem amerykańskich i izraelskich służb specjalnych, a jego celem był atak na irańskie instalacje atomowe. Występując podczas konferencji TED w Kaliforni, Langner powiedział: uważam, że zaangażowany jest w to Mossad. Ale pierwsze skrzypce grał kto inny - Stany Zjednoczone. Już wcześniej specjaliści zauważyli, że stworzenie Stuxneta wymagało olbrzymich zasobów i wiedzy. Zdaniem Symanteka napisanie takiego kodu wymaga półrocznej pracy 5-10 ekspertów. Langner dodaje jeszcze jedno. By go napisać, twórcy musieli mieć pochodzące z wewnątrz informacje o tym, jak działa cel Stuxneta. Zaangażowane musiały być zatem agencje wywiadowcze przeciwników Iranu. Stuxnet atakował centryfugi o parametrach takich, jakie są używane przez Iran podczas procesu wzbogacania uranu. Ostatnio Międzynarodowa Agencja Energii Atomowej poinformowała, że rosyjscy specjaliści usunęli z irańskiego reaktora w Buszerze 163 pręty paliwowe. Iran twierdzi, że pręty zabrano, gdyż miały one defekt i nie ma to nic wspólnego z działaniem Stuxneta.

Specjaliści z Symanteka dokładnie określili mechanizm działania robaka Stuxnet i jego cele. Okazało się, że jego celem było atakowanie specyficznego typu silników, używanych m.in. w procesie wzbogacania uranu. Zadaniem Stuxneta było manipulowanie częstotliwością konwerterów i wpływanie przez to na prędkość pracy silnika. Stuxnet atakował komputery zawierające procesory S7-300. Pojedynczy robak był w stanie kontrolować do sześciu modułów komunikacyjnych CP-342-5 firmy Profibus, z których każdy można połączyć z 31 konwerterami częstotliwości. Co więcej, Stuxnet atakował konwertery tylko konkretnych producentów. Jednego z Finlandii i jednego z Iranu. Częstotliwość ich pracy wynosi od 807 do 1210 herców. Dokonując niewielkich zmian na przestrzeni wielu miesięcy Stuxnet mógł sabotować proces wzbogacania uranu. Zarówno fakt atakowania dwóch specyficznych producentów oraz wysoką częstotliwość pracy konwerterów, które mogą paść ofiarami Stuxneta, zawęża pole poszukiwania faktycznego celu robaka. Wiadomo na przykład, że takie konwertery to bardzo specyficzne urządzenia i np. w USA eksport konwerterów pracujących z częstotliwością 600 Hz jest nadzorowany przez Komisję Atomistyki, gdyż mogą być one użyte do wzbogacania uranu. Specjaliści Symanteka przyznają, że nie są ekspertami od przemysłowych systemów kontroli i nie wiedzą, gdzie jeszcze, poza wzbogacaniem uranu, stosuje się podobne konwertery.

Specjaliści z firmy The Last Line of Defense (TLLOD) twierdzą, że Iranian Cyber Army nie stworzyła potężnego botnetu, o którego prawdopodobnym istnieniu niedawno informowaliśmy. Zdaniem TLLOD przestępcy założyli fałszywe centrum kontroli, by uchronić swoje prawdziwe centrum przed zainteresowaniem ekspertów ds. bezpieczeństwa, atakami konkurencji oraz by przekazać fałszywe informacje. Analitycy TLLOD oparli swoje przypuszczenia na analizie narzędzi wykorzystywanych przez grupę. Okazało się, że ich zadaniem - obok wysyłania spamu - jest też przekazywanie fałszywych informacji. Narzędzia wyposażono w fałszywy panel administracyjny, którego zadaniem jest zbadanie kto sprawdzał te narzędzia i kto próbował dokonać włamania do panelu administracyjnego. Jeśli badania TLLOD się potwierdzą, będzie to oznaczało tylko tyle, że wciąż nie znamy siły botnetu utworzonego przez Iranian Cyber Army. Eksperci przypuszczają nawet, że sama nazwa grupy ma też wprowadzać w błąd. Badania sugerują bowiem, że członkowie organizacji porozumiewają się między sobą po rosyjsku.

Iranian Cyber Army, grupa która wcześniej zaatakowała Twittera i Baidu, przygotowuje gigantyczny botnet. Specjaliści uważają, że to właśnie ta grupa zaatakowała w ubiegłym miesiącu serwis TechCrunch i spowodowała, że jego czytelnicy byli zarażani szkodliwym kodem. Wykonane po tym ataku badania serwera cyberprzestępców wskazały, że organizacja dysponuje botnetem, w skład którego wchodzi co najmniej 400 000 komputerów. Gdy sprawdzaliśmy tę liczbę okazało się, że licznik na serwerze cyberprzestępców zresetował się, co oznacza, że jest ich znacznie więcej. Martwi nas, co Iranian Cyber Army może zrobić - mówią eksperci. A powody do zmartwień są naprawdę poważne, gdyż wspomniany botnet może liczyć już ponad... 20 milionów maszyn. Specjaliści nie wiedzą, czemu ma służyć tak olbrzymi botnet. Najprawdopodobniej będzie on za pieniądze wynajmowany innym grupom przestępczym i posłuży do rozsyłania spamu, szkodliwego kodu oraz przeprowadzania ataków na wybrane cele. Niewykluczone jednak, że Iranian Cyber Army będzie chciała zemścić się za robaka Stuxnet. Niektórzy przypuszczają bowiem, że powstał on po to, by atakować instalacje przemysłowe w Iranie.

Pochodzenie Stuxneta wciąż pozostaje zagadką. Dotychczas sądzono, że za jego powstaniem stoi któreś z państw, być może Izrael. Przemawia za tym niezwykłe zaawansowanie technologiczne robaka, co oznacza, że jego napisanie wymagało zaangażowania olbrzymich zasobów. Ponadto Stuxnet zaatakował systemy w Iranie, a w jego kodzie znaleziono informacje, mogące wskazywać właśnie na Izrael. Odkryto w nim bowiem słowo "mirt", który ma być aluzją do starotestamentowej Księgi Estery, w której opisano, jak Żydzi udaremnili spisek na dworze króla Persów, którego celem było ich zgładzenie. Ponadto w kodzie znajduje się też data 9 maja 1979 roku. Wówczas w Iranie dokonano egzekucji izraelskiego biznesmena. Jednak znany specjalista z Sophosa, Graham Cluley zauważa, że np. tego samego dnia urodziła się aktorka Rosario Dawson. Data może więc być wybrana przypadkowo albo ma naprowadzić analityków na ślepy tor. Cluley zauważa również, że bardziej niż Iran na atakach Stuxneta ucierpiały Indie czy Indonezja. Jego zdaniem robak niekoniecznie jest dziełem jakiegoś rządu. Mógł go stworzyć ktoś, kto ma bardzo szczegółową wiedzę o systemach SCADA Siemensa, a zatem obecny lub były pracownik tej firmy. Specjaliści nie są zatem zgodni, co do możliwego pochodzenia robaka. Wiadomo jednak, że jego celem nie jest kradzież, a typowy sabotaż przemysłowy, co wskazuje na motywy jego twórców i może być wskazówką dotyczącą autorstwa złośliwego kodu.

Robak Stuxnet, atakujący przemysłowe systemy SCADA działające pod kontrolą Windows, jest być może najbardziej zaawansowanym szkodliwym kodem w historii. Eksperci, którzy go analizowali twierdzą, że kod jest tak skomplikowany, iż wskazuje to na jakieś rządowe agencje stojące za jego powstaniem. To naprawdę niesamowite, ile zasobów poświęcono na napisanie tego kodu - stwierdził Liam O Murchu z Symanteka. Dla Roela Schouwenberga z Kaspersky Lab Stuxnet jest przełomowy. Ekspert mówi, że w porównaniu z nim kod Aurora, który złamał zabezpieczenia serwerów Google'a to dziecinna zabawka. O istnieniu Stuxneta jako pierwsza poinformowała w połowie czerwca mało znana białoruska firma VirusBlokAda. Jednak głośno zrobiło się o nim miesiąc później, gdy Microsoft potwierdził, że skutecznie atakuje on systemy SCADA, wykorzystywane w przemyśle do kontrolowania linii produkcyjnych, elektrowni czy rurociągów. Kolejne tygodnie badań wykazały, że Stuxnet działa co najmniej od czerwca 2009 roku. Początkowo myślano, że wykorzystuje on pojedynczą dziurę w Windows. Microsoft ją załatał, jednak wkrótce okazało się, że twórcy Stuxneta znali jeszcze inne luki i w sumie wykorzystywali cztery dziury. Ponadto po infekcji robak wyszukiwał i skutecznie atakował systemy SCADA produkcji Siemensa. Nigdy nie widzieliśmy kodu, który wykorzystuje cztery dziury typu zero-day. To czyste szaleństwo - mówi O Murchu. W międzyczasie Microsoft załatał - w ramach ostatnich poprawek Patch Tuesday - kolejną z dziur, a dwie pozostałe, mniej groźne, mają doczekać się łat w późniejszym terminie. Jednak Stuxnet nie poprzestaje na nowych dziurach. Atakuje też lukę, którą Microsoft poprawił w 2008 roku w ramach biuletynu MS08-067. To ta sama dziura, którą pod koniec 2008 i na początku 2009 roku wykorzystywał Conficker, infekując miliony komputerów. Stuxnet przenosi się za pomocą klipsów USB. Gdy już znajdzie się w sieci wewnętrznej, atakuje kolejne komputery wykorzystując jeden ze wspomnianych już błędów. Szuka w ten sposób maszyn z oprogramowaniem WinCC oraz PCS7 do zarządzania systemami SCADA. Gdy je znajdzie, dokonuje ataku za pomocą spoolera drukarki sieciowej lub dziury MS08-67. Następnie próbuje uzyskać uprawnienia administracyjne za pomocą fabrycznych haseł Siemensa. Gdy mu się to uda, wprowadza zmiany w oprogramowaniu PLC i zaczyna wydawać systemowi SCADA polecenia. Twórcy Stuxneta wyposażyli go nawet w co najmniej dwa autentyczne, skradzione certyfikaty cyfrowe. Poziom organizacji i skomplikowania całego pakietu wchodzącego w skład robaka jest imponujący. Ktokolwiek go stworzył, zrobił to tak, by móc atakować dowolną firmę - mówi Schouwenberg. A O Murchu dodaje, że szkodliwy kod wykorzystuje tak różne techniki, iż musieli pracować nad nim ludzie o bardzo różnych umiejętnościach i doświadczeniu. Od specjalistów tworzących rootkity, poprzez znawców systemów bazodanowych po osoby wiedzące, jak pisze się złośliwy kod wykorzystujący dziury w oprogramowaniu. Kod Stuxneta zajmuje aż pół megabajta i został napisany w wielu różnych językach, w tym w C i C++. O tym, jak olbrzymimi zasobami dysponowali twórcy Stuxneta może świadczyć chociażby fakt, iż musieli mieć do dyspozycji własne przemysłowe oprogramowanie i sprzęt, by móc przetestować swój kod. To bardzo wielki projekt - mówi O Murchu. Eksperci mówią, że autorzy robaka są też niezwykle sprytni. Wskazuje na to fakt, że do ataku na MS08-67 dochodzi tylko i wyłącznie w momencie, gdy kod jest pewny, iż ma do czynienia ze SCADA. W większości sieci używających tego typu systemów nie stosuje się logowania zdarzeń, systemy bezpieczeństwa są w nich bardzo ograniczone, a komputery łatane niezwykle powoli. Dlatego też, jak uważają O Murchu i Schouwenberg, obraz całości świadczy o tym, że za Stuxnetem stoi rząd jakiegoś kraju. Żaden cybergang nie dysponuje bowiem zasobami, które pozwoliłyby na stworzenie tak zaawansowanego kodu. Świadczy o tym też fakt przeprogramowywania PLC, a zatem przestawiania urządzeń na inny sposób produkcji, niż życzyliby sobie właściciele fabryki. To pokazuje, że za Stuxnetem kryje się coś więcej niż szpiegostwo przemysłowe i próba kradzieży informacji. Na ataku szczególnie ucierpiał... Iran. To w tym kraju znajdowało się w pewnym momencie aż 60% komputerów zarażonych Stuxnetem. Autorzy robaka mogli kontrolować dzięki niemu produkcję niektórych zakładów przemysłowych. Specjaliści wskazują jednocześnie, że infrastruktura użyta do kontrolowania Stuxneta była niezwykle prymitywna. To, ich zdaniem, może wskazywać, że twórcy robaka byli przekonani, iż osiągną swoje cele zanim szkodliwy kod zostanie odkryty.