ВирусWin32/Stuxnet и АЭС

[Serg]

1. ВирусWin32/Stuxnet, атаковавший промышленные киберсистемы иранской атомной станции в Бушере, появился в Китае, где от атаки вредоносного ПО, созданного для шпионажа пострадали более 6 млн, пользовательских компьютеров и около тысячи промышленных.
http://evrazia.org/news/15278

2. Более 6 миллионов персональных компьтеров китайских пользователей пострадали от атаки вируса Stuxnet, из-за которого ранее был отложен запуск первой иранской атомной электростанции "Бушер".
http://www.daysru.com/news/%D0%B2-%D0%B ... itai-25795

3. Специалистам китайской компании удалось выяснить, что компьютерный "червь" Stuxnet, попадая в новую систему, крадет частную информацию и направляет ее на сервер, расположенный в Соединенных Штатах.
http://www.rbc.ru/rbcfreenews.shtml?/20 ... 5656.shtml

4.ИПУ РАН является одним из ведущих российских разработчиков технологий и ПО для АСУ ТП АЭС.
В частности, системы верхнего блочного уровня (СВБУ), разрабатываемые в России, базируются не технических решениях, предложенных ИПУ РАН.
ИПУ РАН является разработчиком СВБУ(http://www31.ipu.rssi.ru/svbu.html) для АЭС "Бушер"(Иран) и поставщиком ПО для АЭС "Куданкулам" (Индия), а также поставляет компоненты ПО и системы на отечественные ядерные установки.
http://forum.elsite.ru/index.php?topic=154406.0

5.В отличие от большинства других вирусов, Stuxnet поражает именно те компьютерные системы, которые из соображений повышенной безопасности не подключены к интернету. Программа переносится посредством USB-флешек, используемых для передачи файлов с одного компьютера на другой. Проникнув в один из компьютеров внутренней сети, он разыскивает определенную конфигурацию ПО, контролирующего промышленные объекты и разработанного германским концерном Siemens.
http://rus.ruvr.ru/2010/09/24/22105061.html

Что-то все похоже на какой-то бред.
Кто как думает где правда?
На иранской АЭС утановлены винды(1) или что-то еще(QNX)(4) ?
Вирус поражает оборудование Сименс(5) или ворует инфу(3)?
Расчитан ли вирус именно на промышленные объекты?(2)
Насколько вообщ реально занести вирус на АЭС(именно на энегроболк, а не в административную сеть)?

[Shuryk]

3. Специалистам китайской компании удалось выяснить, что компьютерный "червь" Stuxnet, попадая в новую систему, крадет частную информацию и направляет ее на сервер, расположенный в Соединенных Штатах.
http://www.rbc.ru/rbcfreenews.shtml?/20 ... 5656.shtml

5.В отличие от большинства других вирусов, Stuxnet поражает именно те компьютерные системы, которые из соображений повышенной безопасности не подключены к интернету. Программа переносится посредством USB-флешек, используемых для передачи файлов с одного компьютера на другой. Проникнув в один из компьютеров внутренней сети, он разыскивает определенную конфигурацию ПО, контролирующего промышленные объекты и разработанного германским концерном Siemens.
http://rus.ruvr.ru/2010/09/24/22105061.html

Ну допустим он через флэшку "сел" в сеть. Но КАК он сливает инфу без Инета в США ?! Теми же флэшками ?

[Graf Mur]

Эксперты по кибербезопасности убеждены, что Stuxnet — это высокоточное, сугубо избирательное оружие, остро заточенное под поиск и уничтожение одной-единственной конкретной цели.

При всей своей перегруженности программа Stuxnet написана чрезвычайно хорошо и грамотно. Она очень, очень тщательно заточена под то, чтобы ничего не поломать и не нарушить в заражаемых ею системах, чтобы не было видно абсолютно никаких внешних признаков инфицирования, а самое главное, она делает все для гарантирования того, чтобы ее окончательная миссия, которая манипулирует параметрами и кодами в управляющем компьютере SPS, была запущена и выполнена лишь в том случае, когда имеется полная уверенность, что это именно та самая система, на которую программа изначально была нацелена.

Червь Stuxnet действительно занят непрерывными поисками, однако разыскивает он очень специфические установочные параметры системы, нечто вроде ее "отпечатков пальцев", которые говорят, что именно работает под управлением PLC или программируемого логического контроллера. Как уже говорилось, промышленные SCADA-системы весьма специфичны для каждой конкретной фабрики. Они состоят из множества небольших узлов, измеряющих температуру, давление, потоки жидкостей и газов, они управляют вентилями, моторами, и всем прочим хозяйством, необходимым для поддержания нередко опасных промышленных процессов в рамках их норм безопасности и в пределах эффективности. Таким образом, оба компонента систем - аппаратные модули конфигурации и программное обеспечение - являются специфическим набором, изготовляемым для каждой конкретной фабрики. Ну а с точки зрения червя Stuxnet все эти вещи выглядят как "отпечаток пальцев". И лишь только в том случае, если идентифицирована надлежащая конфигурация, он начинает делать больше, много больше, нежели просто тихо распространять себя в поисках цели.

(Именно эта особенность программы свидетельствует об одной принципиально важной вещи: атакующая сторона очень точно знала конфигурацию выбранной цели. Она наверняка должна была иметь поддержку инсайдера или группы инсайдеров внутри фабрики, либо какой-то еще способ доступа к программной части и аппаратной конфигурации избранного для атаки объекта.)

Среди шагов, которые, как обнаружил Лангнер, делает Stuxnet при обнаружении искомой цели, оказались изменения в фрагментах программного кода Siemens, известного как "оперативный Блок 35". Этот важный компонент программы Siemens занимается мониторингом критических производственных операций — вещей, которые требуют срочной реакции в пределах 100 миллисекунд. Вмешиваясь в работу Блока 35, Stuxnet может, к примеру, легко вызвать аварийный сбой в работе, ведущий к саморазрушению промышленного процесса. Так, во всяком случае, это видит Лангнер.

По свидетельству Лангнера, "Stuxnet — это стопроцентно целенаправленная кибератака, нацеленная на уничтожение некоего промышленного процесса в физическом мире. Это явно не имеет отношения к шпионажу и похищениям информации, как полагали некоторые. Это абсолютно диверсионная атака".

[Graf Mur]

вирус Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы и пресловутый «человеческий фактор», Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Заказчик – неизвестен. Исполнитель – нерадивый сотрудник Siemens, вставивший инфицированный флэш-накопитель в рабочую станцию. Ущерб, нанесенный ядерным объектам Ирана, сопоставим с ущербом от атаки израильских ВВС.

(Хабр)

[[TEQUILA]]

Ищи, кому это выгодно (с)

[Andreyka]

Какие-то бредовые мысли. Вроде не 1-апреля. Хотя нет"профильного образования, но могу предположить, что на компы,рботающие на атомной станции и что-то там обслуживающие НЕ могут иметь Win 32 на борту, Там нужна ОС реального времени

Элементарно, промышленные устройства могут содержать специфическую ОСь или вообще ее не содержать, вот только те же файлы конфигурации (прошивки) могут создаваться и редактироваться на компах под виндой. Осталось только выловить момент записи конфигурационного файла (или "компиляции" прошивки) и подправить его в нужных местах.

Ну допустим он через флэшку "сел" в сеть. Но КАК он сливает инфу без Инета в США ?! Теми же флэшками ?

На флешках есть свободное место (иногда очень много))). Так что туда можно записать целую базу данных о зараженных компах (или всей сети) где побывала флешка, при этом не оставив следов в файловой системе. Так что информация будет путешествовать между компьютерами со скоростью пешехода, но стоит подключить флешку к компу с интернетом, инфа сразу уйдет кому надо :pleasantry:

П.С. Ну это так, на вскидку.

[Graf Mur]

По сведениям Symantec, червь Stuxnet разыскивал специфические промышленные преобразователи частоты, производимые только двумя компаниями: одна в Финляндии, другая - в Иране. Программа следила за работой преобразователей, и если частота оказывалась в диапазоне от 807 до 1210 герц, брала управление на себя. Частотные преобразователи могут использоваться для чего угодно, но такая частота указывает на одно конкретное применение - центрифуги, применяемые для обогащения урана.

(computerra.ru)

[KO3A]

Так оно и есть:
http://news.cnet.com/8301-27080_3-20022845-245.html

[Graf Mur]

Компьютерный червь Stuxnet, поразивший около трех месяцев назад ядерные объекты Ирана, отбросил атомную программу страны на два года назад. Об этом 14 декабря заявил в интервью газете The Jerusalem Post немецкий IT-специалист Ральф Лангер (Ralph Langer), одним из первый проанализировавший код вируса.
По словам эксперта, применение вредоносной программы оказалось по эффективности сравнимо с полноценной военной операцией, но при отсутствии жертв среди людей. Лангер заявил, что Ирану придется оправить на свалку все зараженные Stuxnet компьютеры, поскольку избавиться от вируса крайне сложно. Более того, предположил специалист, иранские ядерщики должны будут починить центрифуги в Натанзе (Natanz) и, возможно, купить новую турбину для бушерской АЭС. Все это, по мнению, Лангера, займет не менее двух лет.
Он также отметил, что, скорее всего, Иран до сих пор не избавился от червя, хотя власти этой страны заявили об обратном еще 4 октября.

(lenta.ru)