Разработчики Stuxnet совсем не гении кибершпионажа - они совершили ряд
ошибок, которые позволили обнаружить их вирус значительно раньше, что означало
менее широкое, чем предполагалось, распространение червя.
Пользующийся дурной репутацией
червь Stuxnet,
заражающий системы управления SCADA, иногда называют первым в мире кибероружием.
Ему удалось инфицировать оборудование, связанное с ядерной программой Ирана,
перепрограммировать системы управления для изменения режимов работы
высокоскоростных центрифуг для обогащения урана, что привело к превышению
допустимого количества ошибок. Вирус тщательно скрывал свое присутствие в
инфицированных системах. В дополнение, Stuxnet использовал четыре эксплойта
"нулевого дня" для Windows, а также украденные цифровые сертификаты.
Всё это не впечатлило консультанта по безопасности Тома Паркера, который во
вторник сказал на конференции Black Hat DC, что разработчики Stuxnet сделали
некоторое количество ошибок. Например, механизмы управления, которые использовал
червь, были "неизящны" уже даже потому, что посылали команды открытым текстом, в
незашифрованном виде. Червь получил широкое распространение в Сети, что, по
словам Паркера, было неподходящим для предполагаемых целей - служить механизмом
для саботажа промышленных систем. Также стоит отметить, что технологии
обфускации кода были неубедительны.
Паркер не спорит, что червь всё же изощренный; не спорит он и с тем, что
требовались существенные навыки и тестирование, чтобы его разработать. "Кто бы
его ни сделал, они должны был знать программирование WinCC, Step 7, должны были
знать платформенные процессы, должны были способны реверсировать ряд файловых
форматов, а также знать как создавать руткиты и эксплойты", - по сообщениям
Threatpost сказал Паркер. "Это широкий спектр знаний".
Паркер представил теорию, что, возможно, две команды были задействованы в
создании Stuxnet: одна – команда умелых black-hat программистов, которые
работали над кодом и эксплойтами, а вторая – гораздо менее компетентная группа,
которая сделала сам вирус – то место, где найдено большое количество недостатков
в коде. Он предположил, что западные власти, скорее всего, не несут
ответственности за разработку Stuxnet, потому что их спецслужбы лучше бы сделали
такой вирус.
Нэт Лоусон, эксперт по безопасности встроенных систем, также критиковал
маскировочные и обфускационные приёмы, которые применяли создатели вируса,
говоря что болгарские тинэйджеры добились намного больших успехов в этом уже
давно – в 1990х годах (тут он намекает на технологии полиморфизма, которые
впервые были представлены болгарскими вирусописателями в 1991 году, - прим.
ред.).
"Вместо того, что бы гордиться его невидимостью и таргетированием, авторы
должны стыдиться своего любительского подхода к сокрытию данных", - пишет Лоусон.
"Я очень надеюсь, что червь не был создан в США, потому что мне хотелось бы
думать, что наши лучшие разработчики кибероружия хотя бы знают, что сделали
болгарские тинэйджеры еще в начале 90х годов".
Он продолжает:
"Во-первых, там нет какой-либо особенной запутанности. Конечно, там есть
стандартные вещи для того, чтобы скрыться от антивирусов, XOR-маскрирование и
внедрение в ядро операционной системы. Но Stuxnet здесь ничем не лучше, чем
любая другая вредоносная программа, открытая в прошлом году. Червь не использует
обфускацию на основе виртуальной машины, не использует новые антиотладочные
методы или еще что-то, что могло бы отличить его от сотен образцов malware,
которые находят каждый день".
"Во-вторых, разработчики Stuxnet, похоже, не подозревают о более продвинутых
способах определения цели. Они используют простой контроль "if/then", чтобы
опознать системы Step 7 и их контроллеры периферийного оборудования. Если это
была операция высокопоставленных властей, я надеюсь, что они знают, как
использовать такие вещи, как хэширование или шифрование, чтобы в открытую не
показывать то, на что нацелен их код", - добавляет он.
Существует несколько теорий о разработке Stuxnet, самая вероятная из которых
предполагает, что он был разработан спецслужбами США и Израиля как средство
саботажа ядерного оборудования Ирана без перехода к прямым военным действиям. В
репортаже New York Times,
вышедшем ранее на этой неделе, предполагалось, что Stuxnet был совместной
операцией США и Израиля, которая была опробована Израилем на промышленной
системе управления ядерного центра Dimona в 2008 году перед выходом в свет
примерно в июне 2009 года. Червь не был обнаружен никем на протяжении года, что
значит, что червь, невзирая на все свои недостатки, успешно избегал обнаружения
на взломанных системах.