Одна из негативных тенденций последнего времени состоит в том, что все большее распространение получают целевые атаки на ИТ-системы. В том числе, на АСУ ТП, управляющие технологическими процессами. Самый нашумевший случай такого рода — червь Stuxnet (“Стакснет”), который в 2010 г. вывел из строя около тысячи урановых центрифуг в Натанзе (они управлялись посредством сименсовских контроллеров), чем нанес серьезный ущерб иранской атомной программе. Создатели этого вируса доподлинно не известны, но в блоге Евгения Касперского (январь 2011 г.) отмечается, что с высокой степенью вероятности заказчиками данного очень грамотно написанного червя (бюджет его создания оценивается в несколько млн. долл.) выступили спецслужбы США и Израиля.
А вот ещё. В прошлом квартале в СМИ появилось сообщение, что компьютерный вирус, улавливающий информацию, вводимую на клавиатуре, заразил систему контроля американских беспилотных летательных аппаратов (БЛА). По данным Associated Press, “сей вирус не смог остановить полеты БЛА, и никакая секретная информация не была утеряна. Однако специалистам Пентагона пока не удалось его уничтожить”. А в декабре прошлого года появилось известие о том, что иранским военным удалось посадить на своей территории суперсекретный американский беспилотник RQ-170 Sentinel, выведя из строя электронную систему управления данным аппаратом. Подробности этой операции не разглашаются, но некоторые эксперты считают, что она является своего рода “киберответом” на “кибератаку” червя Stuxnet.
Впрочем, о возможности использования компьютерных вирусов для управления вражескими летательными аппаратами ещё в 2011 г. во время “Дня открытых дверей” говорил основатель и технический директор ООО “Доктор Веб” (в прошлом — военный летчик) Игорь Данилов. Однако вполне вероятно, что вирусы здесь и не при чем. По неподтвержденным данным, для перехвата управления беспилотником RQ-170 использовались комплексы радиоэлектронной борьбы 1Л222 “Автобаза”, поставленные Ирану Россией. В то же время в США заявляют, что беспилотник упал сам, когда у него закончилось топливо. И требуют отдать аппарат его законным владельцам.
В прошлом году был обнаружен вредоносный код Dugu. Данного троянца McAfee и Symantec назвали “новый Stuxnet”. Эти американские компании считают, что троянец Dugu как и червь Stuxnet создан для повреждения компьютерных систем, управляющих промышленными объектами. Но если Stuxsnet воздействовал на промышленное оборудование (SCADA-системы), то Dugu проникает в промышленные системы для хищения из них различных данных. Специалисты McAfee и Symantec предполагают, что Dugu создан по инициативе крупных хакерских объединений, заинтересованных в промышленном шпионаже.
Более определенно на этот счет высказывается главный антивирусный эксперт “Лаборатории Касперского” (ЛК) Александр Гостев. Он говорит: “С точки зрения архитектуры платформа, на которой созданы Duqu и Stuxnet, одинакова. Это файл-драйвер, который осуществляет загрузку основного модуля, выполненного в виде зашифрованной библиотеки. При этом существует отдельный файл конфигурации всего вредоносного комплекса и специальный блок в системном реестре, определяющий местоположение загружаемого модуля”. Сообщается, что общие корни вредоносных программам были выявлены в ходе анализа одного из инцидентов, связанных с Duqu. Во время исследования зараженной системы, атака на которую, предположительно, произошла в августе 2011 г., эксперты ЛК обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Но были и отличия — например, дата подписания цифрового сертификата.
Более того — эксперты ЛК нашли семь типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались. По версии экспертов ЛК, киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи. “Таким образом, Duqu и Stuxnet — это отдельные проекты, создававшиеся на основе единой платформы “Tilded”, которая была разработана еще в конце 2007 — начале 2008 гг., — отмечает Александр Гостев. — Скорее всего, они не были единственными, но цели и задачи других вариантов троянской программы пока не известны. Не исключено, что данная платформа продолжает развиваться. Причем тот факт, что троянец Duqu уже обнаружен антивирусными экспертами, потребует от злоумышленников внесения в нее очередных изменений”.
По прогнозам экспертов ЛК, в нынешнем году нас ждут новые происшествия, в основном связанные с утечками данных из государственных ведомств. “Целевые атаки на крупные корпорации и правительственные структуры, а также научно-исследовательские институты дойдут до России в полной мере, — считает Александр Гостев. — При этом основную группу риска в нашей стране составят компании нефтегазовой отрасли, энергетики, а также секторы тяжелого машиностроения, инжиниринга и добывающей промышленности”.
К этому необходимо добавить следующее. Как мы уже отмечали, высокоинтеллектуальные узкоспециализированные вирусы, предназначенные для организации целевых кибератак, вызывают серьезную озабоченность не только у специалистов, отвечающих за безопасность госструктур, промышленных объектов и летательных аппаратов, но и у топ-менеджеров ЦОДов, являющихся основой различных облачных сервисов.