06.12.2018 07:30
Occul
 
тип: сетевой червь
год: 2010
авторы: (?) (Моссад, Пентагон)
страны: Израиль, США
язык: C, C++
ОС, подверженные вирусу: MS Windows

Stuxnet - червь, нацеленный в первую очередь на системы промышленных предприятий, которые управляются автоматизированными производственными процессами, с целью перепрограммирвания их. Stuxnet был обнаружен в июне 2010 года, как на компьютерах обычных пользователей, так и в системах промышленных предприятий. Позже было объявлено, что оно является оружием правительства США и Израиля против иранских ядерных объектов.

Источником Stuxnet было множество спекуляций до тех пор, пока его подлинное происхождение и создатели не были раскрыты в книге «Конфронт и скрытие: секретные войны Обамы» и «Удивительное использование американской власти» Дэвида Сангера, информация которого была получена от утечки. Утечка показала, что американские и израильские правительства оказались за созданием червя. Израильтяне редко упоминали Stuxnet перед сливом из Белого дома, после чего они признали финансирование данног проекта. В Израиле также заявили, что именно они породили идею кибервойны, и США с самого начала неохотно вступали в данный проект.

1 июня 2012 года правительство США признало, что Stuxnet был создан и развернут в совместных усилиях США и Израиля по предотвращению производства Ираном ядерного оружия. Код операции под названием «Олимпийские игры» начался при администрации Буша и, как утверждается, усилился при его преемником. Использование червя для атаки на иранские ядерные объекты рассматривалось как менее смертельная альтернатива условной военной операции.

Червь был частично создан небольшим операционным подразделением в рамках стратегического командования Штатов. Израильские программисты из группы 8200, которые, как сообщает израильское правительство, внесли большой вклад в развитие данного червя.

Stuxnet был протестирован на центрифугах, сданных в 2003 году еще при ливийском лидере Муамаре Каддафи. Это те же самые типы центрифуг, которые использовались в Иране.

Stuxnet заразил ноутбук инженера на заводе в Нетензе и неконтролируемо распространился оттуда. Американские чиновники обвинили Израиль в ошибке кодирования, которая позволила червю выйти из-под контроля. Вице-президент Байден обвинил израильтян в том, что они «слишком далеко зашли».

Поведение
Stuxnet попадаk в систему через USB-Flash накопитель и начинал заражать все компьютеры под управлением Microsoft Windows. Используя настоящие цифровые подписи, которые создают впечатление надёжности, червь способен ускользнуть от антивирусной защиты.

Stuxnet использовал уязвимость в службе диспетчера очереди печати Windows для распространения по сетевым машинам. Он отправлял специально запрограммированный запрос печати на сетевой принтер, что позволяло выполнять его код на этой удаленной системе. Он «печатает» два файла, winsta.exe и sysnullevnt.mof, в подкаталог wbemmof в системной папке.

Когда съемный диск, зараженный Stuxnet, был подключен к компьютеру, червь копировал себя как файлы mrxcls.sys и mrxnet.sys в поддиректорию «drivers» в системной папке. Затем он создавал два ключа реестра локального компьютера, которые регистрируют эти файлы как службу.

Когда он не мог получить права администратора этими способами, он использовал уязвимость в Win32k.sys для повышения своих привилегий. Червь загружал файл в виде файла раскладки клавиатуры, который содержал код эксплойта, позволяющий ему выполняться с привилегиями SYSTEM.

Червь копировал себя в корень любых съемных дисков в виде файлов ~ WTR4132.tmp и ~ WTR4141.tmp.

Stuxnet использовал уязвимость нулевого дня автоматического выполнения LNK / PIF ​​для выполнения в целевой системе. Когда приложение, которое может просматривать исполняемый файл, просматривало файлы ссылок, файлы показывали код, который выполняет ~ WTR4132.tmp. ~ WTR4132.tmp.

Червь распространял себя по сетевым ресурсам, копируя себя как файл "DEFRAG.tmp".

При попытке удалить червь из системы червь создавал зашифрованные копии самого себя в подкаталоге inf в папке Windows с именем oem6C.PNF, oem7A.PNF, mdmcpq3.PNF и mdmeric3.PNF, а файл mrxcls.sys в каталоге драйверов расшифровывал данные копии.

Stuxnet отключал или обходил безопасность системы, проникая в процесс iexplorer.exe. Он также завершает 10 процессов, связанных с безопасностью:

1) avguard.exe
2) bdagent.exe
3) ccSvcHst.exe
4) ekrn.exe
5) fsdfwd.exe
6) Mcshield.exe
7) Rtvscan.exe
8) tmpproxy.exe
9) UmxCfg.exe
10) vp.exe

После получения контроля над системой Stuxnet проверял, является ли заражённый компьютер намеченной целью – частью АСУ ТП Simatic, разработанной Siemens с программным обеспечением SCADA Step 7 от Siemens. Такие системы используются в Иране для обслуживания центрифуг на заводах по обогащению урана и кроме того, большинство продуктов Siemens Simatic WinCC имели пароль по умолчанию, что повышало шансы проникновения..

Червь взаимодействовал с DLL-файлами, связанными с программным обеспечением SCADA, пытаясь получить доступ к файлам, связанным с программным обеспечением, включая cc_tag.sav, cc_alg.sav, db_log.sav, cc_tlg7.sav, а также любые файлы с расширениями .S7P, .MCP и .LDF.

Далее червь устанавливал себя в логический контролер промышленных систем SCADA-мониторов, используя уязвимость нулевого дня. Но если попытаеться просмотреть все блоки кода на зараженном ЛК, то ничего не получится, тк червь модифицировал файл s7otbxdx.dll, чтобы он мог манипулировать файлами в ЛК. Если червь обнаружит, что он находится на иранском ядерном объекте, то он останавливался там и начинал вносить в него изменения.

Stuxnet ищет преобразователи частоты, которые работают от 807 Гц до 1210 Гц, созданные Fararo Paya из Ирана и Vacon of Finland. Он изменял выходные частоты приводов и, следовательно, скорость связанных двигателей, на короткие интервалы в течение продолжительного периода, тем самым разгоняя центрифуги до разноса.

Червь был настроен на самоуничтожение в 2012.06.24.

Последствия
Stuxnet распространился по всему миру и его обнаруживали на самых разных предпритиях, достигнув даже МКС.

Данный случай застал врасплох многих специалистов компьютерной безопасности. «Это была первая реальная угроза, которая могла бы привести к политическим последствиям мирового масштаба», – говорил представитель Symantec. «В сухом остатке мы имеем то, что государство тратит миллионы долларов на развитие подобного вида кибероружия, и эта тенденция только усилиться в будущем», – Джеффри Карр – основатель и генеральный директор Taia Global. Несмотря на то, что Stuxnet на время замедлил иранскую программу по обогащению урана, он не достиг своей конечной цели. При этом хакеры еще продолжительное время использовали некоторые, находящиеся в открытом доступе фрагменты кода Stuxnet и реализованные в нем уязвимости для формирования своих собственных атак.(Последние подобные случаи таких атак были, если не ошибаюсь, в 2016 году)

Часть кода червя тут :
06.12.2018 09:44
sh00r00p
 
разве есть такой процесс - iexplorer.exe?
06.12.2018 10:08
Dim
 
Цитата:
sh00r00p разве есть такой процесс - iexplorer.exe?
это Internet Explorer
06.12.2018 10:08
OlegON
 
Цитата:
sh00r00p разве есть такой процесс - iexplorer.exe?
Так ословый же... Раньше точно был, сейчас сплошной Edge
06.12.2018 11:08
sh00r00p
 
Осёл называется iexplore.exe
06.12.2018 11:09
sh00r00p
 
Цитата:
OlegON Так ословый же... Раньше точно был, сейчас сплошной Edge
Он и сейчас есть. Только он всегда был iexplore.exe

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.