Цифровая холодная война: кибероружие против государств и корпораций

19 Мая 2015

АВТОР: Сергей Пожарненков, руководитель практики систем идентификации и контроля доступа к ИТ ресурсам

Сидя на диване у себя дома и глядя голливудское кино о том, как «плохие хакеры» устроили техногенную катастрофу, решив заработать немного денег, вам меньше всего верится, что это реально. Увы… Cообщения о компьютерных инцидентах все больше и больше напоминают сводки с линии фронта.

На передовом крае АСУ ТП

Торможением автомобиля, оснащенного антиблокировочной системой, и работой инжекторного двигателя управляет микроконтроллер и встроенная программа. В крупных офисных центрах интеллектуальные системы управляют климатом. Бытовая техника, сигнализации, детские игрушки — в современном мире микроконтроллеры везде, и их появляется все больше, крохотных устройств, применяемых в различных сферах нашей жизни. Эти микроконтроллеры и управляющие ими программы становятся все интеллектуальнее и сложнее. По мере того, как управление технологическими процессами, процессами производства материальных благ, системами безопасности передается компьютерам и компьютерным программам, защита автоматизированных систем управления технологическими процессами (АСУ ТП) все больше и больше выходит на передний край. Ведь АСУ ТП — это область, где виртуальный мир соприкасаются с миром физическим, с нашей с вами жизнью.

В фильме «Хакер» (Blackhat, 2015) злоумышленник загружает вирус в микроконтроллер насоса охлаждения реактора на атомной станции в Китае, в результате чего насос ломается, происходит перегрев реактора и катастрофа. Думается, в основу этого сюжета заложен инцидент со Stuxnet.

«Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн», — так Евгений Касперский, генеральный директор компании «Лаборатория Касперского», прокомментировал появление компьютерного червя, нанесшего ущерб производству в нескольких странах мира. Больше всего в этой серии инцидентов пострадал Иран.

В разгар лета 2010 года инженер иранского подразделения компании Siemens, обслуживающий промышленное оборудование на ядерных объектах случайно инфицировал компьютер, контролирующий технологический процесс, вставив в него флешку, зараженную червем. Скорее всего, инженер просто не знал о заражении. Вирус умело скрывался и сумел обойти антивирус и анти-руткит, будучи подписанным двумя действующими сертификатами уважаемых компаний Realtek и JMicron. Встроившись между системой управления и оборудованием (в данном случае центрифугой по обогащению урана) вирус начал создавать помехи работы частотного преобразователя, управляющего работой электромоторов. Такое воздействие на центрифугу создает вибрацию, разрушающую ротор устройства и, в свою очередь, может привести к взрыву.

Stuxnet поразил 1368 центрифуг из 5000 на заводе по обогащению в Натанзе, а также сорвал сроки запуска АЭС в Бушере. Несмотря на то, что иранские власти склонны замалчивать последствия вирусной атаки, эксперты считают, что иранская ядерная программа была отброшена назад на срок от полугода до года. Оценивая ущерб от действия Stuxnet в Иране, журналисты New York Times сравнили его с ущербом от налета израильских ВВС.

Счастье, что авария на столь серьезном объекте закончилась без человеческих жертв и радиоактивного заражения. А вот крушение рейса 5022 авиакомпании Spanair 20 августа 2008 года возле мадридского аэропорта Барахас стоило жизни 154 человек. Считается, что причиной трагедии стал вирус, поразивший информационную систему авиакомпании, в результате чего три технические проблемы, возникшие на борту, не были идентифицированы системой технического контроля, и борт был допущен к полету.

Анализируя Stuxnet, различные эксперты пришли к одному выводу — вирус был разработан группой от 7 до 10 высоко квалифицированных специалистов, потративших на разработку около полугода, и обошелся заказчику примерно в $3 млн. Учитывая, что вирус был специализирован для воздействия на определенный тип контроллеров, эксперты единодушны во мнении — данная вирусная атака была спланирована и нацелена именно на иранскую ядерную программу. Будучи беспрецедентной по соотношению нанесенного ущерба к затраченным средствам, сохранив инкогнито личность атакующего, атака Stuxnet открыла новую эпоху. Эпоху, когда совершить теракт можно не вставая с дивана.

Целенаправленные атаки на информацию — Advanced Persistent Threat (АРТ)

Термин АРТ впервые использовал полковник ВВС США Грег Рэттрей (Greg Rattray) в 2006 году, хотя атаки подобного рода фиксировались и годом ранее группой компьютерных экспертов CERT в США и Великобритании. Данный вид атак характеризуется фокусом на определенную информационную систему компании (или государства) — жертвы. Противодействовать подобным атакам крайне сложно, т. к. инструмент атаки является уникальным, разработанным специально для проникновения и нанесения вреда определенной информационной системе, с учетом ее особенностей и работающей в ней средств защиты. Примером АРТ может служить уже упомянутый Stuxnet, а также такие как DuQu и «Красный октябрь».

Как же вредоносам удается обойти защиту информационных систем? Ведь, в случае со Stuxnet атака была совершена на ядерный объект, а целью «Красного октября» стал широкий круг дипломатов от Европы до Китая. И в том, и другом случае это хорошо защищенные информационные системы с весьма развитыми средствами обнаружения, сигнализирующими не только об обнаружении вредоноса, но и о потенциально опасной программе или о небезопасных настройках операционной системы и браузера. Внутри же информационной системы, как правило, выстраивается эшелонированная оборона, препятствующая проникновению и вредоносов и их распространению, если они все же прорвались вовнутрь. Как удается обойти такую сильную защиту?

Целенаправленная атака — это не кинжал, а скорее, медленный яд. Процесс проникновения может быть длительным, растянутым во времени на несколько месяцев. Части вредоноса проникают в систему, маскируясь под дружественные программы, используя различные уязвимости. Атакующие могут задействовать и социальную инженерию, как, например, в случае со Stuxnet. Каждая из проникающих частей не представляет угрозы и, как правило, маскируется под обновление программного обеспечения. Попав в целевую информационную систему части АРТ-инструмента распределяются в ней и начинают работать на общую цель-либо действия деструктивного характера, либо шпионаж. Подобно кишечным паразитам вредоносы при АРТ-атаках способны закрепляться в информационной системе и «жить» там годами, ускользая от средств антивирусной защиты и даже «воскресая» в случае обнаружения и уничтожения.

В случае «Красного октября» был использован многокомпонентный АРТ-инструмент, насчитывающий несколько десятков расширений и вредоносных файлов, которые могли быстро перестраиваться под различные системные конфигурации. Были в составе вредоноса и т.н. «модули восстановления», встраиваемые в MS Office и Adobe Reader, которые «воскрешали» основные компоненты в случае их обнаружения и уничтожения антивирусом. Были специализированные криптографические шпионские модули, специализировавшиеся на хищении информации из различных крипто-защищенных систем, в т. ч. Acid Cryptofiler, которая с 2011 года используется для защиты информации в НАТО, ЕС, Европарламент и Еврокомиссия. Были модули, специализировавшиеся на проникновении в мобильные устройства на базе Symbian, iOS и Windows Mobile и сбор информации с них.

По оценкам «Лаборатории Касперского» «Красный октябрь» была одной из самых масштабных кибер-шпионских сетей новейшего времени, но и она была раскрыта. Средства противодействия кибер-угрозам не стоят на месте в своем развитии. Для того, чтобы выявлять такие сложные распределенные во времени атаки появились и специализированные средства обнаружения. При всем совершенстве и безупречности, с которым созданы сегодняшние АРТ-инструменты, у них есть одно слабое место — они вынуждены изменять информационную систему для того, чтобы выполнить свое предназначения. И какими бы малозаметными эти изменения не были, их можно увидеть и оценить, как деструктивные или опасные, если смотреть на них в ретроспективе. Средства противодействия АРТ-угрозам не сканируют «мгновенный снимок» информационной системы, как это делают большинство антивирусов, они анализируют изменения, происходящие в системе за длительный период времени, выявляют источники этих изменений и анализируют уровень их риска. Работа по детектированию АРТ-атак не похожа на простую проверку операционной системы сканером уязвимостей, это кропотливая проектная работа, которая требует, как наличие подходящего инструмента (АРТ-сканера или детектора), так и работу грамотного аналитика по информационной безопасности.

У читателя может сложиться впечатление, что АРТ не грозит ему, пока он не работает на ядерную программу в Иране или не является госслужащим, работающим с секретной информацией. Это не так. Существует и более прозаическое применение АРТ-атак с целью банального воровства, а мишенью становятся банковские системы или биллинговые системы сервисных компаний. Один из распространенных видов мошенничества — это т.н. «сплитинг» (от англ. split — раскалывать, расщеплять), когда вредонос, закрепившись в банковской системе, отчисляет процент от каждой транзакции со счетов клиентов, настолько маленький, что клиентам сложно его заметить, а заметив, они, скорее всего, воспримут это за банковскую комиссию. По этой причине, а также из-за отсутствия явно выраженного деструктивного характера действий, «паразит» может долго сидеть в информационной системе, по крупицам намывая золотые слитки своим хозяевам.

Кибер-паразитология

Термин «паразитология» стал встречаться в кругах специалистов по информационной безопасности совсем недавно. Необходимость такого обобщения возникла потому, что в современном мире интернет-торговли, удаленных хозяйственных взаимоотношений субъектов и цифрового маркетинга появилась возможность наносить вред, не только подсылая деструктивные вирусы и компьютерных червей в информационные системы конкурентов. Да и само понятие информационных систем изменилось, все больше компаний используют в своей работе «облачные» сервисы, как собственные, так и публичные. Например, по оценкам Google в 2014 году в мире насчитывалось свыше 5 млн. компаний, использующих сервис Google Mail для своего бизнеса. Более половины компаний из списка Fortune 500 используют различные сервисы Google для бизнеса.

В современном информационном ландшафте не достаточно, как раньше, иметь сайт-визитку, ссылку на который люди высылали друг другу скорее как дань моде, атрибут прогрессивного бизнеса. Сейчас сайты стали средством привлечения потребителя, мы считаем их посещения и конверсию. А для улучшения этих показателей привлекаются SЕО-оптимизаторы, выводящие сайты компании на передовые позиции в поисковых рейтингах. Какой бизнесмен не хочет увидеть свою компанию в числе первых пяти, введя запрос в поисковик?

В сегодняшних условиях сайт компании становится как важным инструментом бизнеса, так и целью для атак, заказанных конкурентами. Прошли те времена, когда сайты взламывали, чтобы оставить на главной странице неприличную надпись. Такой ущерб легко заметить и быстро поправить. Но что если поисковые движки перестают видеть ваш сайт, и ваша компания не появляется ни в первой десятке, ни даже в сотне? Как скоро это будет обнаружено? Скорее всего, не скоро, и бизнес заплатит за подобный ущерб упущенной выгодой. А виной тому может служить троян, поразивший сайт, с анти-SEO функциями.

Заключение

В нашем стремительно меняющемся мире все чаще и чаще поднимается вопрос о том, чтобы приравнять кибер-атаки к вооруженной агрессии. «Вирус Stuxnet продемонстрировал, насколько серьезно мы должны относиться к кибербезопасности, поскольку при помощи подобных продуктов может быть разрушена жизненно важная инфраструктура. В случае с Ираном вирус был, похоже, нацелен против ядерной программы, однако аналогичные вирусы могут разрушить нашу экономику, которая управляется при помощи компьютеров. Это должно обсуждаться в НАТО: если ракета разрушает электростанцию, в силу вступает параграф 5 (прим. параграф 5 НАТО предусматривает взаимную защиту стран-участниц альянса). Но как действовать в случае атаки компьютерных вирусов?» — спрашивает презедент Эстонии Тоомас Хендрик Ильвес.

НАВЕРХ