Специалисты по компьютерной безопасности предупреждают, что новая версия сложного кибероружия, которая нанесла серьезный вред иранской ядерной программе, может стать предвестником новой волны компьютерных атак.
Новое оружие под названием Duqu, судя по всему, использует оригинальные исходные коды из червя Stuxnet, который атаковал компьютеры на иранском атомном объекте в Натанзе в 2009 и 2010 годах.
Программа незаконно добывает информацию, что в будущем делает возможным новые атаки против специализированных компьютерных систем, которые контролируют электростанции, химические заводы, нефтеперерабатывающие предприятия и очистные сооружения, подчеркивают в компании Symantec и Департаменте внутренней безопасности США, передает inosmi.ru.
"Мы думали, что люди, стоящие за Stuxnet, исчезнут. Мы поймали их с поличным, - заявил The Washington Times аналитик Symantec Лайам О Мурчу (Liam O Murchu). - Вместо этого они вернулись".
"Атакующие ищут информацию, такую как проектная документация, которая потенциально может быть использована в будущих атаках, направленных против систем промышленного контроля", - говорится в выпущенном на прошлой неделе бюллетене Департамента внутренней безопасности.
Системы промышленного контроля считаются одними из самых опасных потенциальных объектов для компьютерных хакеров: ведь манипулируя ими, можно нанести ущерб или даже уничтожить целые предприятия, зависящие от подобных систем. Так, можно подорвать электростанцию, отравить питьевую воду или выпустить в окружающую среду нефть или смертоносные химикаты.
"Эта угроза направлена против ограниченного числа организаций, - гласит бюллетень Департамента внутренней безопасности. - Хотя метод ее распространения еще только предстоит определить, целевой характер угрозы делает социальный инжиниринг (метод проникновения в защищенные системы, основанный на использовании индивидуальной психологии – прим. пер.) весьма вероятным способом атаки".
Атаки методом социального инжиниринга обычно включают в себя приложения к письмам электронной почты, которые специально выглядят так, будто написаны коллегой или другим доверенным источником. Как только пользователь открывает подобное письмо, в его компьютер проникает вредоносное ПО.
Stuxnet, первый пример кибероружия, направленного против систем промышленного контроля, был разработан для уничтожения центрифуг, которые использует Иран для обогащения урана. "Червь" манипулировал компьютерным программным обеспечением, которое управляет этими системами и выводил их из-под контроля.
Так никогда и не было объявлено, кто стоял за Stuxnet, но сложность этого оружия заставила многих обозревателей прийти к выводу, что это было какое-то серьезное государство. Нацеленность против иранской ядерной программы и ряд других намеков, предположительно оставленных авторами червя, позволило некоторым предположить, что ответственность за эти атаки лежит на разведывательных агентствах Израиля или США.
Г-н О Мурчу, чья команда потратила месяцы в прошлом году на изучение Stuxnet, заявил, что Duqu примерно в половине случаев использует исходный код из этого более раннего образца кибероружия. Программа получила свое названия из-за того, что создает компьютерные файлы с префиксом DQ.
"Только создатели Stuxnet имели доступ к исходному коду", - сказал он, добавив, что атакующие работали над созданием Duqu, "возможно, весь последний год".
Первые очевидные свидетельства о появлении этого оружия и о его использовании были обнаружены в прошлом месяце, но атаки могли начаться в декабре, говорится в отчете Symantec.
Питер Сзор (Peter Szor), старший директор по исследованиям в McAfee Inc., подразделении компьютерной безопасности компании Intel Corp., заявил, что теоретически Duqu можно было создать при помощи обратного инжиниринга (восстановления логической или физической модели системы по коду – прим. пер.) Stuxnet.
"Но это было бы очень, очень трудозатратным, требующим большого количества времени и ресурсоемким процессом. Кто бы на это пошел?" - задается вопросом он. Ведь было бы дешевле и проще написать новую программу с нуля.
Другие эксперты отметили, что без доступа к самому исходному году невозможно с уверенностью говорить, что Duqu был разработан теми же самыми авторами.
"Просто взглянув на процессы заражения, нельзя с уверенностью судить о том, использован ли тот же самый исходный код или нет", - считает Ральф Лэнгнер (Ralph Langner), еще один специалист по компьютерной безопасности, изучавший Stuxnet.
Рик Говард (Rick Howard), директор по разведке из iDefense, пошел еще дальше, заявив, что сомневается, что за этими двумя видами оружия стоят одни и те же люди. Stuxnet был "очень серьезно нацелен,… спланирован и использован с военной точностью", - отмечает этот бывший специалист по компьютерной безопасности американской армии.
"На мой взгляд, нет никакого смысла в том, чтобы команда с подобным уровнем знаний и ресурсов использовала одну и ту же технологию и один и тот же код дважды", - сказал он.
Тем не менее, венгерская лаборатория, которая обнаружила Duqu, вновь заявила в выходные о своей убежденности в том, что эти два кибероружия "практически идентичны".
Г-н Сзор заявил, что у McAfee есть предварительные данные о примерно полудюжине потенциальных случаев заражения, включая такие объекты, как автомобильный завод в Иране и компьютерные системы в Великобритании и в США.
По словам Мурчу, Symantec распознал "примерно десять" случаев заражения Duqu в Европе, но программное обеспечение не было предназначено для того, чтобы самораспространяться, как делает большинство обычных вредоносных программ.
"Это не червь или вирус, - говорит он, - он не воспроизводит сам себя". Он сказал, что исследователи не знали, что он проник в системы, которые он инфицировал. Но "некоторые" из оказавшихся зараженными организаций были "компаниями, занятыми в производстве промышленных систем контроля", отметил он.
Атаковавшие при помощи Duqu, очевидно, собирали информацию о промышленных контрольных системах, заявил г-н О Мурчу. Он отметил, что одной из причин того, что Stuxnet был столь опасным, было то, что люди, которые разработали его, имели очень подробную информацию о системе контроля центрифуги, которую они атаковали.
"Зачем команда, стоящая за Stuxnet, сейчас ищет другую информацию о промышленных системах контроля, - спрашивает он. - Когда вы проводите эту пунктирную линию, это дает вам паузу, чтобы подумать".
Представитель Департамента внутренней безопасности США заявил, что департамент продолжит работу с экспертами по компьютерной безопасности, чтобы получить большие информации о Duqu и передать ее компаниям частного сектора, которые владеют и являются операторами критически важных американских промышленных систем контроля.
Г-н Сзор сказал, что первые признаки показывают, что "инфицировано было больше одной машины" в некоторых пострадавших организациях, подчеркнув направленную природу атаки.
Он сказал, что McAfee идентифицировал три из четырех слегка различающихся версий Duqu. "Все выглядит почти так, будто бы каждый образец был создан специально для данной конкретной атаки", - сказал он.
Г-н О Мурчу заявил, что на этот раз атакующие были более внимательны к тому, чтобы спрятать следы своего оружия. Данные, которые Duqu посылал в свою домашнюю базу, компьютерный сервер в Индии, который не работал на этой неделе, были не только зашифрованы, но и спрятаны вместе с фотографиями. "Они предприняли гораздо больше усилий, чтобы скрыть трафик", - отметил он.
Duqu также был разработан таким образом, чтобы стирать самого себя с зараженных компьютеров автоматически по истечении 36 дней, сказал он. Хотя атакующие могли и модифицировать эту функцию.