Stuxnet: злобный червь, открытый белорусами

Источник материала:

Троян Stuxnet, который поставил под угрозу безопасность атомной электростанции в Иране, - излюбленная в последнее время тема не только у тех, кто занимается компьютерной безопасностью, но и у людей, достаточно далеких от ИТ вообще. О том, как именно этот троян был открыт и что ожидать от него в дальнейшем, читателям "Компьютерных вестей" рассказал начальник отдела разработки антивирусного ядра белорусской компании "Вирусблокада" Сергей Уласень.

- Правда ли, что Вы как раз тот человек, который и обнаружил вирус?

- Один из них. На самом деле это работа группы, состоящей из нескольких человек. Потому говорить только обо мне некорректно. Я выступаю просто как руководитель и "говорящая голова" в данном случае.

- Как вы вообще вышли на Stuxnet? Сами обнаружили или прислал кто-то из пользователей вашего антивируса?

- В середине июня 2010 года к нам обратился один из наших средневосточных партнеров (Иран) по поводу того, что у одного из их клиентов компьютеры ведут себя странным образом и периодически происходит незапланированная перезагрузка. При этом попытки обнаружить причину такого поведения собственными силами не увенчались успехом. К сожалению, у нас не было прямого доступа к компьютеру, но нам выделили одну из таких систем и открыли удаленный доступ к ней. Благодаря плотному взаимодействию с пользователями нам в течение нескольких дней удалось заполучить дропперы вредоносной программы. После этого мы начали изучать данный троян, предварительно добавив в антивирусные базы записи на имеющиеся файлы. За этим последовали обращения в нашу службу технической поддержки от пользователей со Среднего Востока, которые самостоятельно обнаружили у себя следы заражения, а мы при этом детектировали файлы на www.virustotal.com. А уже в начале июля нами были зарегистрированы первые случаи заражения в Беларуси.

Stuxnet - троян, предназначенный для проведения атак на SCADA-системы, предназначенные для контроля и мониторинга производственных процессов. Троян вызвал широкий резонанс среди специалистов по борьбе с вредоносным ПО и в прессе, поскольку использует несколько уязвимостей "нулевого дня". По мнению аналитиков, троян предназначен для промышленного шпионажа и получения доступа к диспетчерскому управлению крупным производством.

- Чем же этот троян так всех впечатлил, что о нем столько пишут?

- Нам до сих пор не так часто приходилось сталкиваться с наличием цифровой подписи во вредоносной программе, а подписанный драйвер мы встретили, по-видимому, впервые. Тем более, мы долго не могли поверить в принадлежность сертификата такой известной компании, как Realtek. Также достаточно продолжительное время ушло на анализ уязвимости операционной системы Windows, т.к. до сих пор с таким типом распространения сталкиваться не приходилось.

- И как вы поступили?

- После того, как мы пришли к выводам о наличии уязвимости и цифровой подписи, были отправлены письма в адрес компаний Microsoft и Realtek. В своем отчете мы акцентировали внимание только на наличии уязвимости и подписанных драйверах. При этом сознательно не затронули возможную шпионскую функцию данной программы, т.к. для детального анализа ситуации требуются определенные знания по работе с подобными SCADA-системами.

Уязвимость "нулевого дня" - уязвимость, являющаяся неизвестной для других пользователей и нераскрытая разработчику самого уязвимого программного обеспечения. Подобные уязвимости используются злоумышленниками для проведения атак в краткие сроки, до того, как производителю программного обеспечения станет известно об их наличии.

- Можно ли сделать прогноз по поводу дальнейшего развития ситуации с этим трояном?

- С точки зрения антивирусной индустрии, данный троян представляет собой очередную угрозу вирусной эпидемии - что, собственно говоря, мы сейчас и имеем в средневосточном регионе. Но благодаря усилиям всего сообщества через какое-то время данная эпидемия сойдет на нет. С другой стороны, мы видим, что количество целенаправленных компрометаций возрастает и воздействию подвергаются целые компании и технологии. На примере данной вредоносной программы можно посмотреть на кибервойну в действии. С точки зрения политики и безопасности государств, это тоже должно повлечь какие-то изменения, но об этом лучше рассуждать политологам.

- А появились ли еще какие-то черви, использующие те же уязвимости?

- Появились. Например, Sality - достаточно старый уже файловый вирус, который известен антивирусным аналитикам уже около пяти лет. У него постоянно появляются новые модификации, и одна из последних как раз и использует найденную нами уязвимость. Но сегодня эта уязвимость уже закрыта, подробности можно посмотреть на сайте корпорации Microsoft: www.microsoft.com/technet/security/bulletin/MS10-046.mspx.

- Опасен ли Stuxnet и другие вредоносные программы, использующие ту же самую уязвимость, для рядового пользователя?

- Если говорить именно о Stuxnet, то он для рядовых пользователей не опасен. Неприятность заключается в том, что пользователь может стать звеном в цепочке, по которой троян доберется до интересующего его объекта. Также может быть нарушена стабильность системы. А вот Sality очень опасен, это вирус, который заражает файлы. О нем можно подробно прочитать здесь: www.securitylab.ru/virus/269045.php.

ОДО "ВирусБлокАда" является единственным в Республике Беларусь разработчиком антивирусного ПО. Главной стратегической целью ОДО "ВирусБлокАда" является разработка и сопровождение национального программного обеспечения защиты от воздействия вредоносных программ. Главным продуктом компании является антивирус VBA32, широко используемый как в нашей республике, так и за ее пределами.

Беседовал Вадим СТАНКЕВИЧ