Про вирус Stuxnet

[malaya_zemlya]

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е.

Comments

[dibr]

Ого.

Так сказать, "добро пожаловать в кибервойну".

[evilzipik]

причем уже настоящую

[redddis]

просто поломать, или взять под контроль?
следующая цель - самолет на роквиль? :-)
про немцев - интересно, они специализируются на атомной энергетике?
про вирус - каким образом нацелить его на конкретное государство? фильтровать айпи адреса? к тому же, для чего это делать - специально намекнуть иранцам на слабость их айти? похоже на какое-то предупреждение.

[malaya_zemlya]

Вирус отключает неизвестно что, в какой-то конкретной программе. Больше похоже на поломать.

WinCC - довольно популярный пакет, не заточенный специально под ядерную энергетику.

Вирь не был привязан к конкретному государству, кроме Ирана, он зацепил еще Индонезию и еще несколько стран. Скорее всего его просто выпустили в Иране, а дальше он сам, как мог.

http://www.symantec.com/connect/blogs/w32stuxnet-network-information

[oldmann]

еще один аргумент в пользу VxWorks в железках и какого-либо из промышленных UNIX в управляющей системе.

от себя добавлю - в промышленные контроллеры обновления логики, как правило, таскают на флешках, дистанционно их не обновишь.

[malaya_zemlya]

Таким людям не слабо и Юникс поломать.

[redddis]

кстати, может, это промышленный шпионаж? чтобы узнать, что там происходит на самом деле?

[malaya_zemlya]

Шпионить оно тоже умеет.

[redddis]

дело в том, что червь никак себя не проявляет пока не будет найдена определённая конфигурация под которую он заточен, после чего он вносит коррективы, точнее деструктивы.

[proforg]

что ой то ?
хуй блядь !

и, казалось бы, при чём тут безопасность в атомной энергетике ?
аффтар, расскажи, так ты их связываешь ???

[malaya_zemlya]

Охуительные сисадмины работают на АтомСтройЭкспорте.

[proforg]

скорее уж на хостинге где сайт лежит, например
и они то точно не имеют никакого отношения к атомной энергетике
как и люди разрабатывавшие / поддерживающие сайт

что характертно, даже если бы они работали и в самом АтомСтройЭкспорте это ровно так же не имело никакого отношения к безопасности в атомной энергетике.

[vovkodav]

Поскольку немного знаком с WinCC и вообще Сименсовской автоматизацией, то могу сказать, что есть тут определенная хрень..
WinCC это программа не для программирования, а скорее для отображения состояния системы и возможности передать ей пользовательские сигналы управления.. Программу контроллера с ее помощью насколько я помню не похеришь..

[malaya_zemlya]

Вроде бы, атаковали связку PCS 7 + WinCC + S7. S7 - это точно контроллер.

http://www.langner.com/en/index.htm:
Fact: As we have published earlier, Stuxnet is fingerprinting its target by checking data block 890. This occurs periodically every five seconds out of the WinCC environment. Based on the conditional check in code that you can see above, information in DB 890 is manipulated by Stuxnet

[vovkodav]

на последний вопрос точно не отвечу..
но контроллер хрен атакуешь.. чтобы поменять его программу, нужно как минимум ввести его в режим программирования.. а это механически делается - специальным нажатием..
Через WinCC можно только смотреть состояние объектов и управлять им..
В данном случае, мне кажется имело место тривиальное стечение обстоятельств.. :)
Сложилось так, что данный вирус именно таким образом влиял на WINCC.. по идее он только менял значение таймера..
код DEADF007 - - это вообще детство.. он явно несет смысловую нагрузку.. типа парни хотели потом иметь возможность легко поиском в дебагере отследить.. :)
и кстати.. насколько я помню из курса.. это вообще не возвращемаемы код.. а просто получается значение таймера, т.е похоже что вирус просто отлавливает когда таймер стал к такое состояние? - ну это вообще бред...