Stuxnet

Stuxnet — это компьютерный червь, который использовался для атаки на иранские ядерные объекты. Узнайте больше об этой значимой кибератаке ниже.

БЕСПЛАТНЫЙ АНТИВИРУС

Что такое Stuxnet?

Stuxnet - это вредоносный компьютерный червь, получивший широкую известность после того, как он был использован для атаки на иранские ядерные объекты. Эта атака попала в заголовки мировых новостей в 2010 году, когда она была впервые обнаружена. Как отметил старший директор Malwarebytesпо анализу угроз Жером Сегура в своей статье Stuxnet: новый свет сквозь старые windows: "Лишь немногие вредоносные программы привлекли такое же внимание мировой общественности, как Stuxnet".

Будучи компьютерным червем, Stuxnet представляет собой вредоносное программное обеспечение, однако он использовался для атак на электромеханическое оборудование. Как и в случае с крупной атакой в Иране, злоумышленники использовали Stuxnet для эксплуатации многочисленных уязвимостей Windows нулевого дня, поиска на зараженных компьютерах соединения с программным обеспечением, управляющим электромеханическим оборудованием, и отправки инструкций, направленных на повреждение оборудования. Хотя многие типы вредоносных программ заражают компьютеры через Интернет, еще одна уникальная особенность атаки Stuxnet в Иране заключается в том, что вредоносное ПО попало на компьютеры через зараженные USB-накопители.  

Является ли Stuxnet вирусом?

Многие называют вредоносную программу "вирусом Stuxnet", хотя это не компьютерный вирус - это компьютерный червь. Хотя и вирусы, и черви - это типы вредоносных программ, которые могут повреждать файлы, компьютерный червь может быть гораздо более сложным. Для начала, в отличие от вируса, червь не требует вмешательства человека для активации. Вместо этого он самораспространяется, иногда очень быстро, после того как попадает в систему. Помимо удаления данных, компьютерный червь может перегружать сети, потреблять пропускную способность, открывать черный ход, уменьшать пространство на жестком диске и распространять другие опасные вредоносные программы, такие как руткиты, шпионские программы и программы-вымогатели.

Что произошло во время атаки Stuxnet в Иране?

Согласно книге "Обратный отсчет до нулевого дня: Stuxnet and the Launch of the First World's Digital Weapon", в 2010 году инспекторы Агентства по атомной энергии с удивлением увидели, что многие иранские центрифуги вышли из строя. Ни иранцы, ни инспекторы не могли понять, почему оборудование производства Siemens, предназначенное для обогащения урана, питающего ядерные реакторы, так катастрофически отказывает.

Сложно было представить, что за это ответственнен кусок вредоносного ПО. В конце концов, ядерные объекты Ирана были изолированы от сети — то есть не подключены ни к какой сети, ни к Интернету. Для того чтобы атака с использованием вредоносного ПО произошла на изолированном заводе по обогащению урана, кто-то должен был сознательно или подсознательно физически добавить вредоносное ПО, возможно, через зараженный USB-накопитель.

Когда команда безопасности из Беларуси приехала расследовать некоторые неисправные компьютеры в Иране, она обнаружила высоко сложное вредоносное ПО. Это агрессивное ПО позже распространилось в дикой природе, и исследователи назвали его Stuxnet, «первым цифровым оружием в мире».

Почему Stuxnet был таким опасным?

Эксперты называют Stuxnet невероятно сложным кодом и первым кибероружием в мире. Возможно, он физически повредил почти 1000 иранских центрифуг. Stuxnet работал, заражая программируемые логические контроллеры (ПЛК), которые управляли центрифугами, и саботировал их.  

Центрифуги вращаются на чрезвычайно высоких скоростях, создавая силы, намного превышающие силу тяжести, чтобы отделить элементы в газообразном уране. Червь манипулировал скоростью вращения центрифуг, создавая достаточно напряжения, чтобы их повредить. Stuxnet не торопился, временно ускоряя центрифуги, а затем замедляя их через несколько недель, что затрудняло обнаружение его деятельности.

Stuxnet также был трудно обнаружить, поскольку он был совершенно новой угрозой без известных сигнатур. Кроме того, Stuxnet использовал множество нулевых уязвимостей, которые являются неисправленными проблемами безопасности ПО.

Чтобы скрыть свое присутствие и вредоносную активность, Stuxnet также посылал поддельные сигналы датчиков управления промышленными процессами. Кроме того, Stuxnet был способен распространять rootkit. Руткиты могут дать субъекту угрозы контроль над системой в ее ядре. С помощью rootkit Stuxnet был более способен к скрытным действиям.

Лучшие практики кибербезопасности для промышленных сетей

Сильные меры кибербезопасности критически важны для любого бизнеса. Сообщения о кибератаках регулярно появляются в новостях, и это не всегда вредоносное ПО атакует полезное ПО; как в случае с Stuxnet, вредоносное ПО может использоваться для атаки на электромеханические устройства, оборудование и инфраструктуру.

Одним из самых заметных инцидентов в области кибербезопасности в 2021 году стала атака вымогательского ПО, которая почти на неделю вывела из строя крупнейший топливопровод в США. Позже было установлено, что атака была осуществлена с помощью одного скомпрометированного пароля. Другими целями атак с использованием выкупного ПО в этом году стали крупнейший в мире мясокомбинат и крупнейшая паромная служба в штате Массачусетс.

Будь то программы-вымогатели, компьютерные черви, фишинг, компрометация деловой электронной почты (BEC) или другая угроза, которая не дает вам спать по ночам, вы можете предпринять шаги для защиты своего бизнеса. Стремясь обеспечить киберзащиту каждому, Malwarebytes предлагает решения по безопасности для компаний любого размера. Ваша компания также может внедрить передовые методы обеспечения безопасности, такие как:

  • Примените строгую политику Bring Your Own Device (BYOD), которая предотвращает внесение сотрудниками и подрядчиками потенциальных угроз.
  • Изолируйте от сети любые компьютеры, которые могут повлиять на национальную безопасность.
  • Изолируйте от сети все устаревшие системы, которые служат для интерфейса с человеком.
  • Применяйте сложный режим паролей с двухфакторной аутентификацией, которая препятствует атакам грубой силы и не позволяет украденным паролям стать вектором угрозы.
  • Обеспечьте защиту компьютеров и сетей с помощью последних обновлений безопасности.
  • Используйте программное обеспечение для кибербезопасности на базе искусственного интеллекта с функциями машинного обучения.
  • Применяйте простые процедуры резервного копирования и восстановления на всех возможных уровнях для минимизации сбоев, особенно для критически важных систем.
  • Постоянно контролируйте процессоры и серверы на наличие аномалий.
  • Попробуйте использовать демилитаризованную зону (DMZ) для промышленных сетей.
  • Изучите белый список приложений для усиленной безопасности программного обеспечения.

Связанные статьи из Malwarebytes Labs

Вы заинтересованы в изучении большего о кибербезопасности и инфраструктуре? Ознакомьтесь с следующими статьями из Malwarebytes Labs: