Stuxnet

Stuxnet — это компьютерный червь, который использовался для атаки на иранские ядерные объекты. Узнайте больше об этой значимой кибератаке ниже.

БЕСПЛАТНЫЙ АНТИВИРУС

Что такое Stuxnet?

Stuxnet — это вредоносный компьютерный червь, ставший печально известным своим использованием для атаки на иранские ядерные объекты. Эта атака попала в мировые новости в 2010 году, когда была впервые обнаружена. Как сказал Jérôme Segura, старший директор по аналитике угроз Malwarebytes, в своей статье «Stuxnet: новый свет через старые окна», «Лишь немногие части вредоносного ПО привлекли столько же внимания по всему миру, как Stuxnet».

Хотя Stuxnet, как компьютерный червь, является вредоносным программным обеспечением, он использовался для атаки на электромеханическое оборудование. В случае крупной атаки в Иране, злоумышленники применили Stuxnet для эксплуатации множества нулевых уязвимостей Windows, искали зараженные ПК с подключением к программному обеспечению, управляющему электромеханическим оборудованием, и отправляли инструкции, предназначенные для повреждения оборудования. Хотя многие типы вредоносного ПО заражают компьютер через Интернет, еще одной уникальной особенностью атаки Stuxnet в Иране было то, что вредоносное ПО вводилось в ПК через зараженные USB-накопители.  

Является ли Stuxnet вирусом?

Многие называют вредоносное ПО «вирусом Stuxnet», хотя это не компьютерный вирус — это компьютерный червь. Хотя и вирусы, и черви являются типами вредоносного ПО, которые могут повредить файлы, компьютерный червь может быть гораздо более сложным. Во-первых, в отличие от вируса, червь не требует взаимодействия человека для активации. Вместо этого он самораспространяется, иногда весьма активно после проникновения в систему. Помимо удаления данных, червь может перегрузить сети, потреблять пропускную способность, открыть бэкдор, снизить объем дискового пространства и загрузить другое опасное ПО, такое как руткиты, шпионское ПО и программы-вымогатели.

Что произошло во время атаки Stuxnet в Иране?

По словам книги «Обратный отсчет до Zero Day: Stuxnet и запуск первого цифрового оружия в мире», в 2010 году инспекторы Международного агентства по атомной энергии были удивлены увидеть многочисленные отказы центрифуг в Иране. Ни иранцы, ни инспекторы не могли понять, почему оборудование, произведенное Siemens, предназначенное для обогащения урана для атомных реакторов, столь катастрофически отказывало.

Сложно было представить, что за это ответственнен кусок вредоносного ПО. В конце концов, ядерные объекты Ирана были изолированы от сети — то есть не подключены ни к какой сети, ни к Интернету. Для того чтобы атака с использованием вредоносного ПО произошла на изолированном заводе по обогащению урана, кто-то должен был сознательно или подсознательно физически добавить вредоносное ПО, возможно, через зараженный USB-накопитель.

Когда команда безопасности из Беларуси приехала расследовать некоторые неисправные компьютеры в Иране, она обнаружила высоко сложное вредоносное ПО. Это агрессивное ПО позже распространилось в дикой природе, и исследователи назвали его Stuxnet, «первым цифровым оружием в мире».

Почему Stuxnet был таким опасным?

Эксперты называют Stuxnet невероятно сложным кодом и первым кибероружием в мире. Возможно, он физически повредил почти 1000 иранских центрифуг. Stuxnet работал, заражая программируемые логические контроллеры (ПЛК), которые управляли центрифугами, и саботировал их.  

Центрифуги вращаются на чрезвычайно высоких скоростях, создавая силы, намного превышающие силу тяжести, чтобы отделить элементы в газообразном уране. Червь манипулировал скоростью вращения центрифуг, создавая достаточно напряжения, чтобы их повредить. Stuxnet не торопился, временно ускоряя центрифуги, а затем замедляя их через несколько недель, что затрудняло обнаружение его деятельности.

Stuxnet также был трудно обнаружить, поскольку он был совершенно новой угрозой без известных сигнатур. Кроме того, Stuxnet использовал множество нулевых уязвимостей, которые являются неисправленными проблемами безопасности ПО.

Stuxnet также отправлял фальшивые сигналы промышленных контроллеров процессов, чтобы скрыть свое присутствие и вредоносную активность. Кроме того, Stuxnet мог загрузить руткит. Руткиты могут дать злоумышленнику контроль над системой на самом глубоком уровне. С установкой руткита Stuxnet был способен на скрытые действия.

Лучшие практики кибербезопасности для промышленных сетей

Сильные меры кибербезопасности критически важны для любого бизнеса. Сообщения о кибератаках регулярно появляются в новостях, и это не всегда вредоносное ПО атакует полезное ПО; как в случае с Stuxnet, вредоносное ПО может использоваться для атаки на электромеханические устройства, оборудование и инфраструктуру.

Одним из самых заметных инцидентов в области кибербезопасности в 2021 году стала атака программы-вымогателя, которая закрыла крупнейший топливопровод в США почти на неделю. Позже было установлено, что атака стала возможной из-за одного скомпрометированного пароля. Другими целями атак программ-вымогателей в течение года стали крупнейшая в мире мясоперерабатывающая компания и крупнейшая паромная компания в Массачусетсе.

Будь то программы-вымогатели, компьютерные черви, фишинг, компрометация бизнес-почты (BEC) или другая угроза, которая не дает вам спать по ночам, вы можете предпринять шаги, чтобы защитить ваш бизнес. В рамках нашей миссии по обеспечению киберзащиты для всех, Malwarebytes предлагает решения для безопасности компаниям любого размера. Ваша компания также может принять лучшие практики безопасности, такие как:

  • Примените строгую политику Bring Your Own Device (BYOD), которая предотвращает внесение сотрудниками и подрядчиками потенциальных угроз.
  • Изолируйте от сети любые компьютеры, которые могут повлиять на национальную безопасность.
  • Изолируйте от сети все устаревшие системы, которые служат для интерфейса с человеком.
  • Примените сложный режим использования паролей с двухфакторной аутентификацией, который затрудняет атаки методом перебора и предотвращает использование украденных паролей в качестве векторов угроз.
  • Обеспечьте защиту компьютеров и сетей с помощью последних обновлений безопасности.
  • Используйте программное обеспечение кибербезопасности, основанное на ИИ с возможностями машинного обучения.
  • Применяйте простые процедуры резервного копирования и восстановления на всех возможных уровнях для минимизации сбоев, особенно для критически важных систем.
  • Постоянно контролируйте процессоры и серверы на наличие аномалий.
  • Попробуйте использовать демилитаризованную зону (DMZ) для промышленных сетей.
  • Изучите белый список приложений для усиленной безопасности программного обеспечения.

Связанные статьи из Malwarebytes Labs

Вы заинтересованы в изучении большего о кибербезопасности и инфраструктуре? Ознакомьтесь с следующими статьями из Malwarebytes Labs: