Цифровая холодная война: кибероружие против государств и корпораций

На передовом крае АСУ ТП

Торможением автомобиля, оснащенного антиблокировочной системой, и работой инжекторного двигателя управляют микроконтроллер и встроенная программа. В крупных офисных центрах интеллектуальные системы управляют климатом. Бытовая техника, сигнализации, детские игрушки – в современном мире микроконтроллеры везде, и их появляется все больше, крохотных устройств, применяемых в различных сферах нашей жизни. Эти микроконтроллеры и управляющие ими программы становятся все интеллектуальнее и сложнее. По мере того, как управление технологическими процессами, процессами производства материальных благ, системами безопасности передается компьютерам и компьютерным программам, защита автоматизированных систем управления технологическими процессами (АСУ ТП) все больше и больше выходит на передний край. Ведь АСУ ТП – это область, где виртуальный мир соприкасается с миром физическим, с нашей с вами жизнью.

В фильме "Хакер" (Blackhat, 2015) злоумышленник загружает вирус в микроконтроллер насоса охлаждения реактора на атомной станции в Китае, в результате чего насос ломается, происходит перегрев реактора и катастрофа. Думается, в основу этого сюжета заложен инцидент со Stuxnet.

В разгар лета 2010 г. инженер иранского подразделения компании Siemens, обслуживающий промышленное оборудование на ядерных объектах, случайно инфицировал компьютер, контролирующий технологический процесс, вставив в него флешку, зараженную червем. Скорее всего, инженер просто не знал о заражении. Вирус умело скрывался и сумел обойти антивирус и антируткит, будучи подписанным двумя действующими сертификатами уважаемых компаний Realtek и JMicron. Встроившись между системой управления и оборудованием (в данном случае – центрифугой по обогащению урана), вирус начал создавать помехи работы частотного преобразователя, управляющего работой электромоторов. Такое воздействие на центрифугу создает вибрацию, разрушающую ротор устройства, и в свою очередь может привести к взрыву.

Stuxnet поразил 1368 центрифуг из 5000 на заводе по обогащению в Натанзе, а также сорвал сроки запуска АЭС в Бушере. Несмотря на то, что иранские власти склонны замалчивать последствия вирусной атаки, эксперты считают, что иранская ядерная программа была отброшена назад на срок от полугода до года. Оценивая ущерб от действия Stuxnet в Иране, журналисты New York Times сравнили его с ущербом от налета израильских ВВС.

Счастье, что авария на столь серьезном объекте закончилась без человеческих жертв и радиоактивного заражения. А вот крушение рейса 5022 авиакомпании Spanair 20 августа 2008 г. возле мадридского аэропорта Барахас стоило жизни 154 человек. Считается, что причиной трагедии стал вирус, поразивший информационную систему авиакомпании, в результате чего три технические проблемы, возникшие на борту, не были идентифицированы системой технического контроля, и борт был допущен к полету.

Анализируя Stuxnet, различные эксперты пришли к одному выводу – вирус был разработан группой от 7 до 10 высококвалифицированных специалистов, потративших на разработку около полугода, и обошелся заказчику примерно в $3 млн. Учитывая, что вирус был специализирован для воздействия на определенный тип контроллеров, эксперты единодушны во мнении – данная вирусная атака была спланирована и нацелена именно на иранскую ядерную программу. Будучи беспрецедентной по соотношению нанесенного ущерба к затраченным средствам, сохранив инкогнито личность атакующего, атака Stuxnet открыла новую эпоху. Эпоху, когда совершить теракт можно не вставая с дивана.

Целенаправленные атаки на информацию – Advanced Persistent Threat (АРТ)

Термин АРТ впервые использовал полковник ВВС США Грег Рэттрей (Greg Rattray) в 2006 г., хотя атаки подобного рода фиксировались и годом ранее группой компьютерных экспертов CERT в США и Великобритании. Данный вид атак характеризуется фокусом на определенную ИС компании (или государства) – жертвы. Противодействовать подобным атакам крайне сложно, т.к. инструмент атаки является уникальным, разработанным специально для проникновения и нанесения вреда определенной информационной системе, с учетом ее особенностей и работающих в ней средств защиты. Примером АРТ может служить уже упомянутый Stuxnet, а также такие, как DuQu и "Красный октябрь".

Как же вредоносам удается обойти защиту информационных систем? Ведь в случае со Stuxnet атака была совершена на ядерный объект, а целью "Красного октября" стал широкий круг дипломатов от Европы до Китая. И в том, и в другом случае это хорошо защищенные информационные системы с весьма развитыми средствами обнаружения, сигнализирующими не только об обнаружении вредоноса, но и о потенциально опасной программе или о небезопасных настройках ОС и браузера. Внутри же ИС, как правило, выстраивается эшелонированная оборона, препятствующая проникновению и вредоносов и их распространению, если они все же прорвались вовнутрь. Как удается обойти такую сильную защиту?

Целенаправленная атака – это не кинжал, а, скорее, медленный яд. Процесс проникновения может быть длительным, растянутым во времени на несколько месяцев. Части вредоноса проникают в систему, маскируясь под дружественные программы, используя различные уязвимости. Атакующие могут задействовать и социальную инженерию, как, например, в случае со Stuxnet. Каждая из проникающих частей не представляет угрозы и, как правило, маскируется под обновление ПО. Попав в целевую ИС, части АРТ-инструмента распределяются в ней и начинают работать на общую цель – либо действия деструктивного характера, либо шпионаж. Подобно кишечным паразитам, вредоносы при АРТ-атаках способны закрепляться в информационной системе и "жить" там годами, ускользая от средств антивирусной защиты и даже "воскресая" в случае обнаружения и уничтожения.

В случае "Красного октября" был использован многокомпонентный АРТ-инструмент, насчитывающий несколько десятков расширений и вредоносных файлов, которые могли быстро перестраиваться под различные системные конфигурации. Были в составе вредоноса и т.н. "модули восстановления", встраиваемые в MS Office и Adobe Reader, которые "воскрешали" основные компоненты в случае их обнаружения и уничтожения антивирусом. Были специализированные криптографические шпионские модули, специализировавшиеся на хищении информации из различных криптозащищенных систем, в т.ч. Acid Cryptofiler, которая с 2011 г. используется для защиты информации в НАТО, ЕС, Европарламенте и Еврокомиссии. Были модули, специализировавшиеся на проникновении в мобильные устройства на базе Symbian, iOS и Windows Mobile и сбор информации с них.

По оценкам "Лаборатории Касперского" "Красный октябрь" был одной из самых масштабных кибершпионских сетей новейшего времени, но и она была раскрыта. Средства противодействия киберугрозам не стоят на месте в своем развитии. Для того, чтобы выявлять такие сложные, распределенные во времени атаки, появились и специализированные средства обнаружения. При всем совершенстве и безупречности, с которым созданы сегодняшние АРТ-инструменты, у них есть одно слабое место – они вынуждены изменять информационную систему для того, чтобы выполнить свое предназначение. И какими бы малозаметными эти изменения не были, их можно увидеть и оценить как деструктивные или опасные, если смотреть на них в ретроспективе. Средства противодействия АРТ-угрозам не сканируют "мгновенный снимок" информационной системы, как это делают большинство антивирусов, они анализируют изменения, происходящие в системе за длительный период времени, выявляют источники этих изменений и анализируют уровень их риска. Работа по детектированию АРТ-атак не похожа на простую проверку ОС сканером уязвимостей, это кропотливая проектная работа, которая требует как наличия подходящего инструмента (АРТ-сканера или детектора), так и работы грамотного аналитика по ИБ.

У читателя может сложиться впечатление, что АРТ не грозит ему, пока он не работает на ядерную программу в Иране или не является госслужащим, работающим с секретной информацией. Это не так. Существует и более прозаическое применение АРТ-атак с целью банального воровства, а мишенью становятся банковские системы или биллинговые системы сервисных компаний. Один из распространенных видов мошенничества – это т.н. "сплитинг" (от англ. split – раскалывать, расщеплять), когда вредонос, закрепившись в банковской системе, отчисляет процент от каждой транзакции со счетов клиентов, настолько маленький, что клиентам сложно его заметить, а заметив, они, скорее всего, воспримут это как банковскую комиссию. По этой причине, а также из-за отсутствия явно выраженного деструктивного характера действий "паразит" может долго сидеть в информационной системе, по крупицам намывая золотые слитки своим хозяевам.

Киберпаразитология

Термин "паразитология" стал встречаться в кругах специалистов по ИБ совсем недавно. Необходимость такого обобщения возникла потому, что в современном мире интернет-торговли, удаленных хозяйственных взаимоотношений субъектов и цифрового маркетинга появилась возможность наносить вред, не только подсылая деструктивные вирусы и компьютерных червей в ИС конкурентов. Да и само понятие информационных систем изменилось, все больше компаний используют в своей работе облачные сервисы, как собственные, так и публичные.

Например, по оценкам Google в 2014 г. в мире насчитывалось свыше 5 млн компаний, использующих сервис Google Mail для своего бизнеса. Более половины компаний из списка Fortune 500 используют различные сервисы Google для бизнеса.

В современном информационном ландшафте недостаточно, как раньше, иметь сайт-визитку, ссылку на который люди высылали друг другу скорее как дань моде, атрибут прогрессивного бизнеса. Сейчас сайты стали средством привлечения потребителя, мы считаем их посещения и конверсию. А для улучшения этих показателей привлекаются SЕО-оптимизаторы, выводящие сайты компании на передовые позиции в поисковых рейтингах. Какой бизнесмен не хочет увидеть свою компанию в числе первых пяти, введя запрос в поисковик?

В сегодняшних условиях сайт компании становится как важным инструментом бизнеса, так и целью для атак, заказанных конкурентами. Прошли те времена, когда сайты взламывали, чтобы оставить на главной странице неприличную надпись. Такой ущерб легко заметить и быстро поправить. Но что если поисковые движки перестают видеть ваш сайт, и ваша компания не появляется ни в первой десятке, ни даже в сотне? Как скоро это будет обнаружено? Скорее всего, нескоро, и бизнес заплатит за подобный ущерб упущенной выгодой. А виной тому может служить троян, поразивший сайт, с антиSEO-функциями.

Заключение

В нашем стремительно меняющемся мире все чаще и чаще поднимается вопрос о том, чтобы приравнять кибератаки к вооруженной агрессии. "Вирус Stuxnet продемонстрировал, насколько серьезно мы должны относиться к кибербезопасности, поскольку при помощи подобных продуктов может быть разрушена жизненно важная инфраструктура. В случае с Ираном вирус был, похоже, нацелен против ядерной программы, однако аналогичные вирусы могут разрушить нашу экономику, которая управляется при помощи компьютеров. Это должно обсуждаться в НАТО: если ракета разрушает электростанцию, в силу вступает параграф 5¹. Но как действовать в случае атаки компьютерных вирусов?" – спрашивает презедент Эстонии Тоомас Хендрик Ильвес.

"Если удар затронул существенные элементы нашей экономики, мы, вероятно, должны считать его нападением. Но если результатом взлома было похищение данных, то это, возможно, не нападение. Между этими двумя крайностями множество других вариантов. Чтобы внятно сформулировать политическую линию, мы должны решить, где пролегает граница между взломом и нападением или между шпионажем и кражей данных. Полагаю, и в правительстве, и вне его идет дискуссия на эту тему, и я не думаю, что дискуссия эта уже исчерпана", – считает первый заместитель министра обороны США Уильям Линн (William J. Lynn).

Нам остается лишь надеяться, что война в киберпространстве не выйдет за его пределы, и по жилым кварталам, где предположительно спрятались хакеры, не полетят настоящие ракеты.