В течение нескольких лет мы наблюдали за активностью кибершпионской сети, которая заразила компьютеры более чем 350 избранных жертв в 40 странах мира. Главным инструментом атакующих была вредоносная программа NetTraveler, разработанная для скрытного наблюдения за компьютером.

Название 'NetTraveler' было обнаружено в одном из внутренних сообщений, встроенных в тело программы: 'NetTravelerisRunning!' ('NetTraveler активен!'). Эта вредоносная программа известна также как 'Travnet' или 'Netfile'. Она использовалась для базового наблюдения за жертвами. Наиболее ранние версии этой программы, которые нам удалось обнаружить, датируются 2005 годом, однако есть сведения, указывающие, что разработка велась, начиная с 2004 года. Большинство вредоносных файлов, которые нам удалось собрать, датируются 2010 - 2013 годами.

Иконка программы-конструктора NetTraveler

После публикации нашего отчета коллеги из компании Seculert обнаружили еще один вектор доставки вредоносного кода, примененный в атаках Red October, и опубликовали в блоге сообщение о его использовании.

В дополнение к документам Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), злоумышленники, по-видимому, использовали для проникновения в сети жертв эксплойт для уязвимости (CVE-2011-3544) в Java (MD5: 35f1572eb7759cb7a66ca459c093e8a1 – «NewsFinder.jar»), известный под именем Rhino.

Наш предыдущий анализ вредоносной программы Flame, представлявшей собой мощное средство кибершпионажа, имеющее непосредственное отношение к кампании Stuxnet, был опубликован в конце мая 2012 года и вскрыл широкомасштабную кампанию, направленную на несколько ближневосточных стран.

Вредоносная программа Flame, включая все ее компоненты, очень большая; в ходе наших продолжающихся исследований обнаруживаются все новые подробности, связанные с ней. Новости об этой угрозе достигли высшей точки 4 июня 2012 года, когда Microsoft выпустила экстренный патч, который заблокировал три поддельных цифровых сертификата, использованных во Flame. В тот же день мы подтвердили факт использования во Flame поддельных сертификатов и опубликовали наш технический анализ этой сложной атаки. Этот вновь обнаруженный функционал Flame оказался настолько сложным, что он мог быть реализован только лучшими криптографами мира. С тех пор скептические шутки о Flame прекратились.

Позже в июне мы подтвердили, что разработчики Flame взаимодействовали с командой, создавшей Stuxnet. Этот факт лишний раз подтвердил, что Flame разрабатывался при государственной поддержке.

Мы также опубликовали наш анализ командных серверов Flame, подготовленный на основе внешних наблюдений и информации в публичном доступе. Этот анализ помог нам лучше понять, где были размещены командные серверы, и как они были зарегистрированы.

В данном блогпосте мы публикуем принципиально новую информацию, которая была собрана во время детального анализа командных серверов Flame, проведенного в партнёрстве с Symantec, ITU-IMPACT и CERT-Bund/BSI.

Вредоносная программа Flame использует для своего распространения несколько различных методов. Наиболее интересный – использование службы Microsoft Windows Update. Этот метод реализован в модулях SNACK, MUNCH и GADGET, входящих в состав Flame. Будучи составными частями Flame, эти модули легко поддаются перенастройке. Поведением этих модулей управляет глобальный реестр Flame – база данных, содержащая тысячи вариантов настроек.

SNACK: подмена NBNS

Модуль SNACK создает сетевой RAW-сокет для всех или предопределенных сетевых интерфейсов, после чего начинает получать все сетевые пакеты. Он ищет пакеты NBNS, посылаемые другими машинами, которые ищут в локальной сети компьютеры с определенными именами. При получении такого пакета он записывается в зашифрованный файл (“%windir%\temp\~DEB93D.tmp”) и передается на дальнейшую обработку.

Когда имя в запросе NBNS имеет вид «wpad*» или «MSHOME-F3BE293C», модуль SNACK отвечает отправкой IP-адреса компьютера, на котором он установлен. Если для переменной SNACK.USE_ATTACK_LIST установлено значение «True», то модуль также проверяет, какие из пакетов отправлены с IP-адресов, указанных в его списке SNACK.ATTACK_LIST, и отвечает тем машинам, адреса которых найдены в списке.

Wpad – это имя, используемое для автоматического обнаружения прокси-сервера. Отвечая на запросы «wpad» собственным IP-адресом, модуль SNACK объявляет зараженную машину прокси-сервером в локальной сети.

Модули SNACK и MUNCH также обмениваются данными с модулем GADGET, обеспечивающим обработку различных событий, приходящих из других модулей. Реестр Flame содержит модули, написанные на языке Lua, для обработки таких событий, как «MUNCH_ATTACKED», «SNACK_ENTITY.ATTACK_NOW».

MUNCH: поддельный прокси-сервер и перехват запросов в службу Windows Update

«MUNCH» – имя модуля Flame, выполняющего функции HTTP-сервера. Модуль запускается, только если переменная MUNCH.SHOULD_RUN установлена в значение «True» и не выполняются никакие программы, способные оповестить жертву о заражении. Эти программы (антивирусы, сетевые экраны, сетевые снифферы и т.д.) определены в реестре Flame в списке под названием «SECURITY.BAD_PROGRAMS»

При запуске модуля MUNCH он считывает буфер из переменной MUNCH.WPAD_DATA, заменяет шаблон «%%DEFAULT%%» IP-адресом наилучшего подходящего сетевого интерфейса и ожидает HTTP-запросов.

Содержимое переменной MUNCH.WPAD_DATA

Буфер MUNCH.WPAD_DATA – это фактически WPAD-файл, запрашиваемый сетевыми клиентами, в которых включено автоматическое обнаружение прокси-сервера. Код в файле WPAD сопоставляет MD5-хеш имени хоста, с которым соединяется клиент, с собственным списком и, если значение хеша найдено в списке, предлагает себя в качестве HTTP прокси-сервера. Нам удалось определить имена, соответствующие хешам:

download.windowsupdate.com
download.microsoft.com
update.microsoft.com
www.update.microsoft.com
v5.windowsupdate.microsoft.com
windowsupdate.microsoft.com
www.download.windowsupdate.com
v5stats.windowsupdate.microsoft.com
v4stats.windowsupdate.microsoft.com
v9stats.windowsupdate.microsoft.com
v5.windowsupdate.com
v7stats.windowsupdate.microsoft.com
v6stats.windowsupdate.microsoft.com
v8stats.windowsupdate.microsoft.com
v5.download.windowsupdate.com

Таким образом, когда компьютер, на котором настроено автоматическое определение прокси-сервера, пытается установить соединение с одним из серверов Windows Update, он получает от модуля SNACK IP-адрес зараженной машины, а затем получает IP-адрес той же машины в качестве прокси-сервера из файла wpad.dat, выданного модулем MUNCH. С этого момента все запросы в службу Windows Update проходят через сервер, поднятый модулем MUNCH.

Когда сетевой клиент устанавливает соединение с сервером MUNCH и запрашивает URI, отличающийся от «/wpad.dat» и «/view.php», сервер:

1) Запускает «MUNCH.SHOULD_ATTACK_SCRIPT» – скрипт на Lua, проверяющий, соответствует ли заголовок User-Agent хотя бы одному из шаблонов, указанных в «MUNCH.USER_AGENTS.CAB_PATTERN_*». В имеющихся у нас файлах реестра Flame содержатся следующие шаблоны:

MUNCH.USER_AGENTS.CAB_PATTERN_4 : WinHttp%-Autoproxy%-Service.*
MUNCH.USER_AGENTS.CAB_PATTERN_3 : Windows%-Update%-Agent.*
MUNCH.USER_AGENTS.CAB_PATTERN_2 : Industry Update.*
MUNCH.USER_AGENTS.CAB_PATTERN_1 : Microsoft SUS.*

2) Проверяет, соответствуют ли запрашиваемые URI какому-нибудь из шаблонов, указанных в списке строк под названием «MUNCH.GENERIC_BUFFERS.*.data.PATTERN». Если одно из выражений соответствует запрашиваемому, сервер получает буфер, указанный в соответствующем значении «MUNCH.GENERIC_BUFFERS.*.data.FILE_DATA», считывает значение имени вредоносного модуля в переменной «MUNCH.GENERIC_BUFFERS_CONTENT.value_of_FILE_DATA» и отправляет соответствующий вредоносный модуль клиенту.

Все вредоносные модули перечислены в реестре Flame под именами, начинающимися с «MUNCH.GENERIC_BUFFERS_CONTENT.payload_name», и зашифрованы с помощью алгоритма RC4 с фиксированным 104-байтным ключом.

Шаблон URI	Имя вредоносного модуля
*v9/windowsupdate/redir/muv4wuredir.cab* *v8/windowsupdate/redir/muv3wuredir.cab* *v7/windowsupdate/redir/wuredir.cab* *v6/windowsupdate/redir/wuredir.cab* *ws03sp1/windowsupdate/redir/wuredir.cab*	WUREDIR
*/v9/windowsupdate/?/?elf?pdate/WSUS3/x86/Other/wsus3setup.cab* */v9/windowsupdate/?/SelfUpdate/AU/x86/NetServer/*/wusetup.cab* */v9/windowsupdate/?/SelfUpdate/AU/x86/XP/*/wusetup.cab* */v9/windowsupdate/?/SelfUpdate/AU/x86/W2K/*/wusetup.cab* */v9/windowsupdate/?/SelfUpdate/AU/x86/W2KSP2/*/wusetup.cab*	WUSETUP
*update.microsoft.com/v6/windowsupdate/selfupdate/wuident.cab*	XP_WUIDENT
*v5/redir/wuredir.cab*	XP_WUREDIR
*download.windowsupdate.com/v6/windowsupdate/?/SelfUpdate/ AU/x86/XP/en/wusetup.cab*	XP_WUSETUP
*muauth.cab*	MUAUTH
*muredir.cab*	MUREDIR
*muident.cab*	MUIDENT
*/version_s.xml	VISTA_7_VERSION_S
*/version.xml	VISTA_7_VERSION
*v9/windowsupdate/redir/muv4wuredir.cab* *v8/windowsupdate/redir/muv3wuredir.cab* *v7/windowsupdate/redir/wuredir.cab* *v6/windowsupdate/redir/wuredir.cab* *ws03sp1/windowsupdate/redir/wuredir.cab*	VISTA_7_WUREDIR
*/windowsupdate/?/?elf?pdate/WSUS3/x86/Vista/WuSetupHandler.cab*	VISTA_7_WUSETUPHANDLER
*/windowsupdate/?/?elf?pdate/WSUS3/x86/Vista/WUClient-SelfUpdate-ActiveX~31bf3856ad364e35~x86~~7.0.6000.381.cab*	VISTA_7_WUCLIENT
*/windowsupdate/?/?elf?pdate/WSUS3/x86/Vista/wsus3setup.cab*	VISTA_7_WSUS3SETUP
*v9/windowsupdate/selfupdate/wuident.cab*	VISTA_7_WUIDENT

Большинство вредоносных модулей представляют собой подписанные CAB-архивы. Архивы, содержащие вредоносный код, подписаны «MS» в декабре 2010 и ноябре 2011 года, в то время как остальные архивы, по-видимому, действительно взяты из настоящей службы Windows Update и подписаны «Microsoft Corporation».

Имена вредоносных модулей	Содержимое	Подпись
WUREDIR_VISTA_7_WUREDIR_	wuredir.xml	Microsoft Corporation_01 июля 2009 г.
WUSETUP	Default/wuapplet2.ocx _Default/wuaucom.dat _Default/wuauinfo.ocx _Default/wuconf.ini _Default/wusetup.ocx _wsus3setup.cat _wsus3setup.inf _wuapplet2.ocx _wuaucom.dat _wuauinfo.ocx _wuconf.ini _wups2.cab _wups2.cat _wusetup.cat _wusetup.inf _wusetup.ocx_	MS 10 ноября 2011 г.
XP_WUIDENT	wuident.txt	Microsoft Corporation 25 мая 2005 г.
XP_WUREDIR	wuredir.xml	Microsoft Corporation 16 июня 2005 г.
XP_WUSETUP	Default/ wuapplet2.ocx _Default/wuaucom.dat _Default/wuauinfo.ocx _wups2.cab _wusetup.cat _wusetup.inf _wusetup.ocx_	MS 28 декабря 2010 г.
MUAUTH	authorization.xml	Microsoft Corporation 05 июня 2008 г.
MUREDIR	wuredir.xml	"Microsoft Corporation 01 июля 2009 г.
MUIDENT	muident.txt	MS 28 декабря 2010 г.
VISTA_7_VERSION_S	отсутствует	не подписано
VISTA_7_VERSION	92 bytes, not a CAB file	не подписано
VISTA_7_WUSETUPHANDLER	WuSetupV.exe	MS 28 декабря 2010 г.
VISTA_7_WUCLIENT	update.cat _update.mum_	MS 28 декабря 2010 г.
VISTA_7_WSUS3SETUP	WUClient-SelfUpdate- ActiveX~31bf3856ad364e35~x86~ ~7.0.6000.381.mum _WuPackages.xml_	MS 28 декабря 2010 г.
VISTA_7_WUIDENT	wuident.txt	MS 28 декабря 2010 г.

Поскольку CAB-файлы имеют действительные подписи (на данный момент отозванные Microsoft), служба Windows Update принимает и обрабатывает их как обычные обновления Windows. Они загружаются и устанавливаются, что приводит к выполнению вредоносного модуля.

Основной вредоносный модуль, содержащийся в этих CAB-файлах, представляет собой компонент-загрузчик под названием «Wusetup.ocx» или «WuSetupV.exe». Он собирает общие данные о компьютере, в т.ч. информацию о часовом поясе, и пытается обратиться к «http://MSHOME-F3BE293C/view.php», причем к URI в запросе добавляется информация о хосте. Поскольку имя «MSHOME-F3BE293C» обрабатывается модулем SNACK, URL указывает на действующий сервер MUNCH, который обслуживается главным модулем Flame «mssecmgr.ocx».

WuSetupV загружает этот файл, сохраняет его в «%windir%\Temp\~ZFF042.tmp», загружает его как DLL и запускает его функцию «DDEnumCallback», представляющую собой процедуру установки Flame. Таким образом, еще один компьютер оказывается заражен.

Даже «лучше», чем эксплойт нулевого дня

Сразу же после того, как мы обнаружили Flame, мы принялись искать в его коде хотя бы один эксплойт, использующих уязвимость нулевого дня для распространения Flame и заражения других машин в локальной сети. Учитывая сложность программы и тот факт, что она заражала машины, работающие под управлением Windows 7 с установленными необходимыми обновлениями, такой эксплойт должен был присутствовать. То, что мы обнаружили, даже «лучше» любого эксплойта нулевого дня. Это, скорее, напоминает чит-код в компьютерной игре, который включает «режим бога» – код, подписанный сертификатами, которые изначально были выписаны Microsoft. Цифровая подпись была обнаружена и немедленно отозвана Microsoft, после чего компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...

Trend Micro предупреждает о новой волне целевых атак, мотивом которых, по всем приметам, является кибершпионаж. Основными мишенями злоумышленников являются ключевые институты России и стран СНГ, включая дипломатические миссии, министерства, космические агентства и тому подобные организации.

Исследователи насчитали свыше 300 таких инцидентов с участием даунлоудера Lurid, он же Enfal. Это троянское семейство известно с давних пор, однако скудно представлено на черном рынке. На пике своей популярности Lurid использовался злоумышленниками для атак на правительственные и общественные учреждения США.

Повелители зловреда, судя по данным Trend Micro, распространяют его через зараженные pdf- или rar-файлы. В последнем случае вредоносный код маскируется под скринсейвер. Набор эксплойтов, который используют злоумышленники, весьма разнообразен, но ориентирован, в основном, на хорошо известные уязвимости. После инсталляции Lurid отсылает в центр управления свой ID, а впоследствии ― копии документов, обнаруженных на зараженном ПК. По данным экспертов, в командной инфраструктуре данного ботнета задействовано 15 доменов и 10 активных IP-адресов. Резидентного троянца заметно интересуют информационные файлы, в особенности электронные таблицы.

Согласно далеко не полной статистике, обнаруженной на его C&C, Lurid успел проникнуть на 1465 веб-узлов (МАС-адресов), базирующихся на территории 60 стран. В настоящее время удалось установить 47 его жертв, в число которых попали дипломатические представительства, правительственные учреждения, центры космических исследований и другие научно-исследовательские организации. Из 2272 уникальных IP-адресов, ассоциированных с заражениями, 1063 принадлежат россиянам, 325 ― жителям Казахстана, 102 прописаны на Украине. В десятку лидеров по популяции Lurid вошли также Узбекистан, Беларусь, Киргизия, а из стран дальнего зарубежья ― Вьетнам, Индия, Монголия и Китай.

До сих пор в наших публикациях о Stuxnet мы не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах – с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников.

Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения) пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC, производства компании Siemens.

Я уже не могу вспомнить, кто первый из журналистов (или антивирусных экспертов), упомянул в этой связи электростанции (на некоторых из них действительно работает ПО WinCC) , но с тех пор над историей витает дух «промышленных атак», «межгосударственного шпионажа» и прочих параллелей, годных на пару-тройку сценариев для голливудских фильмов.

(скриншот примера работы WinCC, взятый из официальной документации компании Siemens)

Действительно, Stuxnet пытается подключаться к системе визуализации WinCC SCADA , используя «пароль по-умолчанию», который компания Siemens заложила в свою программу.

В состав червя входит весьма интересный компонент, dll-файл, который представляет собой своеобразную «обертку» (wrapper) вокруг настоящей, оригинальной DLL от Siemens.

Эта «обертка» и пытается осуществлять взаимодействие с WinCC, перенаправляя большую часть функций в оригинальную dll. Остальные функции он эмулирует самостоятельно!

Это функции:
s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):

Компания Siemens в настоящее время проводит собственное расследование и анализ вредоносной программы. Ими опубликован специальный информационный отчет об инциденте, в котором сообщается об одном подтвержденном случае заражения клиента WinCC в Германии.

Процитирую оригинал:

"Currently there is still only one known case where a customer's WinCC computer has been infected. The virus infiltrated a purely engineering environment of a system integrator, but was quickly eliminated. A production plant has not been affected so far."

"There is only one known case of infection in Germany. We are, at present, trying to find out whether the virus caused any damage."

Siemens подтверждает, что червь способен передавать данные о промышленном процессе и продукции, а также пытается установить интернет-соединение с серверами злоумышленников, но в настоящее время данные серверы недоступны.

UPD: 20:00 msk
Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения.

Китайцы используют для шпионажа за промышленными секретами вредоносные программы. К такому выводу приходят эксперты в области информационной безопасности, сообщает агентство France Presse.

Специалисты американской компании Lurqh выявили, по меньшей мере, одну вредоносную программу, распространявшуюся с китайских серверов и использовавшуюся для хищения данных с зараженных компьютеров. Речь идет о черве Myfip. «Все электронные письма с вредоносным вложением, которые нам удалось отследить, пришли с одного и то же китайского адреса», — рассказал представитель Lurqh Джо Стюарт (Joe Stewart). По его мнению, «с большой долей вероятности» распространители программы использовали ее для шпионажа за американскими высокотехнологичными и производственными компаниями.

Стюарт полагает, что изначально программа Myfip была разработана для хищения студенческих экзаменационных билетов. Позже ее усовершенствовали и стали использовать для копирования разных типов документов, в том числе файлов Microsoft Word.

По информации журнала Forbes, сейчас может существовать более десятка версий Myfip, с помощью которых промышленные шпионы могут похищать и дизайнерские проекты, и схемы печатных плат.

Эксперт центра интернет-атаки при инситуте SANS Маркус Закс (Marcus Sachs) считает, что располагает твердыми уликами против китайских промышленных кибершпионов: «Я твердо убежден, что китайцы используют инструменты, подобные Myfip для ведения шпионажа против США и других промышленных стран с развитыми сетями для хранения данных».

По словам Закса, последние виды вредоносных программ свидетельствуют о новой стратегии их создателей. «Большинство схем, связанных с воровством кредитных карт, отмыванием денег и мошенничеством, разработаны в России и бывших советских республиках. Китайцы выглядят умнее в части сокрытия следов и, по-видимому, проводят скрытые рейды в поисках корпоративных секретов, а не денег, как их российские коллеги», — пояснил Закс.

Аналитики полагают, что в дальнейшем использование шпионских программ может выйти за рамки охоты исключительно за промышленными секретами. Вполне возможно, что с помощью программ, подобных Myfit, преступники будут красть и правительственные документы.