Международные кибербандиты, водяной насос и Stuxnet

Опубликовано: 1 декабря 2011 г.
Рубрики:

SCADA_Wind_power_utility_w.jpg

Система управления и сбора данных SCADA для ветряной электростанции
Белый ящик на фундаменте — система управления и сбора данных SCADA для ветряной электростанции: на дальнем плане видны вышки с ветряными генераторами. Доступ к SCADA осуществляется по беспроволочной связи в открытом интернете. Система защищена сложными паролями, при знании которых может быть взломана хакерами. В этом случае хакеры могут не только остановить электростанцию, но и вывести из строя ее оборудование, не выходя из своей квартиры на другом конце планеты... Photo  Courtesy:  Lynx Met Mast Services/ Flickr
Белый ящик на фундаменте — система управления и сбора данных SCADA для ветряной электростанции: на дальнем плане видны вышки с ветряными генераторами. Доступ к SCADA осуществляется по беспроволочной связи в открытом интернете. Система защищена сложными паролями, при знании которых может быть взломана хакерами. В этом случае хакеры могут не только остановить электростанцию, но и вывести из строя ее оборудование, не выходя из своей квартиры на другом конце планеты... Photo Courtesy: Lynx Met Mast Services/ Flickr
Сообщение о хакерской атаке, которая вывела из строя водонасос в предместье г. Спрингфилда (штат Иллинойс), широко обсуждается в американской печати, отмечающей, что, насколько известно, это первый случай, когда в результате компьютерного взлома инфраструктуре США был нанесен реальный ущерб.

Компьютеры американских правительственных ведомств, фирм и частных лиц подвергаются атакам постоянно, но обычно взломщики ставят себе целью похитить закрытые данные или просто набедокурить. До сих пор не было сообщений об атаках, результатом которых явился бы физический ущерб инфраструктуре страны.

В ряде комментариев подчеркивается, что американская экономика все больше полагается на компьютеры, и что одновременно повышается квалификация их взломщиков. Как отмечает на одном сайте американский хакер с ником prOf, на самом деле для взлома системы управления и сбора данных (SCADA) коммунального хозяйства крошечного городка особой квалификации и не требовалось.

Чтобы подчеркнуть это наблюдение, хакер иллюстрирует его скриншотом (снимком с экрана) системы водоснабжения и канализации техасского города Хьюстона, в которую он, по его словам, только что вломился.

«Механизмам при этом не было нанесено никакого ущерба, — оговаривается prOf, повествуя о своей атаке. — Мне не по душе безмозглый вандализм, бессмысленный и глупый. С другой стороны, то же самое можно сказать о моде на подключение ваших систем SCADA к интернету. Я даже не назвал бы это хакингом. Это не требует практически никакой квалификации и может быть совершено двухлетним младенцем, имеющим рудиментарное понятие» о программировании.

Поломка на иллинойском объекте, обслуживающем 2200 семей, не оставила их без воды, поскольку там одновременно работают несколько насосов. Поломка, имевшая место 8 ноября, прошла бы незамеченной для всех, кроме местных коммунальщиков, если бы два дня спустя известный эксперт по компьютерной безопасности Джо Вайсс не поведал в своем блоге, что его ознакомили с секретным документом иллинойского Разведывательного и антитеррористического центра, в котором поломку называют результатом компьютерной атаки.

Немалый ажиотаж вызвало и заявление Центра о том, что взлом был совершен с компьютера, имеющего российский IP-адрес. Ряд экспертов предостерег от поспешных выводов, поскольку хакеры могут действовать под чужим флагом, а власти США вообще спускают этот инцидент на тормозах, заявляя, что у них пока нет достоверных данных о том, чтобы ключевым объектам инфраструктуры или национальной безопасности США что-то угрожало.

Как явствует из данных расследования, предпринятого властями Иллинойса, сперва взломщик проник в компьютерную сеть компании, которая изготовила систему SCADA для пострадавшего коммунального хозяйства. Хакер похитил из базы данных компании сохраненные там имена пользователей и паролей ее клиентов и использовал их для того, чтобы проникнуть в систему управления водным хозяйством предместья Спрингфилда.

По команде далекого компьютера насос начал быстро отключаться и потом снова включаться, в результате чего его мотор перегорел.

По словам Вайсса, пока неизвестно, сколько имен и паролей было похищено у производителя систем управления, имя которого пока публично не называется, и использовались ли они для проникновения в компьютеры других его клиентов.

Производители систем управления часто хранят эту информацию для того, чтобы иметь удаленный доступ к оборудованию клиентов с целью обслуживания и ремонта. Но этот порядок удобен также и для хакеров.

 

Похищение информации кредиток

Превосходно информированный по этой части сайт Wired напоминает о том, что такой же лазейкой воспользовался анонимный румынский хакер, который вломился в систему оплаты кредитными картами, установленную в ряде ресторанов США, и похитил информацию владельцев кредиток.

В 2009 году семь пострадавших ресторанов Луизианы и Миссисипи возбудили иск против находящейся в Джорджии компании Radiant Systems, изготовившей их системы управления  SCADA. Истцы обвинили ее в том, что она не соблюдала общепринятые правила компьютерной безопасности и, например, сохраняла после завершения транзакции всю информацию, содержащуюся на магнитной полосе кредитки. Кроме того, имя пользователя по умолчанию было «администратор», а пароль — «компьютер».

Похищенную информацию хакер отправлял на электронный адрес в Румынии. Пострадавшие рестораны и другие компании понесли огромные убытки.

С 2005 по начало 2009 года аналогичным атакам подверглась серия других ресторанов и известных магазинов США, таких как Dave & Busters и Wal-Mart.

 

Программа-«червь» Stuxnet

Эксперты отмечают, что взлом иллинойской системы водоснабжения являлся первой успешной атакой на промышленную систему управления и сбора данных после того, как в прошлом году обнаружился зловредная программа-«червь» Stuxnet, проникшая примерно в 45 тысяч компьютеров, в том числе 30 тысяч — в Иране.

«Червь», который быстро окрестили «зловредной программой столетия» и происхождение которого до сих пор дискутируется, — хотя многие подозревают США и Израиль, — завладел системами управления иранского ядерного объекта и заставил установленную там тысячу центрифуг, занимавшуюся обогащением урана, работать то быстрее, то медленнее.

Как и водяной насос в Иллинойсе, они скоро вышли из строя, замедлив ядерную программу Исламской Республики.

После появления Stuxnet эксперты, в том числе вышеупомянутый Джо Вайсс, предсказывали, что объектами подобных атак теперь сделаются системы управления промышленными объектами в США и других странах.

«Какой-нибудь того и гляди вздумает сделать то же самое, — говорил по поводу Suxnet специалист по безопасности компьютеров Майкл Ассанти. — Может, он заставит клапан открываться и закрываться невпопад. Ущерб может оказаться катастрофическим».

Но до поломки в Иллинойсе предсказания не сбылись, и критики говорят, что люди, которые должны печься о безопасности компьютерных сетей, чрезмерно расслабились.

«Все спрашивали, почему же нет атак на системы SCADA? — говорит сейчас Вайсс. — Вот, дождались».

 

Международные кибербандиты

Между тем, в ноябре манхэттенская федеральная прокуратура сообщила о разоблачении преступной группы, которая обвиняется в заражении более чем 4 миллионов компьютеров в более чем 100 странах мира вредоносной программой, позволившей злоумышленникам незаконно заработать примерно 14 млн. долларов.

Полмиллиона пострадавших компьютеров находятся в США и принадлежат как частным лицам, так и НАСА, учебным заведениям, некоммерческим организациям и частным фирмам.

В расследовании аферы, которая длилась с 2007 по октябрь 2011 года, принимали участие не только ФБР, но и представители НАСА, американских вузов и ряда частных исследовательских центров. Прокуратура также выразила благодарность своим эстонским и голландским коллегам.

Главный прокурор округа Прит Бхарара назвал участников аферы «международными кибербандитами». К суду привлечены шесть граждан Эстонии со славянскими фамилиями и один россиянин с эстонской. В начале ноября в Эстонии были арестованы местной полицией и погранохраной 31-летние Владимир Цацин (Tsastsin), Тимур Герасименко и Валерий Алексеев, 33-летний Дмитрий Егоров, 28-летний Константин Полтев и 26-летний Антон Иванов. США будут ходатайствовать об их экстрадиции.

Американцы, конечно, могли бы попытаться выманить их в какую-нибудь третью страну, как Константина Ярошенко или Виктора Бута. Но в данном случае США имеют дело с цивилизованным государством и полагаются на его собственную судебную систему.

Седьмой подозреваемый — гражданин и житель России 31-летний Андрей Тааме находится в бегах. Поскольку гордая Россия своих граждан не выдает, американцы могут лишь выманить его за границу в какую-нибудь дружественную страну. Россияне протестуют против того, что Бута поймали за границей и привезли на суд в США. Они говорят, что если у америкосов были к нему претензии, то рассматривать их должен был российский суд, который справедливее пиндосского.

Возможно, Вашингтону следует провести эксперимент и потребовать, чтобы Тааме судили в Российской Федерации? Но беда в том, что там его, возможно, судить не за что. Я пишу «возможно», поскольку не знаю российского законодательства. Но я не исключаю, что там нет законов, которые якобы нарушили обвиняемые по этому американскому делу.

Предъявленные им обвинения включают преступный сговор с целью совершения мошенничества, грозящий лишением свободы на срок до 30 лет, и взлом компьютеров с целью мошенничества (до 5 лет).

Цацин обвиняется также в отмывании денег (до 30 лет тюрьмы) и переводе незаконных доходов в сумме больше 10 тысяч долларов (до 10 лет за каждый эпизод).

Как говорится в 62-страничном обвинительном заключении по этому делу, рекламный бизнес в интернете — «это многомиллиардная отрасль, в которой владельцы веб-сайтов продают место для рекламных объявлений на своих сайтах» и оплачиваются в зависимости от их посещаемости. Чем больше потенциальных клиентов зайдет на сайт и кликнет на конкретное объявление или просто его прочтет, тем больше денег получит его владелец с рекламодателей.

Обвиняемые, по словам прокуроров, искусственно увеличивали посещаемость своих сайтов, тайно запуская в миллионы чужих компьютеров вредоносные программы, которые направляли их владельцев на эти сайты.

Например, хозяин зараженного компьютера находил в поисковике адрес официального сайта iTunes корпорации Apple и кликал на него. Но попадал он на другой сайт — idownload-store-music, потому что дорогу ему указывала программа злоумышленников, которым платили за каждого посетителя.

Вместо сайта IRS, налогового ведомства США, программа отправляла пользователя на сайт известной в Америке фирмы H&R Block, занимающейся составлений налоговых деклараций.

Другой трюк состоял в мошенническом подмене рекламы на каком-то сайте. К примеру, выйдя 31 мая 2010 года на сайт газеты Wall-Street Journal, хозяин зараженного компьютера видел там не законную рекламу кредитки Plum Card компании American Express, а объявление фирмы Fashion Girl LA.

Не подозревавшие подвоха рекламодатели последней фирмы честно платили мошенникам за каждый просмотр своего объявления на таком популярном сайте.

Посещая сайт популярного спортивного телеканала ESPN, хозяин зараженного компьютера видел на нем рекламу не прохладительного напитка Dr. Pepper, а агентства по сдаче квартир. У злоумышленников не было контракта с рекламодателями Dr. Pepper, но был — с рекламодателями этого агентства, которые платили им за каждый просмотр своего объявления.

Кроме этой тайной переадресовки, вредоносная программа попутно обезоруживала антивирусную защиту чужих компьютеров.

Например, когда хозяин инфицированного компьютера заходил на сайт антивирусной программы Avast!, его неизменно встречала надпись «Ошибка: не могу связаться с сервером».

Это трюк делал чужие компьютеры уязвимыми для вирусов и троянских коней, запущенных другими киберпреступниками. В результате те получали возможность похищать личные данные и финансовую информацию их владельцев.           

Добавить комментарий

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
To prevent automated spam submissions leave this field empty.
CAPTCHA
Введите код указанный на картинке в поле расположенное ниже
Image CAPTCHA
Цифры и буквы с картинки