Промышленный саботаж.

[Logger]

http://newsru.com/world/19nov2010/stuxnet.html

Цитата:

Эксперты, изучившие код компьютерного "червя" Stuxnet, заявили, что его целью могла стать иранская ядерная программа, так как кибервирус был специальной настроен на вывод из строя центрифуг по обогащению урана. Как пишет в пятницу американская газета The New York Times, такой вывод экспертов является не окончательным, но начинает прояснять ситуацию вокруг Stuxnet, вредоносной программы, обнаруженной ранее в 2010 году большей частью на компьютерах Ирана, а также в Индии, Индонезии и других странах. ...

[kornix]

Это просто что-то монстроидальное.. он чуть ли не атакует частотам промышленные механизмы

Цитата:

16.11.2010
Специалисты по информационной безопасности обнаружили недостающий фрагмент семейства нашумевших сетевых червей Stuxnet, таким образом эти черви способны атаковать все типы управляющих систем, используемые на современных атомных станциях и другом специализированном промышленном оборудовании.

Ранее для специалистов уже стало очевидно, что черви Stuxnet нацелены на промышленные заводские системы контроля класса SCADA, производимые компанией Siemens. Распространяются эти черви либо через дыры в Windows, где нет последних версий патчей, либо через USB-накопители. Вредоносное ПО инфицирует только персональные компьютеры, подключенные к промышленным системам управления. Stuxnet в принципе способен перепрограммировать или саботировать системы, в которых он оказался.

Теперь подтверждено наличие версии Stuxnet для частотных конвертеров, используемых как минимум в Иране и Финляндии. Также было установлено, что новая версия Stuxnet атакует только конвертеры, работающие в диапазоне 807-1210 герц. Задача новой версии червя - изменить исходящие частоты и скорость связанных с ними механизмов на промышленных объектах. Такие операции в принципе способы привести к саботажу, но с другой стороны привести к проблемам, диагностировать которые на ранней стадии очень трудно.

Полный текст статьи тут

[lev]

В работе ядерной программы Ирана произошел масштабный сбой

[Poleax]

В продолжении никому не нужной темы, и для на пускания большего страха приведу пару ссылок.

1. Израиль уличили в тестировании поразившего иранские центрифуги вируса
   
   Цитата:

   Компьютерный вирус Stuxnet, который в прошлом году поразил ядерные объекты Ирана, был предварительно испытан на секретном израильском ядерном объекте в Димоне.

   

2. Symantec: половина российских стратегических предприятий не защищена от угроз
   
   Цитата:

   В исследовании говорится, что 51% предприятий в России не применяют либо применяют недостаточные меры по защите конечных точек - рабочих компьютеров пользователей, серверов, терминалов, и т.д. Свыше трети опрошенных не осуществляют должным образом мониторинг информационной безопасности, не принимают достаточных мер по защите сети, по обеспечению безопасности электронных сообщений, не проводят тренингов по безопасности. 20% опрошенных предприятий не реагируют должным образом на ИБ-инциденты.

[Poleax]

Компьютерный эксперт заявляет, что за созданием червя Stuxnet стоят США
("AFP", Франция)

Цитата:

Лонг-Бич, Калифорния – Немецкий эксперт по компьютерной безопасности заявил в четверг, что по его мнению, вредоносного червя Stuxnet в иранскую ядерную программу запустили Соединенные Штаты и израильский Моссад.

«Я считаю, что к этому причастен Моссад», - заявил Ральф Лангнер (Ralph Langner) во время обсуждения его глубокого анализа кода Stuxnet на престижной конференции TED, состоявшейся в городе Лонг-Бич в Южной Калифорнии.

«Но главный источник это не Израиль… Есть лишь один главный источник, и это Соединенные Штаты».
...........
«Идея создания компьютерного червя Stuxnet на самом деле весьма проста, - заявил Лангнер. – Мы не хотим, чтобы Иран получил атомную бомбу».
...........

http://inosmi.ru/world/20110304/167061762.html

[Poleax]

Цитата:

Сообщение от Poleax

В продолжении никому не нужной темы....

Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.1)
http://www.thevista.ru/page.php?id=14322

Цитата:

.................
Вредоносное ПО и инструменты Sysinternals
В нескольких моих последних публикациях в блоге я рассказал о задокументированных случаях использования инструментов Sysinternals для очистки системы от вредоносного ПО, однако исследователи вредоносных программ также часто используют эти утилиты для анализа вирусов. Профессиональный анализ вредоносного кода - это выверенный и утомительный процесс, требующий разбора вредоносного кода с целью обратного ассемблирования их операций, однако инструменты мониторинга системы, такие как Sysinternals Process Monitor и Process Explorer могут помочь аналитикам получить полное представление об активности вредоносного ПО. Они также могут помочь понять цели, преследуемые вредоносной программой, и помогают найти точки входа и части кода, требующие более пристального анализа. Как было показано в моих предыдущих публикациях, эти поиски могут послужить руководством к созданию рецептов очистки системы от вредоносного кода для антивирусных продуктов.

Поэтому я решил, что будет интересно показать, как с помощью инструментов Sysinternals можно понять начальные стадии распространения вируса Stuxnet (отмечу, что при написании этой статьи ни одна центрифуга не пострадала). Я полностью покажу процесс заражения системы Windows XP и затем опишу способ, который вирус использует одну из уязвимостей "нулевого дня" для получения административных прав при запуске из стандартной учетной записи Windows 7. Имейте ввиду, что Stuxnet - это очень сложное вредоносное ПО. Оно размножается и взаимодействует, используя множество методов и выполняя различные операции в зависимости от версии инфицированной операционной системы и установленного на ней программного обеспечения. Этот лишь поверхностный обзор Stuxnet, и его целью является показать, как без специальной экспертизы инструменты Sysinternals могут раскрыть влияние вредоносного кода на систему. Подробный анализ действий Stuxnet приведен в документе W32.Stuxnet Dossier от Symantec.


Вектор заражения Stuxnet
Stuxnet получил распространение прошлым летом прежде всего через USB-драйвы, так что я начну заражение с помощью вируса, установленного на такой брелок. Вирус состоит из шести файлов: четыре вредоносных ярлыка с именами типа "Copy of Shortcut to.lnk" и двумя файлами с именами, которые позволяют им выглядеть как обычные временные файлы. Я использовал все один ярлык для этого анализа, так как все они служат одной и той же цели:


В этом векторе инфекции Stuxnet начинает выполняться без вмешательства пользователя, используя преимущества уязвимости "нулевого дня" в коде ярлыка Windows Explorer Shell (Shell32.dll). Все что пользователю нужно сделать - это открыть папку, содержащую файлы Stuxnet, в Проводнике. Чтобы заражение прошло успешно, я для начала удалил исправление KB2286198, которое было встроено в обновлении безопасности Windows от августа 2010. Когда Explorer открывает ярлык на непропатченной системе, чтобы найти файл, на который указывает ярлык, с целью отобразить иконку, Stuxnet заражает систему и использует технику руткита, чтобы скрыть файлы, заставляя их исчезнуть из Проводника.
.....................

[Logger]

http://www.cnews.ru/top/2012/05/31/k...ovaniya_491394

Цитата:

Когда операторы Flame решили удалить свое ПО из контролируемого «Лабораторией» узла (Гостев связывает это с тем, что ничего ценного на этой машине не было), в очередной пришедшей команде на деинсталяцию содержался полный список файлов и ключей реестра, используемых программой. Это сильно помогло аналитикам понять ее полный функционал, включая подгружаемые модули.

Просто чудесно сработано