Stuxnet: завершающая деталь головоломки

Stuxnet: завершающая деталь головоломки

Антивирусные эксперты наконец обнаружили факт, который способен окончательно подтвердить, что вредоносная активность Stuxnet направлена против систем управления именно ядерных объектов, а не вообще любых предприятий произвольных отраслей экономики.



Тот факт, что червь атакует SCADA-системы Siemens, предназначенные для контроля производственных процессов на крупных заводах, и использует для своего распространения уязвимости в Windows и возможности автозапуска съемных дисков, уже практически является общеизвестным. Стоит, однако, напомнить о способности Stuxnet осуществлять перепрограммирование и, следовательно, саботаж работы подобных управляющих комплексов и различных заводских механизмов.


Итак, в конце минувшей недели были опубликованы результаты новой исследовательской работы, гласящие, что червь выполняет поиск и обнаружение контрольных элементов специфических устройств - приводов частотных преобразователей. При этом Stuxnet 'интересуется' только теми аппаратами, которые работают на высоких частотах - от 807 до 1210 Гц. Вредоносная программа способна влиять на выходную частоту устройства и, соответственно, на скорости подключенных к нему моторов; оказывая непродолжительное, но регулярное воздействие в течение многих месяцев, Stuxnet провоцирует спорадические нарушения работы пораженной аппаратуры, причину которых довольно сложно диагностировать, если не знать об инфекции.


Следует упомянуть о том, что устройства с выходной частотой более 600 Гц могут использоваться для обогащения урана, и в Соединенных Штатах их экспорт регулируется контрольной комиссией по ядерной энергии. Безусловно, у них могут быть и иные сферы применения, но, к примеру, для приведения в движение конвейерной ленты они точно не используются.


"Теперь нам окончательно ясна цель Stuxnet", - заявил исследователь Symantec Эрик Шьен. - "Это особо важный фрагмент всей картины в целом".


Стоит, однако, заметить, что до сих пор точно не известно, кто же все-таки создал Stuxnet, и какими мотивами он руководствовался; есть лишь множество теорий на этой счет. Есть даже мнение, будто инфекцию разработали российские специалисты для саботажа работы иранской  ядерной электростанции в Бушере (хотя не вполне понятно, зачем им вдруг могло понадобиться сделать нечто подобное). Ясно лишь, что над вредоносной программой трудилась целая команда разработчиков, и не исключено, что они исполняли заказ некоторого государства или разведывательной службы.


The Register

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В FreeIPA нашли критическую уязвимость с оценкой 9,4 по CVSS

Специалист из команды PT SWARM Михаил Сухов обнаружил серьёзную уязвимость в системе управления доменами FreeIPA — это решение используется для централизованного управления учётными записями и политиками доступа в Linux-среде. FreeIPA входит в состав дистрибутива Red Hat Enterprise Linux и применяется как минимум в 2000 организациях, включая ряд российских ИТ-продуктов.

Уязвимость получила идентификатор CVE-2025-4404 и оценку 9,4 из 10 по шкале CVSS 4.0 — это критический уровень. Она присутствовала в версиях FreeIPA 4.12.2 и 4.12.3.

В случае успешной атаки злоумышленник мог бы повысить привилегии до уровня администратора домена и получить доступ к конфиденциальной информации.

Проблему устранили в версии 4.12.4. Тем, кто пока не может установить обновление, рекомендовано включить обязательное использование PAC на всех серверах с Kerberos и настроить атрибут krbCanonicalName для административной учётной записи на admin@REALM.LOCAL. Это позволит системе корректно распознавать пользователей с повышенными правами.

Как поясняет Михаил Сухов, чтобы использовать уязвимость, атакующему нужен был доступ к учётной записи в домене. Завладев правами на скомпрометированном узле, он мог бы прочитать файл с ключами доступа и в итоге получить полный контроль над системой — управлять учётными записями и правами, а также просматривать любые данные.

Интересно, что сама уязвимость появилась после изменений, внесённых в 2020 году: тогда вендор ограничил возможность произвольного повышения привилегий, но в процессе был удалён важный атрибут, и это открыло новое окно для атаки.

FreeIPA — проект с открытым кодом, развиваемый сообществом при поддержке Red Hat. Его часто рассматривают как альтернативу Microsoft Active Directory.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru