Компьютерный вирус Duqu угрожает важнейшим промышленным объектам

Специалисты по компьютерной безопасности предупреждают, что новая версия сложного кибероружия, которая нанесла серьезный вред иранской ядерной программе, может стать предвестником новой волны компьютерных атак.



Новое оружие под названием Duqu, судя по всему, использует оригинальные исходные коды из червя Stuxnet, который атаковал компьютеры на иранском атомном объекте в Натанзе в 2009 и 2010 годах.

Программа незаконно добывает информацию, что в будущем делает возможным новые атаки против специализированных компьютерных систем, которые контролируют электростанции, химические заводы, нефтеперерабатывающие предприятия и очистные сооружения, подчеркивают в компании Symantec и Департаменте внутренней безопасности США, передает inosmi.ru.

"Мы думали, что люди, стоящие за Stuxnet, исчезнут. Мы поймали их с поличным, - заявил The Washington Times аналитик Symantec Лайам О Мурчу (Liam O Murchu). - Вместо этого они вернулись".

"Атакующие ищут информацию, такую как проектная документация, которая потенциально может быть использована в будущих атаках, направленных против систем промышленного контроля", - говорится в выпущенном на прошлой неделе бюллетене Департамента внутренней безопасности.

Системы промышленного контроля считаются одними из самых опасных потенциальных объектов для компьютерных хакеров: ведь манипулируя ими, можно нанести ущерб или даже уничтожить целые предприятия, зависящие от подобных систем. Так, можно подорвать электростанцию, отравить питьевую воду или выпустить в окружающую среду нефть или смертоносные химикаты.

"Эта угроза направлена против ограниченного числа организаций, - гласит бюллетень Департамента внутренней безопасности. - Хотя метод ее распространения еще только предстоит определить, целевой характер угрозы делает социальный инжиниринг (метод проникновения в защищенные системы, основанный на использовании индивидуальной психологии – прим. пер.) весьма вероятным способом атаки".

Атаки методом социального инжиниринга обычно включают в себя приложения к письмам электронной почты, которые специально выглядят так, будто написаны коллегой или другим доверенным источником. Как только пользователь открывает подобное письмо, в его компьютер проникает вредоносное ПО.

Stuxnet, первый пример кибероружия, направленного против систем промышленного контроля, был разработан для уничтожения центрифуг, которые использует Иран для обогащения урана. "Червь" манипулировал компьютерным программным обеспечением, которое управляет этими системами и выводил их из-под контроля.

Так никогда и не было объявлено, кто стоял за Stuxnet, но сложность этого оружия заставила многих обозревателей прийти к выводу, что это было какое-то серьезное государство. Нацеленность против иранской ядерной программы и ряд других намеков, предположительно оставленных авторами червя, позволило некоторым предположить, что ответственность за эти атаки лежит на разведывательных агентствах Израиля или США.

Г-н О Мурчу, чья команда потратила месяцы в прошлом году на изучение Stuxnet, заявил, что Duqu примерно в половине случаев использует исходный код из этого более раннего образца кибероружия. Программа получила свое названия из-за того, что создает компьютерные файлы с префиксом DQ.

"Только создатели Stuxnet имели доступ к исходному коду", - сказал он, добавив, что атакующие работали над созданием Duqu, "возможно, весь последний год".

Первые очевидные свидетельства о появлении этого оружия и о его использовании были обнаружены в прошлом месяце, но атаки могли начаться в декабре, говорится в отчете Symantec.

Питер Сзор (Peter Szor), старший директор по исследованиям в McAfee Inc., подразделении компьютерной безопасности компании Intel Corp., заявил, что теоретически Duqu можно было создать при помощи обратного инжиниринга (восстановления логической или физической модели системы по коду – прим. пер.) Stuxnet.

"Но это было бы очень, очень трудозатратным, требующим большого количества времени и ресурсоемким процессом. Кто бы на это пошел?" - задается вопросом он. Ведь было бы дешевле и проще написать новую программу с нуля.

Другие эксперты отметили, что без доступа к самому исходному году невозможно с уверенностью говорить, что Duqu был разработан теми же самыми авторами.

"Просто взглянув на процессы заражения, нельзя с уверенностью судить о том, использован ли тот же самый исходный код или нет", - считает Ральф Лэнгнер (Ralph Langner), еще один специалист по компьютерной безопасности, изучавший Stuxnet.

Рик Говард (Rick Howard), директор по разведке из iDefense, пошел еще дальше, заявив, что сомневается, что за этими двумя видами оружия стоят одни и те же люди. Stuxnet был "очень серьезно нацелен,… спланирован и использован с военной точностью", - отмечает этот бывший специалист по компьютерной безопасности американской армии.

"На мой взгляд, нет никакого смысла в том, чтобы команда с подобным уровнем знаний и ресурсов использовала одну и ту же технологию и один и тот же код дважды", - сказал он.

Тем не менее, венгерская лаборатория, которая обнаружила Duqu, вновь заявила в выходные о своей убежденности в том, что эти два кибероружия "практически идентичны".

Г-н Сзор заявил, что у McAfee есть предварительные данные о примерно полудюжине потенциальных случаев заражения, включая такие объекты, как автомобильный завод в Иране и компьютерные системы в Великобритании и в США.

По словам Мурчу, Symantec распознал "примерно десять" случаев заражения Duqu в Европе, но программное обеспечение не было предназначено для того, чтобы самораспространяться, как делает большинство обычных вредоносных программ.

"Это не червь или вирус, - говорит он, - он не воспроизводит сам себя". Он сказал, что исследователи не знали, что он проник в системы, которые он инфицировал. Но "некоторые" из оказавшихся зараженными организаций были "компаниями, занятыми в производстве промышленных систем контроля", отметил он.

Атаковавшие при помощи Duqu, очевидно, собирали информацию о промышленных контрольных системах, заявил г-н О Мурчу. Он отметил, что одной из причин того, что Stuxnet был столь опасным, было то, что люди, которые разработали его, имели очень подробную информацию о системе контроля центрифуги, которую они атаковали.

"Зачем команда, стоящая за Stuxnet, сейчас ищет другую информацию о промышленных системах контроля, - спрашивает он. - Когда вы проводите эту пунктирную линию, это дает вам паузу, чтобы подумать".

Представитель Департамента внутренней безопасности США заявил, что департамент продолжит работу с экспертами по компьютерной безопасности, чтобы получить большие информации о Duqu и передать ее компаниям частного сектора, которые владеют и являются операторами критически важных американских промышленных систем контроля.

Г-н Сзор сказал, что первые признаки показывают, что "инфицировано было больше одной машины" в некоторых пострадавших организациях, подчеркнув направленную природу атаки.

Он сказал, что McAfee идентифицировал три из четырех слегка различающихся версий Duqu. "Все выглядит почти так, будто бы каждый образец был создан специально для данной конкретной атаки", - сказал он.

Г-н О Мурчу заявил, что на этот раз атакующие были более внимательны к тому, чтобы спрятать следы своего оружия. Данные, которые Duqu посылал в свою домашнюю базу, компьютерный сервер в Индии, который не работал на этой неделе, были не только зашифрованы, но и спрятаны вместе с фотографиями. "Они предприняли гораздо больше усилий, чтобы скрыть трафик", - отметил он.

Duqu также был разработан таким образом, чтобы стирать самого себя с зараженных компьютеров автоматически по истечении 36 дней, сказал он. Хотя атакующие могли и модифицировать эту функцию.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Критическая уязвимость в WordPress-плагинах Jupiter грозит угоном сайта

Аналитики из Wordfence выявили ряд уязвимостей в темах и плагинах Jupiter для WordPress (разработчик ArtBees). Одна из проблем позволяет после авторизации повысить привилегии до уровня администратора; степень опасности оценена в 9,9 балла из 10 возможных по шкале CVSS.

Мощные билдеры Jupiter используют более 148 тыс. клиентов из разных стран; с их помощью построены многие популярные блоги, интернет-платформы и магазины. Найденные уязвимости были полностью пропатчены 10 мая, пользователям рекомендуется как можно скорее обновить продукты до последней версии.

Согласно Wordfence, критическая дыра CVE-2022-1654 присутствует в Jupiter Theme 6.10.1 и ниже, а также во всех сборках плагина JupiterX Core до 2.0.6 включительно. Уязвимость проявляется при выполнении функции uninstallTemplate, выполняющей сброс базы данных сайта после деинсталляции шаблона. При этом происходит переустановка сайта, владельцем которого назначается текущий пользователь.

Уязвимая функция вызывается с помощью запроса AJAX с параметром action, заданным как abb_uninstall_template — или jupiterx_core_cp_uninstall_template в случае с JupiterX Core. Поскольку никаких проверок полномочий предусмотрено не было, злоумышленник мог получить админ-доступ к сайту и изменить его содержимое, внедрить вредоносный скрипт или попросту удалить весь контент.

Остальные уязвимости, найденные в Jupiter Theme, JupiterX Theme и JupiterX Core, менее опасны:

  • CVE-2022-1657 (8,1 балла CVSS) — обход каталога и возможность использования локальных файлов (local file inclusion, LFI); позволяет получить доступ к информации ограниченного пользования и совершать действия вне рамок своих полномочий;
  • CVE-2022-1656 (6,5 балла CVSS) — слабый контроль доступа, позволяющий деактивировать любой плагин и изменить настройки; грозит снижением безопасности сайта и нарушением нормального функционирования;
  • CVE-2022-1658 (6,5 балла) — слабый контроль доступа, позволяющий удалить любой плагин;
  • CVE-2022-1659 (6,3 балла) — раскрытие конфиденциальной информации (настройки сайта, данные о совершивших вход юзерах), возможность модификации постов, отказ в обслуживании (DoS).

Эксплойт во всех случаях тоже требует аутентификации, то есть его может провести любой подписчик или зарегистрированный пользователь. Полнофункциональные патчи включены в состав сборок Jupiter Theme 6.10.2, JupiterX Theme 2.0.7 и JupiterX Core 2.0.8.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru