Китай: в стране жертвой Stuxnet стали около 1000 предприятий

В Китае говорят, что страна столкнулась с атакой сетевого червя Stuxnet в не меньшей, а возможно и в большей степени, чем Иран. По словам китайских представителей, вирус, изначально созданный для атаки иранских ядерных объектов, также атаковал ряд промышленных объектов в Китае.



Согласно данным государственных СМИ КНР, червь Stuxnet "поселил хаос", заразив миллионы компьютеров по всей стране. Напомним, что данный червь вызывает опасения экспертов, ввиду того, что он сконструирован для проникновения в компьютеры, управляющие критическими системами, такими как электрические сети, ядерные объекты, водные и газовые станции. Теоретически, этот червь может создать в системе условия, способные уничтожить газопровод или привести к сбою в работе атомной станции.

Червь атакует системы промышленного управления производства немецкой Siemens. Обычно такие системы применяются для управления водными ресурсами, нефтяными вышками, электростанциями и другими промышленными объектами.

"Эта программа, в отличие от большинства других вирусов, создана не для хищения данных, а для саботажа и повреждения промышленных автоматических систем, - говорят в китайской антивирусной компании Rising International Software. - После того, как Stuxnet проник в ИТ-системы заводов в Китае, он нанес ущерб национальной безопасности страны".

По информации государственного информагентства Синьхуа, всего в КНР подвержены воздействию вируса оказались около 1000 предприятий. Общее число заражений индивидуальных компьютеров превысило 6 млн.

Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046) в Windows, позволяющей червю распространяться через внешние носители, еще выше.
Интересна география распространения Win32/Stuxnet. По состоянию на конец сентября наибольшая доля заражений (52,2%) приходится на Иран. Далее с большим отрывом следуют Индонезия (17,4%) и Индия (11,3%).

Некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов вредоносное ПО было способно обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

«Одной из главных трудностей в процессе анализа стал большой объем кода, – говорит Евгений Родионов, старший специалист по анализу сложных угроз российского представительства Eset. – Только изучив устройство каждого из многочисленных компонентов червя, складывается целостная картина и понимание его возможностей. Наиболее интересной частью работы стало обнаружение не закрытых Microsoft уязвимостей, которые использовались червем в процессе заражения для локального повышения привилегий».

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

APNIC по недосмотру оставил дамп базы данных Whois в открытом доступе

Регистратор APNIC, отвечающий за распределение интернет-ресурсов в Азиатско-Тихоокеанском регионе, признал факт утечки, произошедшей из-за ошибки в конфигурации облачного хранилища. В публичный доступ попали хеши паролей для изменения записей в SQL-базе сервиса Whois, а также контактные данные админов, отвечающих на сигналы о злоупотреблениях.

Согласно блог-записи APNIC, досадный промах был допущен во время работ по внедрению поддержки протокола RDAP, который заменит Whois. Исполнители скопировали часть базы Whois в ведро Google Cloud, но не проверили настройки. В результате этот дамп три месяца находился в открытом доступе — до 4 июня, когда сторонний исследователь указал регистратору на проблему.

Выгруженный на сервер Google файл содержал хешированные данные аутентификации для объектов MNTNER и IRT. В случае взлома хеш-функции злоумышленник мог получить ключи для внесения изменений в записи Whois, однако предварительное расследование показало, что этого не произошло.

Узнав о проблеме, APNIC исправил ошибку в настройках Google Cloud, удалил слитый дамп и решил на всякий случай сбросить пароли для затронутых объектов в базе Whois (на настоящий момент этот процесс уже завершен).

По словам регистратора, владельцы интернет-ресурсов редко используют MNTNER и IRT для обновления (примерно раз в год). За последние шесть месяцев этой возможностью на законных основаниях пользовались около 50 организаций, и их попросили сменить пароль.

Пользователей Whois, предпочитающих обновлять свои записи из-под аккаунта MyAPNIC, заверили, что их данным ничто не угрожает. Никаких действий в связи с инцидентом от них не требуется: сброс паролей MyAPNIC выполняется автоматически.

Внутреннее расследование еще не закончено. Все результаты регистратор пообещал представить на сентябрьской конференции APNIC 52.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru