Triton — самый убийственный вирус +26



Привет, Хабр! Это любительский перевод сообщения «Triton is the world’s most murderous malware, and it’s spreading» by Martin Giles, опубликованного 5 марта 2019 г. Все иллюстрации созданы Ariel Davis. Спойлер: в кибератаках в очередной раз обвиняют российских хакеров. Учтите, что это всего лишь перевод.

image Вирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии. Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.


Как опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, заставляющее кровь стынуть в жилах.

Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф. Предполагается, что они вмешаются при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили.

Вредоносное ПО позволяет контролировать системы безопасности удаленно. Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Ответ системы безопасности в июне 2017 г. привел к остановке производства. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы.

Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Ищейки обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Он целился в модель контроллера Triconex, сделанную французской компанией Schneider Electric.

В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.

Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.

«Мы знали что мы не можем полагаться на целостность систем безопасности. Это было хуже некуда»
Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта, водоочистных сооружений, и заканчивая атомными энергетическими станциями.

Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.

Создатели Triton сейчас охотятся за новыми жертвами. Dragos, фирма, которая специализируется на индустриальной кибербезопасности, утверждает: за последний год появились свидетельства, доказывающие, что группа хакеров использует одни и те же методы цифровой разведки, для обнаружения целей за пределами ближнего востока, включая Северную Америку. Они создают новые варианты кода, позволяющие ставить под угрозу большее количество систем безопасности.

Боевая готовность


Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)

В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой. Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены.

Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. С тех пор, они обнаружили путь в собственную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.

С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.

Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Хакеры также обнаружили или «уязвимость нулевого дня» или прежде неизвестный баг во встроенной в Triconex программе. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.

Результаты могли быть устрашающими. Худшая промышленная авария также связана с утечкой ядовитых газов. В декабре 1984 года завод пестицидов Union Carbide в Бхопале (Индия) выпустил огромное облако токсичных паров, убив тысячи людей. Причинами были плохое обслуживание и человеческий фактор. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.

Ещё большая боевая готовность


Не так много случаев было, когда хакеры пытались нанести физический вред используя киберпространство. Например, Stuxnet — сотни центрифуг иранской АЭС вышли из-под контроля и самоуничтожились (2010). Другой пример, CrashOverride — удар российских хакеров по энергетической системе Украины (2016). (Наша боковая панель содержит резюме этих и некоторых других киберфизических атак.)*

Однако даже самые из пессимистичных кибер-Кассандр не видели такого вредоносного ПО как Triton.
«Просто казалось, что целиться в системы безопасности тяжело морально и действительно трудно технически», объясняет Джо Словик, бывший офицер ВМС США, ныне работающий в Dragos.
Другие эксперты тоже были шокированы, увидев новости о коде-убийце.
«Даже Stuxnet и другие вирусы никогда не имели такого вопиющего и однозначного намерения травмировать людей», говорит Бредфорд Хегрет, консультант в Accenture, специализирующийся на промышленной кибербезопасности.
image

Скорее всего не случайно, что вредоносное ПО дало о себе знать, когда хакеры из таких стран, как Россия, Иран и Северная Корея, усилили исследование секторов «критически важной инфраструктуры». Нефтегазовые компании, электроэнергетические компании, транспортные сети жизненно необходимы современной экономике.

В своей речи в прошлом году Ден Коатс, директор национальной разведки США, предупредил, что угроза кибератаки, парализующей жизненно важную инфраструктуру Америки, возрастает. Он провел параллели с зарегистрированным национальной разведкой США возрастанием киберактивности террористических групп перед 11 сентября 2001.
«Почти два десятилетия спустя, я здесь, чтобы сделать предупреждение, огни снова мигают красным. Сегодня цифровая инфраструктура, обслуживающая нашу страну, буквально находится под атакой», сказал Коатс.
Вначале казалось, что Triton — работа Ирана, который является заклятым врагом Саудовской Аравии. В отчете, опубликованном в прошлом октябре, FireEye, компанией, работающей в сфере информационной безопасности и участвующей в расследовании с самого начала, преступником была обвинена другая страна: Россия.

Хакеры тестировали элементы кода, с целью сделать его обнаружение непосильной задачей для антивируса. FireEye обнаружили забытый хакерами файл в корпоративной сети и получили возможность отследить другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.

Этот адрес был зарегистрирован в ЦНИИ Химии и Механики в Москве, государственной организации, фокусирующейся на ключевой инфраструктуре и промышленной безопасности. FireEye также сообщал о доказательстве, которое указывало на вовлеченность профессора этого института. И всё же, в отчете было отмечено, что FireEye не удалось найти доказательств, которые бы могли однозначно указать на причастие института к разработке Triton.

Исследователи все еще копаются в происхождении вируса, так что гораздо больше теорий может возникнуть о хакерах-авторах. Гатманис, тем временем, хочет помочь компаниям извлечь важные уроки из подобного опыта саудовского завода. На январской конференции по промышленной безопасности S4X19 он обрисовал некоторые из них. Например, жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.

Это может звучать как безнадежный случай, но Гатманис утверждает, что это не так.
«Я был на многих американских заводах, которые были в разы менее зрелыми [в своем подходе к кибербезопасности], чем эта организация», объясняет Гатманис.



Triton: a timeline


2014
Хакеры получают доступ к корпоративной сети завода в Саудовской Аравии

Июнь 2017
Первая остановка производства

Август 2017
Вторая остановка производства

Декабрь 2017
Публикуется информация о кибератаке

Октябрь 2018
FireEye сообщает о том, что скорее всего Triton был создан в российской лаборатории

Январь 2019
Появляется больше информации об инциденте


Другие эксперты замечают, что сейчас хакеры, работающие на правительство, готовы преследовать относительно неопределенные и сложные для взлома цели. Системы обеспечения безопасности разработаны специально для защиты разнообразных процессов, так что программирование вирусного ПО для них требует большого количества времени и кропотливой работы. Schneider Electric’s Triconex контроллер, например, имеет множество различных моделей, и каждая из них может иметь другую версию встроенного ПО.

Факт того, что хакеры пошли на такие большие затраты для разработки Triton, стал тревожным звонком для Шнайдера и других производителей систем безопасности, таких как Emerson (США) и Yokogawa (Япония). Шнайдер получил похвалу за то, что публично поделился подробностями об атаке хакеров, включая освещение ошибки нулевого дня, котора была исправлена с тех пор. Однако во время январской презентации Гатманис раскритиковал компанию за то, что она не могла взаимодействовать со следователями сразу после атаки.

Schneider заверили, что сотрудничали с компанией, оказавшейся под кибератакой, так же плотно, как и с Министерством внутренней безопасности США и иными агентствами, проводившими расследование. Было нанято больше людей, а также была усилена безопасность встроенного ПО и используемых протоколов.

Эндрю Клинг, руководитель Schneider, говорит, что важный урок, извлеченный из этого происшествия, состоит в том, что компаниям и производителям оборудования необходимо уделять больше внимания областям, компрометация которых может привести к катастрофе, даже если атака по ним кажется очень маловероятной. Например, редко используемые программные приложения и старые протоколы, которые управляют взаимодействиями приборов.
«Вы можете подумать, никого никогда не будет беспокоить нарушение [некоторого] неясного протокола, который даже не задокументирован, — говорит Клинг, — но вы должны спросить, каковы будут последствия, если они это сделают?»
image

Иное будущее?


В течение последнего десятилетия компании добавляют связь с интернетом и сенсоры во все виды промышленного оборудования. Собираемые данные используются для всего; начиная с профилактики, которая означает использование машинного обучения для лучшего предсказания, когда же это профилактическое обслуживание понадобится, заканчивая тонкой отладкой процессов на производстве. Также большой шаг сделан для того, чтобы управлять процессами удаленно, используя смартфоны и планшеты.

Все это может сделать бизнес гораздо более эффективным и продуктивным, что объясняет, почему, согласно ARC Group, следящей за рынком, ожидается потратить около 42 млрд. долларов на промышленное интернет-оборудование; например, интеллектуальные датчики и автоматизированные системы управления. Но также очевидны риски: чем больше оборудования подключено, тем больше целей для атак получают хакеры.

Чтобы удержать злоумышленников, производства обычно полагаются на стратегию, известную как «глубокая защита»: создаётся несколько уровней безопасности, используются брандмауэры, чтобы отделить корпоративные сети от интернета. Задача других уровней — предотвратить доступ хакеров к сетям предприятия и к промышленным системам управления.

Методы защиты также включают в себя антивирусные инструменты для обнаружения вирусов и всё чаще ПО для искусственного интеллекта, который пытается распознать аномальное поведение внутри IT-систем.

Кроме того, в качестве окончательной защиты используются системы контроля безопасности и физические отказобезопасные системы. Наиболее важные системы обычно имеют несколько физических копий для защиты от отказа какого-либо элемента.

Эта стратегия доказала свою надёжность. Но рост числа хакеров, обладающих временем, деньгами и мотивацией, достаточными для того, чтобы нацелиться на критически важную инфраструктуру, а также увеличение роста соединенных с интернетом систем — всё это означает, что прошлое не может быть надежным руководством для будущего.

Россия, в частности, продемонстрировала желание использовать ПО в качестве оружия против физических целей на украине, которые она может использовать для тестирования кибероружия. Внедрение Triton в Саудовской Аравии показывает, показывает, что полные решимости хакеры готовы потратить годы на прощупывание и исследование способов пробраться через все эти уровни защиты.

К счастью, нападавшие на предприятие в Саудовской Аравии были перехвачены, а мы узнали гораздо больше о том, как они работали. Также это отрезвляющее напоминание о том, что хакеры, как и другие разработчики, тоже совершают ошибки. Что если непреднамеренно внесенный баг, вместо безопасного отключения систем, «обезвредит» системы безопасности, и это произойдет именно в тот момент, когда какая-либо ошибка или же человеческий фактор сделают жизненно важный процесс бесполезным?

Эксперты, работающие в таких местах, как Национальная лаборатория США в Айдахо, призывают компании пересмотреть все свои процессы в свете появления Triton и других киберфизических угроз, а также радикально сократить или же устранить вовсе цифровые пути, благодаря которым хакеры могут получить доступ к жизненно важным процессам.

Компаниям придется пойти на издержки, для того, чтобы сделать это, но Triton — это напоминание о том, что риски растут. Гатманис считает, что новые атаки с использованием смертоносных вирусов практически неизбежны.
«Хотя это и было впервые, — говорит Гатманис, — я был бы сильно удивлен, обернись это первым и последним случаем»


*Некоторые заслуживающие внимания киберугрозы


2010 — Stuxnet

Разработанный Американским агентством нац. безопасности вместе с израильской разведкой, вирус представлял собой компьютерного червя — код, который копирует себя с компьютера на компьютер без вмешательства человека. Вероятнее всего, что он, пронесенный контрабандой на USB-накопителе, предназначался для программируемых логических контроллеров, которые управляют автоматизированными процессами. Вирус спровоцировал разрушение центрифуг, использовавшихся для обогащения урана на заводе в Иране.

2013 — Havex

Havex был разработан для наблюдения за контролирующими оборудование системами. Предположительно, это позволяло хакерам выяснить как именно организовать атаку. Код — троян удаленного доступа (RAT), позволяющий хакерам управлять компьютерами удаленно. Вирус предназначался для тысяч американских, европейских и канадских предприятий, особенно в энергетической и нефтехимической областях.

2015 — BlackEnergy

BlackEnergy, другой троян, некоторое время «вращался в криминальном мире», но затем был адаптирован российскими хакерами для запуска атаки по нескольким украинским энергокомпаниям. В декабре 2015 года он помог спровоцировать отключения электроэнергии. Вирус использовали для сбора информации о системах энергетических компаний и кражи учетных данных сотрудников.

2016 — CrashOverride

Также известен как Industroyer. Этот вирус тоже был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети. Вирус копировал протоколы («языки связи»), которые различные элементы энергосистемы использовали для взаимодействия друг с другом. Это позволяет показать, что предохранитель замкнут, в то время как на самом деле он разомкнут. Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (159):

  1. Anton23
    /#19864284 / +1

    Фуух блин, я уже подумал что мы все умрем!
    Прочитайте заголовок:

    Triton — самый убийственный вирус, и он распространяется

    А оказывается это всего лишь ПО.

    • DocJester
      /#19864300 / +1

      Так в хабах же «Информационная безопасность», а не «Здоровье гика».

      По теме поста — второй Stuxnet?

      • Anton23
        /#19864312

        Не посмотрел на хаб. Ну, пока не второй, его же нашли, а про Stuxnet насколько я помню узнали уже после.

      • Newbilius
        /#19869640

        С мобилки хабы не отображаются.

    • saboteur_kiev
      /#19866794

      А оказывается это всего лишь ПО.

      Которое может быть использовано для убийства, которое разрабатывается с целью убийства, и которое даже использовалось в попытке кого-либо убить — всего лишь ПО?

      Учитывая, что уровень безопасности в инфраструктуре огромного количества компаний находится на зачаточном уровне, это крайне неприятно.

      Я вот обычный гражданин. И я просто тупо ничего не могу сделать с тем, что у меня пропадет электричество, горячая вода, отопление зимой просто потому, что в у городского коммунального провайдера вирус в сети. А ведь может быть и хуже.
      И ни мои налоги ни лозунги на Хабре на это не повлияют.

      • lubezniy
        /#19867558 / -1

        Если очень нужно, резервными средствами можно запастись заранее: бойлер и (сложнее) небольшой генератор. Хоть на серьёзный случай опытные люди запасают еду-воду-спички и инструмент по мелочам.

        • saboteur_kiev
          /#19868450 / +1

          То есть вы даже не хотите воспринимать это как зло, предпочитаете прятать голову в песок?
          На спичках в городской квартире зимой долго не протянешь.

          • lubezniy
            /#19868554

            Что значит не хочу воспринимать? Ситуацией надо управлять, но в меру своих возможностей. Есть возможность повлиять на отключения — надо повлиять. Нет возможности, но в то же время не получается пересидеть без — значит, надо делать соответствующие резервы. А, если просто сидеть и называть ситуацию злом, это и есть прятать голову в песок.

      • 200sx_Pilot
        /#19867644

        Бензиновый или работающий на газу генератор, батарея, солнечная панель — и пропажа электричества на какое-то время уже не так страшна.
        Пару лет назад в наших краях зимой прошел дождь при минусовой температуре воздуха.
        Опоры электросетей ломало, как спички.
        Восстанавливали электроснабжение месяц.
        Скажу вам — жить можно.

        Вот с центральным отоплением посложнее.
        У меня есть твердотопливный котёл. Мне проще.

        Но представьте, в России есть населённые пункты, которые не газифицированы.
        Есть места, где вместо водопровода — колодец на соседней улице.
        Страшно сказать — туалет в конце огорода :))
        И баня на дровах.
        Так что всё относительно, и не так печально, как оно кажется.

        • saboteur_kiev
          /#19868452 / +1

          В высокоэтажном многоквартирном доме? солнечная панель? А куда ее ставить?

          • 200sx_Pilot
            /#19868576 / -2

            В Киеве?
            На крышу Рады.

            • 200sx_Pilot
              /#19872022

              Судя по минусам — лучше всё-таки в подвалы Рады.

        • 9660
          /#19868608

          Но представьте, в России есть населённые пункты, которые не газифицированы.

          Точнее сказать регионы.

        • Но представьте, в России есть населённые пункты, которые не газифицированы.
          Есть места, где вместо водопровода — колодец на соседней улице.
          Страшно сказать — туалет в конце огорода :))
          И баня на дровах.
          Так что всё относительно, и не так печально, как оно кажется.


          Не хватает картинки " я здесь живу"
          Лет 20 так жил.

      • 200sx_Pilot
        /#19867646

        потому, что в у городского коммунального провайдера вирус в сети.

        А это — следствие экономии на инфраструктуре и специалистах.

        • saboteur_kiev
          /#19868458

          А давайте, чтобы соседи не экономили не будем мелочиться, а сразу бахнем танками и ядерными ракетами?
          Ну серьезно…

        • lubezniy
          /#19868714

          И какие есть варианты? С учётом того, что тарифы регулируются государством, и просто так поднять их для повышения уровня специалистов/инфраструктуры государство не даст.

  2. Anton23
    /#19864352 / +1

    Русские хакеры, остановитесь, сколько можно!

    ЦНИИ Химии и Механики в Москве

    Вот где оказывается работают русские хакеры!

    А если серьезно: это довольно странно. Если верить заявлениям, и русский след есть, то получается русские хакеры которые создали очень мощный вирус, настолько глупы, что оставляют следы и используют кириллицу? С другой стороны, не доверять этим заявлениям у меня причин тоже нет.

    • shadek
      /#19864448 / +1

      Это, как обычно, «highly likely russia». Что с CrashOverride, что с BlackEnergy, что с Triton.

      Кириллические имена в коде? Уже бред…
      «Забытый хакерами файл в корпоративной сети»… ну да, все ясно, это русские хакеры, никто другой в сети ничего оставить не мог.

      • ybalt
        /#19864526 / -2

        Ихтамнет. ИТ-версия

        • shadek
          /#19865066 / +4

          Насколько я в курсе, ни в одном из перечисленных мною случаев не было предоставлено никаких доказательств, даже мифических «кириллических букв в коде». Забавно, ведь на основании латинских букв можно сделать вывод и «highly likely» англоязычных хакерах.

          Вообще любое утверждение о «косвенных уликах» попахивает разводом.

        • Alonerover
          /#19865964

          Голосом Караченцева:

          — Сдаётся мне, Били, это была пропаганда…

          • Peacemaker
            /#19866764

            Тогда уж голосом Ярмольника…

            • Alonerover
              /#19869076

              Хм, точно. Давно не смотрел эту фильму.

      • NiTr0_ua
        /#19866332

        Кириллические имена в коде? Уже бред…

        ошметок дебаг инфы с кириллическими путями — легко мог быть. особенно если самого червя писали одни люди, а пэйлоад, который собссно рулит техпроцессом — совсем другие, химики-технологи с зачатками навыков программирования, которым дали готовую дырочку в корп.сеть.

        ну и да, никогда не стоит недооценивать глубину глубин человеческой глупости. как будете сомневаться, бывают ли вообще подобные идиоты — вспомните любителей шпилей…

        • shadek
          /#19866564

          Давайте подискутируем


          1. Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.
            2 Не знаю что вы вкладываете в понятие "пэйлоад", но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И "химики-технологи с зачатками навыков программирования" в таких командах не значатся, не тот уровнь. Если вы внимательно прочитаете статью, то увидите что там был подбор софта под версии контроллеров, что уже предполагает серьезную компетенцию.
            3 Даже в самом докладе указано "изощрённое кибероружие создано и размещено "группой решительных и терпеливых хакеров", сложно представить что бы такие люди оставили хвосты
            4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).
            5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.

          • saboteur_kiev
            /#19866806

            3 Даже в самом докладе указано «изощрённое кибероружие создано и размещено „группой решительных и терпеливых хакеров“, сложно представить что бы такие люди оставили хвосты


            Очень часто инструмент создают одни, пользуются — другие. Перед использованием — немного потренировались на локалке. Или умышленно подкинули дезу.

            • shadek
              /#19866908 / +1

              Еще раз читаем "… создано и размещено...", ключевое слово «размещено». Задача на много времени/денег, и по вашему после этого там по системе раскидываются файлы «здесь_был_Вася»? Речь идет о взломе контроллеров оборудования, там вообще кириллицей не пахнет.
              Каким образом тестирование в локалке связано с кириллицей не очень понятно, видимо что то из открытий британских ученых…

              • mat300
                /#19867958

                Господа, не ссорьтесь.
                То был Моссад — ну кому еще нужно гадить арабам. И русскоязычные ребята там есть. Так что могли и оставить что-то кириллическое — ну не на иврите же им там писать — неудобно. Да и для дезы самое то.

          • NiTr0_ua
            /#19867408 / +1

            Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.

            и IP адресов с геолокацией в РФ там предостаточно? :)

            Не знаю что вы вкладываете в понятие «пэйлоад», но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И «химики-технологи с зачатками навыков программирования» в таких командах не значатся, не тот уровнь.

            а причем тут взлом к собссно управлению техпроцессом? :)
            или вы наивно полагаете, что хакеры в курсе что надо поправить в параметрах техпроцесса неизвестной производственной линии, чтобы произошел выброс большого кол-ва отравляющего вещества? :) ну вот есть у вас две сотни ПЛК, у каждого пара десятков входных и пара десятков выходных сигналов, все это как-то рулится скада системой которая находится фиг знает где. хакер вот прям сразу же скажет что и где нужно покрутить, чтобы произошел выброс?

            4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).

            да причем тут специалисты ИБ? специалист ИБ сможет разобраться в техпроцессе и изменить его параметры для вызова аварии с серьезными последствиями?

            5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.

            какой дебаггер, какие логи? вы вообще читаете что вам пишут?
            собрал кто-то экзешник debug версии, не release, потренировался локально, залил его через предоставленную ему дырку, поизучал через него техпроцесс, и забыл удалить за собой следы.

            • Wesha
              /#19868086 / +2

              и IP адресов с геолокацией в РФ там предостаточно? :)

              Не знаю, как Вам, но мне в своё время вдолбили в голову первое правило — "никогда не производи атаку с IPшников своей страны. Найди уязвимый сервер в Китае (тогда ещё не было Большого Файрвола), Чили, или каком-нибудь ещё Тимбукту (таких в Интернете стотыщмиллионов!), поломай, и производи все действия с него. Лучше, если таких хопов будет три-пять."


              Так что либо российские хакеры — кромешные идиоты — ходить со своих IP, либо хакеры — кто угодно только НЕ российские.

              • JerleShannara
                /#19868140

                Плюс не надо забывать, что в институтах любят использовать устаревшее ПО, в котором дыр бывает больше, чем в швейцарском сыре.

                • Wesha
                  /#19868304

                  В моё время китайские университеты были просто раздольем. Там дыра на дыре сидела и дырой погоняла. Надо найти хоп — идёшь в китайский сегмент, первый же попавшийся сервер твой.

              • Cenzo
                /#19868306

                Именно так, ну очень сильные сомнения, что люди с огромным опытом сетевых технологий, реверс инжиниринга и запутывания кода не знают как использовать VPN и как удалять отладочные символы. Даже в коммерческой компании попадание отладочной информации в публичный доступ это нонсенс, есть автоматические триггеры удаления всего чего не нужно. А тут продвинутые хакеры с русскими путями на диске и IP института?

                • NiTr0_ua
                  /#19868378 / +1

                  повторюсь: с чего вы взяли, что вероятный технолог, который собссно и разбирался что и куда надо подкрутить чтобы все поломалось сразу и сильно — крутой спец в безопасности?
                  ну и да, если вы считаете эксцесс исполнителя невозможным «ну просто потому что нельзя быть таким идиотом» — вспомните «любителей шпилей».

                  • Wesha
                    /#19868426

                    Вот я и говорю — если посмотреть, сколько идиотов в местах, где их, по логике ну никак не должно быть (кибернападение/безопасность, служба внешней разведки, ваш вариант) — хочется завернуться в белую простыню, и, рыдая, уползти на кладбище. Куда катится этот мир!

                  • Cenzo
                    /#19868914

                    Я не считаю такое невозможным. Я сравниваю вероятность такого вопиющего прокола с вероятностью намеренного вброса. По своему опыту работы в сфере безопасности далеко не первый год. В наше время любой дурак использует VPN, а тем более распространители малвари.

              • faoriu
                /#19868630

                Перед финалом выборов во Франции в 2017 был масштабный слив электронной почты штаба Макрона. Некоторые письма потом ещё и правили, но забыли удалить метаинфу, из-за чего все узнали даже имя и место работы одного из хакеров. Догадались, откуда он был?:)

              • aquarium
                /#19870322

                Давно известно что американские хакеры, атакуют американские объекты с ip адресов российских, встраивают в код кириллицу и распространяют исходники, чтоб ни у кого сомнений не осталось.

            • mayorovp
              /#19869090

              Вот только одно с другим не стыкуется. Среди отладочных символов нету IP-адресов.

              А кем надо быть, чтобы сломать чужой сервер, зайти на него и написать там в текстовом файле свой IP-адрес — я даже не знаю…

              • freuser
                /#19870376

                А как Вы предлагаете получать логи системы и сетевого обмена? Либо складывать их на диске с вероятностью того, что кто-то заметит уменьшение свободного места, либо транслировать их онлайн на свой комп на прокси с вероятностью, что кто-то заметит увеличение трафика.
                А может быть, этот айпишник вообще в исключениях файрволла обнаружили. Журналисты такие журналисты.

                • mayorovp
                  /#19870814

                  Да, исключения файервола — уже больше похоже на правду. Идиоты, которые ломают чужие системы без использования прокси — и правда встречаются (впрочем, с равным успехом сервер НИИ также мог быть взломан и использован в качестве прокси). Но в таком случае не понятно какую такую кириллическую надпись журналисты обнаружили рядом.


                  Журналисты такие журналисты.

                  Ну так потому тут в комментариях работу журналистов и критикуют.

                • shadek
                  /#19872298

                  Вообще вставлять ОДИН IP было бы глупо (тупо может смениться/закрыться дырка/быть выключен в нужный момент), нужно или 5-10 с разных точек или ни одного что бы не вызвать подозрений. Обычно просто отключают фаервол либо эксплуатируют P2P соединения.

                  • freuser
                    /#19872724

                    А там их и могло быть с десяток, просто остальные не из России и поэтому их решили замолчать или считать проксями.

                    • shadek
                      /#19872740

                      Конечно, все же и так ясно :)

            • shadek
              /#19872074

              1 Рассказать вам про ТОР или использование взломанных компов как прокси?
              2 Давайте включим мозг или что там у вас. Кто то взламывает сеть, это однозначно грамотный специалист, который вряд ли оставит «здесь был вася». Следующий шаг — используя взломанную сеть осуществляется взлом контроллеров оборудования. Это вообще в 95% автоматизированное действие (которе просто обязано раскидать кириллицу)… После этого подчищаются следы и все переходит в пассивный режим.
              3 Хакер продает / передает доступ к системе специалистам по созданию проблем, обычно для этого используется модифицированная версия софта, аналогичная используемому в зараженной сети.
              4 См выше,… «экзешник debug версии»… мда, наверное по вашей логике видимо полицейские часто выезжают на патрулирование с водяным пистолетом вместо боевого. Те кто работают в этой сфере знают, что цена ошибке — это в лучшем случае свобода, а чаще всего — жизнь.
              5 Хакерский софт пишут и используют в многонациональных группах, где рабочим языком является английский (иногда китайский). Найти там кириллицу менее вероятно, чем нефть у вас во дворе.

        • Viceroyalty
          /#19867616

          Не знаю в какой среде Вы разрабатываете сложное (сложное — имеется ввиду complex не difficult, извиняюсь, что не подобрал лучшего аналога) ПО, но я давно отказался от кириллических путей в системе — неизвестно какой компонент в какой момент поймет их не так, а потом не так просто докопаться бывает в чем дело.
          Не латинские пути в ОС на которой идет разработка — зло.

          • DaemonGloom
            /#19868836

            На самом деле всё наоборот — при написании и тестировании ПО нужно использовать пути и с русскими, и с английскими символами, и с разнообразными знаками. Это позволяет найти кучу ошибок заранее и не печалить пользователей падающей программой.

        • 200sx_Pilot
          /#19867664

          Настоящие русские хакеры пишут на ассемблере или сразу в машинном коде.
          Так что кириллица — так себе аргумент.
          В Винде тоже есть кириллические символы, но никто не утверждает, что оно — поделие русских программистов.

          • 0serg
            /#19868962

            Ага, это традиционная русская традиция — писать мегабайты машинного кода
            Известна высокой надежностью и быстрыми релизами.

      • Bookvarenko
        /#19868902

        Потому что он был под балалайкой, на которой спал пьяный медведь.

    • Habivax
      /#19865674 / +1

      Есть такое понятие — «операция под чужим флагом». Весь код зашифрован, но добавлена строка на русском для «экспертов», сделавших «правильный» вывод из увиденного. Не любит заказчик вируса японцев — впишем туда насколько слов по японски, подходящий IP и ни разу не палимся. Нет?

      А если все имена на английском — кто тогда автор? Проблема.

      Обьясните пожалуйста, зачем в коде вируса имена на кириллице или к нему. были исходники приложены?

      • 0serg
        /#19866740

        При внимании к деталям помимо «очевидной» зацепки добавленной для редиректа внимания найдутся и другие, которые авторы оставили нечаянно. Тут все упирается в вопрос доверия к экспертам, тому насколько тщательно они сделали свою работу. «Забытые» в коде вируса «лишние» вещи — следствие того что бинари не люди пишут, бинари пишет компилятор на пару с линкером и эта парочка много чего в бинарник может понапихать в ходе трансляции кода и притом далеко не всегда очевидного. Для крупного проекта который много всего линкует вполне возможно что-то упустить в каких-нибудь зависимостях зависимостей. Есть к тому же и другие способы. Например привычка людей использовать один и тот же код в разных проектах легко можно позволить найти код за тем же авторством в проекте где конспирации было уделено меньше внимания.

      • xfaetas
        /#19868638

        Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но точно знают что «нас там нет», наводит на некоторые мысли.

        • freuser
          /#19870280

          Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но топят за highly likely Russia, наводит на некоторые мысли.

          • faoriu
            /#19870410

            highly likely

            Три почти одинаковых упоминания этой фразы в комментах только к этой статье от типа разных людей, плюс парочка в соседней про митинг против изоляции. Палитесь, чуваки.

            • freuser
              /#19870482

              Вот уж не думал, что употребление мема является палевом…
              (А ничего, что я кириллические символы в комментарии использую? Это палево так палево.)

              • faoriu
                /#19870506

                Ещё пара одинаковых комментов — и это и правда станет мемом.

                • freuser
                  /#19870578

                  Для Вас — возможно, станет. Для меня уже давно, я ведь не только на хабре пасусь.

                  • faoriu
                    /#19870678

                    я ведь не только на хабре пасусь

                    Это заметно.

    • rudolfninja
      /#19865676 / -2

      Когда я писал Stuxnet специально оставил в коде несколько строк на английском и на иврите, что бы все подумали на АНБ и Израиль.

      • achekalin
        /#19867378

        на английском

        А остальные строки — на «русском матерном», просто чтобы подумали на неаккуратных евреев, а не умных русскоязычных?

    • 0serg
      /#19866720 / +2

      Убеждение что достаточно умный преступник может замести все следы — чисто психологическая ошибка (нам приятно думать что при достаточном навыке мы можем контролировать последствия своих действий и психологически очень некомфортно — понимать что не все зависит от нас и что некоторые вещи предотвратить малореалистично). По факту — сколь-либо крупный проект проверить на отсутствие подобных утечек затруднительно. Просто потому что входные данные реально обрабатывает компилятор и линкер, Вы не можете (реалистично) проверить выданный ими код и Вам очень сложно проконтролировать даже все входные данные. Еще можно ухватиться за какой-нибудь кажущуюся незначительной деталь которая свяжет код с другим кодом происхождение которого проверить проще. Но да, подобных улик меньше чем в обычном криминальном расследовании а сфальсифицировать их гораздо проще, так что доказать что-либо сложно. Так что все начинает упираться в вопрос доверия экспертам — не были ли они заинтересованы в подлоге, не скрывают ли не стыкующиеся с выдвинутой версией факты, тщательно ли они искали улики.

      • Wesha
        /#19868104 / +1

        А установить на свежекупленный компьютер свежий, скажем, скандинавский windows, и скомпилировать на нём свой код (предварительно прогнанный через обфускатор) религия не позволяет?

        • 0serg
          /#19868840

          Скорее обычная лень. Если исходники проекта копировать автоматически из рабочего окружения то получим меньший, но близкий набор проблем когда автоматика накопирует «лишнего». А вручную эту операцию проводить, скажем так, уныло и долго. Я сомневаюсь что проект собирался в «релизную» версию лишь однажды, поэтому велик соблазн автоматизировать сборку, а еще лучше — использовать уже существующую. И это ведь только один из возможных каналов утечки информации. Взять хотя бы переиспользование кода в разных проектах — связали через него два приложения и исследовать происхождение можно у обоих…

      • kmeaw
        /#19870378

        Но ведь можно перед релизом попросить независимую группу провести аудит, разве нет?

    • DmitryBabokin
      /#19868012 / -1

      Доказательство в стиле оставленного валенка на пульте управления.

      Мне кажется любой уважающий себя вирусописатель нынче просто обязан оставить кириллические следы и русский IP адрес — ну просто как признак хороших манер.

      • DrunkBear
        /#19869938

        И запах водки Moskovskaya в коде, вместе с куском шерсти медведя.
        PS Поискал у себя имена на кириллице на жёстком диске — нашёл несколько сохранённых файлов из почты и куски 1с. Вирус писали на 1с?!

  3. karl93rus
    /#19864452

    Не понимаю, разве сети таких предприятий, как АЭС и прочих потенциально опасных для жизни объектов, не должны быть изолированы от интернета?

    • acyp
      /#19864620

      Должны быть. Но, к сожалению, не везде есть возможность прокинуть отдельный кабель для дистанционной телеметрии. Примеры: Север, станции перекачки газа. Кроме локального сбора телеметрии осуществляется и централизованная.
      В новых решениях уже используется собственная инфраструктура передачи — радиорелейка на Ванкорском месторождении.
      Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется. Понятно, что даже в этих условиях есть менее затратные решения, чем кабель. Но по стоимости в любом случае будут выше, чем публичный интернет, при этом оставаясь временными, т.к. новые стандарты и архитектуры уже разработаны и внедряются.

      • staticlab
        /#19865672

        Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется.

        30 лет назад был 1989 год. Сильно сомневаюсь, что на Крайнем Севере тогда был интернет.

        • 200sx_Pilot
          /#19867716

          Параллельно трубам укладывались кабели сигнализации, связи, телеметрии.

          Параллельно рельсам, кстати, тоже ;) но к ЖД прилагались изначально столбы, в те времена технологии были ближе к ВЛС.

    • tretyakovpe
      /#19864668

      Они изолированы брендмауэром. Чтобы управлять используется специальная машина с доступом. Вот через неё и ломали.

      • saboteur_kiev
        /#19866818

        В наш век миниатюризации, можно специальную машину с отдельным GSM модемом и левой симкой просто принести и оставить.
        Причем по размеру она может влезть внутрь usb клавиатуры и работать на полноценном линукс. И хрен найдешь, если не сканировать эфир.

    • Dotarev
      /#19865092

      Система противоаварийной защиты (ПАЗ) должна работать независимо от систем технологического управления (и мониторинга), и работать автономно. Нет необходимости дистанционного контроля систем ПАЗ, нет и поводов создавать связь контроллеров ПАЗ с общедоступными сетями. Если ПАЗ в принципе допускает удаленное вмешательство в свою работу — то это принципиально неверно построенная защита.

      • gorbln
        /#19866672

        Ключевое слово — «должна». А по факту, на немаленьком таком количестве предприятий, она вообще отключена. Причины разные. Не настроена, устройства на местах выдают неправильную обратную связь, кабели отваливаются, ну и самое клёвое — «датчик сняли в поверку да так чо-то и не вернули».

        • 200sx_Pilot
          /#19867726

          Это вы про наследие советского режима сейчас :)
          А автор всё же про капиталистические предприятия, где любой косяк — убыток.

          • nrms
            /#19871492 / +1

            Мва-ха-ха! Отключалась в СССР. Отключается сейчас. Те же датчики метана на шахтах. Тогда мешали план выполнить и получить премию. Сейчас получить максимальную прибыль хозяину. А сколько при этом сдохнет шахтеров — пофик. И кстати не только на территории б/ссср.

            • Wesha
              /#19872916

              Отключалась в СССР

              Самый яркий пример — Чернобыль. Там было то ли три, то ли четыре уровня защиты. Все в ходе проведения "эксперимента" были отключены. "Результат на лице" ©

      • DGN
        /#19867522

        Я это дело вижу примерно так. Сначала Главный Инженер хочет видеть у себя на пульте зеленые огоньки от этого условного ПАЗ, потом отдел автоматизации не хочет лазить в -40 по трубам и разрешает дистанционный апдейт прошивки, потом еще кто то со своих Багам хочет лазить в локалку и ему делают проброс портов. В итоге телемаркет — контроллеры заражены и готовы к часу Х.

    • SvSh123
      /#19865756

      Это, как выяснилось в Иране, не спасает от раздолбая, притащившего в закрытую часть сети флешку с любимым проном, на которой уютно устроился Stuxnet.

      • balamutang
        /#19865880 / +1

        да в том-то и дело что везде раздолбаи: что в Иране с флешкой, что у саудитов компы с удаленным доступом, то производители контроллеров с дырами в прошивке, но виноваты только хакеры.

        • faoriu
          /#19865956

          Как в анекдоте про хакера и солонку.

    • saboteur_kiev
      /#19866796

      В сеть практически любого предприятия можно встроиться.
      При наличии средств на спецтехнику — это вообще не проблема. Для этого даже не обязательно устраиваться уборщиком на месяц.

  4. no404error
    /#19864496

    Профильные СМИ периодически публикуют самые затратные/кассовые фильмы/алюбомы с учетом индексации. Может быть и для вирусов так было бы правильнее? ILY нанес ущерб в 5.5G$ за первую неделю. С учетом индексации это 10G$. OneHalf — просто триллионы-триллионов, даже по самым скромным подсчетам.

    p.s. Если бы что-то настолько эффективное по распространению существовало сейчас, то, возможно, просто угробило бы всю онлайн-культуру.

    • teecat
      /#19869006

      все эти оценки очень сильно оценочные. и появление таких оценок зависит от внимания сми. скажем одновременно с wanna cry были майнеры, заражавшие через туже уязвимость. заразили куда больше машин — и кто о них знает?
      С другой стороны день новых вируов создается десятки тысяч — оценивать их все нереально

  5. acesn
    /#19864932 / +1

    IP-адрес, используемый для запуска операций, связанных с вирусом.

    прямо так оставили свой IP. Про анонимайзеры они видимо ни чего не слышали.

    • shadek
      /#19865010 / +3

      Да они переменные на кириллице пишут. А потом как то их в скомпилированный код код засовывают. Дикие люди…

      • diseaz
        /#19865506 / +1

        1С-программисты захватывают мир, как предсказывал nmivan?

        • shadek
          /#19866684

          Там "Газпром" свою чёрную бухгалтерию вёл, что ли? :)

    • Mimus_spb
      /#19865082 / +2

      ЦА — потребители американской масс-культуры, и контент, соответственно, адаптирован

      не удивлюсь если они сканированные документы из ФСБ/ГРУ найдут, за подписью лично Преиздента России, где расписан план fake news аттаки на Демократические Ценности и план по захвату Свободной Нации через российского диверсанта Дукалиса Трампова

    • 0serg
      /#19866754 / +1

      Отлаживали скрипт на удобном адресе, затем забыли его убрать.

    • u007
      /#19868842

      Есть много способов случайно спалиться. Особенно, если ты — обычный студент-химик и ломаешь арабов просто от скуки по вечерам

  6. movl
    /#19865586

    Все страшнее и страшнее рисуется хакерская антиутопия в этом мире. Конечно, она никогда не будет реализована, но рвение людей, занятых в этом процессе, можно оценить. С точки зрения политиков — это чрезвычайно удобный инструмент, обвиняя других, можно реализовывать свои планы, потом попробуй докажи. Свои ошибки тоже можно объяснять не ошибками, а злонамеренными атаками. На причины вообще можно забить: во всем виноваты злобные анонимусы и правители, вершащие судьбы в силу своей злобной природы. Ничего нового в этом нет.


    Еще и область такая, в которой мало кто разбирается, но зато каждый связи легко может предполагать, вся массовая культура уже давно кричит об этом. Сказали, что хакеры: значит так и есть. Сказали, что там кто-то какие-то "следы" нашел: как этому можно не верить? Сказали, что вся система безопасности, от которой зависят сотни жизней, крутится лишь на софте и интернете: в каком же хрупком мире мы живем. Всё как в сериалах и фильмах, все условия прям как под очередной больной сюжет создаются.


    Конечно, таким деятелям все это припомнится, но сейчас мне видится, что подобные тексты надо препарировать, с целью выявления пропаганды, и в данном случае очень примитивной: свой — хороший, чужой — плохой, подданной через призму особенностей узкой области. Учитывая концовку статьи, еще это может являться своеобразным маркетингом, подданным в призме политической конъюнктуры, для усиления угрожающего эффекта. На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.

    • karl93rus
      /#19865818 / -1

      На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.

      Нам моют мозги, им моют, всем моют. Мне кажется, сегодня можно верить на 100% (почти) только самому факту свершения какого-то события. Все «анализы» всяких «аналитиков» можно не читать. Даже нужно не читать. Всё равно что было на самом деле никто не узнает. Там своя правда, тут своя. А как к ней относиться каждый решит для себя сам.

      • movl
        /#19866320

        Я все же немного другой глагол использовал. Мною подобные, однобокие тексты воспринимаются именно как раздражители, а не как способы формирования мнения. Эти тексты даже не пытаются нести смыслы, а несут лишь сплошную попытку манипуляции мнением и обладают абсолютно клиповым содержанием, несмотря на такое обилие ссылок. И я убежден, что очень и очень многие видят их также, например Вы и другие комментаторы к данному посту. Польза от таких текстов в том, что они позволяют учиться видеть манипуляцию и «клиповость», в силу примитивности приемов. Авторы пишут чтобы читали их текст, а можно по их тексту читать самих авторов. В постмодерне же живем.

  7. eefadeev
    /#19865770 / +2

    «Мы понятия не имеем кто это, поэтому это… точно были русские (из какого-то секретного НИИ)!»

  8. greendog
    /#19866210

    Эксперты которые полагаются на «весьма вероятно» и кириллицу в коде не являются экспертами как таковыми.
    Даже моя мама, которая умеет пользоваться только одноклассниками задаёт резонный вопрос: а почему русские хакеры пишут кириллицей и оставляют следы — они же хакеры?! Но западных «экспердов» походу не заботит бред, который они периодически выдают «на гора». Сдаётся мне, что делается это для получения очередного заказа от правительства на борьбу с русскими хакерами.

  9. Caracat
    /#19866402

    Заинтересовался вакансиями в ЦНИИ Химии и Механики, но там 404 ))
    http://cniihm.ru/%d0%b2%d0%b0%d0%ba%d0%b0%d0%bd%d1%81%d0%b8%d0%b8/

    • the_brainless_girl
      /#19866528

      Не знаю, огорчу или обрадую, но вакансии там имеются: ссылка на сайт, ссылка на hh.ru

      • staticlab
        /#19866650

        Ведущий инженер-программист 1С, кириллица в вирусе — это оно! Дело раскрыто!

        • balamutang
          /#19872602

          Ну если выясниться выяснится что для запуска вирусов нужен хасп и непомешала бы подписка на ИТС…

  10. vortupin
    /#19866458

    Почему-то никто не сомневается, что «Stuxnet» был написан западными спецслужбами (а конкретно — американскими), но вот предположение о российском происхождении вируса, предназначенного для атаки западных заводов, вызывает дружное неодобрение. Понятно, что кириллические символы (кстати, в статье нет ни слова о «кириллических именах переменных в скомпилированном коде», над чем тут комментаторы «стебутся») могли быть специально оставленным ложным следом. Но могли и не — людям свойственно делать ошибки, а если на кону не стоит собственная безопасность и жизнь, то кто-то мог и «расслабиться», и забыть.

    Но, вообще, это очень пугающая и опасная тенденция :( Большинство существующих систем, созданных в конце прошлого — начале нынешнего веков, создавались без учета возможности столь изощренных диверсий. Это ведь не с script kiddies или одиночками-хакерами бороться; когда задействованы ресурсы государства, и профессионалы высокого уровня, требуется абсолютно иной способ защиты от кибератак. А последствия могут быть страшными…

    • JerleShannara
      /#19867018 / -1

      Вспоминается статья с софтом для «гаджетов от АНБ» со спец. массивами кириллицы, арабской вязи, иероглифов всяких видов и прочего, как раз для «хайли лайхли зис из равшанс/ираниванс/джабанизес»

      • vortupin
        /#19867692

        Вы намекаете, что АНБ может быть причастна к планировавшимся диверсиям на западных нефтеперерабатывающих заводах, с целью компроментации «белой и пушистой», невинной России и усиления санкций? Старик Оккам с вами не согласен ;)

        • 200sx_Pilot
          /#19867758

          Нет, что вы!
          Это принципиально невозможно.

          Хорошо, хоть падения Боингов новых не догадались на русских повесить…

          • Jef239
            /#19868444

            Всем известно, что малазийский боинг сбила американская подлодка, базирующаяся в венгерских морях.

            P.S Корейский боинг тоже американская подлодка сбила, а майора Осиповича загипнотизировали инопланетяне.

            P.P.S. Французский falcon сбил оживленный американцами снегоуборочник, предварительно споив водителя

            • Wesha
              /#19868506

              малазийский боинг сбила

              Вообще-то подозреваю, что 200sx_Pilot имел в виду эти катастрофы, а вовсе не то, о чём Вы подумали. В этом свете все Ваши изливания желчи — как мне кажется, мимо тазика.

              • 200sx_Pilot
                /#19868574

                Именно.
                Благодарю.

                • faoriu
                  /#19868610

                  А что, Boeing когда-либо пытался повесить катастрофы самолётов на россиян?

                  • Wesha
                    /#19868636

                    Ну не совсем Boeing, но пытались и пытаются. Именно об этом ("Всем известно, что малазийский боинг сбила американская подлодка") Jef239 и писал.

                    • faoriu
                      /#19868666

                      Я говорю про катастрофу, а не непосредственную атаку, да и выводы следствия по MH17 вполне однозначны — не понятно, к чему он тут вообще.

        • JerleShannara
          /#19868102

          С чего бы мне намекать? habr.com/ru/post/357310 просто мысли вслух, что если в коде «Бландит вкуэ опхерюхер» это ни разу не означает того, что оно made in Russia.

          • vortupin
            /#19868230

            А какое отношение имеет процитированная вами ссылка к обсуждаемой теме? Вы уж постарайтесь «пологичнее» мыслить, ведь можно и ответных ссылок накидать, касательно «несуществующих» «вежливых зеленых человечков», существование которых ваш нац. лидер впоследствии публично признал (все с той же важной миной, как ранее категорически отрицал).

            Поговорка гласит: «обжегшись на молоке, на воду дуют»…

            • JerleShannara
              /#19868236

              Самое прямое, я вам даю пример, что приём, который в статье описан, уже ранее применялся, причем без разницы кем. Если я вам вирус скомпилирую из под fr_FR.uft8 локали с установленной временной зоной GMT+2/Paris и в pdb-шнике будет путь C:\Users\StephenBaguette\Viral_le_monde\solution1.exe вы тоже сразу-же броситесь орать про «Сделано во Франции»?

              • shadek
                /#19872134

                Ваш оппонент относится числу людей которым итак «уже все понятно, тут не о чем говорить».

              • vortupin
                /#19872848

                На основании чего сделан вывод о «кириллических символах в pdb-шнике»? В статье нет ничего про это; там лишь упоминается, что

                другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.
                . Заметьте, про то, что это за «другие файлы», ни что это за «имена», ни слова не сказано.

                Понятно, что подделать можно все, что угодно; необходимости «светить» свой IP, при существовании дешевых цепочек прокси (через Китай, а потом через все, что угодно), организуемых за считанные минуты, также абсолютно нет. Доказать причастность к киберпреступлениям очень сложно (разве, что исполнители допустили фатальные ошибки. Хотя, с другой стороны, как мы знаем, с Литвиненко и Скрипалями тоже работали «профессиАналы» из КГБ/ФСБ, которые, тем не менее, ухитрились наследить «нипадеццки» — что говорит об уровне профессионализма).

                Потому, всегда будут смотреть, прежде всего, «кому это нужно и выгодно». Россия сейчас ведет кибервойну против Запада (опять-таки, вы можете все отрицать, но я ни вам, ни вашему президенту не верю, так как последний был многократно пойман на вранье), поэтому естественно, первым делом, предположить, что в подготовке данной диверсии замешаны хакеры. А технический уровень данного взлома говорит о том, что действовали серьезные профессионалы, а не «шпана» (зачем вообще это «шпане» или отдельным хакерам?).

                Ваша позиция мне понятна, но неприятна, и я ее не разделяю. Вы уверены в «белопушистости» путинской России; факты же говорят об ином.

                • Wesha
                  /#19872928

                  зачем вообще это «шпане»

                  Bragging rights?

                  • vortupin
                    /#19873096

                    Сомневаюсь, уровень далеко не «script kiddies», и даже не обычных хакеров-взломщиков. Кстати, это может объяснить и оставленные следы: спецам, сидящим в Москве и работающим по сверхсекретному заданию ФСБ, не нужно особо бояться, что их «вычислят» и применят «ректально-термический» метод дознания (ну, или путем введения «сыворотки правды»). А на счет возможных оставленных следов всегда можно сказать: «вывсеврете, это подстава», и доказать будет невозможно. Индивидуал такой защиты не имеет, и должен работать 100% безошибочно (опять-таки, история показывает, что даже опытнейшие «супер-хакеры», типа Митника (в свое время) «прокалывались» и «вычислялись»).

                    Кстати, я вовсе не утверждал в первом моем комментарии, что это 100% были диверсанты из России; я лишь удивился, почему в случае со «Stuxnet» местные комментаторы на 100% убеждены в том, что это дело рук зловещего АНБ, а в данном случае предположение о хакерах из России изначально отвергается.

    • lubezniy
      /#19868560

      По Stuxnet — не факт. Может, даже очевиднее смотреть в сторону израильских специалистов: у этих ребят есть не только мозги, но и мотивация.

      • athacker
        /#19869944

        Да, как бы, покровы уже давно сорваны.

        A damaging cyberattack against Iran’s nuclear program was the work of U.S. and Israeli experts and proceeded under the secret orders of President Obama, who was eager to slow that nation’s apparent progress toward building an atomic bomb without launching a traditional military attack, say current and former U.S. officials.

  11. mkovalevskyi
    /#19867530

    С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.


    Прям Промтом повеяло…

  12. hp6812er
    /#19867538

    Хоть бы кто написал про сам контроллер… Что там шнайдер то говорит — может просто стоит прошивку обновить и не раздувать?
    Я знаю модели промышленных коммутаторов, в которых пароль ваааще нельзя поменять… И что?
    ПАЗ никто не отменял. А то что он выключен… ну это уже человеческий фактор и косяк органов, которые должны проводить аудит критически важной инфраструктуры.
    Авария ЧАЭС тому яркий пример.

  13. questor
    /#19867700

    А, 2017 год… Мне вот интересно, что потом будут рассказывать про отключение света в Венесуэле неделю назад. Было ли это атакой вирусов, если да то чьей?

    • teecat
      /#19869014

      Кто знает. В вое время в отключении интернета в Сирии обвинили Асада. А потом оказалось, что его по ошибке вырубили спецслужбы (США вроде)

  14. Dioxin
    /#19868894

    2016 — CrashOverride
    Следующий видимо будет Zero Cool который будет перед обрушением выдавать на экран:
    Сунетесь к лучшим — умрете всей кучей.
    Нет, серьезно, такие статьи все больше напоминают сказочно-наивный сюжет классического хак-фильма.
    Кибер-война конечно идет, но бойцы невидимого фронта наверняка ну очень сильно зашифрованы и не сидят в НИИ Цитологии и генетики и т.д.

  15. 7313
    /#19869032

    Блин… Народ :) Самим-то не смешно всерьез обсуждать статью в которой присутствует фраза «был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети»? :)

  16. teecat
    /#19869034 / +1

    Мне во в этих атаках непонятно самое главное зачем? Ну зачем русским хакерам отключать энергосистемы Украины Прибытка нет, в итоге будет раздражение жителей Украины и политические наезды на правительство РФ и соответствующие санкции. Зачем атаковать неведомые заводы саудитов. Какой смысл, кому они мешают? Ну я бы понял, если бы убирали конкурентов — ну так же не проглядывается это. Северная Корея грабит банки. Подсанкционная страна. Как она эти деньги переведет к себе или как незаметно ввезет товаров на деньги, происхождение которых неизвестно. Китай и Россия воруют технологии. Ну так если они их внедрят, так видно же будет что цельнотянутое. И ни одного примера внедрения уворованного. Хакеры воруют триллионы практически по сообщениям банков. Кто-то видел шикующего хакера (Селезнева не считаем)?
    Не, хакеры есть и много их есть. Но вот насколько много на самом деле воруют…

    • DrunkBear
      /#19869984

      Вы не понимаете: «Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия». Что делают люди без света? Правильно, новых людей и не идут на майдан. Многоходовочка-с! /irony
      PS и всем наплевать, что для отключения 1 подстанции легче и логичнее использовать бомжа Васю и 1 кувалду, не тратя миллионы на Страшное Русское Кибероружие.

      • faoriu
        /#19870194

        Может уже хватит испражняться? Анализ тех атак делали люди из вполне уважаемой ESET, доверия к которым всяко больше, чем к вашему начальству.

        • DrunkBear
          /#19870404

          Где пруфы и листинг с кириллицей? Very likely это пруф для желтой прессы.
          А с пассажем про начальство вы и вовсе попали пальцем в…
          Везде мерещится рука кремля?
          PS логичность и целесообразность — два основных кита, на которых держится цивилизация. Никто не будет с «томагавком» охотиться на кроликов — за $1.45 млн, который стоит только 1 ракета, можно купить десяток кроличьих ферм или заставить половину страны ловить зайцев в чистом поле. И если мне расскажут по 1 каналу, fox news или в этих ваших интернетах, что томагавками стреляли именно по кролику — мне будет глубоко всё равно на уважаемость этой персоны — это дорого, не логично и малополезно. Совсем как 0-day вирусами на короткий срок останавливать подстанции in the middle of nowhere.

          • faoriu
            /#19870450

            «Покажите ваши доказательства!»
            «Покажите ваши доказательства на доказательства!»
            «Покажите фото!»
            «Покажите видео!»
            «Покажите документ с мокрой печатью!»


            Very likely

            Четвёртое упоминание. Уже методичку нормальную написать им не могут, даже читать неинтересно.

            • DrunkBear
              /#19870726

              Зашёл в пруфы оригинальной статьи, там английским по белому написано «FireEye has not connected this activity to any actor we currently track», зато с вашей стороны вижу только демагогию и унылые обвинения в использовании методичек.
              Возможно, вам стоит обновить методичку или хотя бы перелистнуть страницу, может, на следующей будет что-то кроме ссылок на авторитеты, переходов на личности и «покажите ваш Х»?

              • faoriu
                /#19870872 / -1

                в пруфы оригинальной статьи

                Это которой?


                Возможно, вам стоит обновить методичку

                Нет, вам!

                • DrunkBear
                  /#19870902

                  Присмотритесь, после заголовка идёт ссыль на оригинальную статью, а в ней ссылки на исходники из нескольких источников, в т.ч. и от FireEye, на основе которых и был написан рассказ про красного саддама, который клепает биологикибеоружие в нии цитологии и мехатроники, чтоб всех хакнуть и взорвать( исключительно just for lulz, все знают, что красным не нужны причины).

    • eefadeev
      /#19870888

      Ну как же? Потому что «эти русские — злые, злые, злые»! Странно что вас это не убеждает. Вон, многих убедило…

  17. OldGrumbler
    /#19869332

    Вопрос не в том, что есть «стлясный-узяслий-вилус-убиватол», вопрос в том, что инфраструктура, допускающая удаленное управление, стяпляпана так, что в ней возможны фатально неправильные комбинации. А вот природа, не знавшая слов «продакшн» и «дедлайн», во многом защищеннее скороспелых поделок. Простой пример: мышцы бедра у человека обладают достаточной силой, чтобы сломать свою же бедренную кость. Но комбинация их действий для автоперелома настолько хорошо запрещена «на уровне ядра», что такие автопереломы возникают только в случае тяжелых повреждений нервной системы.

    • freuser
      /#19871258

      Вы хотите подискутировать о том, сколько поколений творения природы страдали от аутопереломов, прежде чем появилась устойчивая популяция с ограничителями? Или ожидаете, что производители одних устройств для управления промышленным оборудованием должны предусмотреть факап производителей и пользователей других устройств для защиты от вторжений? Предусмотреть-то они могут, конечно, но тогда ценник будет иметь на пару ноликов больше, КМК. Если в будущем будет спрос на сверхзащищенные контроллеры, которые могут спокойно иметь белый айпи и быть устойчивыми к взлому — такие контроллеры появятся. А пока сама отрасль кибербезопасности даже ходить не научилась, вовсю ползунки осваивает. И новость как раз об очередной шишке, ею полученной. Всё как в той же природе — нежизнеспособные отвалятся, остальные начнут изменяться под очередной трабл.

      • mkovalevskyi
        /#19872290

        Угу. Отвалятся.
        Но, потом навалятся эффективные манагеры, и все вернут обратно, ибо «потом пофиксим».

  18. K10
    /#19871494 / -1

    Что все прицепились к кириллическим символам? Это все косвенные улики. Надо заходить с главного.
    Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
    Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
    Остается только один вариант.
    Даже без кириллических символов.

    • freuser
      /#19871984

      Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
      И что, по-Вашему, мешает сделать такой инструмент Китаю, Индии, да даже Израилю? Не нужны многомиллиардные вложения в центрифуги и гектары производственных площадей — купили аналогичные контроллеры, подключили к локалке любого опенспейса и всё, пусть местные компьютерные гении ковыряют за зарплату. Или эти гении могут рождаться только в США и РФ? Чисто статистически неверно — суммарная доля их населения 8% общего населения Земли или, если отбросить беднейшие регионы, где компьютер только у сына местного бея, примерно четверть.
      Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
      А Вы, верно, твердо знаете всю внутреннюю кухню отношений США с СА, раз позволяете себе такие заявления? Если широкая публика не в курсе чего-то (например, готовящегося мятежа принцев или планов поднять цены на нефть), это не значит, что этого не существует. Может быть, это сами сауды влезли на свой НПЗ и сами же «раскрыли вторжение» (ведь никаких реальных действий и убытков не было), для получения неких преференций за кулисами. Это объясняет весь цитируемый ниже абзац
      жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.
      который смущает меня больше всего. СБ либо мышей не ловит, либо в доле, поскольку предположить её отсутствие уже варварство.

      • Wesha
        /#19872980

        И что, по-Вашему, мешает сделать такой инструмент Китаю

        Более того, не раз писали — "В Китае отличников больше, чем у нас вообще учеников. Просто потому, что выборка на порядок больше". Миллиард человек — это вам не фигвам изюму.

    • mkovalevskyi
      /#19872144

      Это вы перечислили тех кто попался.
      Интересно было бы почитать ваш список тех, кого еще не словили )))

      • Wesha
        /#19873000

        не словили

        "Имена хороших разведчиков известны всем. Имена выдающихся разведчиков не известны никому." (с)

  19. Brick-rs
    /#19871496

    «пугающий Рубикон» может быть пугающий Рубеж?