Привет, Хабр! Это любительский перевод сообщения «Triton is the world’s most murderous malware, and it’s spreading» by Martin Giles, опубликованного 5 марта 2019 г. Все иллюстрации созданы Ariel Davis. Спойлер: в кибератаках в очередной раз обвиняют российских хакеров. Учтите, что это всего лишь перевод.

image Вирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии. Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.


Как опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, заставляющее кровь стынуть в жилах.

Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф. Предполагается, что они вмешаются при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили.

Вредоносное ПО позволяет контролировать системы безопасности удаленно. Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Ответ системы безопасности в июне 2017 г. привел к остановке производства. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы.

Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Ищейки обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Он целился в модель контроллера Triconex, сделанную французской компанией Schneider Electric.

В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.

Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.
«Мы знали что мы не можем полагаться на целостность систем безопасности. Это было хуже некуда»
Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта, водоочистных сооружений, и заканчивая атомными энергетическими станциями.

Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.

Создатели Triton сейчас охотятся за новыми жертвами. Dragos, фирма, которая специализируется на индустриальной кибербезопасности, утверждает: за последний год появились свидетельства, доказывающие, что группа хакеров использует одни и те же методы цифровой разведки, для обнаружения целей за пределами ближнего востока, включая Северную Америку. Они создают новые варианты кода, позволяющие ставить под угрозу большее количество систем безопасности.

Боевая готовность


Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)

В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой. Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены.

Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. С тех пор, они обнаружили путь в собственную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.

С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.

Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Хакеры также обнаружили или «уязвимость нулевого дня» или прежде неизвестный баг во встроенной в Triconex программе. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.

Результаты могли быть устрашающими. Худшая промышленная авария также связана с утечкой ядовитых газов. В декабре 1984 года завод пестицидов Union Carbide в Бхопале (Индия) выпустил огромное облако токсичных паров, убив тысячи людей. Причинами были плохое обслуживание и человеческий фактор. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.

Ещё большая боевая готовность


Не так много случаев было, когда хакеры пытались нанести физический вред используя киберпространство. Например, Stuxnet — сотни центрифуг иранской АЭС вышли из-под контроля и самоуничтожились (2010). Другой пример, CrashOverride — удар российских хакеров по энергетической системе Украины (2016). (Наша боковая панель содержит резюме этих и некоторых других киберфизических атак.)*

Однако даже самые из пессимистичных кибер-Кассандр не видели такого вредоносного ПО как Triton.
«Просто казалось, что целиться в системы безопасности тяжело морально и действительно трудно технически», объясняет Джо Словик, бывший офицер ВМС США, ныне работающий в Dragos.
Другие эксперты тоже были шокированы, увидев новости о коде-убийце.
«Даже Stuxnet и другие вирусы никогда не имели такого вопиющего и однозначного намерения травмировать людей», говорит Бредфорд Хегрет, консультант в Accenture, специализирующийся на промышленной кибербезопасности.
image

Скорее всего не случайно, что вредоносное ПО дало о себе знать, когда хакеры из таких стран, как Россия, Иран и Северная Корея, усилили исследование секторов «критически важной инфраструктуры». Нефтегазовые компании, электроэнергетические компании, транспортные сети жизненно необходимы современной экономике.

В своей речи в прошлом году Ден Коатс, директор национальной разведки США, предупредил, что угроза кибератаки, парализующей жизненно важную инфраструктуру Америки, возрастает. Он провел параллели с зарегистрированным национальной разведкой США возрастанием киберактивности террористических групп перед 11 сентября 2001.
«Почти два десятилетия спустя, я здесь, чтобы сделать предупреждение, огни снова мигают красным. Сегодня цифровая инфраструктура, обслуживающая нашу страну, буквально находится под атакой», сказал Коатс.
Вначале казалось, что Triton — работа Ирана, который является заклятым врагом Саудовской Аравии. В отчете, опубликованном в прошлом октябре, FireEye, компанией, работающей в сфере информационной безопасности и участвующей в расследовании с самого начала, преступником была обвинена другая страна: Россия.

Хакеры тестировали элементы кода, с целью сделать его обнаружение непосильной задачей для антивируса. FireEye обнаружили забытый хакерами файл в корпоративной сети и получили возможность отследить другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.

Этот адрес был зарегистрирован в ЦНИИ Химии и Механики в Москве, государственной организации, фокусирующейся на ключевой инфраструктуре и промышленной безопасности. FireEye также сообщал о доказательстве, которое указывало на вовлеченность профессора этого института. И всё же, в отчете было отмечено, что FireEye не удалось найти доказательств, которые бы могли однозначно указать на причастие института к разработке Triton.

Исследователи все еще копаются в происхождении вируса, так что гораздо больше теорий может возникнуть о хакерах-авторах. Гатманис, тем временем, хочет помочь компаниям извлечь важные уроки из подобного опыта саудовского завода. На январской конференции по промышленной безопасности S4X19 он обрисовал некоторые из них. Например, жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.

Это может звучать как безнадежный случай, но Гатманис утверждает, что это не так.
«Я был на многих американских заводах, которые были в разы менее зрелыми [в своем подходе к кибербезопасности], чем эта организация», объясняет Гатманис.



Triton: a timeline


2014
Хакеры получают доступ к корпоративной сети завода в Саудовской Аравии

Июнь 2017
Первая остановка производства

Август 2017
Вторая остановка производства

Декабрь 2017
Публикуется информация о кибератаке

Октябрь 2018
FireEye сообщает о том, что скорее всего Triton был создан в российской лаборатории

Январь 2019
Появляется больше информации об инциденте


Другие эксперты замечают, что сейчас хакеры, работающие на правительство, готовы преследовать относительно неопределенные и сложные для взлома цели. Системы обеспечения безопасности разработаны специально для защиты разнообразных процессов, так что программирование вирусного ПО для них требует большого количества времени и кропотливой работы. Schneider Electric’s Triconex контроллер, например, имеет множество различных моделей, и каждая из них может иметь другую версию встроенного ПО.

Факт того, что хакеры пошли на такие большие затраты для разработки Triton, стал тревожным звонком для Шнайдера и других производителей систем безопасности, таких как Emerson (США) и Yokogawa (Япония). Шнайдер получил похвалу за то, что публично поделился подробностями об атаке хакеров, включая освещение ошибки нулевого дня, котора была исправлена с тех пор. Однако во время январской презентации Гатманис раскритиковал компанию за то, что она не могла взаимодействовать со следователями сразу после атаки.

Schneider заверили, что сотрудничали с компанией, оказавшейся под кибератакой, так же плотно, как и с Министерством внутренней безопасности США и иными агентствами, проводившими расследование. Было нанято больше людей, а также была усилена безопасность встроенного ПО и используемых протоколов.

Эндрю Клинг, руководитель Schneider, говорит, что важный урок, извлеченный из этого происшествия, состоит в том, что компаниям и производителям оборудования необходимо уделять больше внимания областям, компрометация которых может привести к катастрофе, даже если атака по ним кажется очень маловероятной. Например, редко используемые программные приложения и старые протоколы, которые управляют взаимодействиями приборов.
«Вы можете подумать, никого никогда не будет беспокоить нарушение [некоторого] неясного протокола, который даже не задокументирован, — говорит Клинг, — но вы должны спросить, каковы будут последствия, если они это сделают?»
image

Иное будущее?


В течение последнего десятилетия компании добавляют связь с интернетом и сенсоры во все виды промышленного оборудования. Собираемые данные используются для всего; начиная с профилактики, которая означает использование машинного обучения для лучшего предсказания, когда же это профилактическое обслуживание понадобится, заканчивая тонкой отладкой процессов на производстве. Также большой шаг сделан для того, чтобы управлять процессами удаленно, используя смартфоны и планшеты.

Все это может сделать бизнес гораздо более эффективным и продуктивным, что объясняет, почему, согласно ARC Group, следящей за рынком, ожидается потратить около 42 млрд. долларов на промышленное интернет-оборудование; например, интеллектуальные датчики и автоматизированные системы управления. Но также очевидны риски: чем больше оборудования подключено, тем больше целей для атак получают хакеры.

Чтобы удержать злоумышленников, производства обычно полагаются на стратегию, известную как «глубокая защита»: создаётся несколько уровней безопасности, используются брандмауэры, чтобы отделить корпоративные сети от интернета. Задача других уровней — предотвратить доступ хакеров к сетям предприятия и к промышленным системам управления.

Методы защиты также включают в себя антивирусные инструменты для обнаружения вирусов и всё чаще ПО для искусственного интеллекта, который пытается распознать аномальное поведение внутри IT-систем.

Кроме того, в качестве окончательной защиты используются системы контроля безопасности и физические отказобезопасные системы. Наиболее важные системы обычно имеют несколько физических копий для защиты от отказа какого-либо элемента.

Эта стратегия доказала свою надёжность. Но рост числа хакеров, обладающих временем, деньгами и мотивацией, достаточными для того, чтобы нацелиться на критически важную инфраструктуру, а также увеличение роста соединенных с интернетом систем — всё это означает, что прошлое не может быть надежным руководством для будущего.

Россия, в частности, продемонстрировала желание использовать ПО в качестве оружия против физических целей на украине, которые она может использовать для тестирования кибероружия. Внедрение Triton в Саудовской Аравии показывает, показывает, что полные решимости хакеры готовы потратить годы на прощупывание и исследование способов пробраться через все эти уровни защиты.

К счастью, нападавшие на предприятие в Саудовской Аравии были перехвачены, а мы узнали гораздо больше о том, как они работали. Также это отрезвляющее напоминание о том, что хакеры, как и другие разработчики, тоже совершают ошибки. Что если непреднамеренно внесенный баг, вместо безопасного отключения систем, «обезвредит» системы безопасности, и это произойдет именно в тот момент, когда какая-либо ошибка или же человеческий фактор сделают жизненно важный процесс бесполезным?

Эксперты, работающие в таких местах, как Национальная лаборатория США в Айдахо, призывают компании пересмотреть все свои процессы в свете появления Triton и других киберфизических угроз, а также радикально сократить или же устранить вовсе цифровые пути, благодаря которым хакеры могут получить доступ к жизненно важным процессам.

Компаниям придется пойти на издержки, для того, чтобы сделать это, но Triton — это напоминание о том, что риски растут. Гатманис считает, что новые атаки с использованием смертоносных вирусов практически неизбежны.
«Хотя это и было впервые, — говорит Гатманис, — я был бы сильно удивлен, обернись это первым и последним случаем»


*Некоторые заслуживающие внимания киберугрозы


2010 — Stuxnet

Разработанный Американским агентством нац. безопасности вместе с израильской разведкой, вирус представлял собой компьютерного червя — код, который копирует себя с компьютера на компьютер без вмешательства человека. Вероятнее всего, что он, пронесенный контрабандой на USB-накопителе, предназначался для программируемых логических контроллеров, которые управляют автоматизированными процессами. Вирус спровоцировал разрушение центрифуг, использовавшихся для обогащения урана на заводе в Иране.

2013 — Havex

Havex был разработан для наблюдения за контролирующими оборудование системами. Предположительно, это позволяло хакерам выяснить как именно организовать атаку. Код — троян удаленного доступа (RAT), позволяющий хакерам управлять компьютерами удаленно. Вирус предназначался для тысяч американских, европейских и канадских предприятий, особенно в энергетической и нефтехимической областях.

2015 — BlackEnergy

BlackEnergy, другой троян, некоторое время «вращался в криминальном мире», но затем был адаптирован российскими хакерами для запуска атаки по нескольким украинским энергокомпаниям. В декабре 2015 года он помог спровоцировать отключения электроэнергии. Вирус использовали для сбора информации о системах энергетических компаний и кражи учетных данных сотрудников.

2016 — CrashOverride

Также известен как Industroyer. Этот вирус тоже был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети. Вирус копировал протоколы («языки связи»), которые различные элементы энергосистемы использовали для взаимодействия друг с другом. Это позволяет показать, что предохранитель замкнут, в то время как на самом деле он разомкнут. Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия.

Комментарии (159)


  1. Anton23
    11.03.2019 13:08
    +1

    Фуух блин, я уже подумал что мы все умрем!
    Прочитайте заголовок:

    Triton — самый убийственный вирус, и он распространяется

    А оказывается это всего лишь ПО.


    1. DocJester
      11.03.2019 13:11
      +1

      Так в хабах же «Информационная безопасность», а не «Здоровье гика».

      По теме поста — второй Stuxnet?


      1. Anton23
        11.03.2019 13:12

        Не посмотрел на хаб. Ну, пока не второй, его же нашли, а про Stuxnet насколько я помню узнали уже после.


      1. Newbilius
        12.03.2019 10:59

        С мобилки хабы не отображаются.


    1. saboteur_kiev
      11.03.2019 19:41

      А оказывается это всего лишь ПО.

      Которое может быть использовано для убийства, которое разрабатывается с целью убийства, и которое даже использовалось в попытке кого-либо убить — всего лишь ПО?

      Учитывая, что уровень безопасности в инфраструктуре огромного количества компаний находится на зачаточном уровне, это крайне неприятно.

      Я вот обычный гражданин. И я просто тупо ничего не могу сделать с тем, что у меня пропадет электричество, горячая вода, отопление зимой просто потому, что в у городского коммунального провайдера вирус в сети. А ведь может быть и хуже.
      И ни мои налоги ни лозунги на Хабре на это не повлияют.


      1. lubezniy
        11.03.2019 22:20
        -1

        Если очень нужно, резервными средствами можно запастись заранее: бойлер и (сложнее) небольшой генератор. Хоть на серьёзный случай опытные люди запасают еду-воду-спички и инструмент по мелочам.


        1. saboteur_kiev
          12.03.2019 03:56
          +1

          То есть вы даже не хотите воспринимать это как зло, предпочитаете прятать голову в песок?
          На спичках в городской квартире зимой долго не протянешь.


          1. lubezniy
            12.03.2019 05:06

            Что значит не хочу воспринимать? Ситуацией надо управлять, но в меру своих возможностей. Есть возможность повлиять на отключения — надо повлиять. Нет возможности, но в то же время не получается пересидеть без — значит, надо делать соответствующие резервы. А, если просто сидеть и называть ситуацию злом, это и есть прятать голову в песок.


      1. 200sx_Pilot
        11.03.2019 22:38

        Бензиновый или работающий на газу генератор, батарея, солнечная панель — и пропажа электричества на какое-то время уже не так страшна.
        Пару лет назад в наших краях зимой прошел дождь при минусовой температуре воздуха.
        Опоры электросетей ломало, как спички.
        Восстанавливали электроснабжение месяц.
        Скажу вам — жить можно.

        Вот с центральным отоплением посложнее.
        У меня есть твердотопливный котёл. Мне проще.

        Но представьте, в России есть населённые пункты, которые не газифицированы.
        Есть места, где вместо водопровода — колодец на соседней улице.
        Страшно сказать — туалет в конце огорода :))
        И баня на дровах.
        Так что всё относительно, и не так печально, как оно кажется.


        1. saboteur_kiev
          12.03.2019 03:56
          +1

          В высокоэтажном многоквартирном доме? солнечная панель? А куда ее ставить?


          1. 200sx_Pilot
            12.03.2019 05:27
            -2

            В Киеве?
            На крышу Рады.


            1. 200sx_Pilot
              12.03.2019 16:43

              Судя по минусам — лучше всё-таки в подвалы Рады.


          1. StefanoTan
            12.03.2019 15:55

            На балкон.


        1. 9660
          12.03.2019 05:44

          Но представьте, в России есть населённые пункты, которые не газифицированы.

          Точнее сказать регионы.


        1. Mykola_Von_Raybokobylko
          12.03.2019 17:28

          Но представьте, в России есть населённые пункты, которые не газифицированы.
          Есть места, где вместо водопровода — колодец на соседней улице.
          Страшно сказать — туалет в конце огорода :))
          И баня на дровах.
          Так что всё относительно, и не так печально, как оно кажется.


          Не хватает картинки " я здесь живу"
          Лет 20 так жил.


      1. 200sx_Pilot
        11.03.2019 22:39

        потому, что в у городского коммунального провайдера вирус в сети.

        А это — следствие экономии на инфраструктуре и специалистах.


        1. saboteur_kiev
          12.03.2019 03:57

          А давайте, чтобы соседи не экономили не будем мелочиться, а сразу бахнем танками и ядерными ракетами?
          Ну серьезно…


        1. lubezniy
          12.03.2019 06:52

          И какие есть варианты? С учётом того, что тарифы регулируются государством, и просто так поднять их для повышения уровня специалистов/инфраструктуры государство не даст.


  1. Anton23
    11.03.2019 13:17
    +1

    Русские хакеры, остановитесь, сколько можно!

    ЦНИИ Химии и Механики в Москве

    Вот где оказывается работают русские хакеры!

    А если серьезно: это довольно странно. Если верить заявлениям, и русский след есть, то получается русские хакеры которые создали очень мощный вирус, настолько глупы, что оставляют следы и используют кириллицу? С другой стороны, не доверять этим заявлениям у меня причин тоже нет.


    1. shadek
      11.03.2019 13:28
      +1

      Это, как обычно, «highly likely russia». Что с CrashOverride, что с BlackEnergy, что с Triton.

      Кириллические имена в коде? Уже бред…
      «Забытый хакерами файл в корпоративной сети»… ну да, все ясно, это русские хакеры, никто другой в сети ничего оставить не мог.


      1. ybalt
        11.03.2019 13:38
        -2

        Ихтамнет. ИТ-версия


        1. shadek
          11.03.2019 14:46
          +4

          Насколько я в курсе, ни в одном из перечисленных мною случаев не было предоставлено никаких доказательств, даже мифических «кириллических букв в коде». Забавно, ведь на основании латинских букв можно сделать вывод и «highly likely» англоязычных хакерах.

          Вообще любое утверждение о «косвенных уликах» попахивает разводом.


        1. Alonerover
          11.03.2019 17:12

          Голосом Караченцева:

          — Сдаётся мне, Били, это была пропаганда…


          1. Peacemaker
            11.03.2019 19:36

            Тогда уж голосом Ярмольника…


            1. Alonerover
              12.03.2019 09:04

              Хм, точно. Давно не смотрел эту фильму.


      1. faoriu
        11.03.2019 14:44

        del


      1. NiTr0_ua
        11.03.2019 18:20

        Кириллические имена в коде? Уже бред…

        ошметок дебаг инфы с кириллическими путями — легко мог быть. особенно если самого червя писали одни люди, а пэйлоад, который собссно рулит техпроцессом — совсем другие, химики-технологи с зачатками навыков программирования, которым дали готовую дырочку в корп.сеть.

        ну и да, никогда не стоит недооценивать глубину глубин человеческой глупости. как будете сомневаться, бывают ли вообще подобные идиоты — вспомните любителей шпилей…


        1. shadek
          11.03.2019 18:53

          Давайте подискутируем


          1. Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.
            2 Не знаю что вы вкладываете в понятие "пэйлоад", но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И "химики-технологи с зачатками навыков программирования" в таких командах не значатся, не тот уровнь. Если вы внимательно прочитаете статью, то увидите что там был подбор софта под версии контроллеров, что уже предполагает серьезную компетенцию.
            3 Даже в самом докладе указано "изощрённое кибероружие создано и размещено "группой решительных и терпеливых хакеров", сложно представить что бы такие люди оставили хвосты
            4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).
            5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.


          1. saboteur_kiev
            11.03.2019 19:46

            3 Даже в самом докладе указано «изощрённое кибероружие создано и размещено „группой решительных и терпеливых хакеров“, сложно представить что бы такие люди оставили хвосты


            Очень часто инструмент создают одни, пользуются — другие. Перед использованием — немного потренировались на локалке. Или умышленно подкинули дезу.


            1. shadek
              11.03.2019 20:07
              +1

              Еще раз читаем "… создано и размещено...", ключевое слово «размещено». Задача на много времени/денег, и по вашему после этого там по системе раскидываются файлы «здесь_был_Вася»? Речь идет о взломе контроллеров оборудования, там вообще кириллицей не пахнет.
              Каким образом тестирование в локалке связано с кириллицей не очень понятно, видимо что то из открытий британских ученых…


              1. mat300
                12.03.2019 00:06

                Господа, не ссорьтесь.
                То был Моссад — ну кому еще нужно гадить арабам. И русскоязычные ребята там есть. Так что могли и оставить что-то кириллическое — ну не на иврите же им там писать — неудобно. Да и для дезы самое то.


          1. NiTr0_ua
            11.03.2019 21:51
            +1

            Кириллицей пишут далеко не в одной РФ, на Украине тоже, как и еще в добром 10ке стран, где живут или куда уехали наши соотечественники. На том же Кипре или Мальте русскоговорящих предостаточно.

            и IP адресов с геолокацией в РФ там предостаточно? :)

            Не знаю что вы вкладываете в понятие «пэйлоад», но взлом и его эксплуатация это технологически сложный процесс, там сотни тысяч зеленых бумажек вложены. И «химики-технологи с зачатками навыков программирования» в таких командах не значатся, не тот уровнь.

            а причем тут взлом к собссно управлению техпроцессом? :)
            или вы наивно полагаете, что хакеры в курсе что надо поправить в параметрах техпроцесса неизвестной производственной линии, чтобы произошел выброс большого кол-ва отравляющего вещества? :) ну вот есть у вас две сотни ПЛК, у каждого пара десятков входных и пара десятков выходных сигналов, все это как-то рулится скада системой которая находится фиг знает где. хакер вот прям сразу же скажет что и где нужно покрутить, чтобы произошел выброс?

            4 Большинство специалистов по ИБ и их противники работают с англ. интерфейсом (меньше глюков и целостный интерфейс, привычка думать на англ. и т.п.).

            да причем тут специалисты ИБ? специалист ИБ сможет разобраться в техпроцессе и изменить его параметры для вызова аварии с серьезными последствиями?

            5 Дебаггер работает НА КОМПЬЮТЕРЕ хакера и складывает ТАМ информацию, либо работает В АТАКУЕМОЙ СЕТИ и складывает информацию ТАМ. Загрузка логов с локального компьютера в сеть маловероятна, все таки это не школота.

            какой дебаггер, какие логи? вы вообще читаете что вам пишут?
            собрал кто-то экзешник debug версии, не release, потренировался локально, залил его через предоставленную ему дырку, поизучал через него техпроцесс, и забыл удалить за собой следы.


            1. Wesha
              12.03.2019 00:44
              +2

              и IP адресов с геолокацией в РФ там предостаточно? :)

              Не знаю, как Вам, но мне в своё время вдолбили в голову первое правило — "никогда не производи атаку с IPшников своей страны. Найди уязвимый сервер в Китае (тогда ещё не было Большого Файрвола), Чили, или каком-нибудь ещё Тимбукту (таких в Интернете стотыщмиллионов!), поломай, и производи все действия с него. Лучше, если таких хопов будет три-пять."


              Так что либо российские хакеры — кромешные идиоты — ходить со своих IP, либо хакеры — кто угодно только НЕ российские.


              1. JerleShannara
                12.03.2019 01:01

                Плюс не надо забывать, что в институтах любят использовать устаревшее ПО, в котором дыр бывает больше, чем в швейцарском сыре.


                1. Wesha
                  12.03.2019 02:24

                  В моё время китайские университеты были просто раздольем. Там дыра на дыре сидела и дырой погоняла. Надо найти хоп — идёшь в китайский сегмент, первый же попавшийся сервер твой.


              1. Cenzo
                12.03.2019 02:26

                Именно так, ну очень сильные сомнения, что люди с огромным опытом сетевых технологий, реверс инжиниринга и запутывания кода не знают как использовать VPN и как удалять отладочные символы. Даже в коммерческой компании попадание отладочной информации в публичный доступ это нонсенс, есть автоматические триггеры удаления всего чего не нужно. А тут продвинутые хакеры с русскими путями на диске и IP института?


                1. NiTr0_ua
                  12.03.2019 03:09
                  +1

                  повторюсь: с чего вы взяли, что вероятный технолог, который собссно и разбирался что и куда надо подкрутить чтобы все поломалось сразу и сильно — крутой спец в безопасности?
                  ну и да, если вы считаете эксцесс исполнителя невозможным «ну просто потому что нельзя быть таким идиотом» — вспомните «любителей шпилей».


                  1. Wesha
                    12.03.2019 03:45

                    Вот я и говорю — если посмотреть, сколько идиотов в местах, где их, по логике ну никак не должно быть (кибернападение/безопасность, служба внешней разведки, ваш вариант) — хочется завернуться в белую простыню, и, рыдая, уползти на кладбище. Куда катится этот мир!


                  1. Cenzo
                    12.03.2019 08:12

                    Я не считаю такое невозможным. Я сравниваю вероятность такого вопиющего прокола с вероятностью намеренного вброса. По своему опыту работы в сфере безопасности далеко не первый год. В наше время любой дурак использует VPN, а тем более распространители малвари.


              1. faoriu
                12.03.2019 05:55

                Перед финалом выборов во Франции в 2017 был масштабный слив электронной почты штаба Макрона. Некоторые письма потом ещё и правили, но забыли удалить метаинфу, из-за чего все узнали даже имя и место работы одного из хакеров. Догадались, откуда он был?:)


                1. Wesha
                  12.03.2019 06:06

                  забыли удалить метаинфу

                  Если разведчики моей страны что-то и "забывали", то исключительно по заданию Центра. А про мою "веру" в современных "разведчиков" я уже написал выше.


              1. aquarium
                12.03.2019 12:36

                Давно известно что американские хакеры, атакуют американские объекты с ip адресов российских, встраивают в код кириллицу и распространяют исходники, чтоб ни у кого сомнений не осталось.


            1. mayorovp
              12.03.2019 09:11

              Вот только одно с другим не стыкуется. Среди отладочных символов нету IP-адресов.

              А кем надо быть, чтобы сломать чужой сервер, зайти на него и написать там в текстовом файле свой IP-адрес — я даже не знаю…


              1. freuser
                12.03.2019 12:43

                А как Вы предлагаете получать логи системы и сетевого обмена? Либо складывать их на диске с вероятностью того, что кто-то заметит уменьшение свободного места, либо транслировать их онлайн на свой комп на прокси с вероятностью, что кто-то заметит увеличение трафика.
                А может быть, этот айпишник вообще в исключениях файрволла обнаружили. Журналисты такие журналисты.


                1. mayorovp
                  12.03.2019 13:51

                  Да, исключения файервола — уже больше похоже на правду. Идиоты, которые ломают чужие системы без использования прокси — и правда встречаются (впрочем, с равным успехом сервер НИИ также мог быть взломан и использован в качестве прокси). Но в таком случае не понятно какую такую кириллическую надпись журналисты обнаружили рядом.


                  Журналисты такие журналисты.

                  Ну так потому тут в комментариях работу журналистов и критикуют.


                1. shadek
                  12.03.2019 17:16

                  Вообще вставлять ОДИН IP было бы глупо (тупо может смениться/закрыться дырка/быть выключен в нужный момент), нужно или 5-10 с разных точек или ни одного что бы не вызвать подозрений. Обычно просто отключают фаервол либо эксплуатируют P2P соединения.


                  1. freuser
                    12.03.2019 18:25

                    А там их и могло быть с десяток, просто остальные не из России и поэтому их решили замолчать или считать проксями.


                    1. shadek
                      12.03.2019 18:26

                      Конечно, все же и так ясно :)


            1. shadek
              12.03.2019 16:49

              1 Рассказать вам про ТОР или использование взломанных компов как прокси?
              2 Давайте включим мозг или что там у вас. Кто то взламывает сеть, это однозначно грамотный специалист, который вряд ли оставит «здесь был вася». Следующий шаг — используя взломанную сеть осуществляется взлом контроллеров оборудования. Это вообще в 95% автоматизированное действие (которе просто обязано раскидать кириллицу)… После этого подчищаются следы и все переходит в пассивный режим.
              3 Хакер продает / передает доступ к системе специалистам по созданию проблем, обычно для этого используется модифицированная версия софта, аналогичная используемому в зараженной сети.
              4 См выше,… «экзешник debug версии»… мда, наверное по вашей логике видимо полицейские часто выезжают на патрулирование с водяным пистолетом вместо боевого. Те кто работают в этой сфере знают, что цена ошибке — это в лучшем случае свобода, а чаще всего — жизнь.
              5 Хакерский софт пишут и используют в многонациональных группах, где рабочим языком является английский (иногда китайский). Найти там кириллицу менее вероятно, чем нефть у вас во дворе.


        1. Viceroyalty
          11.03.2019 22:31

          Не знаю в какой среде Вы разрабатываете сложное (сложное — имеется ввиду complex не difficult, извиняюсь, что не подобрал лучшего аналога) ПО, но я давно отказался от кириллических путей в системе — неизвестно какой компонент в какой момент поймет их не так, а потом не так просто докопаться бывает в чем дело.
          Не латинские пути в ОС на которой идет разработка — зло.


          1. DaemonGloom
            12.03.2019 07:44

            На самом деле всё наоборот — при написании и тестировании ПО нужно использовать пути и с русскими, и с английскими символами, и с разнообразными знаками. Это позволяет найти кучу ошибок заранее и не печалить пользователей падающей программой.


        1. 200sx_Pilot
          11.03.2019 22:43

          Настоящие русские хакеры пишут на ассемблере или сразу в машинном коде.
          Так что кириллица — так себе аргумент.
          В Винде тоже есть кириллические символы, но никто не утверждает, что оно — поделие русских программистов.


          1. 0serg
            12.03.2019 08:25

            Ага, это традиционная русская традиция — писать мегабайты машинного кода
            Известна высокой надежностью и быстрыми релизами.


      1. Bookvarenko
        12.03.2019 08:07

        Потому что он был под балалайкой, на которой спал пьяный медведь.


    1. Habivax
      11.03.2019 16:16
      +1

      Есть такое понятие — «операция под чужим флагом». Весь код зашифрован, но добавлена строка на русском для «экспертов», сделавших «правильный» вывод из увиденного. Не любит заказчик вируса японцев — впишем туда насколько слов по японски, подходящий IP и ни разу не палимся. Нет?

      А если все имена на английском — кто тогда автор? Проблема.

      Обьясните пожалуйста, зачем в коде вируса имена на кириллице или к нему. были исходники приложены?


      1. 0serg
        11.03.2019 19:31

        При внимании к деталям помимо «очевидной» зацепки добавленной для редиректа внимания найдутся и другие, которые авторы оставили нечаянно. Тут все упирается в вопрос доверия к экспертам, тому насколько тщательно они сделали свою работу. «Забытые» в коде вируса «лишние» вещи — следствие того что бинари не люди пишут, бинари пишет компилятор на пару с линкером и эта парочка много чего в бинарник может понапихать в ходе трансляции кода и притом далеко не всегда очевидного. Для крупного проекта который много всего линкует вполне возможно что-то упустить в каких-нибудь зависимостях зависимостей. Есть к тому же и другие способы. Например привычка людей использовать один и тот же код в разных проектах легко можно позволить найти код за тем же авторством в проекте где конспирации было уделено меньше внимания.


      1. xfaetas
        12.03.2019 05:59

        Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но точно знают что «нас там нет», наводит на некоторые мысли.


        1. freuser
          12.03.2019 12:30

          Высокая активность сомнительных аккаунтов в комментах под этой статьёй, которые не знают, кто это был, но топят за highly likely Russia, наводит на некоторые мысли.


          1. faoriu
            12.03.2019 12:50

            highly likely

            Три почти одинаковых упоминания этой фразы в комментах только к этой статье от типа разных людей, плюс парочка в соседней про митинг против изоляции. Палитесь, чуваки.


            1. freuser
              12.03.2019 13:02

              Вот уж не думал, что употребление мема является палевом…
              (А ничего, что я кириллические символы в комментарии использую? Это палево так палево.)


              1. faoriu
                12.03.2019 13:06

                Ещё пара одинаковых комментов — и это и правда станет мемом.


                1. freuser
                  12.03.2019 13:17

                  Для Вас — возможно, станет. Для меня уже давно, я ведь не только на хабре пасусь.


                  1. faoriu
                    12.03.2019 13:30

                    я ведь не только на хабре пасусь

                    Это заметно.



    1. rudolfninja
      11.03.2019 16:16
      -2

      Когда я писал Stuxnet специально оставил в коде несколько строк на английском и на иврите, что бы все подумали на АНБ и Израиль.


      1. achekalin
        11.03.2019 21:41

        на английском

        А остальные строки — на «русском матерном», просто чтобы подумали на неаккуратных евреев, а не умных русскоязычных?


    1. 0serg
      11.03.2019 19:26
      +2

      Убеждение что достаточно умный преступник может замести все следы — чисто психологическая ошибка (нам приятно думать что при достаточном навыке мы можем контролировать последствия своих действий и психологически очень некомфортно — понимать что не все зависит от нас и что некоторые вещи предотвратить малореалистично). По факту — сколь-либо крупный проект проверить на отсутствие подобных утечек затруднительно. Просто потому что входные данные реально обрабатывает компилятор и линкер, Вы не можете (реалистично) проверить выданный ими код и Вам очень сложно проконтролировать даже все входные данные. Еще можно ухватиться за какой-нибудь кажущуюся незначительной деталь которая свяжет код с другим кодом происхождение которого проверить проще. Но да, подобных улик меньше чем в обычном криминальном расследовании а сфальсифицировать их гораздо проще, так что доказать что-либо сложно. Так что все начинает упираться в вопрос доверия экспертам — не были ли они заинтересованы в подлоге, не скрывают ли не стыкующиеся с выдвинутой версией факты, тщательно ли они искали улики.


      1. Wesha
        12.03.2019 00:48
        +1

        А установить на свежекупленный компьютер свежий, скажем, скандинавский windows, и скомпилировать на нём свой код (предварительно прогнанный через обфускатор) религия не позволяет?


        1. 0serg
          12.03.2019 07:45

          Скорее обычная лень. Если исходники проекта копировать автоматически из рабочего окружения то получим меньший, но близкий набор проблем когда автоматика накопирует «лишнего». А вручную эту операцию проводить, скажем так, уныло и долго. Я сомневаюсь что проект собирался в «релизную» версию лишь однажды, поэтому велик соблазн автоматизировать сборку, а еще лучше — использовать уже существующую. И это ведь только один из возможных каналов утечки информации. Взять хотя бы переиспользование кода в разных проектах — связали через него два приложения и исследовать происхождение можно у обоих…


          1. Wesha
            12.03.2019 18:56

            Ну так снова приходим к моему комментарию: либо в России в хакеры набирают ленивых идиотов, либо это операция под ложным флагом (вот, кстати, пример, где сами расследователи делают такой вывод). Выбирайте предпочтительный лично Вам вариант.


      1. kmeaw
        12.03.2019 12:44

        Но ведь можно перед релизом попросить независимую группу провести аудит, разве нет?


    1. DmitryBabokin
      12.03.2019 00:23
      -1

      Доказательство в стиле оставленного валенка на пульте управления.

      Мне кажется любой уважающий себя вирусописатель нынче просто обязан оставить кириллические следы и русский IP адрес — ну просто как признак хороших манер.


      1. DrunkBear
        12.03.2019 11:41

        И запах водки Moskovskaya в коде, вместе с куском шерсти медведя.
        PS Поискал у себя имена на кириллице на жёстком диске — нашёл несколько сохранённых файлов из почты и куски 1с. Вирус писали на 1с?!


  1. karl93rus
    11.03.2019 13:29

    Не понимаю, разве сети таких предприятий, как АЭС и прочих потенциально опасных для жизни объектов, не должны быть изолированы от интернета?


    1. acyp
      11.03.2019 13:48

      Должны быть. Но, к сожалению, не везде есть возможность прокинуть отдельный кабель для дистанционной телеметрии. Примеры: Север, станции перекачки газа. Кроме локального сбора телеметрии осуществляется и централизованная.
      В новых решениях уже используется собственная инфраструктура передачи — радиорелейка на Ванкорском месторождении.
      Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется. Понятно, что даже в этих условиях есть менее затратные решения, чем кабель. Но по стоимости в любом случае будут выше, чем публичный интернет, при этом оставаясь временными, т.к. новые стандарты и архитектуры уже разработаны и внедряются.


      1. staticlab
        11.03.2019 16:15

        Понятно, что если бы 30 лет назад, когда прокладывались трубы архитектурно было бы предусмотрены собственные каналы связи, то да, тем более, что газовая труба живет более 30 лет, в отличии от нефтяной, например. Но отдельная прокладка «своего» кабеля в условиях Крайнего Севера — занятие затратное. Вот publicInternet и используется.

        30 лет назад был 1989 год. Сильно сомневаюсь, что на Крайнем Севере тогда был интернет.


        1. 200sx_Pilot
          11.03.2019 23:00

          Параллельно трубам укладывались кабели сигнализации, связи, телеметрии.

          Параллельно рельсам, кстати, тоже ;) но к ЖД прилагались изначально столбы, в те времена технологии были ближе к ВЛС.


    1. tretyakovpe
      11.03.2019 13:52

      Они изолированы брендмауэром. Чтобы управлять используется специальная машина с доступом. Вот через неё и ломали.


      1. saboteur_kiev
        11.03.2019 19:48

        В наш век миниатюризации, можно специальную машину с отдельным GSM модемом и левой симкой просто принести и оставить.
        Причем по размеру она может влезть внутрь usb клавиатуры и работать на полноценном линукс. И хрен найдешь, если не сканировать эфир.


    1. Dotarev
      11.03.2019 14:51

      Система противоаварийной защиты (ПАЗ) должна работать независимо от систем технологического управления (и мониторинга), и работать автономно. Нет необходимости дистанционного контроля систем ПАЗ, нет и поводов создавать связь контроллеров ПАЗ с общедоступными сетями. Если ПАЗ в принципе допускает удаленное вмешательство в свою работу — то это принципиально неверно построенная защита.


      1. gorbln
        11.03.2019 19:13

        Ключевое слово — «должна». А по факту, на немаленьком таком количестве предприятий, она вообще отключена. Причины разные. Не настроена, устройства на местах выдают неправильную обратную связь, кабели отваливаются, ну и самое клёвое — «датчик сняли в поверку да так чо-то и не вернули».


        1. 200sx_Pilot
          11.03.2019 23:03

          Это вы про наследие советского режима сейчас :)
          А автор всё же про капиталистические предприятия, где любой косяк — убыток.


          1. nrms
            12.03.2019 15:39
            +1

            Мва-ха-ха! Отключалась в СССР. Отключается сейчас. Те же датчики метана на шахтах. Тогда мешали план выполнить и получить премию. Сейчас получить максимальную прибыль хозяину. А сколько при этом сдохнет шахтеров — пофик. И кстати не только на территории б/ссср.


            1. Wesha
              12.03.2019 18:59

              Отключалась в СССР

              Самый яркий пример — Чернобыль. Там было то ли три, то ли четыре уровня защиты. Все в ходе проведения "эксперимента" были отключены. "Результат на лице" ©


      1. DGN
        11.03.2019 22:12

        Я это дело вижу примерно так. Сначала Главный Инженер хочет видеть у себя на пульте зеленые огоньки от этого условного ПАЗ, потом отдел автоматизации не хочет лазить в -40 по трубам и разрешает дистанционный апдейт прошивки, потом еще кто то со своих Багам хочет лазить в локалку и ему делают проброс портов. В итоге телемаркет — контроллеры заражены и готовы к часу Х.


    1. SvSh123
      11.03.2019 16:29

      Это, как выяснилось в Иране, не спасает от раздолбая, притащившего в закрытую часть сети флешку с любимым проном, на которой уютно устроился Stuxnet.


      1. balamutang
        11.03.2019 16:50
        +1

        да в том-то и дело что везде раздолбаи: что в Иране с флешкой, что у саудитов компы с удаленным доступом, то производители контроллеров с дырами в прошивке, но виноваты только хакеры.


        1. faoriu
          11.03.2019 17:10

          Как в анекдоте про хакера и солонку.


    1. saboteur_kiev
      11.03.2019 19:43

      В сеть практически любого предприятия можно встроиться.
      При наличии средств на спецтехнику — это вообще не проблема. Для этого даже не обязательно устраиваться уборщиком на месяц.


  1. no404error
    11.03.2019 13:34

    Профильные СМИ периодически публикуют самые затратные/кассовые фильмы/алюбомы с учетом индексации. Может быть и для вирусов так было бы правильнее? ILY нанес ущерб в 5.5G$ за первую неделю. С учетом индексации это 10G$. OneHalf — просто триллионы-триллионов, даже по самым скромным подсчетам.

    p.s. Если бы что-то настолько эффективное по распространению существовало сейчас, то, возможно, просто угробило бы всю онлайн-культуру.


    1. teecat
      12.03.2019 08:44

      все эти оценки очень сильно оценочные. и появление таких оценок зависит от внимания сми. скажем одновременно с wanna cry были майнеры, заражавшие через туже уязвимость. заразили куда больше машин — и кто о них знает?
      С другой стороны день новых вируов создается десятки тысяч — оценивать их все нереально


  1. acesn
    11.03.2019 14:32
    +1

    IP-адрес, используемый для запуска операций, связанных с вирусом.

    прямо так оставили свой IP. Про анонимайзеры они видимо ни чего не слышали.


    1. shadek
      11.03.2019 14:41
      +3

      Да они переменные на кириллице пишут. А потом как то их в скомпилированный код код засовывают. Дикие люди…


      1. diseaz
        11.03.2019 15:46
        +1

        1С-программисты захватывают мир, как предсказывал nmivan?


        1. shadek
          11.03.2019 19:15

          Там "Газпром" свою чёрную бухгалтерию вёл, что ли? :)


    1. Mimus_spb
      11.03.2019 14:49
      +2

      ЦА — потребители американской масс-культуры, и контент, соответственно, адаптирован

      не удивлюсь если они сканированные документы из ФСБ/ГРУ найдут, за подписью лично Преиздента России, где расписан план fake news аттаки на Демократические Ценности и план по захвату Свободной Нации через российского диверсанта Дукалиса Трампова


    1. 0serg
      11.03.2019 19:35
      +1

      Отлаживали скрипт на удобном адресе, затем забыли его убрать.


    1. u007
      12.03.2019 07:46

      Есть много способов случайно спалиться. Особенно, если ты — обычный студент-химик и ломаешь арабов просто от скуки по вечерам


  1. movl
    11.03.2019 15:57

    Все страшнее и страшнее рисуется хакерская антиутопия в этом мире. Конечно, она никогда не будет реализована, но рвение людей, занятых в этом процессе, можно оценить. С точки зрения политиков — это чрезвычайно удобный инструмент, обвиняя других, можно реализовывать свои планы, потом попробуй докажи. Свои ошибки тоже можно объяснять не ошибками, а злонамеренными атаками. На причины вообще можно забить: во всем виноваты злобные анонимусы и правители, вершащие судьбы в силу своей злобной природы. Ничего нового в этом нет.


    Еще и область такая, в которой мало кто разбирается, но зато каждый связи легко может предполагать, вся массовая культура уже давно кричит об этом. Сказали, что хакеры: значит так и есть. Сказали, что там кто-то какие-то "следы" нашел: как этому можно не верить? Сказали, что вся система безопасности, от которой зависят сотни жизней, крутится лишь на софте и интернете: в каком же хрупком мире мы живем. Всё как в сериалах и фильмах, все условия прям как под очередной больной сюжет создаются.


    Конечно, таким деятелям все это припомнится, но сейчас мне видится, что подобные тексты надо препарировать, с целью выявления пропаганды, и в данном случае очень примитивной: свой — хороший, чужой — плохой, подданной через призму особенностей узкой области. Учитывая концовку статьи, еще это может являться своеобразным маркетингом, подданным в призме политической конъюнктуры, для усиления угрожающего эффекта. На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.


    1. karl93rus
      11.03.2019 16:38
      -1

      На то, что здесь нет правды, указывает однобокость политической позиции, да и вообще ее наличие. Так или иначе спасибо за перевод, мы должны видеть как нам мают мозги.

      Нам моют мозги, им моют, всем моют. Мне кажется, сегодня можно верить на 100% (почти) только самому факту свершения какого-то события. Все «анализы» всяких «аналитиков» можно не читать. Даже нужно не читать. Всё равно что было на самом деле никто не узнает. Там своя правда, тут своя. А как к ней относиться каждый решит для себя сам.


      1. movl
        11.03.2019 18:18

        Я все же немного другой глагол использовал. Мною подобные, однобокие тексты воспринимаются именно как раздражители, а не как способы формирования мнения. Эти тексты даже не пытаются нести смыслы, а несут лишь сплошную попытку манипуляции мнением и обладают абсолютно клиповым содержанием, несмотря на такое обилие ссылок. И я убежден, что очень и очень многие видят их также, например Вы и другие комментаторы к данному посту. Польза от таких текстов в том, что они позволяют учиться видеть манипуляцию и «клиповость», в силу примитивности приемов. Авторы пишут чтобы читали их текст, а можно по их тексту читать самих авторов. В постмодерне же живем.


  1. eefadeev
    11.03.2019 16:32
    +2

    «Мы понятия не имеем кто это, поэтому это… точно были русские (из какого-то секретного НИИ)!»


  1. greendog
    11.03.2019 17:58

    Эксперты которые полагаются на «весьма вероятно» и кириллицу в коде не являются экспертами как таковыми.
    Даже моя мама, которая умеет пользоваться только одноклассниками задаёт резонный вопрос: а почему русские хакеры пишут кириллицей и оставляют следы — они же хакеры?! Но западных «экспердов» походу не заботит бред, который они периодически выдают «на гора». Сдаётся мне, что делается это для получения очередного заказа от правительства на борьбу с русскими хакерами.


  1. Caracat
    11.03.2019 18:32

    Заинтересовался вакансиями в ЦНИИ Химии и Механики, но там 404 ))
    http://cniihm.ru/%d0%b2%d0%b0%d0%ba%d0%b0%d0%bd%d1%81%d0%b8%d0%b8/


    1. the_brainless_girl Автор
      11.03.2019 18:49

      Не знаю, огорчу или обрадую, но вакансии там имеются: ссылка на сайт, ссылка на hh.ru


      1. staticlab
        11.03.2019 19:10

        Ведущий инженер-программист 1С, кириллица в вирусе — это оно! Дело раскрыто!


        1. balamutang
          12.03.2019 18:04

          Ну если выясниться выяснится что для запуска вирусов нужен хасп и непомешала бы подписка на ИТС…


  1. vortupin
    11.03.2019 18:39

    Почему-то никто не сомневается, что «Stuxnet» был написан западными спецслужбами (а конкретно — американскими), но вот предположение о российском происхождении вируса, предназначенного для атаки западных заводов, вызывает дружное неодобрение. Понятно, что кириллические символы (кстати, в статье нет ни слова о «кириллических именах переменных в скомпилированном коде», над чем тут комментаторы «стебутся») могли быть специально оставленным ложным следом. Но могли и не — людям свойственно делать ошибки, а если на кону не стоит собственная безопасность и жизнь, то кто-то мог и «расслабиться», и забыть.

    Но, вообще, это очень пугающая и опасная тенденция :( Большинство существующих систем, созданных в конце прошлого — начале нынешнего веков, создавались без учета возможности столь изощренных диверсий. Это ведь не с script kiddies или одиночками-хакерами бороться; когда задействованы ресурсы государства, и профессионалы высокого уровня, требуется абсолютно иной способ защиты от кибератак. А последствия могут быть страшными…


    1. JerleShannara
      11.03.2019 20:31
      -1

      Вспоминается статья с софтом для «гаджетов от АНБ» со спец. массивами кириллицы, арабской вязи, иероглифов всяких видов и прочего, как раз для «хайли лайхли зис из равшанс/ираниванс/джабанизес»


      1. vortupin
        11.03.2019 22:54

        Вы намекаете, что АНБ может быть причастна к планировавшимся диверсиям на западных нефтеперерабатывающих заводах, с целью компроментации «белой и пушистой», невинной России и усиления санкций? Старик Оккам с вами не согласен ;)


        1. 200sx_Pilot
          11.03.2019 23:09

          Нет, что вы!
          Это принципиально невозможно.

          Хорошо, хоть падения Боингов новых не догадались на русских повесить…


          1. Jef239
            12.03.2019 03:53

            Всем известно, что малазийский боинг сбила американская подлодка, базирующаяся в венгерских морях.

            P.S Корейский боинг тоже американская подлодка сбила, а майора Осиповича загипнотизировали инопланетяне.

            P.P.S. Французский falcon сбил оживленный американцами снегоуборочник, предварительно споив водителя


            1. Wesha
              12.03.2019 04:32

              малазийский боинг сбила

              Вообще-то подозреваю, что 200sx_Pilot имел в виду эти катастрофы, а вовсе не то, о чём Вы подумали. В этом свете все Ваши изливания желчи — как мне кажется, мимо тазика.


              1. 200sx_Pilot
                12.03.2019 05:25

                Именно.
                Благодарю.


                1. faoriu
                  12.03.2019 05:45

                  А что, Boeing когда-либо пытался повесить катастрофы самолётов на россиян?


                  1. Wesha
                    12.03.2019 05:57

                    Ну не совсем Boeing, но пытались и пытаются. Именно об этом ("Всем известно, что малазийский боинг сбила американская подлодка") Jef239 и писал.


                    1. Jef239
                      12.03.2019 06:12

                      Ну лично мне больше понравился оригинал — про несвежие трупы, которых везли роботы.

                      P.S. Увы, оказалось что дурнее оригинала не придумать. А я так рассчитывал на Венгерские моря…


                    1. faoriu
                      12.03.2019 06:15

                      Я говорю про катастрофу, а не непосредственную атаку, да и выводы следствия по MH17 вполне однозначны — не понятно, к чему он тут вообще.


                  1. Jef239
                    12.03.2019 06:02

                    Ну может вы тогда в школу ходили.


        1. JerleShannara
          12.03.2019 00:48

          С чего бы мне намекать? habr.com/ru/post/357310 просто мысли вслух, что если в коде «Бландит вкуэ опхерюхер» это ни разу не означает того, что оно made in Russia.


          1. vortupin
            12.03.2019 01:38

            А какое отношение имеет процитированная вами ссылка к обсуждаемой теме? Вы уж постарайтесь «пологичнее» мыслить, ведь можно и ответных ссылок накидать, касательно «несуществующих» «вежливых зеленых человечков», существование которых ваш нац. лидер впоследствии публично признал (все с той же важной миной, как ранее категорически отрицал).

            Поговорка гласит: «обжегшись на молоке, на воду дуют»…


            1. JerleShannara
              12.03.2019 01:49

              Самое прямое, я вам даю пример, что приём, который в статье описан, уже ранее применялся, причем без разницы кем. Если я вам вирус скомпилирую из под fr_FR.uft8 локали с установленной временной зоной GMT+2/Paris и в pdb-шнике будет путь C:\Users\StephenBaguette\Viral_le_monde\solution1.exe вы тоже сразу-же броситесь орать про «Сделано во Франции»?


              1. shadek
                12.03.2019 16:57

                Ваш оппонент относится числу людей которым итак «уже все понятно, тут не о чем говорить».


              1. vortupin
                12.03.2019 18:43

                На основании чего сделан вывод о «кириллических символах в pdb-шнике»? В статье нет ничего про это; там лишь упоминается, что

                другие файлы с того же испытательного стенда. Они содержали несколько имен кириллическими символами и IP-адрес, используемый для запуска операций, связанных с вирусом.
                . Заметьте, про то, что это за «другие файлы», ни что это за «имена», ни слова не сказано.

                Понятно, что подделать можно все, что угодно; необходимости «светить» свой IP, при существовании дешевых цепочек прокси (через Китай, а потом через все, что угодно), организуемых за считанные минуты, также абсолютно нет. Доказать причастность к киберпреступлениям очень сложно (разве, что исполнители допустили фатальные ошибки. Хотя, с другой стороны, как мы знаем, с Литвиненко и Скрипалями тоже работали «профессиАналы» из КГБ/ФСБ, которые, тем не менее, ухитрились наследить «нипадеццки» — что говорит об уровне профессионализма).

                Потому, всегда будут смотреть, прежде всего, «кому это нужно и выгодно». Россия сейчас ведет кибервойну против Запада (опять-таки, вы можете все отрицать, но я ни вам, ни вашему президенту не верю, так как последний был многократно пойман на вранье), поэтому естественно, первым делом, предположить, что в подготовке данной диверсии замешаны хакеры. А технический уровень данного взлома говорит о том, что действовали серьезные профессионалы, а не «шпана» (зачем вообще это «шпане» или отдельным хакерам?).

                Ваша позиция мне понятна, но неприятна, и я ее не разделяю. Вы уверены в «белопушистости» путинской России; факты же говорят об ином.


                1. Wesha
                  12.03.2019 19:00

                  зачем вообще это «шпане»

                  Bragging rights?


                  1. vortupin
                    12.03.2019 19:39

                    Сомневаюсь, уровень далеко не «script kiddies», и даже не обычных хакеров-взломщиков. Кстати, это может объяснить и оставленные следы: спецам, сидящим в Москве и работающим по сверхсекретному заданию ФСБ, не нужно особо бояться, что их «вычислят» и применят «ректально-термический» метод дознания (ну, или путем введения «сыворотки правды»). А на счет возможных оставленных следов всегда можно сказать: «вывсеврете, это подстава», и доказать будет невозможно. Индивидуал такой защиты не имеет, и должен работать 100% безошибочно (опять-таки, история показывает, что даже опытнейшие «супер-хакеры», типа Митника (в свое время) «прокалывались» и «вычислялись»).

                    Кстати, я вовсе не утверждал в первом моем комментарии, что это 100% были диверсанты из России; я лишь удивился, почему в случае со «Stuxnet» местные комментаторы на 100% убеждены в том, что это дело рук зловещего АНБ, а в данном случае предположение о хакерах из России изначально отвергается.


    1. lubezniy
      12.03.2019 05:10

      По Stuxnet — не факт. Может, даже очевиднее смотреть в сторону израильских специалистов: у этих ребят есть не только мозги, но и мотивация.


      1. athacker
        12.03.2019 11:41

        Да, как бы, покровы уже давно сорваны.

        A damaging cyberattack against Iran’s nuclear program was the work of U.S. and Israeli experts and proceeded under the secret orders of President Obama, who was eager to slow that nation’s apparent progress toward building an atomic bomb without launching a traditional military attack, say current and former U.S. officials.


  1. mkovalevskyi
    11.03.2019 22:14

    С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.


    Прям Промтом повеяло…


  1. hp6812er
    11.03.2019 22:16

    Хоть бы кто написал про сам контроллер… Что там шнайдер то говорит — может просто стоит прошивку обновить и не раздувать?
    Я знаю модели промышленных коммутаторов, в которых пароль ваааще нельзя поменять… И что?
    ПАЗ никто не отменял. А то что он выключен… ну это уже человеческий фактор и косяк органов, которые должны проводить аудит критически важной инфраструктуры.
    Авария ЧАЭС тому яркий пример.


  1. questor
    11.03.2019 22:56

    А, 2017 год… Мне вот интересно, что потом будут рассказывать про отключение света в Венесуэле неделю назад. Было ли это атакой вирусов, если да то чьей?


    1. teecat
      12.03.2019 08:45

      Кто знает. В вое время в отключении интернета в Сирии обвинили Асада. А потом оказалось, что его по ошибке вырубили спецслужбы (США вроде)


  1. Dioxin
    12.03.2019 08:06

    2016 — CrashOverride
    Следующий видимо будет Zero Cool который будет перед обрушением выдавать на экран:
    Сунетесь к лучшим — умрете всей кучей.
    Нет, серьезно, такие статьи все больше напоминают сказочно-наивный сюжет классического хак-фильма.
    Кибер-война конечно идет, но бойцы невидимого фронта наверняка ну очень сильно зашифрованы и не сидят в НИИ Цитологии и генетики и т.д.


  1. 7313
    12.03.2019 08:54

    Блин… Народ :) Самим-то не смешно всерьез обсуждать статью в которой присутствует фраза «был разработан российскими кибервоинами, которые использовали его для организации атаки по части украинской электросети»? :)


    1. Wesha
      12.03.2019 19:03

      Речь идёт об этой статье. Я её неспешно перевожу для Хабра.


      1. faoriu
        12.03.2019 19:15

        На хабре была целая серия статей на эту тему от ESET https://habr.com/ru/search/?q=Eset%20blackenergy&target_type=posts


  1. teecat
    12.03.2019 08:55
    +1

    Мне во в этих атаках непонятно самое главное зачем? Ну зачем русским хакерам отключать энергосистемы Украины Прибытка нет, в итоге будет раздражение жителей Украины и политические наезды на правительство РФ и соответствующие санкции. Зачем атаковать неведомые заводы саудитов. Какой смысл, кому они мешают? Ну я бы понял, если бы убирали конкурентов — ну так же не проглядывается это. Северная Корея грабит банки. Подсанкционная страна. Как она эти деньги переведет к себе или как незаметно ввезет товаров на деньги, происхождение которых неизвестно. Китай и Россия воруют технологии. Ну так если они их внедрят, так видно же будет что цельнотянутое. И ни одного примера внедрения уворованного. Хакеры воруют триллионы практически по сообщениям банков. Кто-то видел шикующего хакера (Селезнева не считаем)?
    Не, хакеры есть и много их есть. Но вот насколько много на самом деле воруют…


    1. DrunkBear
      12.03.2019 11:47

      Вы не понимаете: «Код использовали для удара по подстанции в Киеве — в результате атаки на короткое время в части города отключилась электроэнергия». Что делают люди без света? Правильно, новых людей и не идут на майдан. Многоходовочка-с! /irony
      PS и всем наплевать, что для отключения 1 подстанции легче и логичнее использовать бомжа Васю и 1 кувалду, не тратя миллионы на Страшное Русское Кибероружие.


      1. faoriu
        12.03.2019 12:15

        Может уже хватит испражняться? Анализ тех атак делали люди из вполне уважаемой ESET, доверия к которым всяко больше, чем к вашему начальству.


        1. DrunkBear
          12.03.2019 12:48

          Где пруфы и листинг с кириллицей? Very likely это пруф для желтой прессы.
          А с пассажем про начальство вы и вовсе попали пальцем в…
          Везде мерещится рука кремля?
          PS логичность и целесообразность — два основных кита, на которых держится цивилизация. Никто не будет с «томагавком» охотиться на кроликов — за $1.45 млн, который стоит только 1 ракета, можно купить десяток кроличьих ферм или заставить половину страны ловить зайцев в чистом поле. И если мне расскажут по 1 каналу, fox news или в этих ваших интернетах, что томагавками стреляли именно по кролику — мне будет глубоко всё равно на уважаемость этой персоны — это дорого, не логично и малополезно. Совсем как 0-day вирусами на короткий срок останавливать подстанции in the middle of nowhere.


          1. faoriu
            12.03.2019 12:56

            «Покажите ваши доказательства!»
            «Покажите ваши доказательства на доказательства!»
            «Покажите фото!»
            «Покажите видео!»
            «Покажите документ с мокрой печатью!»


            Very likely

            Четвёртое упоминание. Уже методичку нормальную написать им не могут, даже читать неинтересно.


            1. DrunkBear
              12.03.2019 13:38

              Зашёл в пруфы оригинальной статьи, там английским по белому написано «FireEye has not connected this activity to any actor we currently track», зато с вашей стороны вижу только демагогию и унылые обвинения в использовании методичек.
              Возможно, вам стоит обновить методичку или хотя бы перелистнуть страницу, может, на следующей будет что-то кроме ссылок на авторитеты, переходов на личности и «покажите ваш Х»?


              1. faoriu
                12.03.2019 14:03
                -1

                в пруфы оригинальной статьи

                Это которой?


                Возможно, вам стоит обновить методичку

                Нет, вам!


                1. DrunkBear
                  12.03.2019 14:09

                  Присмотритесь, после заголовка идёт ссыль на оригинальную статью, а в ней ссылки на исходники из нескольких источников, в т.ч. и от FireEye, на основе которых и был написан рассказ про красного саддама, который клепает биологикибеоружие в нии цитологии и мехатроники, чтоб всех хакнуть и взорвать( исключительно just for lulz, все знают, что красным не нужны причины).


                  1. faoriu
                    12.03.2019 14:22

                    А я было подумал вы выводы ESET по BlackEnergy взялись опровергать.


                    1. shadek
                      12.03.2019 17:08

                      А можно про выводы? А то в Гугл не находит никаких конкретных фактов или докладов от ESET.


                      1. faoriu
                        12.03.2019 19:09

                        Понимаю — вы ведь на Хабре совсем недавно http://www.habr.com/ru/search/?q=Eset%20blackenergy&target_type=posts


    1. eefadeev
      12.03.2019 14:07

      Ну как же? Потому что «эти русские — злые, злые, злые»! Странно что вас это не убеждает. Вон, многих убедило…


      1. Wesha
        12.03.2019 19:07

        многих убедило

        Ну никто и не возражает против тезиса про 95% населения...


  1. OldGrumbler
    12.03.2019 10:03

    Вопрос не в том, что есть «стлясный-узяслий-вилус-убиватол», вопрос в том, что инфраструктура, допускающая удаленное управление, стяпляпана так, что в ней возможны фатально неправильные комбинации. А вот природа, не знавшая слов «продакшн» и «дедлайн», во многом защищеннее скороспелых поделок. Простой пример: мышцы бедра у человека обладают достаточной силой, чтобы сломать свою же бедренную кость. Но комбинация их действий для автоперелома настолько хорошо запрещена «на уровне ядра», что такие автопереломы возникают только в случае тяжелых повреждений нервной системы.


    1. freuser
      12.03.2019 15:02

      Вы хотите подискутировать о том, сколько поколений творения природы страдали от аутопереломов, прежде чем появилась устойчивая популяция с ограничителями? Или ожидаете, что производители одних устройств для управления промышленным оборудованием должны предусмотреть факап производителей и пользователей других устройств для защиты от вторжений? Предусмотреть-то они могут, конечно, но тогда ценник будет иметь на пару ноликов больше, КМК. Если в будущем будет спрос на сверхзащищенные контроллеры, которые могут спокойно иметь белый айпи и быть устойчивыми к взлому — такие контроллеры появятся. А пока сама отрасль кибербезопасности даже ходить не научилась, вовсю ползунки осваивает. И новость как раз об очередной шишке, ею полученной. Всё как в той же природе — нежизнеспособные отвалятся, остальные начнут изменяться под очередной трабл.


      1. mkovalevskyi
        12.03.2019 17:16

        Угу. Отвалятся.
        Но, потом навалятся эффективные манагеры, и все вернут обратно, ибо «потом пофиксим».


  1. K10
    12.03.2019 15:40
    -1

    Что все прицепились к кириллическим символам? Это все косвенные улики. Надо заходить с главного.
    Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
    Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
    Остается только один вариант.
    Даже без кириллических символов.


    1. freuser
      12.03.2019 16:37

      Инструмент такого уровня (с воздействием на технологическое оборудование) в мире способны создать только США (прецедент — Stuxnet) и Россия (прецедент — BlackEnergy).
      И что, по-Вашему, мешает сделать такой инструмент Китаю, Индии, да даже Израилю? Не нужны многомиллиардные вложения в центрифуги и гектары производственных площадей — купили аналогичные контроллеры, подключили к локалке любого опенспейса и всё, пусть местные компьютерные гении ковыряют за зарплату. Или эти гении могут рождаться только в США и РФ? Чисто статистически неверно — суммарная доля их населения 8% общего населения Земли или, если отбросить беднейшие регионы, где компьютер только у сына местного бея, примерно четверть.
      Чтобы США что-то сделало против Саудовской Аравии — это фантастика.
      А Вы, верно, твердо знаете всю внутреннюю кухню отношений США с СА, раз позволяете себе такие заявления? Если широкая публика не в курсе чего-то (например, готовящегося мятежа принцев или планов поднять цены на нефть), это не значит, что этого не существует. Может быть, это сами сауды влезли на свой НПЗ и сами же «раскрыли вторжение» (ведь никаких реальных действий и убытков не было), для получения неких преференций за кулисами. Это объясняет весь цитируемый ниже абзац
      жертва атаки Triton игнорировала многочисленные сигналы тревоги антивирусной системы, которые спровоцировало вредоносное ПО; также она не смогла обнаружить необычный трафик внутри своих сетей. Работники производства также оставили физические ключи, которые управляют настройками в системах Triconex, в положении, позволяющем осуществлять удаленный доступ к ПО приборов.
      который смущает меня больше всего. СБ либо мышей не ловит, либо в доле, поскольку предположить её отсутствие уже варварство.


      1. Wesha
        12.03.2019 19:12

        И что, по-Вашему, мешает сделать такой инструмент Китаю

        Более того, не раз писали — "В Китае отличников больше, чем у нас вообще учеников. Просто потому, что выборка на порядок больше". Миллиард человек — это вам не фигвам изюму.


    1. mkovalevskyi
      12.03.2019 16:59

      Это вы перечислили тех кто попался.
      Интересно было бы почитать ваш список тех, кого еще не словили )))


      1. Wesha
        12.03.2019 19:16

        не словили

        "Имена хороших разведчиков известны всем. Имена выдающихся разведчиков не известны никому." (с)


  1. Brick-rs
    12.03.2019 15:40

    «пугающий Рубикон» может быть пугающий Рубеж?


    1. the_brainless_girl Автор
      12.03.2019 15:42

      Боюсь, что всё-таки Рубикон