👴🏻 🧗🏽 👅 Stuxnet। उन्माद जारी है ... 👨🏿‍✈️ 💘 🔠

हैबे पर स्टक्सनेट कीड़ा का विषय पहले ही कई बार चर्चा में आ चुका है। ऐसा लगता है कि इस घटना को सभी पक्षों से कवर किया गया था, लेकिन अभी भी कई महत्वपूर्ण बिंदु पर्दे के पीछे बने हुए हैं। तथ्य यह है कि यह सब "पीले" सूचनात्मक शोर के पीछे है जो अब मीडिया में दिखाई दे रहा है, सार दिखाई नहीं दे रहा है। लेकिन फिर भी कोई भी इस सवाल का सटीक जवाब नहीं दे सकता है कि ऐसा हमला क्यों और किसके लिए फायदेमंद हो सकता है। किसी के पास प्रत्यक्ष तथ्य नहीं हैं, लेकिन केवल अप्रत्यक्ष साक्ष्य के बजाय अस्थिर नींव पर लगाए गए अनुमान दिखाई देते हैं। लेकिन चलो क्रम में सब कुछ के बारे में बात करते हैं।

पिछले सप्ताह वैंकूवर में हुए VB'2010 सम्मेलन में, उन्होंने इस हमले के बारे में और विभिन्न कोणों से बहुत सारी बातें कीं । इस विषय पर सबसे दिलचस्प था सिमेंटेक, लियाम ओ'मर्चु के एक शोधकर्ता का प्रदर्शन "स्टेकनेट में एक अनिश्चित नज़र"। उनकी रिपोर्ट के हिस्से के रूप में, एक दिलचस्प प्रदर्शन आयोजित किया गया था, जिसने SCADA प्रणाली के संचालन का परिणाम दिखाया।

स्टक्सनेट हमले का उद्देश्य क्या है? कोई भी अभी भी इस सवाल का जवाब नहीं दे सकता है, क्योंकि सभी सांख्यिकीय संकेतकों के बावजूद, यह स्पष्ट नहीं है कि हमलावरों का वास्तविक लक्ष्य कौन सी वस्तु हो सकती है, और शायद इनमें से कई लक्ष्य थे, या कार्य सिस्टम का उपयोग करके कई वस्तुओं को हिट करना था। सीमेंस से SCADA। Win32 / Stuxnet कार्यक्षमता पर चर्चा करते समय, निम्नलिखित कारकों पर विचार करें:

- कार्यक्षमता की उपस्थिति जो उसे एक रिमोट सर्वर के लिए हमलावरों को ब्याज के सिस्टम पैरामीटर भेजने की अनुमति देती है;

- अपने आप को अद्यतन करने और एक दूरस्थ सर्वर से अपनी कार्यक्षमता का विस्तार करने की क्षमता।

इन तथ्यों को देखते हुए, हमलावरों के लक्ष्य कृमि से प्रभावित प्रत्येक विशिष्ट प्रणाली से, और हमले के विकास के लिए समय अवधि के आधार पर बदल सकते हैं। इस तरह के निष्कर्ष Win32 / Stuxnet के रचनाकारों के वास्तविक उद्देश्यों के लिए खोज को बहुत जटिल करते हैं। यह भी ध्यान देने योग्य है कि इस कीड़े ने केवल जून 2010 के अंत में ध्यान आकर्षित किया था। लेकिन यह संकेत देते हुए जानकारी है कि यह हमला पहले से ही लंबे समय (लगभग एक वर्ष) से विकसित हो रहा है। उदाहरण के लिए, कीड़ा की एक प्रति, दिनांक 2009 जून, सिमेंटेक विशेषज्ञों द्वारा खोजी गई थी, और इसकी क्षमताओं में अधिक मामूली है।

अब आइए आंकड़ों को देखें। तिथि करने के लिए, घटनाओं की संख्या के संदर्भ में सबसे अधिक संतृप्त क्षेत्र, एशियाई देश हैं। हमारे आँकड़ों के अनुसार, सितंबर के अंत तक पता लगाने की शुरुआत से वितरण निम्नानुसार है:

अन्य एंटीवायरस कंपनियों के आंकड़े भी संकेत देते हैं कि ईरान सबसे सक्रिय क्षेत्र है। बेशक, यह विचार करने योग्य है कि यह सभी डेटा केवल एक या किसी अन्य एंटी-वायरस उत्पाद के साथ कार्यस्थानों की संख्या के आधार पर बनाया गया है। लेकिन, फिर भी, सांख्यिकीय नमूना पर्याप्त रूप से लंबे समय की अवधि में बनाया गया था, जो त्रुटि की संभावना को कम करता है।

इन आंकड़ों के आधार पर, कुछ निष्कर्ष निकालने की कोशिश कर रहे हैं कि ईरान वायरस लेखकों का मुख्य लक्ष्य है। वास्तव में, यह डेटा लक्ष्यों के बारे में कुछ नहीं कहता है। लेकिन आंकड़े बताते हैं कि शायद कीड़ा के पहले उदाहरणों को एशिया में ठीक से सक्रिय किया गया था, और धोखेबाज संक्रमण की संख्या को नियंत्रित नहीं कर सके। तथ्य यह है कि Win32 / Stuxnet के नवीनतम संस्करण में पहले से ही एक कार्यात्मक उपलब्ध है जो आपको संक्रमणों की संख्या को नियंत्रित करने की अनुमति देता है। शायद यह संस्करण अन्य क्षेत्रों में वितरित किया गया था, जिसने हमलावरों को इसके वितरण को नियंत्रित करने के लिए शुरू करने की अनुमति दी थी।

और अंत में, मैं इस तरह के हमले की कीमत पर अटकलें लगाना चाहता हूं, और जो इस सब के पीछे खड़े हो सकते हैं। Win32 / Stuxnet मैलवेयर आधुनिक सुरक्षा उपकरणों की लागत के ज्ञान के साथ कई मामलों में उच्च तकनीकी स्तर पर कार्यान्वित किया जाता है। ध्यान से ऑब्जेक्ट-ओरिएंटेड आर्किटेक्चर, एक मॉड्यूलर सिस्टम और बड़ी मात्रा में कोड के बारे में सोचा गया, हमें यह निष्कर्ष निकालने की अनुमति देता है कि पेशेवरों के एक पूरे समूह ने इस विकास (लगभग 5-7 लोग) पर काम किया। शून्य-दिन की भेद्यता MS10-046 का उपयोग मुख्य प्रसार तंत्र के रूप में किया गया था। LNK / PIF फ़ाइलों में यह भेद्यता मनमाने कोड को निष्पादित करने की अनुमति देती है। कीड़े द्वारा बाहरी मीडिया के माध्यम से फैलाने के लिए उपयोग किया जाता है।

स्थानीय नेटवर्क सेगमेंट के अंदर पहले से ही वितरण के दौरान शोषण की दूसरी कमजोरियों का भी सामना करना पड़ा:

- MS10-061 - प्रिंट स्पूलर सेवा में भेद्यता, जो दूरस्थ रूप से मनमाने कोड के निष्पादन की अनुमति देता है;

- MS08-067 - एक RPC भेद्यता जो लंबे समय से बंद है और इसका उपयोग कन्फ़र्म वर्म द्वारा इसके प्रसार के लिए किया गया है। इस मामले में, इस प्रसार वेक्टर का उपयोग अतिरिक्त के रूप में किया गया था;

- (वेंडर-आईडी गायब है) win32k.sys में एक भेद्यता जो Win2000 / WinXP सिस्टम पर स्थानीय विशेषाधिकार बढ़ा सकती है। स्थापना प्रक्रिया के दौरान अपर्याप्त विशेषाधिकारों के साथ कृमि द्वारा उपयोग किया जाता है।

- (वेंडर-आईडी गायब) टास्क शेड्यूलर में विस्टा / Win7 सिस्टम पर स्थानीय विशेषाधिकार बढ़ाने की अनुमति देता है।

ये दोनों खुली कमजोरियां पहले ही बाजार पर दिखाई देने लगी हैं और, सबसे अधिक संभावना है, निकट भविष्य में व्यापक रूप से फैल जाएगी। अब इन कमजोरियों पर कोई आधिकारिक बुलेटिन नहीं हैं, और न ही आधिकारिक जानकारी दी जाएगी कि इन्हें कब बंद किया जाएगा।

एक और दिलचस्प शून्य-दिन भेद्यता CVE-2010-2772 है । इस बार यह सीमेंस सिमैटिक विनसीसी और पीसीएस 7 स्काडा सिस्टम में पाया गया। इसमें WinCC से Microsoft SQL डेटाबेस तक पहुँचने के लिए एक हार्ड-वायर्ड पासवर्ड शामिल है।

यह सब देखते हुए, केवल Win32 / Stuxnet के तकनीकी कार्यान्वयन की लागत 500,000 यूरो से अधिक की राशि तक पहुंचती है। यह एक बहुत बड़ा निवेश है, और, इस तथ्य को देखते हुए कि इस मैलवेयर में प्रत्यक्ष मुद्रीकरण योजना नहीं है, यह सबसे अधिक संभावना है कि दुर्भावनापूर्ण सॉफ़्टवेयर कुछ प्रभावशाली या सरकारी संगठन द्वारा बनाया गया था। Win32 / Stuxnet बनाने के असली मकसद और लक्ष्य केवल इस हमले के लेखकों द्वारा ही प्रकट किए जा सकते हैं, लेकिन, जाहिर है, कोई भी उन्हें पकड़ नहीं पाएगा।

अब Win32 / Stuxnet वर्म पर तकनीकी जानकारी के मुख्य स्रोत दो शोध रिपोर्ट हैं:

माइक्रोस्कोप , ESET के तहत स्टक्सनेट ;

W32.Stuxnet Dossier , Symantec।

Stuxnet। उन्माद जारी है ...

More articles: