カウントダウン：Stuxnet、マルウェア研究者、脆弱な重要インフラに関する本

さて、本のレビューのジャンルで自分を試してみる時間です。 Wired誌の記事で最も有名なジャーナリストのキム・ゼッターによるゼロデイへのカウントダウン：Stuxnetと世界初のデジタル兵器の発売という本は、かなり前に2014年11月に出版されましたが、それ以来ロシア語に翻訳されていません（英語、たとえばAmazonで電子的に入手可能）。 ただし、翻訳の問題ではありません。Stuxnetの歴史は、公開されている出版物やセキュリティの専門家による調査から調べることができますが、この場合、悪意のあるコードに関するさまざまな技術的事実を得ることができ、そこからストーリー全体のパズルをまとめるのはそれほど簡単ではありません。



「カウントダウン」は、コード行を超えて、産業システムに対する最初の、そして今日までの最大規模の大規模な特殊攻撃について知られているすべてをまとめるための成功した試みです。 しかし、この本は事実をドラマに置き換えるものではなく、可能な限りフィクションから遠いものです。 その価値は、悪意のあるコードを調査するプロセスを通常よりも少し詳細に示しているという事実にもあります。テキストの約半分は、コードの検出と攻撃の特定からゼロデイ脆弱性の分析、そして最後に、産業の動作を変更するモジュールの分析に専念していますコントローラー。



Stuxnetの発見から6年が経過しました。攻撃が開始されてから7年、おそらく開発の開始から10年以上が経過しています。 これは、産業用システムの妨害行為を目的とした唯一のサイバー攻撃ではありませんが、複雑さにおいては同等ではありません。 これは部分的には良いニュースですが、その理由は産業システムのセキュリティの向上ではなく、顧客間の方向性の変化です。 「カウントダウン」は、当時の情報セキュリティ「大ヒット」と呼ばれる攻撃に関する本ですが、研究者-悪意のあるコードを分析し、攻撃のソースや意図に関係なく、それに対する保護を設計する研究者の仕事に関する本でもあります。

書式

Kim Zetterは、国際原子力機関のデータに基づいたイランのウラン濃縮プラントでのイベントの説明から、ベラルーシの企業VirusBlokAdaの専門家によるマルウェアの検出にほぼ即座に移行し、ここでKim Zetterはストーリーの形式を決定する必要がありました。 技術用語に頼らずにStuxnetのストーリーを語ることは不可能ですが、テクノロジーに深く入ると、情報セキュリティ業界に関係のない読者（つまり、ほとんどすべての読者）を失う可能性があります。 少なくとも本の冒頭で、あなたはまだサイバーパンクの想像上の神に犠牲を払わなければなりません、そしてそれは次のように見えます：



StuxnetはMicrosoft Windowsのゼロデイ脆弱性を使用していたため、USBキャリアに拡散する可能性がありました。 そして、ゼロデイ脆弱性は...











USBフラッシュドライブ上の感染ファイルを隠すために、ルートキットがシステムにインストールされ、ルートキットが...











悪意のあるコードはその時点で正当なデジタル証明書で署名されていたため、インストールはユーザーにとって可能な限りシームレスに行われました。 そしてデジタル証明書、それは...











などなど。 本は研究者との多数のインタビューに基づいているため、Kim Zetterは最終的に事実のかなりの部分を脚注に移し、時にはそれらに関連する章と同じくらいのスペースを占有します。 将来、この本には、ほとんどすべての猛烈な事実があります。全体を読むか、説明をスキップするかを選択できます。 後者の場合、プロットの認識は損なわれず、膨大な数の情報源への言及がある脚注のおかげで、この本は技術者にとっても魅力的であり、人文科学にとっても魅力的です。

ゼロデイ

感染について、StuxnetはWindowsオペレーティングシステムのゼロデイ脆弱性を使用しました-検出時（2010年7月、Technetの速報 ）、XPから7、32ビットおよび64ビットまでのすべての現在のバージョンが影響を受けました（Stuxnetは32ビットOSのみを攻撃しました） この脆弱性により、準備された.LNKまたは.PIFファイルを使用して悪意のあるコードを起動することができました-USBフラッシュドライブに配置された場合、脆弱性は自動的にアクティブになりました。 非常に重要な産業システムの攻撃を可能にしたのは、このタイプの脆弱性であり、通常はネットワークから隔離されています（必ずしもそうである必要はありません）。 その後、当社の専門家がStuxnet の最初の犠牲者の分析を公開しました。これにより、主要な目標を達成するための成功した試みが行われました。 悪意のあるコード内に以前に攻撃されたシステムに関する情報が保存されているため、分析が可能になりました。











この脆弱性は、Stuxnetの発見と調査を通じてのみ発見されました。 ゼロデイ脆弱性の悪用は、複雑な攻撃の特徴となっています。 しかし、過去数年で状況は変化しました。成功した標的型攻撃のすべてがゼロデイを使用するわけではありません。 潜在的な被害者の効果的な調査と調査により、そのような非常に高価で迅速に開示されたツールの使用がオプションになります。 実際、Stuxnetの調査では、ゼロデイ脆弱性を使用するという事実が最初に確立されたため、「ペイロード」の分析にはさらに多くの時間と労力がかかりました。



LNKの脆弱性に加えて、StuxnetはMS08-067の脆弱性と、印刷スプールサービス（ MS10-061 ）の穴である別のzyrodeyを悪用しました 。 最初の脆弱性がConfickerワームによっても使用されたことは注目に値します。これは2008年に深刻な流行を引き起こしました。 Stuxnetの観点から見たこの悪意のあるプログラムの理解できない目的は、それが実際の状況におけるテクノロジーの一種の試練であるという仮定にさえつながりましたが、実際、これらの2つの攻撃の関係は疑わしく見えます。

帰属

Stuxnet攻撃に立ち向かったのは特定の人物ではありません。 Kim Zetterの本の大部分は、2つの意味での帰属に専念しています。一部の人々、イベント、または他の攻撃との通信が悪意のあるコードから推測される場合と、攻撃の作者が「イベントに関係する人」によって確認される場合です。 2番目は実際にはあまり良くありません：さまざまな関係者の声明と議論の大多数にもかかわらず、どの国のStuxnetの開発への関与を確実に証明することは不可能であり、おそらく状況は今後何年も変わらないでしょう。 ここでは、著者によるさまざまなソースからのデータ収集に関する同様に骨の折れる作業にもかかわらず、「カウントダウン」の物語はそのリズムをいくらか失います。



しかし、コード分析のプロセスにおける帰属は興味深いものです。 最初の例の1つは、Stuxnetコードの行です。

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

しばらくの間、リバースエンジニアリングと旧約聖書の研究（変更のため）から注意をそらすと、この行には、ユダヤ人のプリムの祝日への参照が表示されます。つまり、コードの作成者に対する何らかの透明な暗示である可能性があります。 研究者がする必要のないこと。 実際、開発者のマシン上のファイルの1つへの元のパスを含む行のコード内の存在は、トラックを混乱させるために意図的に残されている可能性があります。 別のバージョンでは、「myrtus」はまったく「myrtle」ではなく、ヒントではなく、「my remote terminal units」の略語です。

フォロワー

しかし、Stuxnetとその後のDuquおよびFlame攻撃との関係を示す多くの証拠があります。 Duquの場合、明らかにStuxnetと同じプラットフォームが使用されました。 Flameは Stuxnet / Duquコードベースとは関係がありませんが、プリントスプールサービスの穴を含む同じ脆弱性を使用しました。 両方の攻撃は、研究所の専門家によって可能な限り徹底的に分析され、対応する章の本は、当社の専門家とのインタビューからの情報を使用しています。 DuquとFlameに破壊的な機能がなく、主にサイバースパイ活動に使用されたのは興味深いことです。 Stuxnetの発見以降、ほとんどすべての複雑な攻撃に焦点が当てられているため、情報は妨害行為よりも重要です。 しかし、これは産業施設が現在安全であることを意味するものではありません。

重要なインフラストラクチャの想像上の複雑さ

Stuxnetの主な目標が何であるかを正確に理解することは容易ではありませんでした-研究者は単にSCADAシステムの経験がありませんでした。 この本は、コードのこの部分がどのように分析されたかを詳細に説明しています：Stuxnetは、特定のソフトウェアにシステムが感染した場合、厳密に指定されたモデルのコントローラーを制御し、イランの施設で（おそらく）遠心分離機の回転速度を変更して、過剰に失敗するようにしましたロード。 詳しくは、この方向でのStuxnetの作業の論理をシマンテックの専門家が調査しました（ PDFのレポート）。 興味深いことに、攻撃を検出してコンピューターを保護するために、Microsoftの脆弱性に対するパッチが（数週間にわたって）存在しない場合でも、Stuxnetが何をしていたかを知る必要はありませんでした。 このような情報は、このタイプの将来の攻撃を撃退する準備をするという状況でのみ重要です。



Kim Zetterは、一般的な産業ITシステムのセキュリティに別の章を捧げます。 Stuxnetに匹敵する規模ではありませんが、悪意のあるコードを使用したり、制御システムを傍受したりすることにより、こうしたオブジェクトを妨害する例が示されています。 産業インフラストラクチャはすでに脆弱化されるほど十分にコンピューター化されているが、それでも十分に保護されていないという事実は、長い間知られてきた。 悲しいかな、Stuxnetが状況を根本的かつ取消不能に変更したとは言えません。重要な施設のオペレーターは、制御システムの分離と独自のプロトコルの複雑さに依存していることが非常に多いです。 客観的な困難があります：機器操作の長いサイクル、ハードウェアおよびソフトウェアの特定の要件、同じ企業内の異なるチームに属する産業ITシステムおよび従来のコンピューターインフラストラクチャ、ジャンクションでの避けられない問題。 しかし、Stuxnetはこの問題にサイバーセキュリティ研究者の注目を集めました。2012年以来、レポートによると、専門ソフトウェアで発見され閉じられた脆弱性の数は大幅に増加しています。 一方、同じレポートでは、今年のShodanの検索により、ネットワークを介して直接アクセス可能なSCADAシステムの要素を持つ18万以上のホストを検出できることが示されています。

結論

私の意見では、Stuxnetの歴史は、「ゼロデイへのカウントダウン」という本で説明されているように、多用途であり、今日の攻撃に関連するいくつかの重要な結論を導き出すことができます。



「最先端のサイバー攻撃の作者でさえミスを犯します。」 おそらく、特定の段階での誤ったアクションの結果として、さまざまな国で数千のシステムの大規模な感染が発生し、悪意のあるコードを検出および分析できました（ただし、これは意図的に行われたバージョンがあります）。 さらに、コンピューターが絶えずリブートしたという苦情により、初めてStuxnetサンプルが検出されました。感染プロセス中に何かがおかしくなりました。 ここに危険なサイバー兵器を開発する危険があります。遅かれ早かれ攻撃方法が広く知られるようになり、ツールが間違った手に落ちる可能性があります。



「システムとプロトコルの複雑さに頼ることはできません。」 Stuxnetのおかげで、あいまいさによるセキュリティの概念は最終的に無効と宣言されました。 はい、この攻撃を開発するのに多くの労力とお金が必要でした（いくつかの推定によると、5から30人の開発者と少なくとも6か月の作業による）。 昨年以来、金融システムへの攻撃を分析した並列の経験から、最も複雑なシステムでもハッキングされる可能性があり、それらを制御することで損害を引き起こすことが示されています。



-情報セキュリティ業界は、協力して初めて複雑な攻撃と戦うのに最も効果的です。 Stuxnetの研究は、DuquとFlameと同様に、多くのセキュリティソリューションベンダーと独立した研究者を巻き込みました。 他の人のコードの分析は、高度に熟練した専門家にとっても複雑で時間がかかる作業です。 Stuxnetは、コラボレーションと結果の公開が防衛の研究開発を加速させた最初の例の1つでした。 幸いなことに、これは最後の例ではありませんが、「世界中の警備員」の相互作用についてはまだやるべきことがあります。



-Stuxnetの検出による複雑で非常に破壊的なサイバー攻撃の歴史は終わりませんでしたが、始まったばかりです。 高度な攻撃マップは、このことの明確な証拠です。 情報の盗難は攻撃者にとっての優先事項ですが、そのような施設での単一の成功した操作でもeven大な損害を引き起こす可能性があるため、産業システムと重要なインフラストラクチャの保護を忘れることはできません。 産業システムの複雑さにもかかわらず、安全性と適切な保護方法の観点から研究のためのリソースが必要です。



「そして最後に、サイバー脅威の研究者であることはクールです。」 Kim Zetterの本は、コード行と結論に加えて、セキュリティの専門家の作業が非常に現実的な攻撃の例を使用してアクセス可能な形式で示されているまれなケースです。 このような活動を一般的な方法で説明することは非常に困難ですが、脅威の数とその複雑さ、デジタルシステムの日常生活への最大の浸透を考えると、これをより頻繁に行う必要があります。



免責事項：このコラムは実際の出来事に基づいていますが、それでも著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。