В последнее время чрезвычайно обострилась ситуация с кибератаками. Это уже не обычные вирусы,  новый тип угрозы - так называемые "зловреды" – malware. Они появляются не только в дисковом пространстве, но в компьютерных компонентах: материнских и сетевых платах,  PCI устройствах. При этом "зловреды" не активируются сразу. Они находятся в пассивном состоянии и включаются в нужный момент по условному сигналу. В таком состоянии их невозможно обнаружить, а существующие  антивирусы не могут противостоять им.

Все это ведет к катастрофическим последствиям. Особенно если учесть, что современные разработчики этих зловредов и вирусов уже давно перешли из разряда хулиганов в разряд разведовательных и криминальных структур. В этом бизнесе задействованы очень большие ресурсы.

Начало всему положил зловред «Stuxnet», который атаковал Иранские ядерные центрифуги: http://www.bbc.co.uk/news/world-middle-east-11414483. Как выяснилось к сегодняшнему дню благодаря расследованию «The New Yourk Times», за этой атакой стояли Израильское и Американское правительства, которые заинтересованы в саботаже попыток Ирана изготовить ядерную бомбу:  http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=2&_r=3 . Издание утверждает, что Иранская операция является частью плана под названием «Олимпийские игры», начатого еще Бушем.  Еще в 2006 году американские специалисты разработали так называемый «маячок», который мог вставляться в новые компьютеры фирмы “Siemens”, активно используемыми Ираном. Этот «маячок» должен был дать США понять, как иранские компьютеры управляют центрифугами. Он должен был вычислить «электронный план» Иранского ядерного объекта. Находясь внутри компьютеров, он должен был в определенный момент дать к ним доступ американцам, чтобы нанести по ним киберудар.

После месяцев сбора данных «электронный план» был в руках у американцев. И на очереди был уже следующий шаг – создание нового типа вируса, способного остановить центрифуги. Его разработкой занялись в США и Израиле, успешно опробовали на копиях Иранского ядерного центра, которые создали США, и, наконец, испытали на реальных иранских центрифугах. Майкл Хайден, бывший руководитель ЦРУ, сказал, что это была первая атака крупного характера, в которой зловреды были использованы для осуществления физического уничтожения компьютера, а не просто для замедления работы другого компьютера, взлома или кражи данных.

Обама, придя к власти, продолжил развитие кибервойск. И тогда появился «Stuxnet». «Stuxnet» состоял из двух основных частей. Первая заставила ядерные центрифуги выйти из-под контроля, а вторая тайком скопировала запись систем видеонаблюдения и прокрутила её во время операции, чтобы служба безопасности ничего не заподозрила.

По мнению американских экспертов, эта операция отбросила Иран минимум на 18 месяцев назад в обогащении урана. Такой эффект мог быть достигнут только при реальной бомбардировке ядерных объектов Ирана.

Следующей «ласточкой» стало нападение на крупную нефтяную компанию Саудовской Аравии. Зловред под названием «Шамун» не просто уничтожил файлы на компьютерах, но и  разрушил сами компьютеры, сделав их непригодными к использованию. Было выведено из строя  30000 штук. http://www.bbc.co.uk/news/technology-19293797.

Еще один случай был зафиксирован в середине января  "Лабораторией Касперского". Она обнаружила шпионскую сеть, организаторы которой следят за дипломатическими, правительственными и научными организациями в различных странах. "Действия киберпреступников были направлены на получение конфиденциальной информации и данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также на сбор сведений геополитического характера " http://top.rbc.ru/society/14/01/2013/840273.shtml

Наконец, в марте были похищены персональные данные и финансовая информация таких личностей, как вице-президент Джо Байден, начальник полицейского управления Лос-Анжелеса Чарли Бек, генеральный прокурор Эрик Холдер-мл. и даже жена президента Мишель Обама: http://www.inosmi.ru/world/20130313/206919811.html

Дело дошло до того, что с докладом об этой угрозе выступил командующий кибервойсками США, а затем - после нападения на компьютеры Саудовской Аравии - и министр обороны США Леон Панетта: http://www.bbc.co.uk/news/technology-19922421. Он заявил, что кибератаки могут причинить вред США, сопоставимый с причиненным 11 сентября. Возможными целями атак Панетта назвал коммунальные, транспортные и промышленные объекты, предупредил о возможных специальных сходов с рельс поездов, выключении электричества и загрязнению источников питьевой воды.

Об этой угрозе наконец задумались и наши власти. Так, 15 января Владимир Путин поручил ФСБ создать систему борьбы с кибератаками: http://www.forbes.ru/news/233208-putin-poruchil-fsb-sozdat-sistemu-borby-s-kiberatakami

Мы обсуждали эту новую угрозу и ранее, но она официально нигде не анонсировалась до августа прошлого года. Только тогда появилась информация о новом зловреде -  Rakshasa – и о том, какую опасность он представляет: http://www.technologyreview.com/news/428652/a-computer-infection-that-can-never-be-cured/.

Rakshasa полностью заменяет собой BIOS компьютера, выполняя начальную инициализацию аппаратного обеспечения средствами Coreboot, эмулирует пользовательский интерфейс BIOS’а с помощью SeaBios, инициализирует возможности сетевой загрузки и удаленного контроля по каналам LAN, WIFI, WIMAX, LTE с помощью iPXE и в дальнейшем загружает буткит Kon-boot с целью модификации переменных ядра ОС Windows и Linux.

Rakshasa обладает встроенными возможностями осуществлять следующие атаки:

• Отмена SMM-защиты. SMM -  System Management Mode - режим привилегированного исполнения кода на процессоре, останавливающий любой другой код.  Отсутствие такой защиты позволяет запустить вредоносную программу с приостановкой исполнения  другой программы. Такой  процесс получает  привилегии  суперпользователя-администратора в операционной системе, который может изменять любые настройки и модифицировать все файлы, находящиеся на этом компьютере.
• Удаление NX бита BIOS - атрибут аппратного запрета выполнения кода на странице памяти. Это  позволяет выполнить  вредоносный код, что, в свою очередь, позволяет получить удаленное управление компьютером, обходя систему паролей операционной системы
• Отключение ASLR- рандомизации - технологии случайного расположения кода и данных  важных процессов в адресном пространстве. ASLR- рандомизация затрудняет для атакующего выполнение произвольного вредоносного кода, так как адрес уязвимой структуры процесса ему неизвестен. С отключенной ASLR серьезно упрощается взлом любой операционной системы.
• Получение паролей средств шифрования TrueCrypt/BitLocker с помощью подмены поля ввода пароля. Далее с использованием эмуляции ввода с клавиатуры средствами BIOS, данные расшифровываются и могут быть скопированы или изменены.
• Обновление/удаление/перепрошивка микропрограмм BIOS и PCI с целью маскировки действий злоумышленников.
• Модификация файловой системы до загрузки ОС с целью активация режимов удаленного администрирования и заражения вирусами.
• Удаленное обновление компонентов Rakshasa дает возможность Взлома новых версий ОС и программ защиты информации

При таком впечатляющем функционале, Rakshasa по своей природе обладает рядом преимуществ перед традиционным вредоносным ПО:

• Не оставляет никаких следов на жестком диске, а следовательно, не обнаруживается современными антивирусами
• Имеет возможность загрузки отдельных модулей или даже целых образов ОС с использованием беспроводных технологий WIFI и WIMAX, что позволяет обойти сетевые экраны и скомпрометировать всю компьютерную сеть.
• Обладает средствами восстановления после перепрошивки BIOS и переустановки операционной системы,  используя заранее записанный образ вируса на любое PCI устройство, например, сетевую карту, контроллер SATA и даже плату доверительной загрузки.
• Может преодолевать аппаратные средства доверительной загрузки, так как до их инициализации выполняется микропрограмма материнской платы. Rakshasa фактически выполняет те же функции , что и средства доверительной загрузки. Цель в обоих случаях - получение контроля над компьютером. Кроме этого, на аналогию указывает и то, что существуют и программные средства доверительной загрузки. Например,  модуль «МДЗ-Эшелон». Учитывая это можно сделать вывод, что средства доверительной защиты могут сами представлять угрозу, если они были модифицированы злоумышленниками при поставке, техническом обслуживании или обновлении программного обеспечения.

Отличительной особенностью новых угроз  типа вируса Rakshasa является необходимость физического доступа злоумышленника к "железу" компьютера. Это может быть сделано на самых различных этапах, начиная с завода изготовителя, поставщиков компьютеров и комплектующих, монтажа и отладки,  рабочей эксплуатации, ремонта, технического обслуживания и обновления программного обеспечения.

Типичным сценарием заражения вирусом Rakshasa является доступ к аппаратной части компьютера и осуществление загрузки вируса со съемного носителя на любом из этапов поставки комплектующих. Фактически, новый компьютер уже может оказаться скомпрометированным.  Это подтвердило и американское правительство. Для проверки возможностей закладки подобных зловредов в компьютеры, произведенные в Китае, была  произведена контрольная закупка 20 новых компьютеров в разных частях США. Как и предполагалось, в 4-х из них оказались предустановленные зловреды: http://www.bbc.co.uk/news/technology-19585433

Одна из крупнейших корпораций военно-промышленного комплекса США «Northrop Grumman» провела обширное исследование деятельности китайских властей, военных и ученых в области организации кибер-атак на компьютерные сети потенциальных противников. В этом отчете был сделан однозначный вывод о том, что китайцы обладают такими возможностями: http://www.washingtonpost.com/r/2010-2019/WashingtonPost/2012/03/08/National-Security/Graphics/USCC_Report_Chinese_Capabilities_for_Computer_Network_Operations_and_Cyber_%20Espionage.pdf . При этом акцент ставится не на защиту информации, а на ее похищение и даже вывод из строя компьютерных и коммуникационных аппаратных средств потенциального противника.

Эти и другие аналогичные факты привели к тому, что  Президент США Барак Обама  издал указ о запрете закупок компьютерного и коммуникационного оборудования китайского производства для правительственных учреждений и НАСА:  http://www.anti-malware.ru/news/2013-03-29/11484

Несомненно, что и США как разработчики технологий компьютерного и коммуникационного оборудования, выпускаемого в Китае, также обладают не декларированными возможностями вредоносного воздействия на это оборудование. В связи с этим настораживает тот факт, что в России при закупке крупных партий компьютеров известных производителей, таких как IBM или HP, покупатель  должен указывать место их конечной установки. Если компьютеры подставляются на Предприятие России, это будут знать изготовители в США и Китае.

Кроме указа о запрете поставок из Китая, в США уже идет работа по развитию технологий обнаружения закладок в аппаратных средствах. В настоящее время американское агентство по разработке передовых военных технологий DAPRA ведет разработку продукта, который позволит проверять оборудование на наличие предустановленных закладок: http://www.darpa.mil/NewsEvents/Releases/2012/11/30.aspx

Даже если все поставщики аппаратных средств проверены, существует угроза внесения вредоносного кода в ROM в процессе эксплуатации.

Таким образом, в настоящее время мы имеем новый тип угроз, от которых не защищают традиционные средства: парольная защита, антивирусы, средства доверительной загрузки и шифрования. Даже полная перезагрузка инфицированной системы не дает никакого эффекта.

Трудность борьбы с такими типами вирусов в том, меры противодействия требуют нового подхода, объединяющего направления защиты информацией и физической защиты, а также изменения правил работы сотрудников Предприятия и подрядных организаций с информационными системами. Так как эти угрозы совершенно новые , то понятно, что в на многих предприятиях нет специализированных подразделений и готовых специалистов для борьбы с ними, а угроза, по всем приведенным выше данным, существует и может привести в катастрофическим последствия. Очевидно, что 30000 компьютеров государственной нефтяной компании Саудовской Аравии были оснащены антивирусами, средствами защиты от несанкционированного доступа и шифрования, но, несмотря на это, были разрушены и компания понесла огромные материальные, репутационные и политические  убытки. То же самое можно сказать и об иранских ядерных объектах.   Поэтому необходимо развивать направление защиты от новых угроз, объединяя возможности как программной, так и физической защиты аппаратных средств вычислительной техники.

Группа Компаний "Контрол" предлагает следующие решения противостояния новым угрозам. (Нажмите на картинку, дождитесь загрузки презентации, кликайте стрелку вправо).