Читаем Кибероружие и кибербезопасность. О сложных вещах простыми словами полностью

Многие вирусы не входят ни в один из вышеперечисленных классов. В настоящее время они и составляют самую большую категорию вредоносных программ, предназначенных для несанкционированного нарушения работы компьютера.

Спам и Фишинг

Существуют также информационные процессы, которые сами по себе не являются вирусами, однако могут иметь вредоносные последствия не столько для компьютера, сколько для финансового состояния его пользователя — это спам и фишинг.

Спамом называют массовую рассылку электронной почты, обычно содержащую навязчивую рекламу, на адреса пользователей, которые не выражали желания ее получать. Спам вреден тем, что нагружает каналы связи и сетевое оборудование провайдеров, что, в свою очередь, увеличивает трафик и снижает пропускную способность передачи полезной информации. Кроме того, спам заставляет пользователя тратить свое время на обработку бесполезной информации. Совет: никогда не отвечайте на спамерское письмо, даже если очень хочется. Ваш ответ будет подтверждением того, что данный почтовый ящик существует в действительности, а подобная информация очень ценится у спамеров. В дальнейшем ваш ящик будет постоянно забит спамом.

Фишинг — это вид мошенничества в глобальной сети Интернет с целью получения персональных данных пользователей. Такие данные злоумышленники могут получить следующим образом: пользователь получает сообщение о том, что ему необходимо обновить конфиденциальную информацию, перейдя по предложенной ссылке. Далее, щелкнув по ссылке, пользователь заходит на поддельный сайт и сам оставляет там свои персональные данные, вплоть до паролей, номера кредитной карты или банковского счета, что приводит к их краже.

Современные антивирусы собирают базу данных о таких угрозах и, при попытке пользователя перейти по фишинговой ссылке, предупреждают его об опасности.

Этот вирус-червь примечателен тем, что использовал не одну, а четыре О-day (т. е. доселе неизвестные) уязвимости, что тоже нечасто случается. Вернее, две уязвимости были ранее известны, но очень мало. Майкрософт про них не знал и патчей, соответственно, не выпустил. Для верности вирус использовал еще и пятую, тоже вроде бы известную, но очень «злую» уязвимость в RPC сервисе, которую ранее уже вовсю эксплуатировал червь Conficker.

Вирус был подписан краденой цифровой подписью, поскольку в целях защиты Майкрософт обычно требует, чтобы все драйвера в системе были подписаны. Однако это не помогло. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. На это укзывает косвенной тот факт, что головные офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит, что кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи — это не любительская работа, это работа профессионалов.

Его явно писала большая команда тоже профессионалов — пол-мегабайта кода на ассемблере, С и C++.

Обнаружен Stuxnet был не в Америке, Китае или Европе, где больше всего народу работает в интернете, а в Иране — 60 % заражений произошло в государстве исламской революции.

Он умел сам принимать команды и обновляться децентрализованно, по типу P2P. Классические ботнеты пользуются центральными командными системами

А самое, главное отличие — этот вирус не рассылал спам, не форматировал диск и даже не крал банковские данные. Он занимался вредительством на производстве. Точнее, он атаковал индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые микросхемы контроллеров, которые используются непосредственно для управления оборудованием и контроля за производством, маскируется и «убивает» конкретный технологический процесс. Причем не любой случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, экспертам на момент выхода книги пока неизвестно. Это, кстати, объясняет его способ распространения через «флешки» — ведь все современные промышленные системы в целях безопасности чрезвычайно редко подключены к Интернету.

Рис, 8.7. Принцип работы вируса Stuxnet

Рис. 8.8. Первые пять жертв червя Stuxnet — хронология атак

Печально известный червь Stuxnet был обнаружен в 2010 году, однако активен он был, по крайней мере, уже как минимум с 2009 года. Атака началась с заражения систем в пяти тщательно выбранных организациях.

Рис. 8.9. Графическая иллюстрация-пояснение пути заражения вирусом Stuxnet промышленного оборудования