Мирт и гуава: Эпизод 5

До сих пор в наших публикациях о Stuxnet мы не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах – с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников.

Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения) пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC, производства компании Siemens.

Я уже не могу вспомнить, кто первый из журналистов (или антивирусных экспертов), упомянул в этой связи электростанции (на некоторых из них действительно работает ПО WinCC) , но с тех пор над историей витает дух «промышленных атак», «межгосударственного шпионажа» и прочих параллелей, годных на пару-тройку сценариев для голливудских фильмов.

(скриншот примера работы WinCC, взятый из официальной документации компании Siemens)

Действительно, Stuxnet пытается подключаться к системе визуализации WinCC SCADA , используя «пароль по-умолчанию», который компания Siemens заложила в свою программу.

В состав червя входит весьма интересный компонент, dll-файл, который представляет собой своеобразную «обертку» (wrapper) вокруг настоящей, оригинальной DLL от Siemens.

Эта «обертка» и пытается осуществлять взаимодействие с WinCC, перенаправляя большую часть функций в оригинальную dll. Остальные функции он эмулирует самостоятельно!

Это функции:
s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):

Компания Siemens в настоящее время проводит собственное расследование и анализ вредоносной программы. Ими опубликован специальный информационный отчет об инциденте, в котором сообщается об одном подтвержденном случае заражения клиента WinCC в Германии.

Процитирую оригинал:

«Currently there is still only one known case where a customer’s WinCC computer has been infected. The virus infiltrated a purely engineering environment of a system integrator, but was quickly eliminated. A production plant has not been affected so far.»

«There is only one known case of infection in Germany. We are, at present, trying to find out whether the virus caused any damage.»

Siemens подтверждает, что червь способен передавать данные о промышленном процессе и продукции, а также пытается установить интернет-соединение с серверами злоумышленников, но в настоящее время данные серверы недоступны.

UPD: 20:00 msk
Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения.