Спецпроекты

Безопасность Техника Цифровизация Бизнес-приложения

Без электричества Нью-Йорк оставил червь Blaster?

Задержаны два подозреваемых в написании клонов червя Blaster, также известного, как MSBlast и LovSan. Совокупный ущерб от Blaster и его вариантов оценивается в миллионы долларов, но эти оценки, возможно, будут пересмотрены в сторону значительного увеличения. Есть основания полагать, что Blaster стал одной из причин отключения электроэнергии в США и Канаде 14 августа текущего года. Возможно, что в этом случае от мировой общественности потребуются намного более значительные усилия по предотвращению и профилактике вирусных атак.

Содержание:

W32.Blaster — причина аварии в электросетях Нью-Йорка и Канады?
Подозреваемые задержаны, вопросы остались
Вирус сам указал автора
«Надо благодарить Бога за глупость этих людей»

Как сообщает AP, в результате усилий полиции и федеральных служб по борьбе с кибертерроризмом у себя дома, в Миннесоте, в последнюю пятницу августа был арестован 18-летний Джеффри Ли Парсон (Jeffrey Lee Parson), обвиняемый в авторстве нескольких вариаций интернет-червя Blaster. Этот червь нанес ущерб тысячам компьютерных систем по всему миру.

Компании, занимающиеся вопросами безопасности, утверждают, что червь Blaster, также называемый MSBlast и LovSan, и некоторые его варианты нанесли ущерб более чем 500000 компьютерам, начиная с 11 августа. Вирус вызывал сбои в большинстве наиболее распространенных версий операционных систем Microsoft Windows. Однако, эти оценки, скорее всего, будут пересмотрены в сторону значительного увеличения, если будет доказано, что Blaster стал одной из причин отключения электроэнергии в США и Канаде 14 августа текущего года.

W32.Blaster — причина аварии в электросетях Нью-Йорка и Канады?

Представители Microsoft заявляют, что ущерб от Blaster и его вариантов оценивается в миллионы долларов. В показатель ущерба, в частности, входят временные затраты персонала технической поддержки, перегрузка сетей, по которым идут жалобы от пользователей, и другие расходы. Однако есть основания полагать, что оценки ущерба придется существенно пересмотреть. По информации Computerweekly.com, червь W32.Blaster мог стать причиной недавнего сбоя в работе электростанции в США 14 августа этого года и привести к масштабному отключению электричества в электросетях Нью-Йорка и Канады. Такого мнения придерживаются представители правительства и специалисты отрасли. Напомним, что именно эта авария стала причиной катастрофического отключения электроэнергии у десятков миллионов человек.

В день аварии Blaster нарушил работу нескольких коммуникационных линий, соединяющих между собой центры данных, которые используют компании-владельцы электростанций. «Он не оказывал влияние на внутреннее устройство систем, однако изменял данные, получаемые из сетей», — комментирует Гэри Сейферт (Gary Seifert), исследователь министерства энергетики США, имея в виду данные, передаваемые по телекоммуникационным сетям. По его словам, вирус «добавил проблем» в отношении перегрузки ключевых линий коммуникаций. Невозможность контроля критически важных данных помешала операторам противостоять эффекту «нарастания», в результате приведшему к сбою.

Напомним, что системы контроля, упоминаемые Гэри Сейфертом (см. выше), также известны под названием систем мониторинга и контроля данных (Scada) и используются в управлении масштабными производственными процессами, в том числе на российских предприятиях и в отечественной энергоинфраструктуре. Как правило, они работают на базе операционной системы Windows 2000 или Windows XP и используют коммерческие каналы передачи данных, включая интернет и беспроводные системы.

Бывший советник администрации Буша, сотрудничавший с департаментом внутренней безопасности США по вопросам энергообеспечения, утверждал, что червь Blaster препятствовал нормальному функционированию электростанций в районе Нью-Йорка. На системах контроля этих станций использовалось программное обеспечение Windows с открытым портом Port 135. Именно через этот порт осуществлялись атаки на системы.

Кэрол Мэрфи (Carol Murphy), вице-президент по правительственным вопросам Независимой системы операторов Нью-Йорка (New York Independent System Operator), подтверждает негативные последствия в работе системы в результате проникновения червя Blaster, однако заявляет, что проблема была быстро решена и не нанесла ущерба работе электростанций. В то же время Джо Петта (Joe Petta), спикер Consolidated Edison Company (Нью-Йорк), заявил, что «не было обнаружено никаких сбоев в работе компьютеров, способных повлиять на сбой системы энергоснабжения».

Однако, Джо Вейсс (Joe Weiss), специалист по системам контроля и консультант Kema Consulting, утверждает, что причиной недавнего энергетического сбоя стало проникновение червя в коммуникационную инфраструктуру. Ряд экспертов энергетической отрасли, пожелавшие остаться анонимными, заявили, что под угрозой находятся сами системы контроля, напомнив о том, как в январе червь Slammer нарушил процесс осуществления контроля в режиме реального времени на ряде промышленных предприятий.

Подозреваемые задержаны, вопросы остались

Джеффри Ли Парсон, 18-летний ученик средней школы в Миннеаполисе, обвиняется в нанесении компьютерного ущерба международного масштаба и может быть приговорен максимум к 10 годам лишения свободы и штрафу $250000. В пятницу, 5 сентября, в окружном суде были представлены документальные свидетельства, позволившие выследить автора вируса, в том числе сведения, почерпнутые из баз данных широкого доступа или из опросов интернет-провайдеров.

На допросе ФБР Парсон признал, что модифицировал оригинальную версию программы, создав нового червя. По словам поверенного Джона Маккея (John McKay), Парсон является «ключевым и наиболее значимым игроком» в мировом киберпространстве. Вариант только собственно разработанного им червя нанес ущерб более чем 7000 компьютерам. При этом Маккей не комментирует возможных мотивов, которыми руководствовался Парсон: «Мы пока не готовы объяснять причины».

Напомним, что в конце прошлой неделе был задержан другой подозреваемый в распространении модифицированной версии червя Blaster. Это 24-летний Дэн Думитру Цьобану), выпускник Технического университета. Причем червь, по словам специалистов по вирусам компании BitDefender, начал распространяться именно с компьютеров Технического университета. Однако, по словам представителя BitDefender, Цьобану был отпущен из-за отсутствия доказательств. В то же время полицейские уже обратились к специалистам на предмет исследования содержимого компьютеров, изъятых у Цьобану. Возможно, в них будет обнаружен код вируса или другие доказательства причастности к работе над созданием клона вируса интернет-червя Blaster.

Вирус сам указал автора

В компании Microsoft специально «заразили» компьютер одной из версий червя — W32/Lovesan.worm.b. Далее можно было наблюдать, как зараженный компьютер подсоединяется к сайту www.t33kid.com. Используя информацию о распределении вебсайтов и их владельцах, следователи вышли на хостинговую компанию и компанию-посредника в Сан-Диего. Далее их переадресовали в Ватаугу (Техас), и содействующий следствию Брайан Дэвис указал на своего клиента, которого он назвал teekid. Дэвис заявил, что teekid написал несколько интернет-червей. Дэвис также обнаружил еще один сайт, подключающийся к www.t33kid.com, и по базе данных оказалось, что он зарегистрирован на Парсона.

Таким образом, первые улики против Парсона были обнаружены еще 14 августа, спустя несколько дней после того, как была зафиксирована первая атака червя Blaster. 19 августа ФБР и служба разведки США обыскали дом Парсона и конфисковали 7 компьютеров.

Парсон уже заявил следователям, что разработал новую версию вредоносной программы. Он также признался в запуске рассылки инфицированных писем, со вложенным файлом teekids.exe. Именно эти письма позволяли впоследствии получить доступ к зараженному компьютеру. Но, по словам Маккея, пока неизвестно, воспользовался ли Парсон личными или финансовыми данными, которые можно было таким образом получить.

«Надо благодарить Бога за глупость этих людей»

В пятницу днем, 29 августа, спустя несколько часов после ареста Парсона, профессиональные охотники за вирусами в интернете буквально посыпали голову пеплом из-за того, что никто не обратил внимание на все эти улики немного раньше. «Все оказалось удивительно просто, — прокомментировал Ник Фицджеральд (Nick Fitzgerald), эксперт новозеландского издания Virus Bulletin. — Надо благодарить Бога за глупость этих людей».

Однако неизвестно, смогут ли таким образом вычислить автора оригинальной версии червя Blaster. «Безусловно, он также должен был оставить улики. Как показывает юридическая практика, даже самые умные мошенники всегда оставляли следы, по которым их можно было бы вычислить, — утверждает Маккей. — Ключевым фактором, позволившим поймать преступника, было обычное полицейское расследование, изучение информации и допросы. Однако я не назвал бы эту работу простой». По словам того же поверенного, службы продолжают расследование компьютерных атак, однако не разглашают деталей следствия. «Нужно, чтобы люди поняли однозначно: хакерские атаки расцениваются как преступление, поскольку они причиняют ущерб и людям, и бизнесу».

Наталья Попова / CNews.ru

Расследование компьютерных инцидентов   Расследование компьютерных инцидентов

Организация системы защиты коммерческой тайны на предприятии  Организация системы защиты коммерческой тайны на предприятии

Персонал — как основной фактор риска экономической безопасности предприятия  Персонал — как основной фактор риска экономической безопасности предприятия

Короткая ссылка