?

Log in

No account? Create an account
медведь

bratnikola


Брат Никола

придворный инженер


Previous Entry Share Next Entry
StaxNet. Небольшой анализ.
медведь
bratnikola
Итак. StaxNet - вирус, который оказывает вредоносное воздействие на контроллеры фирмы Сименс (Siemens). Яндекс по этому поводу тщательно чистится, гугель не так тщательно, но судя по всему тоже не хило отполирован.

Вирь рапспространяется через флэшки. Связано это с тем, что сети предприятий, которые отвечают за технологический процесс никак не связаны с общедоступными сетями. Однако, АРМ (автоматизированное рабочее место) это по-сути тот же компьютер, с тем же Windows, на котором установлена программа, которая отображает ход технологического процесса (SCADA). Такая SCADA у сименса называется WinCC. Ничего особенного, обыкновенная программа, такими пользуются на тысячах предприятий.
Так вот, когда червь видит, что его воткнули в систему с WinCC он активно её атакует, но никак себя не выдаёт. Вообще-то, втыкать флэшки, а тем более свои личные, в такие машины регламентами предприятий обычно запрещено. Но кто соблюдает эти регламенты, я Вас умоляю...

Немного технического ликбеза. Допустим, у нас есть установка, которая что-то делает и ей необходимо управлять по заданному алгоритму неким агрегатом. Мы вешаем контроллер, который и выполняет сей алгоритм - включает/выключает всякие мехнизмы, проверяет уровни температуры, давления, напряжения и пр. - то, что нужно проверяет. И при привышении каких-либо параметров останавливает работу. Но, вообще-то, сущетсвует ещё и оператор, который должен следить за процессом. А смотреть на крохотный мониторчик самомго контроллера у него нету ну никакого интереса. Для этого ставится полноценный персональный компьютер, как я и говорил, со скадой. Там во вполне приемлемой форме всё о процессе и рассказывается.
Пытливый читатель спросит, а почему бы не управлять прямо с компьютера, и нафига использовать ещё какой-то контроллер? Тому много причин, но самые простые это: Windows виснет, а питание компьютера вырубается. Ну и в этом случае алес. А у контроллера своя операционка, своё гарантированное питание и т.д.

Итак, вирь залез на машину с WinCC. И о чудо! Он видит контроллеры в сети. Опять же, он ничего не делает. Он анализирует, что делает контроллер. Какие уставки (уставка - это как раз тот числовой параметр при достижении которого что-то проиходит - вырубается или врубается механизм, останавливается турбина, включается насос охлаждения и т.п.) использует контроллер в своей работе.

А затем, когда это становится нужно, вирь их меняет. И пиздец.
Атомная программа Ирана тому подтверждение. Естественно, что непостредственно на управление реактором никто не поставил там сименс, но на вспомогательные системы в полный рост. Напомню, вирь этот весит 2 мегабайта!!! (!) Это, блядь, дохуя! Вирусы весят максимум небольшие килобайты, а то и байты. Спецами вирус написан, ой блядь, спецами...

Казалось бы, а не похуй ли нам на всё это с их сраным Ираном? Таки нет. Ездюки на "Сапсане" могут начнать нервно курить в Бологом - система управления на Сапсане сименсовая. Ладно, "Сапсан" фигня. Есть такое предприятие у нас, из достаточно крупных, воспетое в песне Семёна Слепакова - ОАО "Газпром". На многих компрессорных станциях установлены системы управления, созданные на базе автоматики Сименс. Напомню, что управляют они турбинами, аналогичным тем, что устанавливаются на ТУ-154. Их на каждой КС примерно 25 штук. Если у ТУ-154 их две, и при падении гибнут только пассажиры и члены экипажа, то при аварии на КС... Погуглите КС "Тума" короче.
Не надо ошибочно полагать, что наверху в Газпроме сидят мудаки. Это не так. Все станции недавно получили циркуляр, с требованием проверить саоё оборудование на сей прекрасный вирус. И его нашли. Много где нашли... Официально из центра пришёл антивирь. НО. Одно, БЛЯДЬ ебаное, НО! На местах никто не лечит этот вирус! Почему спросите Вы? А потому что, те, кто его найдёт получит пизды. И нехилой пизды.
Что бы вылечить контроллеры от этой заразы нужно остановить тех.процесс. Т.е. это как минимум остановка 5-ти агрегатов (т.е. остановка одного цеха - с технической точки зрения ничего страшного, с "политической" - просто пиздец). Это ЧП. Это надо обосновывать! Обоснавать вирусом это невозможно. Почему? Потому, что руководство КС должно было обеспечить регламент пользования теми, блядь, пресловутыми флэшками. Получается, что не обеспечило. Виновато! Кто ж хочет быть виноватым?
Но не факт, что к заражению систем привели именно флэшки, ой не факт. Вполне вероятно оборудование от фирмы изготовителя уже пришло с вирусом. Однако, акты подписаны без замечаний и не подкопаешься.

Если мозгов у верхушки Газпрома хватит (должно, я верю) разослать эммиссаров по всем своим объектам с целью проверок и излечения от вируса этого, то нас ждёт светлое будущее, с газом. Проверяйте, господа, МСКУ-5000 и будет вам счастье.

Всё. Я кончил.


  • 1
нет-нет. там другое.

  • 1