SIEMENS, DF&PD

Текущее время: Ср май 25, 2016 23:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 233 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9 ... 12  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 18, 2010 19:56 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
тайный вредитель на сайте Сименса вновь подкинул мне старую ссылку (Entry ID:44050544 Date:2010-08-02 ), однако ее содержание весьма примечательно:

Current note for SIMOTION : Information concerning Malware / Virus / Trojan
http://support.automation.siemens.com/W ... n/44050544

Мы не одни :-)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 24, 2010 18:09 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Гугловский перевод:
MinnPost - Stuxnet червя: Частные эксперты по безопасности США хотят, чтобы сказать им больше

http://www.abdolian.com/thoughts/?p=4270

No user commented in " Stuxnet worm: Private security experts want US to tell them more ".

здесь практически нет технических деталей, но интересно описан сам фон событий


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 12:00 
Не в сети
Писатель со стажем

Зарегистрирован: Чт май 29, 2008 15:48
Сообщения: 985
Откуда: Минск
Нашел стухнета на Полесье... :-(
На одном из своих объектов ... в рамках очередного сервиса.... обновил антивирус... и понеслось. Оказывается, стухнет сидел тут уже давно. Сидел на каждом сервере и на каждом АРМе. А вот после того, как антивирус полечил сервера, пропала связь со всеми ПЛК!

Сейчас остался один рабочий сервер, на котором не выключался рантайм во время сканирования...

Антивирус - нод32. В журнале нашел, что удалена s7otbxdx.dll с вирусом Stuxnet.A. Скопировал ее с другого компа. Связи с ПЛК все равно нет. Error loading S7 communication protocol.

Вот такой баян. Сижу в некотором недоумении... Зверь с пушистым ценным мехом нагло выглядывает из-за серверного шкафа...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 12:11 
Не в сети
Писатель со стажем

Зарегистрирован: Пн июл 06, 2009 9:37
Сообщения: 851
Откуда: Санкт-Петербург
http://www.tofinosecurity.com/sites/default/files/flash/Stuxnet_Demo_ENGlobal.swf
тут описано, что он меняет в системе, в том числе s7otbxdx.dll
может получится ве вернуть на место
или все переставлять наверное


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 12:34 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
Цитата:
или все переставлять наверное

Он ведь заражает не только сам Степ7, но также заражает и программу пользователя.

Сорок Два писал(а):
Нашел стухнета на Полесье... :-(

А нельзя ли получить живой экземпляр (в виде запароленного архива образа заражённой флешки) для экспериментов на стенде ?
А то Лангер как и другие уже успокоились http://www.langner.com/english/?page_id=45 и так и не предложили способов неразрушаещего лечения живых систем.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 18:53 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Вообще, такое впечатление, что про Stuxnet определенные круги, особенно в Штатах, хотели в свое время замолчать. Только когда вирус и дырка были обнаружены, то началась ревизия проектов. Как я понял из одной заметки, Сименс просмотрев архивы проектов, обнаружил в них Stuхnet. А архивы были прошлогодние. Обратите внимание как долго мелкософт выпускал патчи по закрытию дырки. И то непонятно, то ли не все закрыл, то ли кратковременную нашлепку сделал, и успокоился. Я плохо знаю разговорный английский, но в моем понимании упомянутою мною чуть выше статтью следует понимать, как Частные эксперты по безопасности США хотят сказать больше, чем им дозволено сказать.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 19:38 
Не в сети
Писатель со стажем

Зарегистрирован: Пн июл 06, 2009 9:37
Сообщения: 851
Откуда: Санкт-Петербург
если не ошибаюсь, то "Private security experts want US to tell them more" - "Частные эксперты по безопасности хотят, чтобы США сказало им больше"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 19:46 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Я, когда обдумывал перевод, о такой трактовке не подумал. Но суть дела не меняет - кто-то либо чего-то не договаривает, либо кому-то не дают сказать. Дополнение от Сименс:

My Siemens division is in possession of the STL code that stuxnet injects.
We are currently in the process of manually converting the STL to pseudo code so that we can understand what it is doing and issue an internal report.
The code was provided to us through internal Siemens contacts and is currently regarded as confidential. I believe that the code was recovered by connecting a clean ES to an infected AS and pulling the data back off the infected AS.

Stuxnet adds a number of its own FC's to OB1, along with a number of global DB's.
It is too early to say exactly what the code is doing, but early indications are that it is manipulating I/O input values.
When / if we have if figured it out, I will seek permission from Siemens to publish our findings here.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 19:59 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
Цитата:
"Private security experts want US to tell them more" -
"Частные эксперты по безопасности США хотят сказать больше, чем им дозволено сказать"
"Частные эксперты по безопасности хотят, чтобы США сказало им больше"
Казнить нельзя помиловать...
Частники "хотят" НАС, чтобы мы им рассказали больше... Изображение
Цитата:
The code was provided to us through internal Siemens contacts and is currently regarded as confidential....
Код был предоставлен нам через внутренние контакты Siemens и в настоящее время рассматривается в качестве конфиденциальной.
Лапша на уши...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 20:02 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Поживем - увидим


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 20:09 
Не в сети
Писатель со стажем

Зарегистрирован: Пн июл 06, 2009 9:37
Сообщения: 851
Откуда: Санкт-Петербург
US можно и как "нас" или "мы" рассматривать, но в статье явно указано что US United States
[quote=http://www.abdolian.com/thoughts/?p=4270]For instance, they say, the US government so far has refused to provide details on Stuxnet that might help some 40-50 US-based industrial control systems possibly infected by this new generation of cyber-war software. The government’s failure, they say, leaves US corporations infected and open to attack in the future.[/quote]


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 10, 2010 20:23 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
Александр В.. писал(а):
US можно и как "нас" или "мы" рассматривать, но в статье явно указано что US United States
http://www.abdolian.com/thoughts/?p=4270 писал(а):
For instance, they say, the US government ...

Уж очень солидная у вашего источника страничка... http://www.abdolian.com/ Поэтому и трудно перевести переведённое с арабского.
На заборе написано ..., враньё, сколько ни заглядывала - нету его там !
Если 42-ой выложит - будем сами пробовать.

Из отчёта Сименса следует, что цель Германия: Мюнхен, Октобер-фест Изображение
http://www.infracritical.com/papers/sie ... alware.pdf
Цитата:
15 infected systems
5 of them in germany

и конкретно - линия по закупорке бутылок, поэтому на некоторых бутылках пробки или недокручены (2 Гц) или не открываюся без плоскогубцев (10000 Гц)
Изображение
а атакуемый проект делали фины
http://www.symantec.com/content/en/us/e ... ossier.pdf


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб ноя 13, 2010 21:56 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
На сайте http://www.symantec.com/connect/blogs/s ... eakthrough
выложили видео-демонстрацию деструктивного действия Стукнета.
Из неё получается, что Стукнет "мочит" таймеры сразу при старте заражённой программы !
И на хрен не нужны Профибусы и частотники :)
Главное, чтобы был выход и таймер !
Изображение

То есть кто то кого то опять путает и подобные демонстрации с презервативами рассчитаны на лохов.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб ноя 13, 2010 22:35 
Не в сети
Это точно не человек

Зарегистрирован: Чт фев 16, 2006 12:27
Сообщения: 7451
Откуда: Украина
Conoscev писал(а):
На сайте http://www.symantec.com/connect/blogs/s ... eakthrough
выложили видео-демонстрацию деструктивного действия Стукнета...

Однако...
Цитата:
However, we can now confirm that Stuxnet requires the industrial control system to have frequency converter drives from at least one of two specific vendors, one headquartered in Finland and the other in Tehran, Iran. This is in addition to the previous requirements we discussed of a S7-300 CPU and a CP-342-5 Profibus communications module.
...
Stuxnet requires the frequency converter drives to be operating at very high speeds, between 807 Hz and 1210 Hz.
We are not experts in industrial control systems and do not know all the possible applications at these speeds, but for example, a conveyor belt in a retail packaging facility is unlikely to be the target. Also, efficient low-harmonic frequency converter drives that output over 600Hz are regulated for export in the United States by the Nuclear Regulatory Commission as they can be used for uranium enrichment. We would be interested in hearing what other applications use frequency converter drives at these frequencies.
Чтобы и 300-й CPU, и CP-342-5 и ещё загадочные частотники от финского и иранского (!!!) производителя... Однозначная чушь. На какие потенциальные системы-жертвы могут рассчитывать разработчики такого вируса? Разве что на детище строго определённой инжиниринговой фирмы, делающей как раз такие системы.

P.S. Кино смахивает на гнилую отмазку.
P.P.S. А вот отчёт на 64 страницах впечатляет...
P.P.P.S. Повезло разработчикам, что сейчас не военное время. Иначе бы нашли - и сразу к стенке, без суда и следствия.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб ноя 13, 2010 23:33 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
http://www.symantec.com/connect/blogs/stuxnet-breakthrough писал(а):
Also, efficient low-harmonic frequency converter drives that output over 600Hz are regulated for export in the United States by the Nuclear Regulatory Commission as they can be used for uranium enrichment.
Кроме того, эффективные и с меньшими гармониками преобразователи частоты, с выходом на 600 Гц регулируются для экспорта в Соединенные Штаты, Комиссией по ядерному регулированию, поскольку они могут быть использованы для обогащения урана...

А у нас этого добра
Цитата:
Преобразователь частоты A****71 (S****c) для управления асинхронными и синхронными двигателями
Диапазон выходной частоты с поддержанием постоянного момента: 0…1000 Гц
Применения:
- Упаковка и транспортировка
- Подъемно-транспортные машины
- Технологические машины
- Текстильные машины
- Лифты
- Деревообработка

Очередная порция лапши.
А Лангер всё пытается российских спецов за уши к Стукнету притянуть.
Теперь правда переключился с шельмования московского Атомстройэкспорта на питерские "Силовые машины"...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 15, 2010 10:34 
Не в сети
Писатель со стажем

Зарегистрирован: Чт май 29, 2008 15:48
Сообщения: 985
Откуда: Минск
Если не вдаваться в демонологию и политику.
Реальная встреча со стухнетом оказалась неприятной. Я не особо следил за темой и полемикой на форуме по этому вопросу (пришлось перечитать, кстати, у нас тут больше всякой лапши ненужной чем конкретной инфы) поэтому оказался немного в растерянности...
Каким образом заморскому детищу спецслужб удалось проникнуть на беларускае палессе... И, главное, зачем?... Ядерных заводов у нас там нету...
Тем не менее.
Началось с жалоб на потери связи клиент-сервер. И еще были жалобы, по симптомам смахивающие на результат действия вредоносного ПО. Если учесть, что я полгода назад лечил этот объект от Conflickera, то я подумал, что опять началось. Хотя уже всех диспетчеров повздрючивали материально, усилили меры безопасности и т.д. вплость до того, что повыдирали USB порты на самых стремных АРМах. Как потом выяснилось, заразу привезла одна из подрядных организаций... Объект распределенный, около 30 САУ на 315 ПЛК, и часть из них у разных подрядчиков. И каждый без спроса норовит всунуть свой программатор в сеть. История банальна до безобразия. Кстати, флешка заражалась только с ихнего программатора, а вот уже мои сервера и АРМы заразились по сети, и воткнутую в них флешку не заражали.

Обновляю антивирус и не верю своим глазам: вот он, стухнет. Сканирование показывает три зараженных файла:
system32/s7otbxdx.dll
system32/drivers/mrxnet.sys
system32/drivers/mrxcls.sys

Также оказываются зараженными все zip-архивы, которыя я делал в тот день. Также в одном из проектов WinCC (который я то ли открывал в Wincc, то ли просто просматривал каталоги) появляются зараженные файлы "имя_картинки.savx" в папке GraCS.

Еще периодически антивирь отлавливает зараженные файлы в папке Temp, то есть видно, что развитие болезни идет.

Антивирус лечит удалением. Пропадает связь сервера с ПЛК. Вручную подсунутая s7otbxdx.dll с рабочей системы проблему связи с ПЛК не решает.

Что я делаю: сканирование свежим Nod32. Сканирование Stuxnet Removal Toll от BitDefendder. Кое-где еще сканирование рекомендованной сименсом хренью trendmicro (но оно какое-то непонятное, в консоли пишет, что к куче файлов не может получить доступ, и длится очень долго, поэтому я его запускал только на одном сервере, и то вроде не дождался конца и закрыл). Далее. Установка заплатки от мелкософта. Установка Simatic Security Update. Накатываю хотфикс для WinCC, он фиксит коммуникацию. Все. На одном сервере из трех этих мер оказывается недостаточно, через некоторое время опять пропадает связь с ПЛК. Поднимаю его из образа.
На одном из сереров из резервируемой пары сетевая карта вдруг поучает себе второй IP-адрес. Из-за чего клиенты WinCC не могут найти начальный кадр. В процессе разбирательства вижу, что второй адрес у сетевухи появляется в момент запуска WinCC Runtime. Не знаю, как это связано со стухнетом, но раньше такой проблемы не было, объект работал 2.5 года.
На этом все. Уезжаю с объекта со смешанными чувствами. Во-первых, мне кажется, что сканирование все-таки не все куски вируса выловило. Во-вторых, получилось, что я сам себе нашел кучу проблем, когда начал лечить :-) В третьих, это первый случай, когда к вирусу пришлось отнестить не с усталым презрением, а с уважением... :-(
Образ зараженной флешки, извините, не привез...Не до того было. Все вышеописанное шло в авральном ритме, нельзя было отключаться от техпроцесса, постоянно тусовал сервера, чтобы диспетчер всегда видел инфу... В общем, как из боя вернулся. И остался открытым вопрос о заражении PLC...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 15, 2010 11:13 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Пусть может это громко сказано, но мы наблюдали со стороны, за исключением разведчика с передовой :-), действие кибероружия. Возможно оно сработало раньше, чем ожидалось, и сейчас вешается дымовая завеса, чтобы скрыть истинное проявление.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 15, 2010 11:21 
Не в сети
Писатель со стажем

Зарегистрирован: Ср июн 17, 2009 9:39
Сообщения: 969
Сорок Два писал(а):
Каким образом заморскому детищу спецслужб удалось проникнуть на беларускае палессе... И, главное, зачем?... Ядерных заводов у нас там нету...

Есть теория, что белорусы чего то делают в Зонах поряжения Стукнета и оттуда привозят эту заразу домой.
Ведь не случайно первыми этот вирус идентифицировали именно в Белоруссии.

Сорок Два писал(а):
И остался открытым вопрос о заражении PLC...
Если в контроллер не загружал заново чистую программу с чистого программатора, то контроллер заражён изнутри и можно ждать лопанья "шариков" в неподходящее время.
Где то проскакивало, что вирус деактивируется в 2013 или 2015 году Изображение
Для анализа заражённости в Online можно попробовать использовать программы сторонних производителей, типа S7 Doctor, который также открывает BLD скобки.

Сорок Два писал(а):
(пришлось перечитать, кстати, у нас тут больше всякой лапши ненужной чем конкретной инфы) поэтому оказался немного в растерянности...
Образ зараженной флешки, извините, не привез...

У антивирусных компаний на этот вирус свои взгляды и нет специалистов-автоматчиков и методологии исследования зараженных контроллеров,
у руссофобских псевдоаналитиков иные взгляды - во вём виноваты российские фирмы (вчера к вредителям добавили Интеравтоматику),
а у специалистов-автоматчиков нету Стукнета для анализа и натурных экспериментов.
Поэтому придётся и дальше читать "лапшу" Изображение

*Может всё таки удалось заразить свой программатор ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 16, 2010 21:10 
Не в сети

Зарегистрирован: Ср окт 31, 2007 8:25
Сообщения: 7
Stuxnet: завершающая деталь головоломки
http://www.anti-malware.ru/news/2010-11-15/3271


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 16, 2010 21:43 
Не в сети
Это точно не человек

Зарегистрирован: Вт май 03, 2005 17:11
Сообщения: 3547
Какая интеллектуальная вирусня пошла :-). Завести бы мне парочку таких вирусов - может вместо меня и программу писать будут. Одна проблема - правильный вирус найти

Чем дальше, тем меньше веры таким текстам.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 233 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9 ... 12  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: YandexBot и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:
Перейти:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB