Говорят, что генералы всегда готовятся к прошедшей войне. Это не совсем так. Сейчас американские военные финансируют работы по беспроводному мониторингу устройств сети «Интернет Вещей» (IoT) на наличие вредоносного ПО. Ведь какой-нибудь, условно говоря, вирус способен превратить в свою армию любые подключенные к Сети электронные устройства — от микроволновки до АЭС.

Атака электронных приборов больше не фантастика

В теории все очень просто. Полупроводники, конденсаторы и другие электронные компоненты сетевых устройств, на которых крутится вредоносный код, меняют параметры электромагнитных сигналов, которые характерны во время нормального функционирования.

Над проектом с труднопроизносимым названием, но симпатичной аббревиатурой CAMELIA работают исследователи из Технологического института Джорджии и авиакосмической корпорации Нортроп Грумман. По их заявлению, получаемая при функционировании вредоносного кода «непреднамеренная электронная эмиссия» может быть измерена удаленным образом. Сравнив полученные данные с зафиксированными во время нормального функционирования, можно точно идентифицировать зараженное устройство.

Такого типа исследование должно быть крайне важным, если учесть, что, согласно оценкам, к 2020 году число устройств «Интернета Вещей» может достигнуть отметки в 38 миллиардов.

«Мы будем смотреть на то, как программа меняет свое поведение, — поясняет Аленка Зажич, профессор Технологического института и один из руководителей проекта. — Если устройство «Интернета Вещей» атаковано, внедрение вредоносного кода повлияет на работу программы, и мы сможем это удаленно отследить».

Агентство перспективных исследований Минобороны США (DARPA) уже предоставило проекту грант на сумму в 9,4 миллиона долларов в рамках более широкой программы по финансированию исследований в области обеспечения безопасности, связанной с функционированием сетевой инфраструктуры и «Интернета Вещей».

Как поясняет Зажич, будет создана большая база данных (БД) образцов, в качестве которых будут использованы результаты измерений, сделанные во время корректной работы различных частей программы непосредственно в устройстве. Чтобы избежать перегруженности данными, срезы данных будут создаваться с определенной периодичностью.

«Завербованное» устройство выдаст себя

«Если кто-то внедрит что-то в программный код, пики в спектре сигналов будут смещаться, и мы сможем обнаружить это. Это то, что мы можем отслеживать в реальном времени, используя улучшенные технологии по распознаванию паттернов, которые используют машинное обучение, чтобы улучшить свою работу». Данные собираются при помощи «вышенулевого профилирования», которое не влияет на наблюдаемый объект.

В то же время создание профилей работающих программ внутри устройств сети является простейшим аспектом того, что стремится достичь группа. Уже на данный момент методы позволяют добиться 95-процентной точности выявления того, где исполняется программный код (но речь пока не идет о вредоносном коде).

Как отмечает Милос Првулович, научный руководитель проекта, обнаружение вредоносного кода — «это гораздо более сложная проблема». «Профилирование позволяет узнать, какая часть программы лучше всего подходит под соответствующий спектр сигнала в БД. В то время как идентификация вредоносного кода с достаточной степенью достоверности означает, что сигнал не соответствует никакой части оригинальной программы, даже в том случае, если вредоносное ПО спроектировано так, чтобы походить на оригинальный код приложения», — заявил Првулович.

Разработчики полагают, что их проект приведет к тому, что будет создана система, способная удаленно мониторить устройства сети «Интернета Вещей». Однако на пути к этому стоит ряд препятствий. Во-первых, это требует улучшения технической базы — антенны, более мощные процессоры для обработки данных и прочее. (Эти проблемы легко решаемы). Во-вторых, не вполне понятно, сумели ли исследователи замерять и сравнивать спектры сигналов в случае работы в более жестких и предельных режимах. И насколько точны получившиеся образцы? Не сложится ли ситуация, что работа оригинальной программы, но на устройстве, которое перегрелось или где процессор загружен, будет походить на работу вредоносного ПО?

Хотя это вопросы несколько теоретического характера. В любом случае, необходимость создания подобного рода программ с каждым месяцем становится все более острой, и не только для устройств «Интернета Вещей».

Если энергосистема перейдет на сторону врага…

Известная фирма SentinelOne, специализирующаяся в области кибербезопасности, обнаружила вредоносное ПО, которое поражает системы управления энергосистем. Его мишенями становятся электростанции. Легко представить себе опасность от перехвата управления АЭС. Но даже простое отключение электричества за счет блокирования работы обычных электростанций спровоцирует техногенные катастрофы. На предприятиях резервное питание не сможет долго обеспечивать высокомощные двигатели, что может привести к авариям, химическим выбросам и пр.

Название ПО — Furtim, что в переводе означает «пипетка». Оно заражает компьютер, а потом использует его для организации дальнейших атак. Ничего необычного, если бы не одно, но — оно спроектировано для атаки на компьютеры европейских энергокомпаний, использующих Windows (используйте Linux, как бы намекает нам эта информация).

Furtim был выпущен в мае этого года, но до сих пор является активной угрозой. Согласно отчетам фирмы, ПО было выпущено, скорее всего, в какой-то восточно-европейской стране. И более того, фирма уверяет, что если это и были хакеры, то их явно нанимало правительство этой необозначенной страны.

 

Вирус Яценюк?

Спекуляции вокруг обнаруженного вредоносного ПО подогревались прошлогодними недоказанными намеками на то, что к ряду веерных отключений на Украине были причастны русские хакеры, которые работали на президента Путина. Хотя теоретически это возможно, практически это так и не было доказано. А состояние экономики и энергосетей Украины было таково, что веерные отключения возможны были и без хакеров. Одного только премьера Яценюка и президента Порошенко хватало для этого за глаза.

Команда фирмы SentinelOne также не сумела обнаружить в программе «русский след», хотя Шамир и заявил, что наиболее вероятно создание данного ПО в какой-либо из стран Восточной Европы. Не понятно, почему бы этой страной не быть Украине? На причастность к созданию такого рода ПО ее хакеров не проверяли, а вот паранойи и национальных сантиментов у озабоченных «клятыми москалями» местных «кул хацкеров» для этого вполне хватит.

Хватило же ума и ресурсов на создание сайта «Миротворец» и Министерства информационной политики, почему на вредоносное ПО не должно? Тем более, что местные программисты всегда были на хорошем счету. Они даже часто работали на российских заказчиков.