Исходный код вируса stuxnet
Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.
Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security
- Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
- Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
- Ну и последнее – поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.
Digital Security – одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.
Итак, попробуем разобраться по порядку…
Промышленная сеть: что это такое?
Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC – контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet – это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр. Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.
Сам контроллер – это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах – обычно собственной разработки производителя, информация о которой малодоступна – QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек – оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ – Автоматизированное Рабочее Место. АРМ – это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько – их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.
Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное – о проблемах, связанных с его лечением. Итак, Stuxnet…
Stuxnet – что это такое?
Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители – как и почему, будет рассказано немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.
Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать – вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.
Лечение
Рекомендации
Об авторе
В конце сентября 2010 г. в Иране на заводе по обогащению урана в г. Натанзе внезапно вышло из строя 1368 из 5000 работающих центрифуг IR-1 по обогащению урана. В мире, среди специалистов ядерщиков, стали задаваться вполне логичные вопросы о том, что же послужило причиной такого происшествия и нанесло такой мощнейший удар непосредственно по ядерной программе страны.
Вирус Stuxnet и ядерная программа Ирана
Как свидетельствуют результаты проведенного расследования, именно кибернетические атаки как раз и могут стать идеальным инструментом столь масштабного повреждения оборудования — они стремительны, высокоэффективны в своей разрушительности и, в то же время, абсолютно анонимны
При этом следует отметить, что вирус Stuxnet атакует на уровне логических контроллеров (контроллеры — компьютеры, занимающиеся управлением крупных производственных и энергетических комплексов), заражая программную основу системы. В списке его целей — преобразователи частотно регулируемых приводов (VFD). Среди обнаруженных в теле вируса активируемых частот есть и такие, которые могут влиять на электронное оборудование иранских центрифуг IR-1. Хотя само по себе это обстоятельство еще ничего не значит.
Чего на самом деле добивались разработчики вируса, неизвестно. Если они ставили перед собой именно задачу физического разрушения центрифуг, то их план не сработал, так как вирус Stuxnet этого не обеспечил. Но если они намеревались повредить те или иные узлы центрифуг или вывести их из строя на длительное время, то, возможно, они даже преуспели, так как нанесенный вирусом урон оказался внезапным и весьма ощутимым. Следует отметить, что когда персонал осознал, что с работой центрифуг происходит что-то неладное и отключил подачу на них электроэнергии, — было уже поздно, а обстановка в цеху напоминала последствия террористического акта, связанного с применением множества взрывных устройств одновременно.
В то же время Глава организации по атомной энергии Ирана доктор Али Акбар Салехи обозначил дату, когда вирус Stuxnet появился на иранских ядерных объектах, — это середина 2009 года. Следовательно, время, которое потребовалось вредоносному вирусу на прохождение пути от первых зараженных персональных компьютеров до заводских цехов составляет более одного года.
При этом в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе. И до этого данная довольно устаревшая модель центрифуг часто выходила из строя (порядка 10 % ежегодно), но замена столь большой партии, как в 2010 г., заставила задуматься, начать расследование и глубокое научное изучение этого вопроса.
Разумеется, завод по обогащению урана — это закрытое предприятие с ограниченным доступом, высоким уровнем режима секретности системы управления и контроля и не соединен с Интернетом. По оценкам специалистов, добраться до управляющих компьютеров вирус мог только через персональные компьютеры специалистов завода — сначала заразив их домашние компьютеры, или через компьютеры людей, как-то связанных с заводом, а потом уже посредством их флешек вирус мог попасть на компьютеры систем управления.
Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры кибернетических войн. Над разгадкой тайны вируса Stuxnet, поразившего завод по обогащению урана Ирана, бьются специалисты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Следует отметить, что вирус Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал только в конце сентября 2010 г.
Специалисты отмечают, что вирус Stuxnet проникает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флешкой. С этого момента инфицированный компьютер сам становится источником заразы.
Вирус Stuxnet, обладая необходимыми исходными возможностями системного администратора и зная уязвимые места операционной системы, которые не знает, кроме него и его создателей, никто, поднимает себя в сложившейся управленческой иерархии до уровня инициирования команд, фактически захватывает власть в системе и переадресует ее на выполнение собственной разрушительной цели.
Взяв управление на себя, вирус Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он диверсант. Как только исходный код PLC перестает выполняться, утверждает Ральф Лангнер, можно ожидать, что вскоре какое-то звено взорвется, разрушится. И, скорее всего, это окажется что-то важное.
Версия программной поддержки
Израильский след
Первые данные о подземном заводе по обогащению урана в г. Натанзе западные спецслужбы получили в 2002 году, когда агенты германской разведки завербовали иранского бизнесмена, чья компания принимала участие в создании этого объекта. Исходя из слов автора — иранец согласился предоставить карты, фотографии, техническое описание и иные сведения об этом объекте в обмен на обещание вывезти его позднее из страны и предоставить немецкое гражданство. Однако, отмечает Деноэль, иранская контрразведка разоблачила этого агента в 2004 г. и ликвидировала его. Тем не менее его супруга смогла вывезти из Ирана в Германию портативный компьютер погибшего мужа.
Операция по промышленному саботажу в Иране имела несколько уровней. Так, в июне 2009 г. специалисты США и Израиля создали и запустили в Интернет упрощенную версию вируса Stuxnet, источник происхождения которого невозможно было определить. Первоначально данный вирус позволял похищать хранящуюся в компьютерах информацию, идентификационные номера, пароли и кодовые слова, сведения о конфигурации сетей.
Все говорит о том, что в 2010 г. был отдан приказ о начале атаки, и вирус, взяв под контроль управление центрифугами, заставил их увеличить скорость вращения ротора с 1 000 оборотов в секунду до 1 400. При достижении подобной скорости происходит поломка и выход из строя центрифуги.
Тем не менее, по словам Деноэля, эта операция не смогла остановить ядерную энергетическую программу Ирана. Поврежденные центрифуги были заменены, а согласно данным западных разведок, Тегеран имеет до 8 тысяч резервных центрифуг.
Материалы расследования
Согласно статистическим данным, собранным до событий 2010 г., имевшиеся в распоряжении Тегерана резервные центрифуги — это довольно устаревшая модель (IR-1), и они также часто выходят из строя. Так, еще в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе по обогащению урана.
Опубликованные данные МАГАТЭ подтверждают, что в начале 2010 г. на заводе происходило нечто странное. В цеху (технологический модуль A26) было отключено 11 из 18 каскадов центрифуг — всего 1 804 машины. В других цехах ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.
Монтаж модуля A26 производился в 2008 г. Это второй модуль, собранный на заводе. По состоянию на июнь 2009 г., 12 из 18 каскадов этого модуля обогащали уран. В августе 2009 г. обогащением занималось 10 каскадов, а в ноябре только шесть.
Такое уменьшение числа каскадов, обогащающих уран, подтверждает, что на модуле A26 возникли существенные проблемами. А в период между ноябрем 2009 г. и концом января 2010 г. (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.
В то же время следует отметить, что сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим событием. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на этом заводе выходит из строя до 10 % от общего количества установленных центрифуг, т. е. по 800–900 машин ежегодно.
Есть и другое объяснение, исключающее всякий внешний саботаж, — это качество установки узлов центрифуг в модуле A26, которое может быть низким, что могло дать о себе знать. Так, известно, что центрифуги первого иранского модуля (A24) работают устойчиво. Но на втором модуле (A26) качество работ при установке узлов центрифуг, проводимых после введения международного запрета (на поставку соответствующего специфического оборудования), могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска второго модуля.
Есть и третья версия. Так, первый модуль (A24) мог быть изготовлен из официально закупленных импортных составляющих, а второй (A26) — из неизвестно как попавших в Иран комплектующих. В этом случае, массовый выход центрифуг второго модуля из строя не должен вызывать особого удивления.
В то же время Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.
Чтобы эффективно внедрить зловредную программу, злоумышленник должен использовать какую-либо уязвимость операционной системы или программного обеспечения. Поиск уязвимостей занимает значительное время у злоумышленников, а также для этого нужна хорошая подготовка. Существует особый класс уязвимостей, который называется 0day. 0day- термин, который обозначает уязвимости (иногда и сами зловредные программы), против которых защитные механизмы антивирусов и других программ для защиты компьютера бессильны. Такое понятие появилось потому, что злоумышленники, которые обнаружили уязвимость в программе или операционной системе, проводят свою атаку сразу же не позднее первого ("нулевого дня") дня информированности разработчика об обнаруженной ошибке. Естественно, это означает, что разработчик не успевает вовремя исправить уязвимость , что распространяет сложные эпидемии зловредных программ, которые не поддаются своевременному лечению. На данный момент различные злоумышленники фокусируют свое внимание именно в нахождении таких уязвимостей. Прежде всего, они обращают внимание на такое программное обеспечение , которое получило широкое распространение. Заражая такое программное обеспечение зловредным кодом, злоумышленник гарантировано получит максимальную отдачу от своих действий. При этом антивирусные программы будут бессильны, так как они не смогут определить зловредный код, который находится в популярной программе. Одним из таких примеров был назван пример выше, когда вирус поражал служебные файлы Delphi и тем самым внедрял свой код в различные программы, которые были откомпилированы в этом компиляторе. Так как такие программы были широкого использования, большое количество пользователей было заражено. Все это дало понять злоумышленникам, что такие атаки являются достаточно эффективными и их можно использовать и в дальнейшем. Впрочем, нахождение 0day уязвимости - это достаточно трудоемкий процесс. Для того, чтобы найти такую уязвимость , злоумышленники прибегают к различным стрессовым тестам программного обеспечения, разбору кода на части, а также поиску в программном коде разработчика различных ошибок. Но если эти действия приносят успех, и уязвимость будет найдена, то можно считать, что злоумышленники обязательно ею воспользуются. На сегодняшний день самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows , связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости, Stuxnet использовал еще три, ранее известные, уязвимости. Уязвимости "нулевого дня" также позволяют злоумышленникам создавать вредоносные программы, которые могут обходить защиту антивирусов, что также является опасным для обычного пользователя. Кроме такого рода уязвимостей (0day), существуют также и вполне обычные уязвимости, которыми постоянно пользуется злоумышленник . Другой опасной разновидностью уязвимостей являются уязвимости, которые используют Ring 0 операционной системы. Ring 0 используется для написания различных системных драйверов. Это специальный уровень, из которого можно осуществить полный контроль над операционной системой. Злоумышленник в этом случае уподобляется программисту, который пишет драйвер для операционной системы, ведь в этом случае написание зловредной программы и драйвера является идентичным случаем. Злоумышленник с помощью системных функций и вызовов пытается придать своей зловредной программе функции прохождения в Ring 0.
Если подобное сказали буквально лет 7 назад, то тогда, скорее всего, такому факту просто не поверили бы. Сейчас же опасность кражи персональных данных пользователей мобильных телефонов крайне высока. Существует большое множество зловредных программ, которые занимаются именно кражей персональных данных с мобильных телефонов пользователей. А еще совсем недавно никто и не мог предположить, что мобильные платформы заинтересуют злоумышленников. История вирусов начинается с 2004 когда. Именно этот год считается точкой отсчета для мобильных вирусов. При этом вирус , созданный в этом году, был подобран под систему Symbian. Он являлся демонстрацией самой возможности существования вирусов на платформе операционной системы Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр вируса Worm .SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно "бродить" по мобильным телефонам во всем мире. Это доставило неприятности обычным пользователям смартфонов, но эпидемии по сути не произошло, так как у антивирусных компаний тоже были исходные коды этого вируса и именно тогда начались первые выпуски антивирусов под мобильные платформы. Впоследствии стали распространяться различные сборки этого вируса, которые, впрочем, не приносили огромного вреда. Далее последовал первый бэкдор (зловредная программа , которая открывает доступ в систему извне). Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину. Впоследствии появилась еще одна зловредная программа для мобильных платформ. Программа представляет собой SIS- файл — приложение -инсталлятор для платформы Symbian. Ее запуск и установка в систему приводят к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно, в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать. Все это было подхвачено различными любителями в написании зловредных программ, которые начали плодить всевозможные модификации на старые вирусы, а также пытаться создавать свои собственные. Впрочем, на тот момент все зловредные программы под мобильные платформы были достаточно примитивными и не могли сравниться со своими аналогами зловредных программ на компьютере. Достаточно много шума наделала программа под названием Trojan.SymbOS Lockhunt. Эта программа являлась трояном. Он эксплуатирует "доверчивость" (отсутствие проверок целостности файлов). После запуска, вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещаются файл gavno. app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система , исходя только из расширения файла gavno. app , считает его исполняемым — и зависает, пытаясь запустить " приложение " после перезагрузки. Включение смартфона становится невозможным. После этих вирусов, в основном, идут однотипные вирусы, которые могут передавать сами себя посредством различных технологий.
Сама уязвимость мобильных платформ достаточно высокая, так как нет таких средств, которые надежно бы защищали мобильные платформы. К тому же необходимо учитывать и то, что современные мобильные платформы уже вплотную подбираются к обычным операционным системам, а значит и алгоритмы воздействия на них остаются похожими. Кроме того, у мобильных платформ есть два достаточно специфических метода передачи данных, которых нет у компьютеров - это технология Bluetooth и MMS . Bluetooth — технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек. ММS — относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса SMS , работающего по протоколу мобильной сети, MMS -сообщения передаются через интернет . Поэтому для отправки и приема MMS -сообщений помимо поддержки данной технологии аппаратом требуется наличие подключения к интернету.
На сегодняшний день наиболее распространены следующие операционные системы для мобильных устройств: Windows CE ( Pocket PC , Windows Mobile ), Symbian OS, Palm OS и Linux. В секторе КПК и коммуникаторов преобладает Windows , в секторе смартфонов — Symbian. Palm OS и Linux в целом по области карманных устройств распространены незначительно. О степени защищенности той или иной платформы судить пока рано. Однако результаты тестирования существующих мобильных вирусов показывают, что Symbian-телефоны автоматически обрабатывают (загружают, проигрывают, запускают) любой попавший в папку "Входящие" файл , в том числе и полученный по Bluetooth или MMS — будь это картинка, аудио- файл или инсталлятор. Windows Mobile -телефоны лишь сохраняют полученный файл в память (обычно в папку "Мои документы"). Поскольку нам не представляется возможным протестировать все существующие смартфоны и коммуникаторы, есть вероятность , что указанное отличие не столько межплатформенное, сколько межмодельное. Но даже в этом случае статистически оно сводится к межплатформенному. Исходя из всего вышесказанного, наиболее подверженной вирусным атакам и наиболее уязвимой для них выглядит платформа Symbian. Однако это не более, чем отражение текущего состояния рынка, и вряд ли может быть свидетельством "иммунности" Windows Mobile . Просто уязвимость ОС Symbian, как наиболее распространенной и вследствие этого наиболее подверженной атакам вирусописателей платформы для смартфонов, оказалась продемонстрирована в первую очередь .
Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?
Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?
Широкие массы интернет-пользователей узнали о вирусе Stuxnet благодаря журналисту Брайану Крепсу 15 июля 2010 года. Позже аналитики из американской разведки намекнули: целью вируса была ядерная программа Ирана.
По сообщению Daily Telegraph, тогдашний госсекретарь Хиллари Клинтон косвенно признавала, что вирус создали США.
Это не вирус, это какое-то кибероружие
Это произвело фурор. Впервые компьютерный троян оказывал влияние не на виртуальную инфраструктуру, а на реально работающий ' title=>промышленный объект. Согласно заложенной в нём программе, он то повышал, то понижал частоту оборотов, на которых работали газовые центрифуги. Это должно было привести к отказу оборудования.
Stuxnet поразил воображение аналитиков, во-первых, своим гигантским размером. Начальная версия занимала полмегабайта, а последняя модификация — два мегабайта. Это резко контрастировало с обычными вирусами, размер которых обычно не превышал пары десятков килобайт.
Во-вторых, он отличался повышенной сложностью. Чтобы исследовать Stuxnet, ведущим специалистам в области антивирусной защиты понадобилось более полугода. И даже после этого они не были уверены, что смогли полностью изучить все возможности вредоносной программы.
Червяк на марше
Выяснилось, что Stuxnet заражает только две модификации контроллера Siemens, которые, как считалось, использовались на иранских газовых центрифугах. Чтобы заразиться вирусом, требовалось каким-то образом записать его в контроллер. И здесь обнаружилось самое интересное.
Stuxnet выводил из строя только те машины, на которых были установлены SCADA-система WinCC и средства программирования контроллеров Siemens. Если на компьютере их не было, вирус начинал заражать имеющиеся в сети машины, пока не обнаруживал необходимых программ. При этом работающей системе он не наносил никакого вреда.
Интересно, что завод в Натанзе не имел доступа к интернету. Он был изолирован от внешнего мира. Вирус должен был активировать заранее внедрённый на объект человек.
Центр эпидемии — Иран
Основная масса сообщений о заражении шла из Ирана. По времени это совпало с отчётом Иранского ядерного агентства перед международными структурами о внезапном сокращении общего количества газовых центрифуг на 800 штук. Экспертное сообщество немедленно связало два эти факта.
В итоге разразился международный скандал. Иранские власти немедленно обвинили США и Израиль в ведении кибервойны против страны. Один из высокопоставленных чиновников, курировавших информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.
Однако системы управления АЭС делались российскими фирмами. Это фактически исключало заражение или возможный перехват управления станции.
Вирус даже если туда и внедрился, не нанёс никакого ущерба.
Вслед за Ираном повалили сообщения из Китая, где вирус заразил тысячи промышленных систем. Правда, никаких техногенных катастроф это не вызвало, даже к снижению производства не привело.
Ключ к ящику Пандоры
Все, кто комментировал ситуацию со Stuxnet, отмечали важный момент: если кто-то решился написать подобного рода систему, то он по сути стал инициатором и первопроходцем в области кибервойны. За ним, безусловно, потянутся другие.
И действительно, в последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране.
Первый формально вообще не занимался зловредной деятельностью. Его задачей было выяснить топологию сетей и найти их уязвимые места. Но Duqu имел схожие со Stuxnet части программного кода, и многие посчитали, что вирусы работали в связке. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар.
Flame оказался ещё сложнее. Исследователи стали подозревать, что это вообще не что иное как платформа для разработки вирусов. Она занималась кибершпионажем: следила за абсолютно любыми действиями пользователя на заражённом компьютере и отсылала данные на удалённый сервер.
Работал вирус в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли.
Нет сомнений: если бы злоумышленникам удалось вывести из строя нефтяное оборудование, последствия для страны были бы непредсказуемыми.
Прикладная вирусология
К тому же, пока киберпророки восторгались новыми возможностями вирусов, реальность нанесла второй суровый удар. Федерация американских учёных, пристально следившая за ядерной программой Ирана, выяснила, что к концу 2010 года количество центрифуг не только вернулось к исходному значению, но даже несколько увеличилось. Проанализировав открытые данные, они пришли к выводу: мощность иранских центрифуг увеличилась на 60 процентов. Получилось, что после вирусной атаки Иран не затормозил свою ядерную программу, а ускорил её.
Позже эти данные подтвердили в МАГАТЭ. Есть пара версий, которые объясняют этот парадокс: либо после атаки центрифуги на заводе заменили на более мощные, либо плановую модернизацию центрифуг приняли за их вывод из строя.
В любом случае, первый кавалерийский наскок, сопровождавшийся шумом и истерикой, окончился полным пшиком. Хотя, возможно, следующие попытки превзойдут все ожидания.
Читайте также: