Фрагмент кода вируса Stuxnet
langner.com
 
 
 
Высказываются предположения, что вирус мог быть нацелен на АЭС в Бушере, загрузку топлива на которую начали в августе этого года
RTV International
 
 
 
Но О'Мурчу и другие эксперты считают, что пока не собрано достаточно улик, чтобы делать выводы как о цели распространения вируса, так и о его составителе
RTV International

Один из сложнейших компьютерных вирусов, когда-либо найденных, был нацелен на подрыв объектов гражданской инфраструктуры в Иране. Вредоносная программа оказалась настолько сложной, что за ее разработкой должна была стоять мощь целого государства, утверждают эксперты BBC.

Самовоспроизводящийся вирус Stuxnet нацелен на объекты не виртуального, а реального мира, такие как электростанции, водопроводные станции и промышленные объекты. Впервые вирус был обнаружен в июне белорусской фирмой, с тех пор его тщательно исследуют. Но, возможно, циркулирует он еще с 2009 года. По данным британской газеты The Daily Mail, он поразил уже около 45 тысяч сетей в различных странах мира.

"Поскольку случаев заражения этим вирусом в Иране гораздо больше, чем где-либо еще в мире, вирус был направлен именно против Ирана, и в Иране есть нечто, представляющее очень большой интерес для того, кто его написал", - утверждает Лайам О'Мурчу из фирмы Symantec. На Иран пришлось около 60% заражений. Много заражений отмечено также в Индии и Индонезии.

Высказываются предположения, что вирус мог быть нацелен на АЭС в Бушере, загрузку топлива на которую начали в августе этого года, или на завод по обогащению урана в Натанзе, где ввели в строй второй каскад центрифуг, позволяющий в нарушение резолюций Совета Безопасности ООН более эффективно обогащать уран. Но О'Мурчу и другие эксперты считают, что пока не собрано достаточно улик, чтобы делать выводы как о цели распространения вируса, так и о его составителе.

В отличие от большинства других вирусов, Stuxnet призван поражать именно те компьютерные системы, которые из соображений безопасности не подключены к интернету. Переносится он посредством электронных ключей USB, используемых для передачи файлов с одного компьютера на другой.

Проникнув в один из компьютеров внутренней сети, он разыскивает определенную конфигурацию программного обеспечения, контролирующего промышленные объекты и разработанного германским концерном Siemens. Не найдя этой конфигурации, вирус остается относительно безвредным. Если же он находит нужную программу, то берет ее под контроль и перехватывает управление промышленным оборудованием.

Таким образом, вирус может включать и выключать двигатели, наблюдать за температурой объектов и регулировать ее посредством охладителей и в конце концов задать такую последовательность команд промышленному оборудованию, которая приведет к его уничтожению.

Сложность вируса заключается в новых способах укрытия от антивирусных программ и различных методах проникновения в защищенные сети. Он использует четыре не выявленные ранее бреши в обороне операционной системы Windows.

При этом киберпреступники и обычные хакеры настолько высоко ценят эти пробелы в коде Windows, что не стали бы тратить их настолько расточительно, вооружая один и тот же вирус средствами для использования нескольких из них одновременно, пояснил Микко Хиппонен, главный исследователь фирмы F-Secure. С тех пор, однако, Microsoft уже исправил две из этих четырех ошибок.

"Со свидетельствами, которые теперь у нас есть, очевидно и доказуемо, что Stuxnet - это прямая умышленная атака с использованием большого массива инсайдерской информации. Это не хакер, сидящий в подвале родительского дома. Мне кажется, ресурсами, необходимыми для организации такой атаки, может располагать только государство", - пишет компьютерный эксперт Ральф Лэнгнер. Он считает, что Stuxnet мог быть направлен против АЭС в Бушере, но окончательных выводов на этот счет не делает. Просто на одной фотографии, сделанной внутри Бушерской АЭС, можно обнаружить те самые компьютерные системы управления промышленным оборудованием, против которых и был направлен вирус.

Представитель Siemens не стал комментировать ведущиеся экспертами обсуждения подлинных целей вируса. Он сказал лишь, что Бушерская АЭС достраивалась с помощью российского подрядчика, а оборудование от Siemens при этом не использовалось, и напомнил, что концерн перестал сотрудничать с Ираном около 30 лет назад.

Концерну известно лишь о 15 случаях проникновения вируса в системы управления промышленным оборудованием, в основном в Германии. При этом на работу оборудования они не повлияли, и во всех случаях вирус удалось уничтожить. К тому же мировые стандарты безопасности не позволяют использовать программное обеспечение от Microsoft для управления важными производственными процессами на предприятиях.

Это не первый случай выявления компьютерного вируса, призванного поразить объекты промышленной инфраструктуры. В 2009 году власти США признали, что обнаружили вирус, который мог отключить энергетические объекты страны. Кроме того, по словам Хиппонена, была организована вирусная атака на военные объекты одной из стран НАТО через USB, но стала ли она успешной, эксперты не знают.

О'Мурчу опубликует свой доклад в издании Virus Bulletin 2010, которое выйдет в Ванкувере 29 сентября. Свои открытия в этой же области там представят и представители российской Лаборатории Касперского.