Stuxnet – это компьютерный червь в  500 килобайт, который заразил программное обеспечение по меньшей мере 14 промышленных предприятий Ирана, в том числе и завод по обогащению урана.

Как работает Stuxnet?

1. Stuxnet попадает в систему через USB-Flash накопитель и начинает заражать все компьютеры под управлением Microsoft Windows. Используя настоящие цифровые подписи, которые создают впечатление надёжности, червь способен ускользнуть от антивирусной защиты.
2. Затем Stuxnet проверяет, является ли заражённый компьютер намеченной целью – частью АСУ ТП Simatic, разработанной Siemens. Такие системы используются в Иране для обслуживания центрифуг на заводах по обогащению урана.
3. Если цель не найдена, то Stuxnet  не делает ничего, если найдена – пытается найти доступ в интернет и загрузить свою более позднюю версию.
4. На следующем этапе червь поражает намеченные системные контроллеры, используя уязвимость «zero-day» – брешь в компьютерном обеспечении, которую специалисты не могут обнаружить.
5. В первую очередь Stuxnet следит за АСУ ТП. Затем используя собранную информацию, управляет контроллерами, разгоняя центрифуги до разноса.
6. Тем временем, вирус предоставляет неправильные данные на контроллеры, вводя систему в заблуждение до тех пор, пока не станет слишком поздно.

О «чёрных хакерах» или кто стоит за Stuxnet

Роэль Шувенберг – старший аналитик Лаборатории Касперского – и его коллеги вскоре пришли к выводу, что код вируса слишком сложный, чтобы быть идеей разнородной группы так называемых чёрных хакеров. Шувенберг убеждён, что команде из 10 человек понадобится, по крайней мере, 2 или 3 года, чтобы создать нечто подобное. Таким образом, встаёт вопрос: а кто стоит за этим?

Команде из 10 человек понадобится, по крайней мере, 2 или 3 года, чтобы создать нечто подобное.

Вскоре из самого кода, а также из технических отчётов выяснилось, что Stuxnet был специально создан для разрушения АСУ ТП, разработанной Siemens и использовавшейся на иранских предприятиях по обогащению урана. Аналитики лаборатории Касперского тогда поняли, что финансовые цели не были основной задачей. Это была атака, продиктованная политическими мотивами. По словам Шувенберга: «В тот момент не было никаких сомнений, что речь идёт о вирусе, который имеет поддержку на государственном уровне».

О заказчиках

Несмотря на то, что официально разработчики вируса не были установлены, масштаб и сложность червя привели экспертов к выводу, что он мог быть создан только при государственном поощрении. Ни одно государство, разумеется, не призналось в своей причастности, однако в результате утечки  информации стало известно, что за этим могут стоять спецслужбы США и Израиля.

О последствиях

Этот случай застал врасплох многих  специалистов компьютерной безопасности. «Это была первая реальная угроза, которая могла бы привести к политическим последствиям мирового масштаба», – говорит представитель Symantec. «В сухом остатке мы имеем то, что государство тратит миллионы долларов на развитие подобного вида кибероружия, и эта тенденция только усилиться в будущем», – говорит Джеффри Карр –  основатель и генеральный директор Taia Global.

Хакеры могут повторно использовать некоторые, находящиеся в открытом доступе фрагменты и технологии для своих собственных атак.

Несмотря на то, что Stuxnet на время замедлил иранскую программу по обогащению урана, он не достиг своей конечной цели. При этом хакеры могут повторно использовать некоторые, находящиеся в открытом доступе фрагменты и технологии для формирования своих собственных атак. Преступники могут заниматься кибершпионажем для загрузки информации о клиентах из банков или причинения серьёзного ущерба.

Источник: IEEE Spectrum