В конце сентября стало известно, что вирус Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы и пресловутый «человеческий фактор», Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Заказчик – неизвестен. Исполнитель – нерадивый сотрудник Siemens, вставивший зараженную флэшку в компьютер. Ущерб, нанесенный ядерным объектам Ирана, сопоставим с ущербом от атаки израильских ВВС. Мир заговорил о войнах нового поколения.
Этот вирус умеет распространяться через флэш–устройства, что, казалось бы, совершенно бессмысленно в наш век Интернета. Для работы он использует две доселе неизвестных дыры в операционных системах и две дыры малоизвестных, нераспространённых и незакрытых. Он подписан реальными цифровыми подписями, необходимыми для установки себя как драйвера; подписи эти, похоже, были украдены из двух тайваньских компаний, возможно даже физически, благо компании эти находятся в одном здании. Он умеет принимать команды децентрализованно, практически по p2p. Наконец, он довольно солидный: полмегабайта кода на ассемблере, С и С++.
Но всё это мелочи, потому что гораздо интереснее две других его особенности. Во–первых, он был обнаружен не в сетях США, Китая или прочих крупных поставщиков пользователей Интернета, а в… Иране. Именно там находится 60% зараженных машин. Во–вторых, его не интересуют пароли и номера кредиток, да и спам он не рассылает. Нет, этот диверсант занимается вредительством на производстве, поражая индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC производства Siemens.
Однако и это ещё не всё. Проникая на производство — кстати, именно через флэшки, Интернет там редкость — этот вирус прописывал себя на специфичные для систем контроля чипы. Для этого он отлавливал все обращения к чипам, добавлял себя при записи и стирал упоминания о себе при чтении данных с чипов. Какую хирую логику он запихивал в эти чипы и для чего это нужно пока не очень понятно.
Понятно другое: мы имеем вирус, созданный командой профессионалов для точечной атаки на конкретное предприятие или группу предприятий, скорее всего в Иране; Siemens подтвердила наличие вируса на пяти комплексах в Германии, однако там он пыхтел вхолостую, потому что конфигурация систем управления не совпала. Вирус, управляемый децентрализованно, а значит крайне сложно будет найти тех, кто из темноты дёргает за ниточки.
Так не что же он нацелен? А вот есть подозрение, что на атомную программу Ирана. Под управлением WinCC работает как минимум строящийся атомный реактор в Бушере — тот самый, на котором Иран собирается обогощать уран. Это только предположение, нам неизвестно, сколько ещё фабрик, заводов и пароходов в Иране пользуется этой системой, но предположение весомое. Например, приблизительно год назад, как раз когда вирус был запущен, на заводе по обогощению урана в Натазе что–то взорвалось, уменьшив количество работающих центрифуг на четверть и вызвав увольнение главы той самой иранской атомной программы. Даже СМИ в стране победившей исламской революции писали о нём, хотя и неохотно.
Кстати, американский эксперт Скотт Борг из околоправительственной организации US Cyber Consequences Unit как раз год назад предлагал заражать иранские ядерные объекты через USB–драйвы.
