Атаковавший ядерные объекты Ирана червь Stuxnet поставил в тупик ученых

Червь Stuxnet, ставший после атаки на системы Иранской ядерной программы наиболее изучаемым в мире вредоносным ПО, был создан специально для того, чтобы вывести обогатительные центрифуги АЭС из-под контроля. Эта идея стала общей для ряда докладов, появившихся со стороны специалистов в минувшую неделю. Несмотря на то что многое в этом деле остается неясным, выводы специалистов проливают свет на события лета 2010 года, когда вирус впервые заявил о себе.

Напомним, червь win32/Stuxnet был обнаружен в промышленных системах, управляющих автоматизированными производственными процессами, в июне 2010 года. Это первый известный компьютерный червь, руткит которого действует на уровне логических контроллеров. Таким образом, Stuxnet заражает не столько программное обеспечение, сколько аппаратную основу системы, что значительно затрудняет борьбу с ним.

До начала этой недели аналитики также придерживались мнения, что червь Stuxnet был создан исключительно под оборудование корпорации Siemens, которое используется на большинстве предприятий отрасли в мире. Однако в докладе экспертов Symantec Эрика Чен, Николаса Фальера и Лайама Мурчу, опубликованном в пятницу, уточняется, что конкретной целью вредоносного ПО был перехват управления над частотным-конвертером— модулем, ответственным за скорость вращения центрифуг на АЭС.

Программный код вируса, как говорится в докладе, был обнаружен на конвертерах двух предприятий— Fararo Paya в Иране и Vacon в Финляндии. Ранее в четверг департаментом внутренней безопасности США, ведущем свое независимое расследование, эти данные были подтверждены.

Как уже отмечалось, в другом докладе, за авторством Дэвида Олбрайта, были описаны утилитарные характеристики вредоносного ПО. В частности, в том докладе говорилось, что при увеличении частоты вращения модулей, вызванном червем Stuxnet, может произойти полное разрушение блока центрифуг на обогатительном предприятии. Спекуляции вокруг АЭС

Напомним, в конце минувшего сентября свою точку зрения на проблему Stuxnet представил эксперт немецкого института высоких технологий IACS Ральф Лангнер.

По его словам, вирус специально создавался как кибернетическое оружие и, по-видимому, уже нанес Ирану ущерб. «Это не шпионская программа, она на 100% была нацелена на промышленный саботаж, — заявил Лангнер. — Вирус не похищал информацию, он наносил вред системе безопасности». Эксперт тогда заявил, что создать программу такой сложности могли только специалисты мирового уровня— работающие в передовых странах с соответствующими ресурсами.

По мнению Лангнера, именно из-за Stuxnet АЭС в иранском Бушере не начала работу в августе. Иранская сторона объясняла задержку жарой, однако, по словам Лангнера, она могла быть связана с тем, что кто-либо из российских специалистов на электростанции вольно или невольно подключил зараженный вирусом USB-накопитель в один из местных компьютеров. Бушерская АЭС создана на основе старых деталей Siemens российскими специалистами и при помощи российских технологий.

Позже немец представил еще более изощренную версию. Он сообщил, что внутри кода вируса был обнаружен файл, названный «Миртус». По его словам, это является прямой аллюзией на Эсфирь, что в свою очередь восходит к Книге Эсфирь, содержащейся в Ветхом Завете и рассказывающей о том, как иудеи смогли предупредить заговор персов, желавших их уничтожить. Лангер считает, что подобная коллизия коннотирует современный израильско-иранский конфликт.

Вместе с этим, на прошлой неделе немец написал в своем блоге, что в блоке данных внутри кода Stuxnet также содержится упоминание даты «24 сентября 2001 года»— времени, когда сам вирус еще даже не был написан. Он отметил, что это тоже какой-то символ или предупреждение, о смысле которого он пока не может судить.

Спекуляции вокруг червя Stuxnet действительно множатся в огромных количествах. Еще месяц назад агентство Symantec, которое публикует сегодня серьезные доклады, сообщало, что в программе была обнаружена интересная последовательность цифр— 19790509. С виду кажущаяся случайной, она, по словам экспертов агентства, может содержать в себе глубокий смысл. По их словам, этот числовой ряд можно интерпретировать как упоминание даты— 9 мая, 1979 года, — день, когда был в Иране был казнен израильско-иранский бизнесмен Хабиб Элганиан, обвиненный Тегераном в шпионаже в пользу Израиля. Странный червь

Несмотря на постоянное обновление данных по вирусу Stuxnet, российские специалисты в области кибербезопасности отмечают, что до сих пор судить о черве достаточно сложно.

«Да, безусловно, в последнее время появилось несколько больше информации о целях и функционировании Stuxnet. К сожалению, вокруг него долгое время из-за ажиотажа было слишком много домыслов, много курьезных. Сейчас, когда ажиотаж потихоньку спадает, а данные анализа попадают в прессу, начинает вырисовываться относительно ясная картинка, но она далека от полной.
Сразу можно оговориться, что, несмотря на масштабное исследование, проведенное агентством Symantec, цель этой вредоносной программы по-прежнему не ясна совершенно», — рассказал в разговоре с GZT.RU руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров.

По его словам, любая публикация по этой теме неизбежно ведет к появлению все новых спекуляций.

«Symantec опубликовали данные своего исследования, и, несмотря на то, что они сами не претендуют на полное раскрытие, вокруг их публикации снова начинаются спекуляции», — говорит эксперт.

Гоподин Комаров отмечает, что в данном случае предполагается, что Stuxnet, дескать, должен был не давать работать центрифугам, используемым для обогащения урана.

«Но этого им мало, они снова стали вспоминать Библию, Эсфирь и прочие пустые, на наш взгляд, домыслы. Сейчас ясно только то, что Stuxnet мог работать на системах управления центрифугами и мог влиять на них. Но для чего это, какова его конечная цель — пока не ясно. Мы надеемся, что специалисты из атомной энергетики раскроют этот вопрос, без них никак не обойдется», — подчеркнул эксперт.