Один из наиболее технически совершенных компьютерных вирусов был, вероятно, нацелен на срыв работы важнейших объектов инфраструктуры Ирана, - такое мнение высказали эксперты в интервью Би-би-си.
Некоторые специалисты считают, что сложность вируса Stuxnet указывает на то, что он мог быть написан только по заказу государства.
По имеющимся оценкам, это первый известный вирус, созданный для срыва работы реальных объектов инфраструктуры, таких как электростанции, водоочистные сооружения и промышленные предприятия.
Вирус был обнаружен в июне 2010 года и с тех пор стал объектом интенсивного изучения.
"Тот факт, что случаев заражения в Иране значительно больше, чем где бы то ни было в мире, наводит на мысль, что этот вирус нацелен конкретно на Иран, и что в Иране есть что-то, что имеет огромную важность для того, кто этот вирус написал," - заявил в интервью Би-би-си сотрудник компании Symantec Лиам О'Мораху, который занимается этим вирусом с момента его обнаружения.
Некоторые высказывали предположения, что вирус мог быть нацелен на срыв работы Бушерской АЭС или предприятия по обогащению урана в Натанце.
Однако и О'Мораху, и другие - в частности, эксперт по безопасности Брюс Шнейер - считают, что для выводов о том, какова была цель создания вируса и кто может являться его автором, данных пока недостаточно.
По данным Symantec, в Индии и Индонезии этот вирус тоже встречается достаточно часто.
"Единый пакет"
Вирус Stuxnet был впервые идентифицирован фирмой, расположенной в Белоруссии, в июне 2010 года. Но не исключено, что он циркулировал с 2009 года.
В отличие от обычных вирусов, этот "червь" нацелен на системы, которые, как правило, не подсоединяются к интернету из соображений безопасности.
Вместо этого вирус распространяется по машинам с операционной системой Windows через порты USB - с помощью зараженных флэш-карт и других подобных приспособлений.
Попав в машину, входящую во внутреннюю сеть компании, вирус определяет специфическую конфигурацию программного обеспечения промышленного контроля, которое разрабатывает компания Siemens. После этого код может менять содержание так называемого ПЛК (программируемого логического контроля) и давать подсоединенному к сети промышленному оборудованию новые команды.
"ПЛК включает и выключает моторы, следит за температурой, включает охлаждение, если датчик показывает превышение определенной температуры," - поясняет Лиам О'Мораху.
"На нашей памяти такие объекты не становились объектами кибер-атак", - говорит он.
Если вирус не обнаруживает специфической программной конфигурации, он остается сравнительно безвредным.
Вызывает удивление, однако, сложность использованного при написании вируса кода, а также число примененных и сведенных в единый "пакет" различных технических приемов.
"В нем применено множество новых алгоритмов и приемов, с которыми мы прежде не сталкивались", - говорит специалист. В их числе - способность "прятаться" внутри ПЛК, а также применение шести различных методов, позволяющих вирусу распространяться.
Кроме того, для проникновения в систему Stuxnet использует несколько до сих пор не опознанных и не закрытых "дыр" в ОС Windows, которые называют "уязвимостями нулевого дня" (zero-day exploits).
"Нечасто видишь атаку с использованием даже одной такой уязвимости нулевого дня, - сказал Би-би-си Микко Хиппонен, ведущий сотрудник исследовательского отдела фирмы F-Secure. - Stuxnet их использует не один и не два, а целых четыре".
По его словам, киберпреступники и "рядовые хакеры" очень ценят "уязвимости нулевого дня" и не стали бы "шиковать", упаковывая сразу четыре в один-единственный вирус.
На сегодняшний день компания Microsoft поставила "заплатки" на две из четырех этих "дыр".
"Национальное государство"
По словам Лиама О'Мораху, его данные поддерживают вывод о том, что в разработку вируса вложена масса усилий.
"Это очень большое предприятие, очень хорошо спланированное и хорошо финансируемое, - говорит он. - В программу включен огромный объем кода просто для проникновения в эти машины".
Его заключения подтверждаются данными исследований других фирм и специалистов по компьютерной безопасности.
"С полученными на сегодняшний день данными уже абсолютно ясно и доказуемо, что Stuxnet - спланированная и целенаправленная диверсия с использованием большого объема внутренней информации", - пишет в опубликованном в интернете докладе Ральф Лэнгер, специалист по промышленной компьютерной безопасности.
"Это не какой-то хакер, засевший в подвале родительского дома. Мне представляется, что ресурсы, необходимые для осуществления такой атаки, указывают на национальное государство", - заявляет Лэнгер.
От интервью с Би-би-си он отказался, но широкое внимание привлекла его гипотеза, что целью вируса Stuxnet является Бушерская АЭС.
В частности, он обратил внимание на фотографию, якобы сделанную внутри станции, из которой следует, что там применяются как раз намеченные в качестве целей контрольные системы, хотя они "не лицензированы и не сконфигурированы должным образом".
Лиам О'Мораху считает, что делать однозначные выводы пока нельзя. Однако он рассчитывает, что ситуация изменится, когда он обнародует данные своих исследований на будущей неделе в Ванкувере.
"Мы не знаем, какие конфигурации используются в различных сферах промышленности", - говорит он. И выражает надежду, что другие специалисты смогут познакомиться с результатами их исследований и помогут определить конкретную конфигурацию и сферы, где она применяется.
"Ограниченный успех"
Представитель Siemens, разработчика систем, которые оказались мишенью вируса, сказал, что не будет комментировать "слухи по поводу объекта вирусной атаки".
По его словам, ядерная электростанция в Бушере строилась с помощью российского подрядчика и Siemens к этому отношения не имеет.
"Siemens не участвовала в восстановлении Бушера или строительстве какого-либо ядерного объекта в Иране и не поставляла никакого программного обеспечения или контрольной системы, - заявил представитель. - Siemens ушла из Ирана почти 30 лет назад".
Siemens заявляет, что компании известно о 15 случаях проникновения вирусов в промышленные контрольные системы, в основном в Германии.
При этом "не было ни одного случая, когда бы воздействию подвергся производственный процесс или была бы сорвана работа предприятия, - сказал представитель. - Во всех известных нам случаях вирус был удален".
Он также пояснил, что по глобальным стандартам безопасности программное обеспечение Microsoft "не может применяться для управления критически важными процессами в производстве".
Вредные компьютерные "черви", влияющие на деятельность объектов инфраструктуры, обнаруживаются не впервые, хотя большинство таких инцидентов происходят случайно: вирус, предназначенный для проникновения в другую систему, неожиданно срывает работу реальных объектов.
В 2009 году правительство США признало факт обнаружения программы, способной привести к закрытию национальной электроэнергетической системы.
По словам Микко Хиппонена, ему известно об атаке с помощью зараженных флэш-карт на военные системы одной из стран НАТО.
"Нам не известно, добился ли своей цели нападавший", - сказал он.
Лиам О'Мораху представит свой доклад по Stuxnet на конференции "Вирусный бюллетень-2010" в Ванкувере 29 сентября. Свои новые выводы там же представят сотрудники лаборатории Касперского.
Источник www.bbc.co.uk
|