Stuxnet

Win32/Stuxnet — сетевой червь, поражающий компьютеры под управлением операционной системы Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда»[1]. Вирус был обнаружен не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами.

Цель атаки

править

Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens[2]. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п.[3]

Уникальность программы заключалась в том, что впервые в истории кибератак вирус физически разрушал инфраструктуру[4].

Предполагаемое происхождение вируса

править

Существует предположение[5], что Stuxnet представляет собой специализированную разработку спецслужб Израиля и США, направленную против ядерного проекта Ирана. В качестве доказательства упоминаются завуалированные упоминания слова MYRTUS, содержащиеся в коде червя. Кроме того, в коде единожды встречается никак не объяснённая дата 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника Хабиба Элгханиана, еврея по национальности.

Американский журналист Дэвид Сангер в книге «Противостоять и скрывать: тайные войны Обамы и удивительное использование американской силы»[6] утверждает, что Stuxnet был частью антииранской операции «Олимпийские игры» американского правительства[7].

New York Times пролила свет на происхождение вируса Stuxnet. Издание утверждает, что эта программа была разработана совместно разведывательными службами США и Израиля, а израильтяне уже испытали вирус в своём центре в городе Димона, в пустыне Негев. В газете утверждается, что вирус был разработан в Димоне не позже 2009 года, и им была успешно заражена компьютерная система ядерной программы Ирана. Бывший аналитик ЦРУ Мэтью Барроуз в книге «Будущее рассекречено» пишет, что червь Stuxnet «смог, пусть и на короткое время, приостановить иранскую ядерную программу. Он нарушил работу почти 1000 центрифуг для обогащения уранового топлива. По мнению экспертов, иранцы, обнаружив вирус и избавившись от 1000 зараженных устройств, смогли предотвратить больший ущерб»[8].

Кроме того, госсекретарь США Хиллари Клинтон в 2011 году заявила, что проект по разработке вируса Stuxnet оказался успешным, и иранская ядерная программа таким образом будет отброшена на несколько лет назад[9].

В сентябре 2019 года опубликовано журналистское расследование, согласно которому заражение вирусом иранского центра по обогащению было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада[10].

В январе 2024 года голландские журналисты опубликовали расследование, согласно которому в 2008 году 36-летний голландец Эрик ван Саббен проник на иранский ядерный комплекс в городе Натанза и занёс Stuxnet в сеть АСУ ТП. Эрик ван Саббен был завербован голландскими спецслужбами AVID и MVID по заданию американских спецслужб. Ван Саббен был завербован AIVD в 2005 году. Его технический опыт, многочисленные контакты в регионе и связи с Ираном (он уже вел бизнес в Иране и был женат на иранской женщине, у которой есть семья в стране) сделали его идеальным для этой миссии. Исследователи пришли к выводу, что Ван Саббен немедленно покинул Иран после успешного саботажа ядерной программы страны. Две недели спустя он погиб в аварии на мотоцикле недалеко от своего дома в Дубае[11].

Технология

править

Данный вирус использует четыре уязвимости системы Microsoft Windows (уязвимость «нулевого дня» (zero-day) и три ранее известные уязвимости).

  • Уязвимость в обработке LNK/PIF-файлов (MS10-046). Позволяет червю распространяться через внешние носители. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в Проводнике Windows[12][13].
  • Уязвимость в буфере печати Windows (Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)). С её помощью червь распространяется по сети[14].
  • Уязвимость в обработке RPC (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)). Позволяет червю распространяться через сетевой протокол Windows (SMB)[14].

Оставаться незамеченным антивирусными программами ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron).

Объём исходного текста вируса составляет примерно 500 КБ кода на языке ассемблера, С и C++.

См. также

править

Примечания

править
  1. Teague Newman, Tiffany Rad, John Strauchs. "Уязвимости SCADA и PLC в исправительных учреждениях". securitylab.ru (10 ноября 2011). Дата обращения: 13 сентября 2012. Архивировано 31 июля 2013 года.
  2. Описание Win32.Stuxnet.a в «Вирусной энциклопедии» Е. Касперского
  3. Официальное письмо Siemens о вирусе Stuxnet с комментариями.
  4. Stuxnet: война 2.0. Дата обращения: 1 сентября 2014. Архивировано 18 апреля 2015 года.
  5. За червём Stuxnet и впрямь стояли израильские спецслужбы. Дата обращения: 22 марта 2011. Архивировано из оригинала 24 марта 2011 года.
  6. Генпрокуратура США назначила спецпрокуроров, которые займутся чередой скандальных утечек. Дата обращения: 12 июня 2012. Архивировано 11 июня 2012 года.
  7. Stuxnet был частью операции «Олимпийские игры», которая началась ещё при Буше. Дата обращения: 12 июня 2012. Архивировано 4 июня 2012 года.
  8. Барроуз, Мэтью. Глава 7. Возвращение к миру в войне? // Будущее рассекречено: Каким будет мир в 2030 году. — Манн, Иванов и Фербер, 2015. — С. 193. — 352 с. — ISBN 978-5-00057-589-5.
  9. Подготовка к запуску Бушерской АЭС проходит в атмосфере домыслов и слухов Архивная копия от 3 января 2020 на Wayback Machine / ИноСМИ, 2011-01-19, перевод Rumors mount as Bushehr nuclear plant readies for power launch Архивная копия от 6 апреля 2015 на Wayback Machine // RT January 18, 2011
  10. СМИ: вирус на завод в Натанзе занес иранский инженер, завербованный Израилем, США и Нидерландами. Дата обращения: 11 сентября 2019. Архивировано 3 сентября 2019 года.
  11. Dutch man sabotaged Iranian nuclear program without Dutch government's knowledge: report (англ.). NL#TIMES (8 января 2024).
  12. Безопасность SCADA: Stuxnet – что это такое и как с ним бороться. SecurityLab. Дата обращения: 24 ноября 2024. Архивировано 3 октября 2024 года.
  13. Неудержимый червь Stuxnet. 3D News. Дата обращения: 24 ноября 2024. Архивировано 26 мая 2024 года.
  14. 1 2 Досье на W32. Stuxnet Версия 1.4 (февраль 2011 г.). Международная жизнь. Дата обращения: 24 ноября 2024. Архивировано 7 марта 2021 года.

Ссылки

править