Symantec удалось разобраться, что же делает червь Stuxnet, наделавший столько шума несколько месяцев назад.
Особенность Stuxnet в том, что он поражает систему управления промышленным предприятием. И не любую систему — он как самонаводящаяся ракета пытается отыскать вполне определённое предприятие со вполне определённым оборудованием. Никто, кроме авторов червя и, возможно, его жертв, не знал, какое именно.
Подробнее об этом в «Компьютерре» писал Бёрд Киви. Вот цитата из его статьи «Боевой червь Stuxnet».
Попадая в корпоративную сеть — на первом этапе через зараженное USB-устройство — Stuxnet использовал баги, повышающие его привилегии (EoP), чтобы получить доступ администратора к другим ПК, разыскивал системы, в которых работают программы управления WinCC и PCS 7 SCADA, захватывал эти системы, используя баг спулера печати, а затем пытался применять принятый по умолчанию фабричный пароль Siemens для захвата управления программным обеспечением SCADA.
В результате червь получал возможность перепрограммировать так называемую программу PLC (programmable logic control — программируемый логический контроллер), чтобы диктовать всем управляемым системой механизмам новые команды и инструкции. Попутно следует подчеркнуть, что опаснейшие коды атакующего червя для всякой зараженной системы выглядели совершенно легитимными, поскольку люди, стоявшие за созданием Stuxnet, предварительно похитили по крайней мере два цифровых сертификата, принадлежащие компаниям Realtek Semiconductor и JMicron Technology. Драйверы и программы этих фирм давно и прочно прописаны в операционных системах компьютеров, поэтому действия правильно подписанных кодов Stuxnet не вызывали абсолютно никаких сигналов тревоги.
О происхождении и цели червя можно было только гадать. Совершенно очевидно, что у заурядных вирусописателей отсутствуют навыки и ресурсы для сочинения и отладки такой программы. Вдобавок, у них точно нет информации о конфигурации промышленного оборудования жертвы. Зато и то, и другое в избытке имеется у спецслужб. Логично предположить, что это их рук дело.
Согласно популярной теории, Stuxnet создан израильскими или американскими спецслужбами. Его цель — секретный завод в Иране, где происходит обогащение урана для создания ядерного оружия. Взяв под контроль систему управления предприятием, Stuxnet попытается уничтожить оборудование или хотя бы нарушить производственный процесс. В результате иранская ядерная программа будет отброшена назад.
Данные, добытые на днях Symantec, добавляют этой версии достоверности. Специалисты Symantec стараются не делать выводы и приводят чистые данные, но этого достаточно.
По сведениям Symantec, червь Stuxnet разыскивал специфические промышленные преобразователи частоты, производимые только двумя компаниями: одна в Финляндии, другая — в Иране. Программа следила за работой преобразователей, и если частота оказывалась в диапазоне от 807 до 1210 герц, брала управление на себя. Частотные преобразователи могут использоваться для чего угодно, но такая высокая частота указывает на одно конкретное применение — центрифуги для обогащения урана.
Возможно, такое оборудование используется и в других целях, но в сочетании с остальными уликами теория про спецслужбы и Иран кажется всё более убедительной.
План завода, скорее всего, выглядит так.
На видео специалист Symantec демонстрирует работу Stuxnet. Правда, вместо внушительных центрифуг к заражённому ноутбуку подключен маленький компрессор, надувающий воздушный шарик. Попробуйте вообразить на месте шарика центрифугу.
Любопытно наблюдать, с каким энтузиазмом антивирусные компании набросились на этот вирус, не угрожающий, в сущности, их потенциальным клиентам. Впрочем, их можно понять. Во-первых, не каждый день и даже не каждый год им попадаются настолько интересные загадки. Про Stuxnet запросто можно написать технотриллер, и выйдет поинтереснее Дэна Брауна.
Во-вторых, они, похоже, почуяли запах военных денег. Нет ничего более прибыльного и надёжного, чем военные заказы. Если спецслужбы заинтересовались вредоносными программами, нужно показать им, кто тут главный по вредоносным программам — тогда в следующий раз они, возможно, придут к Symantec или F-Secure.