Wsn270910
28 сентября 2010 г.Эксперты всего мира лихорадочно работают над расшифровкой компьютерного вируса Stuxnet, которому, судя по всему, суждено войти в историю. На первый взгляд, эта вредоносная программа мало чем отличалась от сотен других так называемых троянов, распространяемых злоумышленниками через Интернет и инфицирующих массы компьютеров по всему миру.
Троянов - много, а Stuxnet - один
Троян - это виртуальный троянский конь. Его задача - проникнуть внутрь обороняемого объекта и овладеть им. Преодолев барьер антивирусной программы и внедрившись незаметно для пользователя в операционную систему его компьютера, современные трояны берут ее под свой контроль. Например, открывают мошенникам доступ к интересующей их информации - чаще всего, паролям, с помощью которых те могут снять деньги с банковского счета жертвы или воспользоваться его кредитной карточкой.
Интернет кишит такими троянами, червями, и все они используют для проникновения в операционную систему (как правило, речь идет о Windows) какое-то слабое ее место, ошибку в программировании. Поэтому компания Microsoft как разработчик Windows регулярно актуализирует свои операционные системы, закрывая обнаруженные лазейки. А до тех пор, пока ошибка не устранена, проникновению троянов препятствуют антивирусные программы, базы данных которых обновляются чуть ли не ежечасно.
Особенность супертрояна Stuxnet состоит в том, что он использует новую, ранее никем не замеченную брешь в операционной системе (Zero Day Exploit). И брешь эта существует уже очень давно, поскольку Stuxnet инфицирует компьютеры чуть ли не с любой версией операционной системы Windows - от "древней" Windows-2000 до самых последних. Кроме того, экспертов поразила эффективность трояна: достаточно вставить в USB-разъем любого компьютера инфицированную флэш-карту, и шпионская программа автоматически перескакивает на операционную систему, невзирая на антивирусную защиту.
Из пушки - по воробьям?
Понятно, что лазейки, позволяющие осуществлять столь эффективные кибер-атаки, обнаруживаются крайне редко. На черном рынке за указание на такую лазейку легко можно выручить несколько сотен тысяч долларов. Покупатели - эксперты-консультанты в области компьютерной безопасности, спецслужбы, правительственные учреждения. Использовать же такую уникальную лазейку для того, чтобы выведывать у частных лиц пароли к кредитным карточкам - все равно что стрелять из пушки по воробьям. Уже одно то, что разработчик столь эффективного оружия не попытался его продать, удивило специалистов. Однако дальнейший анализ трояна и вовсе поверг их в ступор.
Оказалось, что после проникновения через USB-разъем Stuxnet внедряет в один из ключевых файлов операционной системы специальную программку, используя для этого еще одну глобальную, ранее не выявленную брешь. И вообще весь супертроян, как выяснилось, имеет многослойную структуру наподобие русской матрешки: удалив один слой компьютерного кода, специалисты неизменно обнаруживали под ним хорошо защищенный другой слой, и так уже четыре раза, а анализ еще не завершен. Но уже ясно, что Stuxnet использует, по меньшей мере, четыре глобальные, ранее неизвестные бреши в операционной системе Windows, а еще - две поддельные цифровые подписи, которыми производители определенных прикладных программ удостоверяют их аутентичность.
Просто продав такую информацию на черном рынке, создатели Stuxnet могли бы получить за нее более миллиона долларов. Однако они этого не сделали. Но тогда с какой целью создавался этот уникальный троян? И кто его создавал?
Скрытая диверсия
Самая последняя из расшифрованных на данный момент "матрешек" Stuxnet содержит программу для целенаправленного изменения параметров технологических процессов. Ведь сегодня все управление промышленным производством осуществляется на основе информации, поступающей от компьютерных датчиков. Они измеряют и поддерживают оптимальную температуру или давление, контролируют химический состав сырья и время включения и выключения того или иного компонента оборудования. Причем и визуализация отдельных параметров, то есть их графическое изображение на экране мониторов, и централизованное программирование отдельных управляющих компьютеров функционируют обычно на базе операционной системы Windows. Троян Stuxnet ищет именно эти элементы визуализации и через них внедряется в управление всем технологическим оборудованием.
Эксперты полагают даже, что Stuxnet может не только изменять параметры процессов, но и делать это так, что изменения не отразятся на экранах контрольных мониторов. То есть оператор, несмотря на диверсию, не заметит ничего подозрительного - по крайней мере, до тех пор, пока техногенная катастрофа не станет неизбежной.
Цель - иранская ядерная программа?
Поскольку каждое промышленное производство имеет свою специфику, Stuxnet не может эффективно функционировать везде. Он имеет узкую специализацию, и разработчики супертрояна, чтобы обеспечить его эффективность и безотказность, должны были обладать чрезвычайно точными и детальными знаниями о конкретном производстве. Речь идет, видимо, об обогащении урана, а мишенью кибер-атаки стал Иран. Прямых доказательств пока нет, но ряд аргументов говорит в пользу именно этой версии.
Показательно, что 60 процентов случаев выявления трояна приходятся именно на долю Ирана. Но еще важнее то, что, по некоторым данным, именно весной 2009 года в иранском ядерном центре в Натанце произошла авария, настолько серьезно затормозившая обогащение урана, что главе атомного ведомства страны, по сообщениям СМИ, пришлось уйти в отставку. С тех пор данные МАГАТЭ говорят о том, что количество работающих центрифуг в Иране неуклонно снижается, хотя их общее количество столь же неуклонно растет.
Интересно, что Stuxnet был запрограммирован так, что должен был прекратить свое распространение в январе 2009 года. Это не произошло из-за наличия компьютеров с переставленным назад календарем (этот прием используют, чтобы нелегально продлить срок действия лицензионного программного обеспечения). Stuxnet продолжал распространяться и, может быть, только поэтому был, в конце концов, обнаружен.
Эксперты подчеркивают: создание такого высокоточного и высокотехнологичного кибер-оружия едва ли под силу частным лицам или криминальным группировкам. Судя по всему, здесь потрудились спецслужбы одного из технологически высокоразвитых государств.
Автор: Владимир Фрадкин
Редактор: Ефим Шуман