Блог компании Positive Technologies | Stuxnet - червь из пустыни Негев

17 июня 2010 года произошло значимое событие в истории кибербезопасности. Антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда» обнаружил легендарный компьютерный червь Stuxnet.

Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир. Это первая вредоносная программа, которая смола испортить не только данные и программный код, но и вполне реальные машины и установки.

Гроза промышленных систем

Специалисты, исследовавшие образец вредоносной программы, выяснили, что компьютерный червь Stuxnet используется для атак на ПО класса SCADA — системы управления и контроля, используемые в промышленности. В арсенале вредоноса имеется целых четыре уязвимости «нулевого дня», что значительно повышает эффективность его атак. По мнению экспертов, вирус был создан для осуществления целевых атак на промышленные объекты стратегической важности.

Stuxnet атакует на уровне логических контроллеров, заражая аппаратную основу системы. Целями червя являются частотные преобразователи частотно-регулируемых приводов (VFD). Среди частот, найденных в теле вируса, также обнаружились характеристики, подходящие для электроники центрифуг, используемых на ядерных объектах в Иране.

Завод в Натанзе

На стыке 2009-2010 годов, специалисты демонтировали и заменили порядка 1000 центрифуг на иранском заводе по обогащению урана в Натанзе. Иранские центрифуги выходили из строя довольно часто, но замена столь большой партии заставила экспертов задуматься и начать поиски следов саботажа.

Расследование выявило признаки диверсии. Но никто не предполагал, что катастрофические разрушения вызвал не человек, а вредоносная компьютерная программа. Центр по обогащению урана стал жертвой вируса Stuxnet.

Отметим, что завод в Натанзе – это строго охраняемый режимный объект, куда невозможно проникнуть постороннему. Системы управления центрифугами не были подключены к интернету и управлялись только с территории завода. Тогда каким образом вирус попал на предприятие?

Флешка с «сюрпризом»

По данным журналистского расследования, опубликованного в 2019 году, заражение вирусом завода в Натанзе было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада. Шпион вставил в компьютер флешку с вредоносным ПО, запустив червя в систему предприятия.

Stuxnet – это скрытный и невероятно коварный кибердиверсант. Вредоносная программа с инженерной точностью изменяла частоту вращения центрифуги. Червь филигранно обходил защиту автоматики от резких скачков частоты, постепенно расшатывал устройство и выводил его из строя, не привлекая лишнего внимания. Работники завода заподозрили неладное лишь когда число испорченных центрифуг приближалось к тысяче.

По мнению специалистов, Stuxnet является чрезвычайно высокотехнологичным вредоносным ПО во всех его проявлениях. Очевидно, над программой отлично поработали не только талантливые хакеры, но и не менее талантливые инженеры, знакомые с оборудованием центра по обогащению. Но кто же они?

Неспортивные олимпийские игры

Предполагается, что Stuxnet был создан в рамках антииранской операции «Олимпийские игры», инициированной президентом Бушем и продолженной администрацией Обамы.

New York Times уточняет, что вредоносная программа разрабатывалась совместно разведывательными службами США и Израиля. По данным издания, червь был создан и испытан в городе Димона в пустыне Негев не позже 2009 года. 

Госсекретарь США Хиллари Клинтон в 2011 году заявила, что проект по разработке вируса Stuxnet оказался успешным. И благодаря действиям червя-диверсанта иранская ядерная программа была отброшена на несколько лет назад.

После того, как ядерный центр Натанз был остановлен, казалось, Stuxnet свою миссию выполнил и должен уйти на покой. Однако все сложилось иначе. Продвинутый вирус заразил компьютерные системы контрагентов завода и начал победоносное шествие по всему миру.

Но это уже совсем другая история…