Компания Symantec, специализирующаяся на компьютерной безопасности, выпустила небезынтересный документ. Он посвящен компьютерному вирусу Stuxnet, впервые зарегистрированному в июне 2009-го года. Как пишут в экспертном заключении, этот вирус представляет «невероятно большую опасность на комплексном уровне». Он заражает компьютеры и серверы под Windows и представляет угрозу прежде всего особому типу оборудования. Какому – мы узнаем чуть ниже, а сначала – статистика.
По состоянию на 29 сентября 2010-го года вирус заразил примерно 100 тысяч хостов. Из них свыше 60 тысяч в Иране, около 13 тысяч в Индонезии и примерно 7 тысяч в Индии. В процентном отношении это 58% – Иран, 18% – Индонезия, 10% – Индия. На США – для сравнения – пришлось менее 1% заражений вирусом. В России их и того меньше. Дальше еще интереснее. Вирус, как оказалось, заражает хосты с установленной системой Simatic WinCC SCADA компании Siemens. Эта система служит для управления производственным оборудованием. Примерно 68% всех заражений в Иране пришлось именно на хосты с этой системой.
Казалось бы, причем тут обогащение? Дело в том, что эта система Siemens используется для контроля оборудования для обогащения урана. Вирус, согласно заключениям специалистов Symantec и других экспертов, поражает контроллеры частоты напряжения, которое подается на электромоторы. Причем не любые, а только контроллеры, поставляемые иранской компанией Fararo Paya или финской компанией Vacon. Именно эти контроллеры и установлены на иранских уранообогатительных комбинатах в Бушере и Натанзе.
После проникновения вирус начинает изменять сигналы контроля, посылаемые системой на периферию. При нормальной работе система задает рабочую частоту в 600 Гц. Вирус меняет ее вначале на 1410 Гц, затем на 2 Гц, а потом на 1064 Гц. Делает он это не постоянно, а периодически и на короткие промежутки времени. Таким образом, тем, кто следит за работой системы, эти изменения незаметны. Так пишет эксперт Symantec в своем блоге.
Эксперты сходятся во мнении, что создатели Stuxnet ставили целью получить вирус, который бы работал в системе длительное время и вызывал незаметный технологам саботаж системы обогащения урана.
Журнал Wired, ссылаясь на WikiLeaks, пишет, что в 2009-ом году было отмечено снижение числа активных центрифуг, обогащавших уран в Иране, – с 4700 до 3900. Журнал высказывает предположение, что это может быть связано с распространением вируса, происходившем в Иране именно в 2009-ом.
Вирус был впервые обнаружен белорусской компанией Virusblokada, которая специализируется на компьютерной безопасности, в одном из компьютеров у иранского клиента.
Вирус использует несколько уязвимых звеньев в системе Windows. Среди них – LNK/PIF Files Automatic Execution, Windows Print Spooler Service Remote Code, через SMB при помощи уязвимости в Server Service RPC.
История этого вируса и его возможного участия в срыве обогащения урана на иранских предприятиях лишь недавно стала достоянием общественности. Нет сомнений, что она будет развиваться, и что в ней может обнаружиться много нового. Она тем интереснее, что перед нами может быть пример войны будущего, которая будет вестись без запусков ракет. Военный потенциал страны, как видно из этой истории, уже сегодня напрямую зависит от компьютерной безопасности. Способность наносить киберудары вскоре может на деле оказаться эффективнее крылатых ракет.
В заключение один небольшой, но ценный вывод. Любая система уязвима, но система с закрытым кодом уязвима так, что саму угрозу и методы ее распространения не удается ни предсказать, ни нейтрализовать заранее. Как следует из примера этого вируса, даже после заражения и активации его действие может долгое время оставаться незамеченным и приводить к очень серьезным последствиям. В этом смысле система с открытым кодом предпочтительнее на порядки.
Дмитрий Крылов, PhD, независимый эксперт по инновационным технологиям