Летом и осенью 2010 года эксперты всего мира лихорадочно исследовали компьютерный вирус Stuxnet . Чем он так их заинтересовал? Ведь вирусов в Интернете каждый день хоть отбавляй…
Винцес Бугинскас , г. Калининград
На первый взгляд, данный вирус мало чем отличался от других так называемых «троянов» или «троянцев», названных так по аналогии с мифическим троянским конем. Если помните мифы Древней Греции, Трою удалось взять лишь после того, как в город попала деревянная статуя коня, оставленная нападавшими перед уходом. Ночью из статуи выбрался отряд воинов, которые перебили стражу и открыли городские ворота. Троя пала.
Точно так же и вирусы-«троянцы». Прикидываются безобидными, но, преодолев барьер антивирусной защиты и попав внутрь операционной системы компьютера, могут передавать своему хозяину секретную информацию из зараженного компьютера.
Интернет буквально кишит подобными «червями», «троянами» и прочими вирусами. И все они ищут слабые места операционной системы — обычно типа Windows, используя ошибки, допущенные ее создателями. Эксперты компании Microsoft, конечно, периодически присылают пользователям «заплаты» для операционной системы.
Однако хакеры всегда идут на шаг впереди защитников, создавая все новые вирусы. Но даже на таком фоне эта атака вируса Stuxnet была особенной. Хотя бы уже потому, что вирус использовал не одну, а сразу четыре лазейки, обнаруженные его создателями в операционной системе. Причем он может атаковать любую операционную систему, начиная с довольно древней по современным меркам Windows 2000 и кончая самой последней модификацией — Windows 7.
При этом достаточно подключиться к Интернету или вставить зараженную флэшку в USB-разъем, как вирус моментально внедряется в операционную систему, и никакая защита ему не помеха.
Если бы такой вирус «сочинил» какой-нибудь хакер, то он мог бы потом заработать большие деньги, предложив эффективный способ лечения зараженных компьютеров. Уж он-то знал бы, как это делается.
Однако таких предложений ни от кого не поступило. Кроме того, сам вирус какой-то странный. Выяснилось, что он не крадет данные банковского счета, зато может нарушить работу технологической системы контроля и управления производством SIMATIC WinCC, поставляемой корпорацией Siemens.
Да и сам вирус, как оказалось, имеет весьма сложную многослойную структуру. Расшифровав один компьютерный код, специалисты обнаруживали под ним другой. И так повторялось четыре раза.
В общем, вирус последовательно использовал по меньшей мере четыре глобальные, ранее не замеченные специалистами бреши в программе Windows. Чтобы найти такие бреши и разработать столь сложную вирусную программу, команде высококвалифицированных специалистов пришлось потратить, по крайней мере, несколько месяцев. К такому выводу пришли эксперты.
Вредоносный код был обнаружен специалистами еще в июне 2010 года, в середине июля информация о нем была опубликована в открытых источниках. Поскольку компьютеры, на которых работает программное обеспечение, управляющее оборудованием фирмы Siewens, обычно не подключены к Интернету, чтобы уменьшить риск заражения, вероятно, именно поэтому вирус спроектирован так, чтобы проникать в систему на инфицированном USB-носителе.
Когда устройство подключается к компьютеру, вирус тут же копирует себя на другие обнаруженные USB-носители и сканирует компьютер в поисках SIMATIC WinCC.
Если софт обнаружен, вирус пытается получить контроль над ним. Если вирус не обнаруживает SIMATIC WinCC, то он все равно заражает ПК, который в дальнейшем может выступать как разносчик инфекции.
Эксперты предполагают, что вирус создавался под конкретную цель, поскольку, если бы задачей ставилось поразить как можно больше компьютеров, для атаки было бы разумнее выбрать не SIMATIC WinCC, а какую-нибудь более популярную систему аналогичного класса.
Специалисты называют несколько сценариев, которыми хакеры могут воспользоваться для получения выгоды от атаки на программное обеспечение предприятий. В частности, это может быть блокировка системы до момента, пока руководство объекта не заплатит злоумышленникам. На фабриках интерес также может представлять детальная информация о производственном процессе, которая облегчит изготовление высококачественных подделок. Кроме того, SIMATIC WinCC нередко используется для управления работой электростанций, что дало повод для обсуждений в Интернете возможности использования вируса для совершения диверсий.
«Собранная нами статистика распространения вируса показывает, что наибольшее число зараженных систем сосредоточено в Индии, Иране и Индонезии. В каждой из этих стран за четыре дня было зафиксировано более 5000 зараженных систем. А, например, в соседствующем с Индией Китае отмечено лишь 5 случаев, что довольно странно», — сказал один из аналитиков. В России было зафиксировано за тот же период лишь около 150 зараженных систем, то есть в нашей стране об эпидемии речи явно не идет.
Скорее всего, этот уникальный проект создавался, чтобы нарушить работу какой-то конкретной технологической системы, использующей именно SIMATIC WinCC. Причем вирус делает это так хитро, что оператор ничего не будет замечать до тех пор, пока вся технологическая цепочка не пойдет вразнос.
Именно это, по всей вероятности, произошло в системе управления агрегатами обогащения урана, которые готовили топливо для Бушерской АЭС в Иране. В итоге пуск атомной электростанции был отложен, по крайней мере, на полгода, до начала 2011 года. Иранцы полагают, что атака хакеров была подготовлена специалистами Израиля или США — стран, которые выражают наибольшее недовольство иранской ядерной программой.
Так это или нет, доподлинно не известно. Но данная история реально показала, что человечество вступило в новую эпоху — эпоху виртуальных войн, когда в ходе невидимых сражений будут поражаться в первую очередь не люди, но компьютеры, которым мы с каждым днем даем все больше самых разных ответственных поручений.