Stuxnet

Win32/Stuxnet — сетевой червь, поражающий компьютеры под управлением операционной системы Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда»^[1]. Вирус был обнаружен не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами.

Цель атаки

Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens^[2]. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п.^[3]

Уникальность программы заключалась в том, что впервые в истории кибератак вирус физически разрушал инфраструктуру^[4].

Предполагаемое происхождение вируса

Существует предположение^[5], что Stuxnet представляет собой специализированную разработку спецслужб Израиля и США, направленную против ядерного проекта Ирана. В качестве доказательства упоминаются завуалированные упоминания слова MYRTUS, содержащиеся в коде червя. Кроме того, в коде единожды встречается никак не объяснённая дата 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника Хабиба Элгханиана, еврея по национальности.

Американский журналист Дэвид Сангер в книге «Противостоять и скрывать: тайные войны Обамы и удивительное использование американской силы»^[6] утверждает, что Stuxnet был частью антииранской операции «Олимпийские игры» американского правительства^[7].

New York Times пролила свет на происхождение вируса Stuxnet. Издание утверждает, что эта программа была разработана совместно разведывательными службами США и Израиля, а израильтяне уже испытали вирус в своём центре в городе Димона, в пустыне Негев. В газете утверждается, что вирус был разработан в Димоне не позже 2009 года, и им была успешно заражена компьютерная система ядерной программы Ирана. Бывший аналитик ЦРУ Мэтью Барроуз в книге «Будущее рассекречено» пишет, что червь Stuxnet «смог, пусть и на короткое время, приостановить иранскую ядерную программу. Он нарушил работу почти 1000 центрифуг для обогащения уранового топлива. По мнению экспертов, иранцы, обнаружив вирус и избавившись от 1000 зараженных устройств, смогли предотвратить больший ущерб»^[8].

Кроме того, госсекретарь США Хиллари Клинтон в 2011 году заявила, что проект по разработке вируса Stuxnet оказался успешным, и иранская ядерная программа таким образом будет отброшена на несколько лет назад^[9].

В сентябре 2019 года опубликовано журналистское расследование, согласно которому заражение вирусом иранского центра по обогащению было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада^[10].

В январе 2024 года голландские журналисты опубликовали расследование, согласно которому в 2008 году 36-летний голландец Эрик ван Саббен проник на иранский ядерный комплекс в городе Натанза и занёс Stuxnet в сеть АСУ ТП. Эрик ван Саббен был завербован голландскими спецслужбами AVID и MVID по заданию американских спецслужб. Ван Саббен был завербован AIVD в 2005 году. Его технический опыт, многочисленные контакты в регионе и связи с Ираном (он уже вел бизнес в Иране и был женат на иранской женщине, у которой есть семья в стране) сделали его идеальным для этой миссии. Исследователи пришли к выводу, что Ван Саббен немедленно покинул Иран после успешного саботажа ядерной программы страны. Две недели спустя он погиб в аварии на мотоцикле недалеко от своего дома в Дубае^[11].

Технология

Данный вирус использует четыре уязвимости системы Microsoft Windows (уязвимость «нулевого дня» (zero-day) и три ранее известные уязвимости), позволяющие ему распространяться при помощи USB-flash накопителей. Оставаться незамеченным антивирусными программами ему помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron).

Объём исходного текста вируса составляет примерно 500 КБ кода на языке ассемблера, С и C++.

См. также

Хронология компьютерных вирусов и червей
Duqu
Flame
Regin (компьютерный вирус)
Воздушный зазор (сети передачи данных)

Примечания

↑ Teague Newman, Tiffany Rad, John Strauchs. "Уязвимости SCADA и PLC в исправительных учреждениях" (рус.). securitylab.ru (10 ноября 2011). Дата обращения: 13 сентября 2012. Архивировано 31 июля 2013 года.
↑ Описание Win32.Stuxnet.a в «Вирусной энциклопедии» Е. Касперского
↑ http://housea.ru/index.php/pulse/16012 Архивная копия от 5 декабря 2011 на Wayback Machine Официальное письмо Siemens о вирусе Stuxnet с комментариями
↑ Stuxnet: война 2.0 (неопр.). Дата обращения: 1 сентября 2014. Архивировано 18 апреля 2015 года.
↑ За червём Stuxnet и впрямь стояли израильские спецслужбы (неопр.). Дата обращения: 22 марта 2011. Архивировано из оригинала 24 марта 2011 года.
↑ Генпрокуратура США назначила спецпрокуроров, которые займутся чередой скандальных утечек (неопр.). Дата обращения: 12 июня 2012. Архивировано 11 июня 2012 года.
↑ Stuxnet был частью операции «Олимпийские игры», которая началась ещё при Буше (неопр.). Дата обращения: 12 июня 2012. Архивировано 4 июня 2012 года.
↑ Барроуз, Мэтью. Глава 7. Возвращение к миру в войне? // Будущее рассекречено: Каким будет мир в 2030 году. — Манн, Иванов и Фербер, 2015. — С. 193. — 352 с. — ISBN 978-5-00057-589-5.
↑ Подготовка к запуску Бушерской АЭС проходит в атмосфере домыслов и слухов Архивная копия от 3 января 2020 на Wayback Machine / ИноСМИ, 2011-01-19, перевод Rumors mount as Bushehr nuclear plant readies for power launch Архивная копия от 6 апреля 2015 на Wayback Machine // RT January 18, 2011
↑ СМИ: вирус на завод в Натанзе занес иранский инженер, завербованный Израилем, США и Нидерландами (неопр.). Дата обращения: 11 сентября 2019. Архивировано 3 сентября 2019 года.
↑ Dutch man sabotaged Iranian nuclear program without Dutch government's knowledge: report (англ.). NL#TIMES (8 января 2024).

Ссылки

Nicolas Falliere, Liam O Murchu, and Eric Chien (Symantec), W32.Stuxnet Dossier, Ver 1.4 (February 2011) (англ.) (5 апреля 2011). Дата обращения: 5 апреля 2011. Архивировано 26 мая 2012 года.
Анализ кода Stuxnet, сокращенный перевод на русский язык отчета Symantec: Nicolas Falliere, Liam O Murchu, and Eric Chien (Symantec), W32.Stuxnet Dossier, Ver 1.4 (February 2011) (рус.). phocus-scada.com (5 апреля 2011). Дата обращения: 5 апреля 2011. Архивировано 26 мая 2012 года.
Siemens — Industry Automation and Drive Technologies — Service& Support — SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
Игорь Осколков. Вирус Win32/Stuxnet: заплат для Windows XP не будет (неопр.). Computerra.ru (20 июля 2010). Дата обращения: 24 сентября 2010. Архивировано из оригинала 23 июля 2010 года.
Про вирус Stuxnet (неопр.) (18 сентября 2010). Дата обращения: 25 сентября 2010. Архивировано 26 мая 2012 года.
Серия статей о Stuxnet в блоге "Лаборатории Касперского" (неопр.) (15 июля 2010). Дата обращения: 30 сентября 2010. Архивировано 27 мая 2012 года.
Серия статей о Stuxnet в блоге компании "Symantec" (англ.) (16 июля 2010). Дата обращения: 30 сентября 2010. Архивировано 26 мая 2012 года.
Берд Киви. Боевой червь Stuxnet (часть 1) (неопр.) (27 сентября 2010). Дата обращения: 4 октября 2010. Архивировано из оригинала 30 сентября 2010 года.
Берд Киви. Боевой червь Stuxnet (часть 2) (неопр.) (29 сентября 2010). Дата обращения: 4 октября 2010. Архивировано из оригинала 3 октября 2010 года.
Алексей Синцов. Как устроен Stuxnet (неопр.) (18 ноября 2010). Дата обращения: 18 декабря 2010. Архивировано 10 марта 2012 года.
Stuxnet – что это такое и как с ним бороться? (неопр.) (7 декабря 2010). Дата обращения: 18 декабря 2010. Архивировано 31 июля 2013 года.
Stuxnet и промышленная безопасность (рус.). phocus-scada.com (17 апреля 2011). Дата обращения: 17 апреля 2011. Архивировано из оригинала 26 мая 2012 года.
Бесплатное средство для удаления вируса Stuxnet компании BitDefender

Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet / А. С. Марков, А. А. Фадин // Вопросы кибербезопасности. 2013. № 1(1). С.28-36. Архивная копия от 8 января 2014 на Wayback Machine

Ссылки на внешние ресурсы
Словари и энциклопедии	Britannica (онлайн)

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е