История вокруг червя Stuxnet в последние дни освещалась всеми средствами массовой информации много и по-разному. Звучащие отовсюду такие слова как «Иран», «атомная станция в Бушере» и «кибероружие» уже стали неотъемлемой частью и тесно связаны с Stuxnet. Одним из основных пунктов «иранской» теории называется то, что Иран является основным эпицентром эпидемии, так как в нем зафиксировано наибольшее количество зараженных компьютеров. Но как считают аналитики, любые оценки по уровню зараженности могут строиться только на основании данных, которые антивирусные компании получают с клиентских станций, в тех странах где у этой компании есть клиенты. Соответственно, если у антивирусной лаборатории в регионе клиентов нет или распространенность антивирусных продуктов крайне мала, то любые попытки дать оценку ситуации будут как минимум не достаточно объективны и могут содержать весьма значительные погрешности. Получить более-менее объективные данные можно только при анализе аналогичных данных от нескольких компаний-источников, зная при этом их «рыночное положение» в рассматриваемой стране. Однако, практически все источники сходятся в одном, что наиболее заражены червем Stuxnet являются три страны – это Иран, Индия и Индонезия. Кто-то ставит на первое место Иран, кто-то Индию. К сожалению при этом забывается о том, что эпидемия Stuxnet не статична. Она продолжается и сейчас, червь продолжает распространяться от компьютера к компьютеру. Какая-то часть ранее зараженных систем уже вылечена, какая-то еще нет, по этому оценить истинные масштабы эпидемии крайне сложно. Наблюдая за эпидемией в динамике, анализируя данные за три месяца можно попробовать оценить изменения, и возможно, попробовать установить страну из которой началось первоначальное распространение червя. Данные собранные при помощи cloud –технологии Kaspersky Security Network позволяют увидеть несколько интересных фактов, которыми мы хотим с вами поделиться. Необходимо отметить, что это только данные полученные при работе наших персональных продуктов. Это двадцатка стран за все время с момента добавления детектирования Stuxnet в наши антивирусные базы (в начале июля) и до сегодняшнего момента. Индия, Иран и Индонезия составляют лидирующую тройку. Но Иран находится не на первом месте и даже не на втором.

Как уже скапзано,  это статистика за весь период с момента первого обнаружения Stuxnet. На самом деле эпидемия развивается в разных странах по разному и в самом начале разрыв между тройкой лидеров был не столь значителен. Мы разбили весь период наблюдения на участки по 5 дней. Вот так выглядела пятерка стран в первые пять дней с момента обнаружения Stuxnet: India – 8565

Azerbaijan – 454 А вот так выглядит пятерка лидеров по заражениям за последние 5 дней (20-25 сентября). India - 8179

Iran– 765 Количество заражаемых систем в Индии и Индонезии также снизилось, зато налицо стремительное развитие эпидемии в Казахстане и России! На следующих графиках представлена динамика развития эпидемии червя в разных странах мира.

На графике четко видно, что Ирану удалось практически в три раза замедлить развитие эпидемии и вылечить много систем. При сохранении подобных показателей он довольно скоро перестанет быть одним из центров эпидемии. Индия же наоборот, продолжает оставаться примерно на том же уровне, но положительным моментом является то, что эпидемия не идет по нарастающей. Индонезия, как и Иран также показывает успехи в  пресечении распространения червя. Этого всего, увы, нельзя сказать о России и Казахстане. Эти две страны из- за своей технологической и информационной отсталости и массовой безграмотности и безалаберности сейчас являются наиболее уязвимыми и в них эпидемия только вступает в фазу своего максимального развития. Это «новые» для червя страны и очевидно, что свое распространение по миру он начинал не из них. Аналогичный график для нескольких других стран:

На данном графике видно, что в трех странах – Бангладеш, Ираке и Сирии эпидемия также развивается по нарастающей. Первые заражения в Бангладеш были отмечены уже после обнаружения червя и, вероятно попал он туда из соседней Индии. Эпидемии в Ираке и Сирии, вероятно, вызваны проникновением червя из Ирана. Изменение количества инцидентов с Stuxnet в сентябре по сравнению с июлем: India: -5%

Iraq: +35% К сожалению, можно констатировать, что червь Stuxnet был обнаружен уже после того как состоялся пик его распространения в Иране и Индии. Сейчас крайне трудно определить страну и момент его первого появления. Очевидно, что антивирусные компании застали его в этих странах уже на «спаде». Динамика же развития эпидемии показывает, что началась она минимум за 3-4 месяца до июля 2010 года – быстрее червь бы просто не смог набрать такую массу зараженных систем, которую мы наблюдаем.