Как уже известно, компьютерный червь Stuxnet, ставший после атаки на системы Иранской ядерной программы наиболее изучаемым в мире вредоносным ПО, был создан специально для того, чтобы вывести обогатительные центрифуги АЭС из-под контроля. Эта идея стала общей для ряда докладов, появившихся со стороны специалистов на прошедшей неделе. Несмотря на то что многое в этом деле остается неясным, выводы специалистов проливают некоторый свет на события, произошедшие летом 2010 года, когда вирус впервые дал знать о себе и своём существовании. Впервые, win32/Stuxnet был обнаружен в промышленных системах, управляющих автоматизированными производственными процессами, в июне 2010 года. Это первый известный компьютерный червь, руткит которого действует не только на программном уровне, а и на уровне логических контроллеров. Таким образом, Stuxnet заражает не столько программное обеспечение, сколько аппаратную основу системы, что значительно затрудняет борьбу с ним. С момент его первого появления ведущие эксперты мира попытались пристально изучить вредоносную программу. Уже тогда было сделано предположение, что основной целью вируса был ядерный комплекс Ирана. С тех пор спекуляции вокруг Stuxnet в основном строились на почве, кому принадлежит авторство программы. Несмотря на большой объем работы, установить создателя вируса так и не удалось. Тем не менее, как сообщает The New York Times, в последние недели власти Израиля «расплывались в улыбке» в ответ на вопрос, причастен ли к этому делу Тель-Авив и известен ли ему заказчик. Американские официальные лица же предположили, что это произошло за рубежом. Несмотря на остающуюся неизвестность в вопросе с авторством, новые данные позволили довольно четко определить круг объектов и модель поведения червя. По словам экспертов по безопасности, в коде вируса прописан алгоритм, способный вызвать несанкционированное резкое изменение вращательной скорости центрифуг на АЭС. «Изменение этой скорости способно привести к нарушению процесса мониторинга на объекте»,— написал в своем докладе эксперт аналитического агентства Symantec, специализирующегося на безопасности информации, Эрик Чен.

Подобные колебания в скорости, соглашаются с Ченом другие аналитики, являются прямым, так сказать, рецептом для добротной ядерной катастрофы, которая может произойти, когда тысячи центрифуг по обогащению урана выйдут из-под контроля. Ранее международные инспекторы уже отмечали тот факт, что Иран испытывает множество проблем с нормальным функционированием подобных центрифуг. С 2009 года на ядерных предприятиях государства в негодность пришли и были заменены более сотни подобных модулей. Вместе с этим сегодня докладчики всячески подчеркивают, что фактического подтверждения связи между вирусом Stuxnet и неполадками в центрифугах нет. «Мы не видим пока реального подтверждения того, что вирусная атака преследовала цель замедлить иранскую ядерную программу»,— заявил в минувший четверг Дэвид Олбрайт, президент Института науки и международной безопасности— организации в Вашингтоне, которая отслеживает распространение ядерного оружия. «Однако,— подчеркнул он,— подобный сценарий выглядит правдоподобной интерпретацией наличествующих фактов». Ранее сотрудники спецслужб не раз сообщали, что государства в последнее время вовсю ведут разработки программ по кибербезопасности. Именно поэтому, когда Иран впервые сообщил о том, что его специалистами ведется борьба с червем Stuxnet, многие эксперты незамедлительно высказали предположение, что за кибератакой на АЭС может стоять какая-либо государственная агенда.


До начала этой недели аналитики также придерживались мнения, что червь Stuxnet был создан исключительно под оборудование корпорации Siemens, которое используется на большинстве предприятий отрасли в мире. Однако в докладе экспертов Symantec Эрика Чен, Николаса Фальера и Лайама Мурчу, опубликованном в пятницу, уточняется, что конкретной целью вредоносного ПО был перехват управления над частотным-конвертером— модулем, ответственным за скорость вращения центрифуг на АЭС. Как говорится в докладе, программный код вируса был обнаружен на конвертерах двух предприятий— Fararo Paya в Иране и Vacon в Финляндии. Ранее в четверг департаментом внутренней безопасности США, ведущем свое независимое расследование, эти данные были подтверждены. Как уже отмечалось, в другом докладе, за авторством Дэвида Олбрайта, были описаны утилитарные характеристики вредоносного ПО. В частности, в том докладе говорилось, что при увеличении частоты вращения модулей, вызванном червем Stuxnet, может произойти полное разрушение блока центрифуг на обогатительном предприятии.

Спекуляции вокруг АЭС или в чей огород камень

В конце минувшего сентября свою точку зрения на проблему Stuxnet представил и эксперт немецкого института высоких технологий IACS Ральф Лангнер. По его словам, вирус специально создавался как кибернетическое оружие и, по-видимому, уже нанес Ирану ущерб. «Это не шпионская программа, она на 100% была нацелена на промышленный саботаж,— заявил Лангнер.— Вирус не похищал информацию, он наносил вред системе безопасности». Эксперт тогда заявил, что создать программу такой сложности могли только специалисты мирового уровня— работающие в передовых странах с соответствующими ресурсами. По мнению Лангнера, именно из-за Stuxnet АЭС в иранском Бушере не начала работу в августе. Иранская сторона объясняла задержку жарой, однако, по словам Лангнера, она могла быть связана с тем, что кто-либо из российских специалистов на электростанции вольно или невольно подключил зараженный вирусом USB-накопитель в один из местных компьютеров. Бушерская АЭС создана на основе старых деталей Siemens российскими специалистами и при помощи российских технологий. Позже немец представил еще более изощренную версию. Он сообщил, что внутри кода вируса был обнаружен файл, названный «Миртус». По его словам, это является прямой аллюзией на Эсфирь, что в свою очередь восходит к Книге Эсфирь, содержащейся в Ветхом Завете и рассказывающей о том, как иудеи смогли предупредить заговор персов, желавших их уничтожить. Лангер считает, что подобная коллизия коннотирует современный израильско-иранский конфликт. Вместе с этим, на прошлой неделе немец написал в своем блоге, что в блоке данных внутри кода Stuxnet также содержится упоминание даты «24 сентября 2001 года»— времени, когда сам вирус еще даже не был написан. Он отметил, что это тоже какой-то символ или предупреждение, о смысле которого он пока не может судить.
Спекуляции вокруг червя Stuxnet действительно множатся в огромных количествах. Еще месяц назад агентство Symantec, которое публикует сегодня серьезные доклады, сообщало, что в программе была обнаружена интересная последовательность цифр— 19790509. С виду кажущаяся случайной, она, по словам экспертов агентства, может содержать в себе глубокий смысл. По их словам, этот числовой ряд можно интерпретировать как упоминание даты— 9 мая, 1979 года,— день, когда был в Иране был казнен израильско-иранский бизнесмен Хабиб Элганиан, обвиненный Тегераном в шпионаже в пользу Израиля.

Странный червь

Несмотря на постоянное обновление данных по вирусу Stuxnet, российские специалисты в области кибербезопасности отмечают, что до сих пор судить о черве достаточно сложно. «Да, безусловно, в последнее время появилось несколько больше информации о целях и функционировании Stuxnet. К сожалению, вокруг него долгое время из-за ажиотажа было слишком много домыслов, много курьезных. Сейчас, когда ажиотаж потихоньку спадает, а данные анализа попадают в прессу, начинает вырисовываться относительно ясная картинка, но она далека от полной. Сразу можно оговориться, что, несмотря на масштабное исследование, проведенное агентством Symantec, цель этой вредоносной программы по-прежнему остаётся
не ясной совершенно»,— рассказал руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров. С его слов, любая публикация по этой теме неизбежно ведет к появлению все новых слухов и спекуляций. «Symantec опубликовали данные своего исследования, и, несмотря на то, что они сами не претендуют на полное раскрытие, вокруг их публикации снова начинаются спекуляции»,— говорит эксперт. Господин Комаров отмечает, что в данном случае предполагается, что Stuxnet, дескать, должен был не давать работать центрифугам, используемым для обогащения урана. «Но этого им мало, они снова стали вспоминать Библию, Эсфирь и прочие пустые, на наш взгляд, домыслы. Сейчас ясно только то, что Stuxnet мог работать на системах управления центрифугами и мог влиять на них. Но для чего это, какова его конечная цель – пока не ясно. Мы надеемся, что специалисты из атомной энергетики раскроют этот вопрос, без них никак не обойдется»,— подчеркнул эксперт.