Конгрес США заслухав доповідь про унікального мережного черв'яка

Антивірусні експерти компанії Symantec напередодні виступили в американському Комітеті Конгресу, повідомивши про стан справ з новою хвилею атак гучного мережного черв'яка Stuxnet.

За словами Діна Тернера, директора підрозділу Symantec Security Responce, зараз у мережі з'являється дійсно багато вірусів, але більша їх частина - це розробки невеликих злочинних елементів, мета яких полягає в крадіжці даних користувачів або крадіжці грошей з їхніх банківських рахунків.

Однак Stuxnet відрізняється від усієї цієї маси вірусів, оскільки націлений він на промислові об'єкти державної важливості, такі як великі промислові заводи або атомні електростанції. Збиток від роботи такого черв'яка в разі негативного розвитку подій зараз навіть важко собі уявити. За його словами, Stuxnet - це "тривожний дзвінок", бо складність, з якою створений цей код, а також глибокі професійні знання його творців лякають.

Тернер говорить, що зараз Stuxnet - це ціле сімейство кодів, кожен з яких націлений на свій промисловий об'єкт і кожен з яких атакує свою мету по-своєму. Єдине, що споріднює всі Stuxnet так це промислова спрямованість.

За його словами, система Stuxnet для атаки діяла дуже професійно - код використовував дві промислові вразливості, а також застосовував відразу чотири "вразливості нульового дня", він скомпрометував два цифрових сертифікати і вставляв свій код в промислові системи, що керують процесами на атомних станціях.

Найбільш небезпечним моментом, що пов'язаний з черв'яком є, його особливість, яка дозволяє перепрограмувати логічні контролери. "Stuxnet - це неймовірно велика і комплексна загроза. Насправді, вона є однією з найбільш складних, які коли-небудь доводилося аналізувати Symantec", - сказав Тернер.

Нагадаємо, що буквально кілька днів тому фахівці з інформаційної безпеки виявили відсутній фрагмент сімейства мережевих черв'яків Stuxnet, таким чином ці черв'яки здатні атакувати всі типи керуючих систем, що використовуються на сучасних атомних станціях та іншому спеціалізованому промисловому обладнанні.

Раніше вже стало очевидно, що черв'яки Stuxnet націлені на промислові заводські системи контролю класу SCADA, вироблені компанією Siemens. Поширюються ці віруси або через дірки в Windows, де немає останніх версій патчів, або через USB-накопичувачі. Шкідливе ПЗ інфікує тільки персональні комп'ютери, підключені до промислових систем управління. Stuxnet в принципі здатний перепрограмувати або саботувати системи, в яких він опинився.

Тепер підтверджено наявність версії Stuxnet для частотних конвертерів, які використовуються як мінімум в Ірані і Фінляндії. Також було встановлено, що нова версія Stuxnet атакує тільки конвертери, що працюють в діапазоні 807-1210 герц. Завдання нової версії вірусу - змінити вихідні частоти та швидкість пов'язаних з ними механізмів на промислових об'єктах. Такі операції можуть призвести до саботажу, але з іншого боку призвести до проблем, діагностувати які на ранній стадії дуже важко.

Тут, ймовірно, варто дещо пояснити про що саме йде мова: низькогармонійні частотні перетворювачі працюють на певних частотах і вони взаємодіють з системами, необхідними для збагачення урану в промислових цілях. У різних країнах для роботи конвертерів застосовуються різні частоти, наприклад у США конвертери працюють на частоті 600 Герц (експортна версія).

Ерік Чен, старший технічний фахівець компанії Symantec, каже, що новий зразок хробака - це критично важливий елемент головоломки Stuxnet. "Коли у нас з'явилися всі зразки Stuxnet, ми можемо точно розуміти загальне призначення сімейства цих кодів", - говорить він.

Нагадаємо, що вперше Stuxnet був виявлений в червні цього року на території Малайзії, однак основна його популярність відзначена пізніше, коли він був виявлений на іранських атомних станціях, у тому числі і на відомій станції в Бушері.

Цікаво відзначити, що незалежні експерти висувають теорію, згідно з якою батьківщина Stuxnet - Росія, зокрема, одне з підприємств російської атомної промисловості, яке було чи й досі залишається пов'язаним в експортними контрактами на будівництво атомних станцій в Ірані. Хоча точних фактів, що вказують на правдоподібність цієї теорії поки немає. Тим не менше, очевидно, що розроблений Stuxnet був не просто групою хакерів-підлітків, а людьми, які непогано розбираються в особливостях роботи сучасного промислового обладнання.

За матеріалами CyberSecurity.ru