Специалисты по компьютерной безопасности часто недоумевают, как пресса выбирает темы, о которых пишет. Время от времени выбор необъясним — почему именно этот вирус или червь привлекли внимание журналистов? Иногда выбор очевиден — пример тому история Stuxnet.
Червь Stuxnet был разработан и запущен, согласно самым распространенным версиям, то ли американским, то ли израильским правительством для атаки на атомную электростанцию в иранском Бушере. Как можно не написать о сюжете, включающем шпионов, компьютерные атаки, АЭС, спецслужбы и страну-изгоя? Одна проблема: история эта состоит из сплошных домыслов.
Вот, что нам известно. Stuxnet — это червь, заражающий компьютеры с операционной системой Windows. Он распространяется в основном через флеш-диски, благодаря чему способен проникать на машины, не присоединенные к сети. Попав во внутреннюю сеть, червь заражает соседние машины и получает администраторские права. Среди средств, к которым он прибегает, уже найденные и залатанные дыры в безопасности, а кроме того, четыре так называемых «эксплойта нулевого дня» — ранее неизвестные уязвимости системы. Сегодня все они уже вылечены.
Зараженные компьютеры лишь промежуточная цель Stuxnet. Через них он ищет специальную модель так называемого программируемого логического контроллера (PLC), производства Siemens. PLC — это программируемые механизмы, выполняющие самые разные автоматизированные процессы — на химических или нефтеперегонных заводах, трубопроводах и, конечно, на атомных электростанциях. Часто они управляются компьютерами с Windows с помощью программы SIMATIC WinCC/Step 7 — она-то червю и нужна.
Не найдя на компьютере этой программы, Stuxnet ничего не делает. Если программа обнаруживается, червь заражает ее, используя еще одну новую уязвимость, после чего меняет определенные кусочки данных в PLC. Невозможно сказать, к чему это приводит, не зная, на что запрограммирован PLC. Однако изменения в коде носят очень специфический характер, из-за чего многие думают, что они направлены на работу определенного контроллера, и создатели Stuxnet точно знали, куда целить.
Сообщается о 50 000 зараженных компьютеров и, по данным Siemens, 14 PLC, большинство из них находятся в Германии. (Разумеется, эти данные устаревают по мере того, как я набираю их на клавиатуре). О физическом ущербе от червя ничего не известно, но ходят слухи, что в июле он вывел из строя индийский спутник INSAT-4B.
Все антивирусные программы диагностируют и удаляют Stuxnet.
Червь был обнаружен в конце июня, но некоторые предполагают, что выпустили его годом раньше. Он крайне сложен и, распространяясь, становится еще сложнее. Помимо атаки на множество уязвимостей, Stuxnet устанавливает в систему свой драйвер. Драйвер — программа для управления устройствами — должен иметь цифровую подпись, сертификат подлинности Microsoft. Червь использует краденый сертификат, причем, когда это обнаружилось 16 июля, сертификат отозвали. Уже на следующий день появилась копия червя с новым краденым сертификатом.
С течением времени разработчики заменяли неработающие части Stuxnet новыми, видимо нащупывая пути к цели. Сертификаты, которые использовались драйвером червя, впервые были выпущены в январе. Возможность атаковать USB-диски появилась в марте.
Stuxnet умеет обновляться двумя способами. Во-первых, он синхронизируется с двумя серверами — в Малайзии и Дании, а во-вторых, обменивается информацией с товарищами: встретившись, две копии червя сличают коды и убеждаются, что каждый из них — новейшей версии. Кроме того, в него встроена дата самоуничтожения: 24 июня 2012 года он перестанет размножаться и сотрет свой код из компьютера.
Stuxnet не похож на обычную преступную программу. Он не размножается без разбора, не крадет информацию о кредитных карточках и учетных записях, не объединяет компьютеры в ботнет, то есть не пытается аккумулировать их вычислительные ресурсы. Он использовал сразу несколько неизвестных до того уязвимостей, в то время как преступникам разумнее было бы сделать по одному червю на каждую. Stuxnet не грозит промышленным саботажем, как вымогатели: он осуществляет саботаж.
Мы не знаем, кто создал Stuxnet, зачем и куда он хотел проникнуть, но, как вы видите, слухи об участии правительства отнюдь не беспочвенны.
Разработка такого кода должна была дорого стоить. По оценкам специалистов, на его написание ушло полгода работы 8-10 программистов. Несомненно, они располагали тестовой лабораторией — тот, кто пошел на все эти траты, должен был протестировать червя, прежде чем выпустить его на волю, — а также разведданными об объекте атаки. Кроме того, не найденные еще уязвимости представляют ценность, поскольку их трудно искать, а найдя, можно использовать лишь единожды.
Кто бы ни делал Stuxnet, он готов был потратить кучу денег, чтобы сделать работу наверняка.
Ничто, впрочем, не указывает на АЭС в Бушере. «Атомная» теория принадлежит немецкому исследователю Ральфу Лагнеру, и сам он признает ее «очень дискуссионной». Основные доводы в пользу Бушера — необычно высокое распространение червя в Иране, привлекательность Бушерской АЭС в качестве мишени, а также то, что в других странах с высоким эпидемиологическим фоном — Индии, Индонезии и Пакистане — работает подрядчик, принимающий участие в строительстве электростанции. Слух перепечатала компьютерная пресса, потом — массовая, растеряв по пути все сомнения, и он стал общепринятым мнением.
Авторы червя с редкой тщательностью позаботились, чтобы в коде не содержалось никаких намеков на его происхождение. В то же время некоторые символы программного кода можно, обладая хорошей фантазией, интерпретировать как метки, оставленные израильскими разработчиками. Но метки мог бы оставить и тот, кто хотел указать на Израиль, и израильские спецслужбы, чтобы мы думали, что кто-то хочет обвинить Израиль, — по этой дороге можно идти до бесконечности.
Потом, если за червем стоят израильские спецслужбы, отчего Stuxnet столь небрежно наведен на цель? Например, обнаружив, что попал не туда, червь не стирает свой код. В коде есть инструкция, предписывающая, проникнув в локальную сеть через USB-диск, заразить лишь три дополнительных машины и уничтожиться через три недели, но она не срабатывает. Это ошибка программистов или неиспользуемая пока что функциональность? Может быть, эти меры призваны помешать нам выяснить его истинную цель. Распространив Stuxnet по всему миру, авторы пошли на массовые жертвы среди мирных компьютеров — не слишком дальновидно с точки зрения внешней политики. Но возможно, их это просто не волновало.
Полагаю, что авторы червя и его цель навсегда останутся загадкой. Но это не делает его менее интересным объектом для изучения.