История червя Stuxnet всколыхнула сетевое сообщество четыре года назад. Кто его создал и с какой целью, достоверно неизвестно — есть предположения, что таким образом американские и израильские спецслужбы хотели притормозить иранскую ядерную программу. Версия достаточно правдоподобная: центрифуги для обогащения урана зловред действительно вывел из строя, отбросив иранскую ядерную программу на несколько лет назад.
Его создателям удалось успешно атаковать не подключенные к Глобальной сети компьютеры и провести масштабную диверсию. Потом червь (как предполагают многие специалисты) вышел из-под контроля и начал активно распространятся, хотя особого вреда домашним и офисным машинам не причинил — его целью были промышленные системы определенных типов.
Первые жертвы или «victims zero»
11 ноября вышла книга «Countdown to Zero Day» журналистки Ким Зеттер. Пользуясь случаем, мы также решили опубликовать несколько неизвестных широкой публике фактов об атаке Stuxnet. Не будем заострять внимание на самой ранней версии червя — вместо этого сосредоточимся на тех его вариантах, с которых началась эпидемия в 2009–2010 годах.
Восстановить события того времени удалось благодаря интересной особенности зловреда: он сохраняет в своем теле информацию об имени, домене и IP-адресе пораженной машины. Поскольку данные постоянно пополняются, это дает нам возможность восстановить всю цепочку.
Опубликовавшая «W32.Stuxnet Dossier» в феврале 2011 года компания Symantec смогла установить, что распространение червя началось с пяти организаций (некоторые из них были атакованы дважды — в 2009 и 2010 годах), которые тогда не были названы. Чтобы их установить, нам понадобилось около двух лет и более 2000 инфицированных файлов.
«Домен A»
Первая интересная нам версия Stuxnet 2009 (назовем ее Stuxnet.a) была создана 22 июня 2009 года и через несколько часов после компиляции заразила компьютер из домена «ISIE». Маловероятно, что злоумышленники использовали съемный носитель, — за такой короткий срок его сложно доставить в атакуемую организацию.
Однозначно идентифицировать пострадавшую организацию по таким скудным данным невозможно. Но с высокой степенью уверенности удалось установить, что это была Foolad Technic Engineering Co. (FIECO) — иранская компания, занимающаяся созданием автоматизированных систем для предприятий тяжелой промышленности.
Как начиналась эпидемия #Stuxnet? Первые жертвы червя и как он дотянулся до иранской ядерной программы: https://t.co/pJuItKjKt0
— Евгений Касперский (@e_kaspersky_ru) November 11, 2014
Помимо способности воздействовать на моторы центрифуг Stuxnet также был наделен шпионским модулем, так что FIECO — очень хорошая цель для его создателей. Вероятно, они считали компанию кратчайшим путем к финальной мишени, а также интересным объектом для сбора шпионских данных о промышленности Ирана — в 2010 году тот же компьютер был снова атакован уже третьим вариантом Stuxnet.
«Домен B»
Следующий «пациент» был атакован трижды — в июне 2009-го, а также в марте и в мае 2010 года. Именно со второй атаки началась глобальная эпидемия Stuxnet 2010 (он же Stuxnet.b). Домен «behpajooh» сразу же позволяет идентифицировать пострадавшую компанию Behpajooh Co. Elec & Comp. Engineering. Она также занимается разработкой систем промышленной автоматизации и связана с большим количеством различных предприятий.
В 2006 году дубайская газета Khaleej Times сообщала о том, что одна из местных фирм занимается контрабандными поставками компонентов для создания бомб в Иран, — получателем груза назвали Bejpajooh INC из Исфахана.
24 апреля 2010 года Stuxnet попал из компании Behpajooh в сеть с доменным именем MSCCO. Наиболее вероятным кандидатом на соответствие является крупнейший в Иране металлургический комплекс — Mobarakeh Steel Company (MSC), имеющий в своем парке огромное количество машин и связанный с различными компаниями по всему миру. Благодаря этим связям и началась глобальная эпидемия — например, к лету 2010 года червь уже дошел до предприятий России и Белоруссии.
«Домены C, D и E»
7 июля 2009 года Stuxnet заразил компьютер «applserver» в домене NEDA. Тут проблем с идентификацией не было — речь идет о Neda Industrial Group. С 2008 года компания находится в списке министерства юстиции США и обвиняется в нелегальном экспорте запрещенных веществ в Иран.
Одновременно с Neda была заражена и другая организация с доменом «CGJ». Потратив некоторое время на анализ, мы установили, что, скорее всего, это была еще одна занимающаяся автоматизацией промышленного производства иранская компания — Control-Gostar Jahed Company. За ее пределы зараза практически не вышла, несмотря на внушительное портфолио и обширные связи фирмы.
Последний нулевой «пациент» выделяется количеством зараженных машин — 11 мая 2010 года Stuxnet попал сразу на три компьютера в домене «KALA». Скорее всего, это была Kala Electric (также известная под названием Kalaye Electric Co.). Компания считается основным разработчиком центрифуг IR-1 для обогащения урана и одной из ключевых структур в иранской ядерной программе. Очень странно, что ее не атаковали раньше.
Заключение
При невероятной сложности поражающей части (вывести из строя центрифуги по обогащению урана непросто) Stuxnet, механизмы его распространения были довольно примитивными. Мало того, судя по всему, в какой-то момент контроль за распространением червя был утерян — иначе сложно объяснить масштабную эпидемию, в процессе которой вирус занесло очень далеко от изначальных целей атаки.
Тем не менее при всех своих недостатках зловред оказался вполне действенным — его создателям удалось провести самую масштабную в истории кибердиверсию. А также, похоже, открыть новое направление в развитии кибернетического оружия.
До #Stuxnet не было принято задумываться об активной информационной безопасности промышленных комплексов
Tweet
До Stuxnet в сфере промышленной автоматизации не было принято задумываться об активной безопасности — считалось, что изоляция комплексов от сетей общего пользования сама по себе является надежной защитой. Успешно атаковав отключенные от Интернета машины, создатели червя начали новую эпоху в сфере компьютерной безопасности. По значимости для отрасли Stuxnet можно сравнить только с так называемым «великим червем», или «червем Морриса», созданным в 1988 году.