Stuxnet 📖 Wikipedia

Win32/Stuxnet — сетевой червь, распространяющийся на компьютерах под управлением операционной системы Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда»^[1]. Вирус был обнаружен не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами.

Это первый широко известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens^[2]. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п.^[3]

Уникальность программы заключалась в том, что впервые в истории кибератак вирус физически разрушал инфраструктуру^[4].

Предполагается^[5], что вирус Stuxnet являлся специализированной разработкой спецслужб Израиля и США и был направлен против ядерного проекта Ирана^[6]. В качестве доказательства упоминаются завуалированные упоминания слова MYRTUS, содержащиеся в коде червя. Кроме того, в коде единожды встречается никак не объяснённая дата 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника Хабиба Элгханиана, еврея по национальности.

Американский журналист Дэвид Сангер в книге «Противостоять и скрывать: тайные войны Обамы и удивительное использование американской силы»^[7] утверждает, что Stuxnet был частью антииранской операции «Олимпийские игры» американского правительства^[8].

New York Times утверждает, что эта программа была разработана совместно разведывательными службами США и Израиля, а израильтяне уже испытали вирус в своём центре в городе Димона, в пустыне Негев. В газете утверждается, что вирус был разработан в Димоне не позже 2009 года, и им была успешно заражена компьютерная система ядерной программы Ирана. Бывший аналитик ЦРУ Мэтью Барроуз в книге «Будущее рассекречено» пишет, что червь Stuxnet «смог, пусть и на короткое время, приостановить иранскую ядерную программу. Он нарушил работу почти 1000 центрифуг для обогащения уранового топлива. По мнению экспертов, иранцы, обнаружив вирус и избавившись от 1000 зараженных устройств, смогли предотвратить больший ущерб»^[9].

В сентябре 2019 года опубликовано журналистское расследование, согласно которому заражение вирусом иранского центра по обогащению было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада^[10].

В январе 2024 года голландские журналисты опубликовали расследование, согласно которому в 2008 году 36-летний голландец Эрик ван Саббен проник на иранский ядерный комплекс в городе Натанза и занёс Stuxnet в сеть АСУ ТП. Эрик ван Саббен был завербован голландскими спецслужбами в 2005 году AVID и MVID по заданию американских спецслужб. Его технический опыт, многочисленные контакты в регионе и связи с Ираном (он уже вел бизнес в Иране и был женат на иранской женщине, у которой есть семья в стране) сделали его идеальным для этой миссии. Исследователи пришли к выводу, что Ван Саббен немедленно покинул Иран после успешного саботажа ядерной программы страны. Журналисты также сообщали, что две недели спустя Ван Саббен погиб в аварии на мотоцикле недалеко от своего дома в Дубае. О готовящемся саботаже иранской ядерной программы не знали нидерландские политики, но знали спецслужбы страны, однако даже они не были в курсе, что через их агента будет распространяться вирус. «Американцы использовали нас», — сказал один из источников в нидерландской разведке^[11].

Вирус использовал четыре уязвимости системы Microsoft Windows (уязвимость «нулевого дня» (zero-day) и три ранее известные уязвимости).

• Уязвимость в обработке LNK/PIF-файлов (MS10-046). Позволяла червю распространяться через внешние носители. Уязвимость заключалась в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в Проводнике Windows^[12][13].
• Уязвимость в буфере печати Windows (Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)). С её помощью червь распространялся по сети^[14].
• Уязвимость в обработке RPC (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)). Позволяет червю распространяться через сетевой протокол Windows (SMB)^[14].

Оставаться незамеченным антивирусными программами вирусу помогало наличие настоящих цифровых подписей (два действительных сертификата, выпущенных компаниями Realtek и JMicron).

Объём исходного текста вируса составил примерно 500 КБ кода на языке ассемблера, С и C++.

• Хронология компьютерных вирусов и червей
• Duqu
• Flame
• Regin (компьютерный вирус)
• Воздушный зазор (сети передачи данных)
• Взрывы коммуникационных устройств «Хезболлы»

• Nicolas Falliere, Liam O Murchu, and Eric Chien (Symantec), W32.Stuxnet Dossier, Ver 1.4 (February 2011) (англ.) (5 апреля 2011). Дата обращения: 5 апреля 2011. Архивировано 26 мая 2012 года.
• Анализ кода Stuxnet, сокращенный перевод на русский язык отчета Symantec: Nicolas Falliere, Liam O Murchu, and Eric Chien (Symantec), W32.Stuxnet Dossier, Ver 1.4 (February 2011)  (рус.). phocus-scada.com (5 апреля 2011). Дата обращения: 5 апреля 2011. Архивировано 26 мая 2012 года.
• Siemens — Industry Automation and Drive Technologies — Service& Support — SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
• Игорь Осколков. Вирус Win32/Stuxnet: заплат для Windows XP не будет . Computerra.ru (20 июля 2010). Дата обращения: 24 сентября 2010. Архивировано из оригинала 23 июля 2010 года.
• Про вирус Stuxnet  (18 сентября 2010). Дата обращения: 25 сентября 2010. Архивировано 26 мая 2012 года.
• Серия статей о Stuxnet в блоге "Лаборатории Касперского"  (15 июля 2010). Дата обращения: 30 сентября 2010. Архивировано 27 мая 2012 года.
• Серия статей о Stuxnet в блоге компании "Symantec" (англ.) (16 июля 2010). Дата обращения: 30 сентября 2010. Архивировано 26 мая 2012 года.
• Берд Киви. Боевой червь Stuxnet (часть 1)  (27 сентября 2010). Дата обращения: 4 октября 2010. Архивировано из оригинала 30 сентября 2010 года.
• Берд Киви. Боевой червь Stuxnet (часть 2)  (29 сентября 2010). Дата обращения: 4 октября 2010. Архивировано из оригинала 3 октября 2010 года.
• Алексей Синцов. Как устроен Stuxnet  (18 ноября 2010). Дата обращения: 18 декабря 2010. Архивировано 10 марта 2012 года.
• Stuxnet – что это такое и как с ним бороться?  (7 декабря 2010). Дата обращения: 18 декабря 2010. Архивировано 31 июля 2013 года.
• Stuxnet и промышленная безопасность  (рус.). phocus-scada.com (17 апреля 2011). Дата обращения: 17 апреля 2011. Архивировано из оригинала 26 мая 2012 года.
• Бесплатное средство для удаления вируса Stuxnet компании BitDefender
• Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet / А. С. Марков, А. А. Фадин // Вопросы кибербезопасности. 2013. № 1(1). С.28-36. Архивная копия от 8 января 2014 на Wayback Machine