Открыть сервис

Атака Stuxnet

Stuxnet — это компьютерный червь, обнаруженный в 2010 году, который стал первым известным примером кибероружия, предназначенного для целенаправленной атаки на промышленные объекты критической инфраструктуры. В отличие от большинства вредоносных программ, созданных для кражи данных или вымогательства, Stuxnet был разработан для физического разрушения оборудования, а именно — центрифуг по обогащению урана, используемых в ядерной программе Ирана.

История

Обнаружение и происхождение

Впервые Stuxnet был замечен в июне 2010 года белорусской компанией VirusBlokAda, которая обнаружила его на компьютерах в Иране. Дальнейший анализ, проведённый специалистами «Лаборатории Касперского» и Symantec, показал, что червь проник в системы управления промышленными объектами (SCADA) производства Siemens. Эксперты установили, что разработка Stuxnet началась не позднее 2005 года, а его сложность и использование четырёх уязвимостей нулевого дня (ранее неизвестных) указывали на государственное финансирование. Большинство аналитиков связывают создание Stuxnet с разведывательными службами США (Агентство национальной безопасности) и Израиля (подразделение 8200), хотя официальные власти этих стран долгое время не подтверждали свою причастность. Лишь в 2012 году журнал The New York Times со ссылкой на источники в администрации США сообщил, что операция под кодовым названием «Олимпийские игры» (Olympic Games) была санкционирована президентом Джорджем Бушем-младшим и продолжена при Бараке Обаме.

Распространение

Stuxnet распространялся через USB-накопители и локальные сети, используя уязвимость в автозапуске Windows. Для заражения целевой сети злоумышленники, вероятно, использовали инсайдеров или физический доступ к объектам. После проникновения червь искал конкретную конфигурацию оборудования — системы управления Siemens S7-300 и S7-400, подключённые к центрифугам IR-1. Если система не соответствовала цели, Stuxnet оставался пассивным, что делало его обнаружение крайне затруднительным. По оценкам, к моменту обнаружения червь заразил более 100 000 компьютеров в Иране, Индонезии, Индии, Пакистане и других странах, но основная цель находилась на ядерном объекте в Натанзе (Иран).

Устройство и механизм атаки

Архитектура

Stuxnet состоял из нескольких модулей:

  • Основной модуль — отвечал за распространение и связь с командным центром.
  • Модуль эксплуатации уязвимостей — использовал четыре уязвимости нулевого дня в Windows (например, CVE-2010-2568 для автозапуска с USB).
  • Модуль управления SCADA — внедрялся в системы Siemens и перехватывал данные между контроллерами и панелями оператора.
  • ПЛК-руткит — скрывал изменения в программируемых логических контроллерах (ПЛК), чтобы операторы не видели аномалий.

Целевая атака

Stuxnet был нацелен на частотные преобразователи, управляющие скоростью вращения центрифуг. Червь периодически изменял частоту вращения, заставляя центрифуги работать на критически высоких или низких оборотах, что приводило к их разрушению. При этом система мониторинга передавала операторам ложные показатели, демонстрируя нормальную работу. В результате атаки, по данным МАГАТЭ, в 2009–2010 годах в Натанзе вышли из строя около 1000 центрифуг IR-1, что нанесло серьёзный ущерб иранской ядерной программе.

Уязвимости

Stuxnet использовал четыре уязвимости нулевого дня, что было беспрецедентно для того времени:

  1. CVE-2010-2568 — уязвимость в обработке LNK-файлов (ярлыков) в Windows, позволявшая запускать код при просмотре папки.
  2. CVE-2010-2729 — уязвимость в службе печати Windows.
  3. CVE-2010-2743 — уязвимость в драйвере клавиатуры.
  4. CVE-2010-2772 — уязвимость в службе планировщика задач.

Кроме того, червь использовал два украденных цифровых сертификата от компаний Realtek и JMicron, что позволяло ему обходить антивирусные программы.

Применение и последствия

Воздействие на ядерную программу Ирана

Основной целью Stuxnet было замедление иранской ядерной программы, которую западные страны подозревали в разработке ядерного оружия. Атака привела к физическому разрушению центрифуг, что отбросило программу обогащения урана на несколько месяцев назад. Однако, по оценкам экспертов, Stuxnet не уничтожил иранскую программу, а лишь нанёс временный ущерб. Иранские учёные быстро выявили причину неисправностей и заменили повреждённые центрифуги.

Геополитические последствия

Stuxnet стал поворотным моментом в истории кибервойн. Он продемонстрировал, что кибератаки могут наносить физический ущерб критической инфраструктуре, что привело к пересмотру подходов к кибербезопасности во всём мире. В России и других странах Stuxnet вызвал обеспокоенность по поводу уязвимости промышленных систем, особенно в энергетике и атомной промышленности. В ответ на это правительства начали активнее инвестировать в защиту SCADA-систем.

Критика и этические аспекты

Stuxnet вызвал широкую дискуссию о правомерности использования кибероружия. Критики отмечали, что червь, хотя и был нацелен на Иран, мог выйти из-под контроля и заразить другие системы, что и произошло. Кроме того, Stuxnet создал прецедент, который другие государства могли использовать для атак на критическую инфраструктуру. Некоторые эксперты также указывали, что атака могла быть расценена как акт войны, что подрывало международное право.

Интересные факты

  • Stuxnet был первым вредоносным ПО, которое содержало ПЛК-руткит — программу, скрывающую изменения в промышленных контроллерах.
  • Червь использовал сложный алгоритм для точного определения целевой системы: он проверял, подключены ли к контроллеру центрифуги IR-1, и только после этого активировал разрушительные функции.
  • В 2011 году «Лаборатория Касперского» назвала Stuxnet «идеальным кибероружием» из-за его сложности и целенаправленности.
  • После обнаружения Stuxnet в Иране были арестованы несколько человек, подозреваемых в шпионаже в пользу США и Израиля.

Источники

  • «Stuxnet: Dissecting a Cyberwarfare Weapon» — Symantec Security Response, 2011.
  • «The Stuxnet Computer Worm: Harbinger of an Emerging Warfare Capability» — Congressional Research Service, 2010.
  • «The New York Times» — статья «Obama Order Sped Up Wave of Cyberattacks Against Iran», 2012.
  • «Лаборатория Касперского» — отчёт «Stuxnet: The First Cyber Weapon», 2010.
  • «Wired» — статья «Stuxnet: The First Cyber Weapon», 2014.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →