Промышленный червь Stuxnet был написан более года назад

Изощренный червь, предназначенный для кражи промышленных секретов, был вокруг гораздо дольше, чем считалось ранее, по мнению экспертов по безопасности, исследующих вредоносное программное обеспечение.

Вызывается Stuxnet, червь был неизвестен до середины июля, когда он был идентифицирован следователями с VirusBlockAda, поставщиком безопасности в Минске, Беларусь. Червь известен не только своей технической сложностью, но и тем, что он нацелен на компьютеры промышленной системы управления, предназначенные для запуска заводов и электростанций.

Теперь исследователи из Symantec говорят, что они определили раннюю версию червь, созданный в июне 2009 года, и что вредоносное ПО было сделано гораздо более сложным в начале 2010 года.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Эта более ранняя версия Stuxnet действует так же, как и его текущее воплощение, - он пытается подключиться к системам управления Siemens SCADA (диспетчерский контроль и сбор данных) и украсть данные - но он не использует некоторые из более замечательных методов более нового червя, чтобы избежать обнаружения вирусов и установить себя в системах Windows. Вероятно, эти функции были добавлены за несколько месяцев до того, как был обнаружен последний червь, сказал Роэл Шувенберг, исследователь с антивирусным продуктом «Лаборатории Касперского». «Это, без всякого сомнения, самая сложная атака, которую мы видели до сих пор», - сказал он.

После создания Stuxnet ее авторы добавили новое программное обеспечение, которое позволило ему распространяться среди USB-устройств практически без вмешательства жертвы. И они также каким-то образом сумели получить ключи от шифрования, принадлежащие чип-компаниям Realtek и JMicron, и подписывать вредоносное ПО в цифровой форме, чтобы антивирусные сканеры усложнили его обнаружение.

В Realtek и JMicron есть офисы в Hsinchu Science Парк в Синьчжу, Тайване и Шувенберг считает, что кто-то может украсть ключи, физически доступ к компьютерам в двух компаниях.

Эксперты по безопасности говорят, что эти целенаправленные атаки продолжаются уже много лет, но они только недавно начали уделять основное внимание, после того, как Google сообщила, что она была атакована атакой, известной как Aurora.

Оба Aurora и Stuxnet используют непроверенные недостатки «нулевого дня» в продуктах Microsoft. Но Stuxnet более технически замечателен, чем атака Google, сказал Шоуэнберг. «У« Авроры »был нулевой день, но это был нулевой день против IE6», - сказал он. «Здесь у вас есть уязвимость, которая эффективна против каждой версии Windows с Windows 2000».

В понедельник Microsoft выгнала ранний патч для уязвимости Windows, которую Stuxnet использует для распространения из системы в систему. Microsoft выпустила обновление так же, как код атаки Stuxnet начал использоваться в более опасных атаках.

Хотя Stuxnet мог использоваться фальшивомонетчиком для кражи промышленных секретов - например, заводские данные о том, как делать клюшки для гольфа, Schouwenberg подозревает, что за нападениями стоит национальное государство.

На сегодняшний день Siemens заявляет, что четыре его клиента заражены червем. Но все эти атаки затронули инженерные системы, а не что-либо на заводе.

Хотя первая версия червя была написана в июне 2009 года, неясно, использовалась ли эта версия в реальной атаке. Schouwenberg считает, что первая атака могла произойти уже в июле 2009 года. Первая подтвержденная атака, которую Symantec знает о датах с января 2010 года, сказал вице-президент Symantec по технологиям безопасности и реагированию Винсент Уифер (Vincent Weafer).

Большинство зараженных систем находятся в Иране, добавил он, хотя Индия, Индонезия и Пакистан также пострадали. Это само по себе очень необычно, сказал Уивер. «Я впервые за 20 лет помню, как Иран так сильно проявляет себя».

Роберт Макмиллан покрывает компьютерную безопасность и общую технологию для новостей Служба новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]