Читаем Шпионы среди нас: секретные материалы полностью

Согласно афишируемой версии, первыми Stuxnet обнаружили в Белоруссии, прежде мало известной достижениями в этой области державе. Специалисты компании «Вирус БлокАда» — очевидно, монопольной по программному обеспечению в стране (среди ее клиентов Национальный банк, Совмин, ряд министерств, включая Минобороны, БГУ, Минский тракторный и т. д.) — идентифицировали Stuxnet еще 17 июня 2010 года «во время проведения расследования, связанного с инцидентом, возникшим у клиентов ее дилера в Иране».

Директор фирмы Вячеслав Коляда рассказал, что в ходе исследований им удалось обнаружить использование вирусом «серьезной уязвимости, которая содержится в большинстве операционных систем Windows». «Мы попытались донести информацию до компании Microsoft, но все попытки передать эту информацию по разным каналам заканчивались глухим молчанием со стороны софтверного гиганта», — посетовал он.

То, что легко распознали белорусские «блокадники», специалистов по компьютерной безопасности из ведущих мировых фирм, когда они наконец разобрались со структурой червя, повергло в шок. Спецы отмечали невиданную доселе сложность, глубину, вариативность, избирательность и точность. «После 10 лет ежедневных занятий обратной инженерной разработкой кодов я еще никогда не встречался ни с чем, что хотя бы близко было похоже на это», — цитируют одного из них.

Чем так поразил Stuxnet прожженных профессионалов?

Хакерская атака — это как вломиться в чужой дом без спросу: украсть чего, выведать, нагадить, разломать, сделать его непригодным для жизни или разрушить совсем. Любой дом защищен: стены, замки, ставни… И тактика любого хакера — в том, чтобы найти в этом брешь.

Если найти слабое звено в несущей конструкции — все здание рухнет. Программисты такие прорехи называют zero-day-exploit — «уязвимость нулевого дня». Это как открытая дверь в святая святых, в главный штаб и собственную спальню, неизвестная тебе самому дверь без замка и без охраны. Проникнув в нее, хакер может делать все, что хочет, вплоть до обрушения всей операционной системы.

Так вот, специалисты по компьютерной безопасности утверждают, что в их практике им очень редко встречались вирусы, знающие хотя бы одну zero-day-уязвимость операционной системы Windows. А червь Stuxnet использовал сразу четыре. После того как разразился скандал, программисты Microsoft бросились искать противоядие, однако пока сумели залатать только две неизвестные прорехи, да и то лишь для Windows-2007.

Но и это еще не все. Stuxnet несет в себе два цифровых сертификата известных разработчиков программного обеспечения для Windows — Realtek Semiconductor и JMicron Technology — электронные подписи этих компаний, удостоверяющие подлинность программного продукта, которые служат пропуском для входа в систему и выполнения команд. Это как водяные знаки на купюрах и ценных бумагах. Специалисты убеждены, что подделать, скопировать их нельзя. Можно только украсть.

Как работает Stuxnet?

Червь вползает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флэшкой (кстати, израильское изобретение, впервые выпущенное в 1999 году компанией «М-Системс» Дова Морана и Амира Бана). С этого момента инфицированный компьютер сам становится источником заразы.

А червь внутри него (у Stuxnet есть шесть различных способов проникновения и закрепления в организме РС) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно индифферентно по отношению к поглотившему его организму, никак не вредит ни ему, ни его партнерам, пока не наткнется на признаки цели, для охоты на которую он создан: программы управления производством фирмы Siemens. И тогда он звереет, превращаясь в жестокого хищника-разрушителя.

Специализация Stuxnet — компьютерные программы крупномасштабных систем управления промышленными предприятиями — SCADA (Supervisory Control and Data Acquisition), то есть «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте— и газопроводов, военных заводов, предприятий гражданской инфраструктуры и всего такого прочего, чтобы не сказать вообще всего.

Stuxnet, обладая всеми необходимыми ксивами (помните краденые электронные подписи?) системного администратора и зная «точки смерти» операционной системы, которые никто не знает, кроме него и его создателей, поднимает себя во внутрикомпьютерной иерархии до уровня инициирования команд — фактически захватывает власть в системе и перенаправляет ее на выполнение собственной разрушительной цели.