«Лаборатория Касперского»: червь Stuxnet - «первая ласточка» новой эпохи кибернетических войн

24.09.2010

Недавняя атака червя Stuxnet послужила поводом для многочисленных дискуссий и предположений относительно целей, задач и личностей его создателей. Эксперты «Лаборатории Касперского», проведя анализ, пришли к выводу, что червь Stuxnet знаменует собой начало новой эры кибервойн.

На данный момент нет достаточной информации, позволяющей идентифицировать организаторов атаки или цель, на которую она направлена. Однако несомненно, что это технически сложная атака, за которой стоит хорошо финансируемая, высококвалифицированная команда, обладающая глубокими знаниями в области технологии SCADA. По мнению специалистов «Лаборатории Касперского», подобная атака могла быть осуществлена только с поддержкой и с одобрения суверенного государства.

«Я думаю, что это поворотный момент - теперь мы живем в совершенно новом мире, потому что раньше были только киберпреступники, а теперь, боюсь, пришло время кибертерроризма, кибероружия и кибервойн», - сказал Евгений Касперский, соучредитель и генеральный директор «Лаборатории Касперского».

Выступая на ежегодном пресс-туре «Лаборатории Касперского», на днях прошедшем в Мюнхене, Евгений Касперский сравнил червя Stuxnet с ящиком Пандоры. «Эта вредоносная программа предназначена не для кражи денег, рассылки спама или воровства личных данных - нет, этот зловред создан для вывода из строя заводов, повреждения промышленных систем, - сказал он. - Боюсь, что это начало нового мира. Девяностые были десятилетием кибервандалов, двухтысячные - эпохой онлайн-преступников; боюсь, теперь наступает эра цифрового терроризма».

Изучив червя, эксперты «Лаборатории Касперского» обнаружили, что он использует четыре различные неизвестные ранее уязвимости «нулевого дня» (zero-day). О трех из них наши аналитики сообщили специалистам компании Microsoft. Совместными усилиями были созданы патчи, закрывающие данные уязвимости.

Кроме эксплуатации четырех zero-day уязвимостей, червь Stuxnet использовал два действительных сертификата (выпущенных компаниями Realtek и JMicron), которые позволили этому зловреду долгое время избегать попадания на экраны антивирусных радаров.

Конечной целью червя был доступ к системам предприятий Simatic WinCC SCADA, которые используются для мониторинга и управления промышленными, инфраструктурными и сервисными процессами. Подобные системы широко применяются в нефтепроводах, электростанциях, крупных системах связи, аэропортах, судах и даже на военных объектах по всему миру.

Всестороннее знание технологии SCADA, сложная организация многоуровневой атаки, использование нескольких уязвимостей «нулевого дня» и легально выданных сертификатов - все это говорит о том, что Stuxnet создан командой чрезвычайно квалифицированных профессионалов, обладающих значительными ресурсами и финансовой поддержкой.

Цель атаки и география распространения червя (преимущественно Иран) говорит о том, что это дело рук не обычных киберпреступников. Проанализировав код червя, эксперты «Лаборатории Касперского» полагают, что главная задача Stuxnet - не шпионаж за зараженными системами, а подрывная деятельность. Факты указывают на то, что за созданием Stuxnet стоит суверенное государство, имеющее в своем распоряжении серьезные разведывательные данные.

«Лаборатория Касперского» считает, что Stuxnet представляет собой грозный прототип кибероружия, создание которого повлечет за собой новую всемирную гонку вооружений. На сей раз это будет гонка кибер-вооружений.