Stuxnet - кибероружие нового поколения

В XX веке мир стоял на грани ядерной войны. На компьютерные технологии не обращали такого пристального внимания, как сейчас. Считали количество оружия, а не его качество и степень защиты. В итоге сегодня его уничтожают. Атомная промышленность спешно переводится на рельсы мирного сосуществования с человеком. Однако сам человек по своей природе так и остался эгоистом, а когда государство – эгоист, тогда и появляются желания многих в интересах своей страны создавать доселе неизвестное кибероружие, такое как Stuxnet.

Лето 2010 года было жарким во всех смыслах этого слова. В унисон палящему российскому солнцу, на ядерных объектах Ирана (как говорят их руководители, объектах мирного обогащения урана) вышли из строя промышленные системы автоматизированного управления. По сути, в момент неконтролируемого обогащения могло произойти что угодно, в том числе и разрушение ядерных реакторов. Именно в этой ситуации открылся мировой общественности новый вирус Стакснет. Весь процесс систематизации и контроля на современных промышленных объектах сводится к скучному монотонному наблюдению за цифрами посредством функционала ОС Windows. Вирус использовал уязвимости этой операционной системы, причем всех самых последних ее версий (XP, Vista, Windows 7). Принцип заражения заключается в том, что при попытке системы отобразить USB-flash устройство в проводнике, выполняется вредоносный код. Устанавливаются два драйвера. Один из них фильтрует файловую систему, скрывая наличие вредоносных кодов. Другой – грузит в системные процессы динамические библиотеки. Причем «тихая» установка обеспечивается наличием цифровых подписей официальных производителей, программное обеспечение которых во многих системах считается заведомо безопасным. Стоит отметить, что «Stuxnet» заточен под определенный вид систем автоматизации. Это продукты фирмы Siemens: SCADA WinCC/PCS7. Такая узкопрофильная «специализация» вредоносного ПО только подтверждает версию причастности спецслужб заинтересованного государства. Да и как говорят эксперты, написать в одиночку такой сложный и емкий (до 2Мб) код не реально, его разрабатывали как минимум 6 человек.

Однако останавливать работу ядерного объекта и разрушать сам объект – это разные вещи. Говорить, что вирус при проникновении сразу разрушает реактор станции не логично. Парализуются в основном вспомогательные контроллеры от Siemens. Но и этого достаточно, чтобы отсрочить ядерную программу неугодного государства (процесс развития ядерной отрасли в Иране, как говорят специалисты, был отброшен еще на 3-4 года). Вся опасность такого оружия заключается в необратимости непредвиденных ситуаций. Например, температура охлаждающей жидкости в 30-40°С на станции считается нормой. Данные считываются все теми же контроллерами и напрямую взаимодействуют с аварийной системой отключения. «Стакснет», скажем, может долгое время наблюдать за определенными величинами (в том числе и за температурой) и в самый неподходящий момент подменить критические 75°С на проходящие 38°С. Дальше только хуже.

Причем Иран это далеко не последняя страна, на промышленных предприятиях которой установлены системы Simatic от Siemens. В том числе и в России есть огромное количество гражданских, военных, иностранных предприятий, игнорирующих безопасность как таковую. Вы что думаете, после показательного примера с атомной станцией «Бушер», все так и принялись проверять системы на наличие вредоносного ПО. Конечно, нет. Потому что тогда придется останавливать производство, а это как и для иранских объектов слишком дорого. Живем, получается, на пороховой бочке в надежде на «авось».

Все же лучше предупреждать, чем устранять последствия работы вредоносного кода. Лечения вируса Stuxnet касается скорее сотрудников промышленных предприятий. Ведь именно автоматизированные системы серьезных организаций по всему миру становятся целью для организованных рейдов «промышленного» вируса. Во-первых, если «копать» глубже, то в первую очередь необходимо повысить квалификацию сотрудников предприятия, может быть, отправить на дополнительные курсы. Те же самые USB-накопители, через которые вирус попал в систему, скорее всего, и содержали вредоносные коды. Самовольное подсоединение таких устройств (тем более на атомных станциях) есть грубое нарушение правил безопасности. Провести комплексную проверку ОС на АРМах (автоматизированных рабочих местах), если требуется, обновить до актуальной версии. На системы связанные каким-то образом с внешними сетями, лучше всего установить дополнительное антивирусное ПО, следить за обновлениями на сайтах разработчика. Стоит отметить, что Microsoft после обнаружения уязвимости в своих программных продуктах, практически через месяц (в августе 2010) выпустил критические пакеты для тех версий ОС Windows, которые подверглись разоблачению вирусом «Stuxnet». Вставая на тропу информационной войны для государств-агрессоров фраза «все средства хороши» приобретает особую извращенную форму. Поэтому, защищая подконтрольные вам системы автоматизации, вы «строите» дополнительные барьеры информационной защиты, предостерегаете себя и все общество от глобальных последствий кибероружия нового поколения.