Читать «Компьютерра PDA N72 (13.11.2010-19.11.2010)» онлайн - страница 46

В обновленной версии так называемого "Досье Stuxnet", которое заведено на эту программу в подразделении Symantec Security Response, отмечается: "Это свидетельствует, что [создатели Stuxnet] хотели закрепиться в системе без обнаружения, оставаться там длительное время и незаметно изменять производственный процесс, однако без срывов его работы".

Червь Stuxnet был обнаружен в Иране в июне 2010 и к настоящему времени заразил свыше 100 000 компьютерных систем по всему миру. Главное отличие этого червя — помимо необычной сложности программы — это целенаправленная атака против конкретной разновидности SCADA-систем промышленного управления, а именно Siemens Simatic WinCC.

Исследователи вируса давно установили, что Stuxnet перехватывает команды, отправляемые SCADA-системой для управления определенными функциями на промышленном объекте, однако вплоть до последнего времени было неясно, какого рода конкретные функции были целью саботажа. Строго говоря, в Symantec и сейчас воздерживаются от непосредственного указания на объект, являвшийся наиболее вероятной целью атаки Stuxnet. Однако вся новая информация достаточно прозрачно указывает на то, что мишенью была фабрика по обогащению урана в Натанзе, тысячи центрифуг которой являются важнейшим элементом ядерной программы Ирана.

Исследователи Symantec подчеркивают, что они ни в коей мере не являются экспертами по компьютерным системам промышленного управления, однако благодаря консультациям и помощи со стороны такого рода специалистов из голландской фирмы Profibus, они сумели-таки восстановить назначение кодов атаки в Stuxnet.

Согласно досье Symantec, целью червя Stuxnet являются специфические драйверы преобразователя частоты — устройства, которое используется для управления скоростью работы механизмов типа электромотора. Червь перехватывает команды, посылаемые таким драйверам от управляющей программы Siemens SCADA, и подменяет их вредительскими командами, сильно изменяющими скорость вращения в сравнении со штатным режимом.

При этом, однако, вредоносная программа портит далеко не любой конвертер частоты. Червь тщательно сканирует аппаратный состав той сети, в которую проник, и начинает работу лишь в том случае, когда в конфигурации имеется по крайней мере 33 конвертера частоты, изготовленных либо иранской фирмой Fararo Paya, либо финской компанией Vacon.

Избирательность червя простирается еще глубже, поскольку Stuxnet интересуется только такими драйверами, которые работают с высокими частотами вращения — от 807 до 1210 Герц. Как свидетельствуют специалисты, столь высокие частоты в производстве используются лишь для узкого круга промышленных приложений. Нельзя, конечно, стопроцентно утверждать, что это явно указывает на ядерную фабрику, однако в досье Symantec отмечается такой факт: "Драйверы конвертера частоты для выходных значений свыше 600 Гц в США подпадают под контроль со стороны Комиссии по ядерному регулированию, поскольку они могут быть использованы для обогащения урана".