Поделиться
Обнаружена ранняя версия Stuxnet
Корпорация Symantec объявила об обнаружении более ранней версии одного из наиболее интеллектуальных вирусов — Stuxnet, впервые в истории использованного в качестве кибероружия. Версия с номером 0.5 была активна с 2007 по 2009 гг., а её применение могло быть начато ещё в ноябре 2005 г., когда был зарегистрирован её первый C&C-сервер, сообщили CNews в компании. В отличие от своего более известного преемника — версии 1.001, версия 0.5 использовала совершенно другой механизм атаки. Эксперты Symantec также обнаружили, что более ранняя версия вируса была частично создана на той же той же платформе, что и Flamer.
Полученные экспертами Symantec в ходе исследования данные показали, что Stuxnet версии 0.5 был специально создан для атаки на промышленные установки Simatic 400 Station и Simatic H-Station (центрифуги для обогащения урана) иранского завода, расположенного около города Натанз. Атака была построена на выведении из строя центрифуг за счёт создания пятикратных перепадов давления в центрифугах, объединённых в каскады — вирус управлял клапанами управления подачи и сброса газообразного гексафторида урана. При этом он маскировал свою деятельность, демонстрируя оператору заранее сохранённый снимок монитора нормального состояния центрифуги.
«Более поздние версии вируса разрушали центрифуги за счёт управления скоростью их вращения и были обнаружены в июле 2010 г. после того, как они стали поражать системы за пределами первоначальной цели, — отметили в Symantec. — И если факт серьёзного нарушения работы иранского завода по обогащению урана близ города Натанз атаками поздних версий Stuxnet считается общепризнанным, то степень успешности атак более ранних версий вируса до сих пор не раскрыта».
Как удалось выяснить специалистам компании, версия 0.5 перестала обращаться к командным серверам злоумышленников 11 января 2009 г. и окончательно перестала угрожать компьютерам 4 июля того же года, спустя 12 дней после создания Stuxnet версии 1.001. Тем не менее, несмотря на семилетний возраст угрозы и дату её деактивации, Symantec зарегистрировала небольшое количество пассивных заражений по всему миру в течение последнего года.
Пассивные заражения Stuxnet 0.5, обнаруженные за последний год
Поздние версии Stuxnet отличаются более высокой скоростью распространения и более активным использованием уязвимостей (в том числе, в программном обеспечении Microsoft). Для сравнения, если Stuxnet 0.5 располагал в своем арсенале только одним эксплойтом, то версия 1.101 вооружена уже 7 эксплойтами. Кроме того, вместо Flamer в основе поздних версий вируса лежит платформа Tilded — это дает основания предположить, что разработкой ранней и поздних версий Stuxnet занимались различные специалисты.
Эволюция Stuxnet в части эксплуатации уязвимостей
Как полагают эксперты Symantec, вполне вероятно существование и других версий Stuxnet — как более ранних, чем 0.5, так и версий, создававшихся в промежутке времени между выходом Stuxnet 0.5 и 1.001. В частности, ряд компонентов Stuxnet, обнаруженного в 2010 г., не имеют аналогов в известных на сегодняшний день версиях вируса.
Поделиться
Короткая ссылка
