Kim Zetter. Countdown to Zero Day. Глава 2. 500 килобайтов загадки.

За все 6 лет, пока Лиам О’Мурчу анализировал вирусы и червей, он не встречал ничего подобного тому коду, оказавшемуся перед ним сейчас. Здесь использовались техники, выходящие за пределы всего того, что он когда либо видел во вредоносных программах. Накануне его коллеги из Европы прислали ему файлы нового вируса. Но садясь за свой компьютер в офисе Symantec в северной Калифорнии и открывая файлы вируса Stuxnet, он этого не ждал увидеть то, что было перед его глазами.

Была пятница, 16 июля. Прошел всего день после того, как новость о Stuxnet ворвалась в техническое сообщество. О’Мурчу готовился к тому, что должно было быть обычным обзором ординарного кода. Тридцатитрехлетний ирландец был руководителем операций по безопасности в офисе Symantec в городе Калвер-Сити в Калифорнии. Его обязанностью было делать обзор новых вредоносных программ, и проводить их детальный анализ, если это требуется.

Аналитики компании из офиса в Дублине, Ирландии, получили файлы Stuxnet поздно вечером и имели в своем распоряжении лишь пару часов на их анализ, пока не настало вреия передать их офису О’Мурчу в Калифорнии, где только наступало утро. Группа группа Symantec, занимающаяся анализом угроз разбросана по разным континентам для того, чтобы в любой момент, когда появлялась опасность, нашелся бы тот, кто будет не будет спать и сразу же этим займется. Затем, когда заходит солнце для одного офиса и встает для другого, работники из одного часового пояса, закрывают свои наработки и, как борцы сборной команды, пересылают их другому.

Не каждой малвари приходится “Следовать за солнцем” таким образом.

Из более чем миллиона вредоносных файлов, обнаруживаемых каждый месяц Symantec и другие компании, занимающиеся защитой информации, большинство являются копиями уже известнвых вредоносов, которые хакеры просто перешифровывают, меняя таким образом их цифровые отпечатки. Эти стандарные малвари обнаруживаются с помощью алгоритмов распознающих типичное поведение, присущее вредоносной программе. Необычный код исследователи рассматривают в ручную. Вредонос, который потенциально может содержать уязвимость нулевого дня всегда детально изучается вручную, что и являлось единственной причиной, по которой Stuxnet приземлилась на рабочий стол к О’Мурчу.

O’Мурчу – приверженный сноубордист, с мелодично звучащей поэтичной речью, и яркими каштановыми волосами, с резко закрученной челкой. Переехав совсем недавно из Дублина в Штаты, он только устраивался в офисе Symantec в Калифорнии, проведя там окло двух лет перед появледнием Stuxnet. Но Symantec он работал с 2004 года. Он управлял командой первоклассных аналитиков и реверс-инженеров, которые были вовлечены в постоянную битву против против цифровых угроз, каждая из которых была еще более продвинутой, чем предыдущая. Ни одна из них не была похожа на то, с чем он столкнулся в Stuxnet.

О’Мурчу думал, что анализ кода будет просто обычным делом подтверждения наличия 0day, которую Уласень и Купреев обнаружили к тому моменту. Поэтому он скинул этот код младшему инженеру, рассчитывая, что это будет для него неплохой практикой и, лишь пробежался мельком, проверяя, не упустил ли он сам чего. Но, стоило ему открыть файлы, сразу стало понятно, что это очень необычный код.

Основной файл Stuxnet оказался невероятно большим – 500 килобайт, вместо обычных 10-15. Даже Conficker, вирус – монстр, который заразил свыше 6 миллионов устройств за прошедшие пару лет, весил всего 35 КБ. Любая малварь, крупнее этой в размере, обычно содержала в себе тяжелый файл с изображением, увеличивающим её общий вес, как например, фейковая страничка онлайн-банка, которая выскакивала в браузере зараженного устройства, чтобы одурачить жертву и выманить её банковские данные. Но в Stuxnet не было файла-изображения и никаких посторонних дополнений. И когда О’Мурчу стал открывать и разбирать файлы, он понял, что код оказался намного сложнее, чем кто-либо он предполагал.

Когда ты повидал столько малварей, как О’Мурчу, ты можешь лишь взглянув на код программы понять наверняка весь её функционал – вот эта содержит кейлогер и записывает всё, что печатает жертва, а это банковский троян, который крадёт данные для онлайн входа в банковский счет. Так же легко было понять, где код был написан как попало, а где собран искусно и внимательно. Stuxnet явно относился ко второму варианту. Он оказался плотной, грамотно скомпанованной программой с огромнейшим функционалом. Что это были за функции, все еще оставалось загадкой, но она мгновенно пробудила интерес О’Мурчу.

Первая встреча О’Мурчу с вредоносным кодом произошла ещё в 1996, когда он изучал компьютерные науки в Университетском колледже Дублина, и однокурсник запустил самодельный вирус, заразивший все компьютеры в учебных классах. В тот день, вирус захватил контроль над всеми устройствами и всех заблокировал их. Пользователи могли авторизоваться, лишь ответив на ряд из 10 вопросов, появлявшихся на экранах. Большинство были раздражены этим вторжением, но О’Мурчу хотелось раздобыть себе копию этого вируса, чтобы его разобрать. Разбирать предметы было заложено у него на клеточном уровне. Еще ребенком, росшим в деревне неподалеку от Атае, маленького торгового городка в графстве Килдэр, в Ирландии, он был одним из тех мальчишек, кому больше нравилось не играть с машинками, а разбирать их на части, чтобы понять их устройство.

О’Мурчу не намеревался становиться борцом с вирусами. Он начинал свою карьеру в колледже, прилежно изучая физику и химию, ради научной степени, которую он планировал получить, но, записавшись на один курс по компьютерам, он стал ими просто одержим. Он быстро променял лабораторию химиков на компьютерный класс. Хакинг был усиливающейся проблемой в Университете, но О’Мурчу не рассматривал компьютерную безопасность в качестве возможной ступени своей карьеры, до тех пор, пока хакеры не взломали серверы, принадлежащие компьютерному клубу, и команде студентов было поручено их спасти. О’Мурчу был увлечен этой игрой в кошки-мышки, которая в результате завязалась, видя как злоумышленникам снова удается перехитрить защитников и ворваться обратно.

Тот урок по преодолению цифровых барьеров пришелся кстати, когда он с группой друзей путешествовали по Штатам после Колледжа, и с легкостью нашли себе заработок, тестируя интернет-киоски для стартапа в Сан-Диего. Их наняли на работу для того, чтобы проверить, смогут ли они обхитрить систему оплаты в киосках и получить к ним интернет доступ. Но вместо обычных пользователей интернета, компания получила группу продвинутых хакеров. O’Мурчу и его друзья были должны тестировать систему в течении нескольких недель перед тем, как компания установит эти киоски на улицах. Но О’Мурчу и его друзья продолжали находить все новые и новые пути взлома платежной системы. Два месяца прошло, а они все находили новые лазейки.

Следующую пару лет О’Мурчу провел путешествуя по свету, катаясь на сноуборде, вынашивая в себе желание попасть в сферу безопасности, но не имея ни малейшего плана, как это осуществить. Затем, в 2002 он получил работу в Брайтмейл, компании, занимающейся антиспам – фильтрацией в Дублине. Он взялся за это лишь ради заработка на новые путешествия. Но когда в 2004 году Symantec купила эту компанию, это был его шанс. Шанс попасть в сферу охраны. Во время начальной тренировки, который офис Symantec в Дублине устроил для сотрудников Брайтмейл, О’Мурчу нетерпелось познакомиться с разным департаментам компании. Больше всего он хотел увидеть команду исследователей вирусов, в которую он и надеялся попасть. Но в итоге, когда он встретил Эрика Чина, американца, возглавлявшего команду, его мечта быть нанятым в команду рухнула. Он думал что, Symantec размещает сотни своих аналитиков по всему миру, и попасть в их число не так уж сложно. Но Чин сказал, что лишь 6 человек работают в команде и все они находятся в этой должности уже долгие годы. “Никто не уходит” – сказал Чин, – “Все любят свою работу”.

Это огорчило О’Мурчу. Он обучался аналитике и расшифровке вредоносного кода и писал крипторы и, когда через пару месяцев появилось большое количество ноых шпионских и рекламных вредоносов, он был готов к тому момету, когда Symantec решила расширить команду. Далее последовали 4 года его стажировки в Дублине – в том офисе, где компания до сих пор держит свою самую большую исследовательскую группу – пока не был переправлен в Калвер-Сити в Калифорнии в 2008.

За эти годы О’Мурчу и команда Symantec не раз работали над высококлассными и сложными угрозами. Но ни одна из них не была столь захватывающей и бросающей вызов, какой окажется Stuxnet.

При изучении главного файла Stuxnet, О’Мурчу столкнулся с несколькими уровнями шифрования и маскировки множества частей и внутреннего ядра. К счастью, первым уровнем оказался обычный упаковщик который было легко открыть.

Упаковщик – это инструмент для сжатия и искажения кода, который позволяет слегка усложнить для антивируса задачу определить сигнатуру вируса, а эксперту мешает быстро определить, что именно делает код. Малварь проходит через упаковщик и видоизменяется каждый раз. Один и тот же код, прогнанный через упаковщик тясячу раз создаст тысячу разных версий программы, хотя внутри это будет код выполняющий те же самые действия. Антивирусные движки могут определить, был ли вредоносный файл пропущен через упаковщик, и на лету распаковать его, определяя реальную сигнатуру содержимого. Чтобы это обойти, более опытные программисты могут настроить обычный упаковщик так, чтобы сигнатуры было сложнее распознать. Но создатели Stuxnet не стали утруждать себя. Они использовали готовый упаковщик под названием UPX (Ultimate Packer for eXecutables), упаковщик исполняемых файлов, поддерживающий несколько различных платформ и форматов файлов. Это было легко распознать и устранить.

Однако, казалось бы странным: сделать остальную часть малвари такой сложной – эксплоит нулевого дня и похищенные цифровые сертификаты и обычный, самый распространенный упаковщик?

О’Мурчу предположил, что изначально цель использования упаковщика – просто сжать файлы и сделать их менее заметным. После распаковки основной модуль увеличился в размерах до 1.18 мегабайт.

После распаковки, О’Мурчу легко обнаружил строчки Siemens которые видел Фрэнк Болдуин. Но важнее то, что он нашел основную зашифрованную часть кода, которой оказался большой файл .DLL в которой было тридцать шесть других .DLL файлов и компонентов внутри, упакованных в разных слоях шифрования, как матрешки. Также он нашел массивный файл конфигурации, в котором было более чем 400 настроек, в которые хакеры могли менять все, что угодно, от URL для командно-контрольных серверов, с которыми Stuxnet контактировал, до количества устройств, которые Stuxnet должен заразить через USB флэшку перед тем, как USB эксплоит прекратит работу.

Любопытно, что О’Мурчу так же нашел в файле дату окончания заражения – 24 июня 2012. Каждый раз, встречая новое устройство, Stuxnet должна была проверять календарь на случай, не прошла ли эта дата. Если да, то Stuxnet должна была остановиться и не заражать его. День Д был установлен на дату, через три года после того, как Stuxnet заразила свою первую мишень – устройства в Иране. К моменту установленной даты, цель злоумышленников предположительно должна была быть достигнута.

Что показалось О’Мурчу наиболее интересным был сложный способ, которым Stuxnet скрывала свои файлы на зараженном устройстве и вмешивалась в его работу в своих целях.

О’Мурчу потребовался почти целый день, чтобы разобрать все эти детали. Закончив, он был поражен.

В ОС Windows код для выполнения простых операций, таких как открытие, чтение файлов или его запись на диск хранится в .DLL операционной системы. Когда операционной системе или другим приложениям необходимо такое действие – программы запрашивают соответствующий код из системного .DLL, и код выполняется в памяти устройства. Обычные хакеры для своих целей могут попытаться сохранить код в .DLL Windows, но антивирусы распознают код, которого там не должно быть. Поэтому Stuxnet пошел дальше и помещал свой код прямо в память устройства, где навряд ли бы его нашла какая-либо антивирусная программа. Само по себе такое поведение не было чем-то особенным, ведь многие смышленые хакеры так уже делали – хранили свой код в памяти устройства. Но то, как это делал Stuxnet, снова удивляло.

Малварь, прячущаяся в памяти, все равно вынуждена запрашивать у системы дополнительный код из файлов, хранящихся на диске компьютера. Но антивирусные движки отлавливают эти запросы. В Stuxnet вся необходимая для функционирования информация хранились внутри него самого, как виртуальные файлы с особыми именами. В обычной ситуации это бы не сработало, потому что, когда Stuxnet попытался вызвать этот код, операционная система не распознала бы имена или искала эти странно названные файлы на диске и там не могла их найти. Но Stuxnet “хукала”, то есть перехватывала запросы к части API Windows, интерфейсу между операционной системой и программами, поэтому, каждый раз, когда она искала эти файлы со странными именами – ОС просто отправлялла запросы в Stuxnet, содержавшуюся в памяти и получала требуемый код. Если бы антивирусный движок что-то заподозрил в файлах из памяти и попытался бы их проверить, Stuxnet была готова и к этому. Так как она контролировала часть API Windows, ответственную за отображение файлов, она просто обводила сканнер вокруг пальца, чтобы он думал, что файлы пустые, по сути, сообщая ему: “Тут нечего смотреть, иди дальше”.³

Но и это было еще не все. Нормальная малварь выполняет свой код довольно прямолинейно – просто запрашивает его и запускает. Но для Stuxnet это было слишком просто. Stuxnet создавалась, как машина Руба Голдберга, и вместо того, чтобы вызывать и использовать свой код напрямую, она “внедряла” его в другой блок кода, уже исполняемого процесса, затем брала код, который был запущен в этом процессе и помещала его в блок кода из другого процесса, чтобы скрыть свою работу.

О’Мурчу был изумлен объемом труда, который злоумышленники вложили в своё творение. С этим и рядом не стояли даже самые сложные малвари, которые он встречал за последние годы. Обычный создатель вирусов делал минимум работы, достаточной, чтобы запустить свою малварь и избежать обнаружения, а здесь каждая деталь была продумана и работала, как швейцарские часы. Даже продвинутые Китайские инструменты шпионажа рядом не стояли с теми технологиями, которые он увидел в Stuxnet. Изучив лишь первые 5 кб из более чем мегабайта кода O’Мурчу начал волноваться все больше и больше.

Было ясно, что это была не стандартная малварь и она требовала детального изучения. Но объем и запутанность кода означали, что потребуется целая группа людей для его расшифровки. И главный вопрос, который сейчас был на уме у О’Мурчу – должны ли они вообще заниматься этим? Никто не станет обвинять Symantec, если исследователи забросят этот код и займутся другими вещами. В конце концов, первостепенная задача любой антивирусной фирмы – это останавливать вирусы до того, как они запустятся или избавлять от них систему, если она оказалась заражена. А что именно вредоносный код делал с компьютером, оказавшись там – дело второстепенное.

Но даже при этом, их первостепенная задача сейчас застопорилась на этапе обнаружения, а любой клиент, заразившийся Stuxnet, все равно захочет узнать, что он сделала с его системой, даже если Symantec уже обнаружили и удалили все вредоносные файлы. Сумела ли она украсть учетные данные или важные документы? Изменила или удалила критически важные записи? О’Мурчу считал, что в его обязанности входило это выяснить.

Но то была не единственная причина, по которой он продолжил разбирать код. По правде, Stuxnet привлекла его тем, что это был огромной загадкой. Вирус был намного более сложным, чем просто инструмент для шпионажа. И намного более продуманным, чтобы быть творением обычных компьютерных жуликов.

К концу первого дня, О’Мурчу внес в свои заметки все, что уже выяснил и переслал это в офис Symantec в Токио, сожалея, что не имел в запасе больше времени. Команда из Токио проработала с кодом в отведенное им время, выявляя компоненты Stuxnet и проделывая высококлассный анализ кода, поэтому каждый приложил руку к общему делу.

Вернувшись в свой дом в Калифорнии, где он жил со своей девушкой-британкой рядом с пляжем в Марина дель Рэй, О’Мурчу попытался выкинуть код из головы, но не мог. Мысли о том, каким хитрым путем вирус захватывал систему, крутились у него в голове, не давая покоя. Его разум отказывался верить в то, что он видел это всё своими глазами. Чтобы успокоить свои сомнения, он вернулся в офис, чтобы ещё раз взглянуть на код снова и убедиться во всем том, что он это действительно видел.

К утру понедельника ему нетерпелось попасть в офис, встретиться с коллегой Эриком Чином и рассказать о том, что он нашел. Как и О’Мурчу, Чин перебрался из офиса Symantec Дублина в Калвер Сити и теперь был техническим директором команды безопасности Symantec. Чин решил, им следует позвать Николаса Фальера, молодого старшего инженера-программиста и аналитика из офиса Symantec в Париже, который был хорош в разборе сложных кодов. Втроем они разработали собственный план.

Stuxnet был таким огромен, с разными частями и компонентами. Но то, с чего очевидно стоило бы начать – это серверы управления и контроля. Поэтому, пока Фальер ознакамливался с той частью Stuxnet, которую O’Мурчу уже осмотрел – Чин и О’Мурчу сконцентрировались на серверах.

Каждый раз, когда Stuxnet заражала систему, она “отзванивалась” одному или двум интернет доменам, замаскированным под сайты для фанатов футбола – mypremierfutbol.com и todaysfutbol.com.

Названия доменов были зарегистрированы на фейковые имена и поддельные кредитки, указывающие на сервисы в Дании и Малайзии, которые выступали в качестве (командно-контрольных станций) в процессе атаки. Каждый раз, когда Stuxnet заражала устройство, она связывалась с серверами, чтобы анонсировать свое достижение и передать разведданные о жертве. Эта коммуникация была зашифрована, чтобы предотвратить возможное прочтение кем-либо, но шифрование, которое использовали хакеры, было на удивление простым и легко вскрывалось. Как только О’Мурчу и Чин его взломали – они смогли увидеть, как Stuxnet передавала хакерам название устройства, доменное имя, так же как и внутренний IP-адрес, версию Windows, на которой работает устройство, и установлено ли на него целевое программное обеспечение Siemens.

Все эти данные, по-видимому, помогали хакерам определить, приближалась ли Stuxnet к своей цели. Это было важно, потому что, в ходе своей атаки они действовали он, по сути, вслепую. Однажды запущенный, самораспространяющийся вирус типа Stuxnet жил сам по себе и у хакеров не было бы никакого контроля над его перемещениями. Данные, приходившие от него на сервер помогали хоть как то отследить его путь, пока он пробирался через сети в поисках своей жертвы.

Из всей информации, которую Stuxnet докладывала своим хозяевам, самой важной были данные Siemens, поскольку, как только становилось известно, что на устройстве, где оказалась Stuxnet не установлено програмное обеспечение Siemens, она прекращала свою деятельность. Она заражала новые устройства, но не производила каких-либо действий на устройстве, где не было обеспечения Siemens. Любая система без этого програмного обеспечения становилась концом для Stuxnet.⁵

O’Мурчу связался с провайдерами сервиса DNS ( системы доменных имен) насчет двух командно-контрольных доменов и попросил их остановить весь трафик, идущий к этим доменам и вместо них перенаправить его в “воронку” – компьютер Symantec, предназначенный для приема такого трафика. Провайдеры DNS это “регулировщики” интернета, отвечающие за то, чтобы e-mail и браузеры нужных сайтов, поэтому каждый раз, когда кто-то набирает “ny-times.com” в своем браузере или кликает на ссылку, DNS подсказывает какой именно IP адрес стоит за тем или иным именем.⁶

Путем перенаправления трафика в эту воронку, специалистам, можно было получить актуальные данные, которые Stuxnet, отправляла своим хозяевам. К утру вторника 20 июля поток трафика уже отправлялся в воронку.

С того момента, как каждое зараженное устройство стало “отзваниваться” и передавать данные, О’Мурчу и Чин начали сопоставлять домены и страны, откуда шла информация, которую теперь можно было изучить, выделить сходства и закономерности, определить количество жертв, использующих программное обеспечение Siemens. К концу недели более 38 000 зараженных устройств из десятков стран передали данные в воронку и со скоростью 9 000 новых зараженных в день это число быстро росло. В итоге концов они могли отслеживать более ста тысяч вирусов в более, чем ста государствах.⁷ Stuxnet по-прежнему распространялась, несмотря на то, что антивирусные организации уже выявили и начали “засекать” сигнатуру этого вируса, а во многих зараженных устройствах еще не было установлено новейшее антивирусное обеспечение. Среди зараженных устройств, “отзванивающихся” в “воронку”, попался ПК из одной антивирусной фирмы-конкурента, где все еще запускали Stuxnet на своих испытательных стендах.

С тех пор, как О’Мурчу и Чин стали отмечать географическое расположение каждого зараженного устройства, проявилась любопытная закономерность. Из 38 000 зараженных машин, которые изначально были отслежены, 22 000 располагались в Иране. На втором месте шла Индонезия со своими 6 700 зараженными, и затем следовала Индия с цифрой в 3 700. В Штатах было обнаружено менее 400 зараженных, а у остальных эта цифра падала и того ниже. И лишь небольшое число устройств среди всех зараженных имели установленное обеспечение Siemens, что так же преобладало в Иране – 217, в отличие от США – там было всего 16. ⁸

Ситуация с этим вирусом не совпадала с предыдущими моделями вспышек во всем мире, когда Иран никогда не был впереди всех.

Даже во вспышках, которые начинались на Ближнем Востоке или в Центральной Азии, Иран никогда не поднимался в топ чарта. Становилось понятным, что это целенаправленная атака, ориентирован на Исламскую Республику. Но, если атакующие были нацелены на устройства с установленным обеспечением Siemens, то получается, что Stuxnet ушла далеко за пределы своей цели. И почему она распространилась глубже в Индию и Индонезию, чем в Соединенные Штаты или в Европу? Что эти три государства могли иметь общего, что заставило вирус сконцентрироваться там? Имея деньги и время, которые очевидно были затрачены на разработку вируса, эти ребята были явно не из тех, кто собирался красть рецепты лекарств или секреты производства с какого-нибудь автомобильного завода, как предположил Болдевин. Атакующие, должны были нацеливаться на кражу сведений о критической инфраструктуре, или , возможно, стратегически важной для региона политической информации. Обеспечение Siemens, которое искала Stuxnet, использовалась так просто на промышленных заводах, но так же использовалось в системах критической инфраструктуры. Чин провел небольшой поиск по Гуглу касаемо Ирана и Индии, чтобы понять, что же в них может быть общего и обнаружил недавние новости о газопроводе, проложенном специально, чтобы соединить эти два государства. Газопровод “Мир”, включающий в себя 1700-мильный газопровод, проложенный через Южный Парс, крупнейшее нефтегазовое месторождение на юге Ирана, и идущий из Пакистана в Индию, сильно противоречил планам и интересам США. Этот проект преодолел множество взлетов и падений за все годы смен политических настроений и вопросов финансирования, от которых Индия в 2009 году отстранилась под давлением США, но в мае 2010, лишь за два месяца до обнаружения Stuxnet, Индия вновь присоединалась к проекту. В тот же месяц Иран должен был начать проектирование и строительство завершающей части газопровода.

Но и еще кое-что пестрило в заголовках об Иране – их быстро расширяющаяся ядерная программа. Иран собирался запускать свой ядерный реактор в Бушере на юге страны, что уже на протяжении многих лет было источником сильного напряжения между Израилем и странами Востока. Но даже более противоречивым, чем ядерный реактор был уранообогатительный завод в городе Нетанз, который был построен для того, чтобы снабжать реактор ядерным топливом. ООН голосовала за санкции против завода в Иране, и здесь даже шли разговоры о возможной воздушной атаке против строительства этого завода.

Тревожная геополитическая картина стала вырисовываться в связи с этим. Загадочная сущность самого кода, плюс кража данных, а так же лидерство Ирана в числе этой вспышки зараженных наводило на мысли о том, что все это продукт тайного правительственного шпионажа, который явно вышел из-под контроля. С пониманием того, что что-то в Иране являлось мишенью, можно было определить небольшой список вероятных подозреваемых – Израиль, Китай, Россия или США.

Чин попытался представить возможные последствия. Если Stuxnet был продуктом тайной правительственной организации, а конкретно Соединенных Штатов, это делало наличие их “воронки” для сбора данных чем-то особенно дерзким. Отлавливая те данные из зараженных устройств из Ирана, которые предназначались атакующим, они, вероятно, попали в эпицентр международного события и даже могли поспособствовать срыву секретной операции. Потенциальные последствия были просто пугающими.

Но Чин не мог просто остановиться на этом. В работу Symantec не входила помощь в защите скрытых государственных операций, какая бы страна за этим не стояла. Их задачей было защитить устройства своих клиентов. И не важно, кто запустил этот код, и какая цель преследовалась. Если этот код продолжает заражать клиентов, он должен быть остановлен. Несмотря на то, что устройства, зараженные в Иране, где у Symantec не было клиентов, были основной мишенью этого вируса, Stuxnet так же добралась до сотен устройств в других странах и по-прежнему, оставалась на воле, продолжая заражать. И так же непонятным все еще оставалось, как эта малварь могла воздействовать на нецелевые устройства.

Нельзя было исключать вероятность и того, что Иран мог сам быть источником атаки, а не целью. Возможно, иранские инженеры создавали Stuxnet, чтобы проникнуть в компьютеры США, но потеряли контроль над своей же разработкой, из-за чего произошли все эти заражения в самом Иране. Если она доберется до критических систем в Штатах – до электростанции, системы управления плотиной или железной дорогой – что тогда может произойти?

O’ Мурчу и Чин решили, что должны поторопиться.

Какими бы оказались политические последствия, надо было еще раз это всё рассмотреть.

1. Эксплоит .LNK на USB флэшке был распространял Stuxnet лишь на три новых устройства, а затем останавливался и стерал файлы с этой флэшки.

2. Доказательства, обнаруженные в Stuxnet, которую исследовал Symantec, указывали на то, что первое заражение в Иране произошло 23 июня 2009 г.

3. Николас Фальер, Лиам О’Мурчу и Эрик Чин, “W32. Stuxnet Dossier” (отчет, февраль 2011) 13-15, доступно на symantec.com/content/en/us/enter-prise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. Детальный отчет от Synantec, описывающий технические функции Stuxnet, и на что направлена каждая функция кода.

4. Доменное имя устройства и внешний IP-адрес, выходящего в интернет – может резолвится в название организации или компании, владеющей зараженным устройством, основываясь на том, кому принадлежит блок IP адресов, куда входит и адрес этого устройства. Это помогало специалистам определять, как быстро и как далеко распространяется Stuxnet. С другой стороны, внешние IP адреса – те адреса, которые компании устанавливают на устройства намеренно, чтобы обозначить их самих и трафик, проходящий между ними. Эти IP адреса могли бы оказаться очень полезными, если бы у атакующих была схема компании, на которую осуществилась атака, которая могла бы быть украдена из устройства системного администратора, на которой отображались бы внешние IP адреса каждого устройства из этой сети. Если бы это был как раз такой случай, хакеры могли бы прокладывать дорогу для Stuxnet, которая продвигалась бы по сети, заражая устройство за устройством, подключенным к сети, докладывая каждый раз в коммандно-контрольные серверы о каждом новом заражении. Что же касается имен компьютеров, они могли бы помочь хакерам определять, какому работнику или рабочей группе в компании, владеющей этими компьютерами, принадлежал тот, что удалось заразить. Например, одно устройство называлось GORJI-259E4B69A, а другое PEYMAN-PC. Но некоторые компьютеры обьединялись под одним одинаковым именем: “ADMIN-PC”, “USER-PC”, или “home-laptop”, что усложняло процесс их идентификации.

5. Александр Гостев, главный антивирусный эксперт лаборатории Касперского в России, обнаружил, что Stuxnet отправила в коммандный сервер файл – под названием Oem6c.pnf – который указывал не только, какая программа Siemens была установлена на компьютере (Siemens Step 7 программное обеспечение или WinCC программа, которую операторы используют, чтобы отображать данные на программируемых логических контроллерах), но так же отображала список проектных файлов Step7 на устройстве и строку пути, показывающую, где именно на компьютере эти файлы расположены. Проектные файлы Step7 содержали команды программирования для ПЛК (программируемых логических контроллеров). Гостев подозревал, что каждый раз, когда хакеры находили проектные файлы на устройстве, они могли посылать отдельный инструмент в это устройство, чтобы похитить файлы и исследовать их на наличие данных конфигурации и понимать, добралась ли Stuxnet до того устройста, которое им было нужно.

6. Провайдеры DNS уже перенаправили трафик, идущий двум главным доменам, таким образом, что он отправлялся в никуда на тот момент, когда Symantec к ним обратилась. Они направляли трафик на IP адрес 127.0.0.1, который обычно используется, для пересылки обратно к отправителю.

7. Цифра в 100 000 – это то число, которое Symantec отследила за первые шесть месяцев после обнаружения Stuxnet. Но итоговое число заражений, основанное на цифрах, которые обнаруживали другие антивирусные компании, превосходит 300 000, согласно лаборатории Касперского.

8. На слушаниях в Сенате США в ноябре 2010 Дин Тернер, директор подразделения Symantec Security Response Global Intelligence Network, заявил, что число заражений в Штатах на тот момент достигло 1600. Из них 50 устройств имели установленное ПО Siemens WinCC.