• В останні дні всі світові ЗМІ раптом згадали про хробака WIN32/Stuxnet, виявлений ще в червні цього року. По комп'ютерних мірками тримісячний термін - це як у звичайному житті кілька років. Навіть некваплива Microsoft встигла випустити патч, закриваючий одну з чотирьох вразливостей, присутніх в Windows і використовуваних зловредом. Правда, не для всіх версій операційної системи, а тільки для Vista і «сімки», тоді як 2000 і XP залишилися Stuxnet-нестійкими, і вся надія тільки на сторонні антивірусні програми. Які все одно знадобляться, благо інші уразливості живі та здорові.
    І раптом Stuxnet знову з'явилось в заголовках новинних ресурсів. Виявляється, це не просто черговий «черв'як», нехай і досить хитромудро написаний (півмегабайта шифрованого коду, де використовується відразу декілька мов програмування, від C/C++ до асемблера), а цифровий шпигун-диверсант. Він пробирається на промислові об'єкти, де використовуються апаратно-програмні комплекси Siemens, отримує доступ до системи Siemens WinCC, що відповідає за збір даних та оперативне диспетчерське управління виробництвом, і через неї намагається перепрограмувати логічні контролери (ПЛК).
    Вам вже страшно? Почекайте, це лише початок! Stuxnet заточений не під якісь там цеху розливу пива. Його головна мета - іранська атомна станція у місті Бушері! Нібито саме під її конфігурацію заточена вся зла сила хробака, і він вже встиг сильно напартачити іранцям, раз вони з серпня не можуть запустити станцію, чи то нишком прошив контролери, і, коли АЕС запрацює, дасть команду на вибух. І ось тоді…
    Дозволю собі навести кілька думок знаючих людей. Так, Євген Касперський у своєму блозі називає Stuxnet «шедевром малварно-інженерної думки» і, у свою чергу, наводить витяги з матеріалу Олександра Гостєва, на думку якого йдеться взагалі про «зброю саботувати виробництво». Зробив його, ясна річ, ізраїльський " Моссад", щоб зупинити роботу Бушерської атомної станції.
    Аналітики ESET трохи менше емоційні. Вони не впевнені, що мета Stuxnet саме БАЕС, однак віддають належне якості коду і красу задумки. «Win32/Stuxnet розроблений групою висококваліфікованих фахівців, які добре орієнтуються в слабких місцях сучасних засобів інформаційної безпеки. Черв'як зроблений таким чином, щоб залишатися непоміченим як можна довше. Як механізмів розповсюдження шкідлива програма використовує кілька серйозних недоліків з можливістю віддаленого виконання коду, деякі з яких залишаються незакритими і сьогодні. Вартість таких вразливостей на чорним ринку може досягати 10 тисяч євро за кожну. А ціна уразливості в обробці LNK/PIF-файлів (MS10-046), що дозволяє черв ` якові поширюватися через зовнішні носії, ще вище».
    Застереження про зовнішні носії дуже важлива. Як ми розуміємо, системи управління заводами і атомними станціями не мають доступу в Інтернет, тому Stuxnet вміє заражати флешки, і вже з них пробиратися в закриті мережі. Служби безпеки? Так, вони, звичайно, працюють, і деколи - досить ефективно. Однак поряд з банальним людським фактором (читаємо - нехлюйством) існують досить хитрі способи маскування флеш-накопичувачів. Наприклад, акуратно підкуплений співробітник може пронести на робоче місце мишку з вбудованої флеш-пам'яттю, і підмінити їй казенну. Запитайте, а навіщо тоді взагалі потрібно поширення по Інтернету? Так адже для відводу очей, щоб ті ж керівники служби безпеки не ворога в колективі шукали, а впевнено кивали на випадкове проникнення ззовні. Між тим, для полегшення роботи хробака деякі компоненти Win32/Stuxnet були підписані легальними цифровими сертифікатами компаній JMicron і Realtek. В результаті, аж до відкликання сертифікатів Stuxnet був здатний обходити велика кількість реалізацій технології захисту від зовнішніх впливів HIPS (Host Intrusion Prevention System).
    ESET ще призводить чудову табличку з географією зафіксованих зараження вірусом, яка, з одного боку, підтверджує натяки Гостєва, а з іншого - змушує любителів конспірології ще активніше писати коментарі в форумах і блогах. Чи жарт, зараза вражає найбільші країни, що розвиваються, і для повноти картини в таблиці не вистачає тільки Китаю замість Індонезії.

    Вам вже страшно, як і Євгену Касперскому? Почекайте. Давайте переведемо дух.
    по-перше, треба розуміти - чому виробники засобів захисту від кібер-загроз з таким задоволенням говорять про Stuxnet. Так, звичайно, вони хочуть врятувати нашу маленьку планету. Але це ще і новий гігантський ринок. Не тільки Siemens виробляє засоби управління і контролю для самих різних виробництв, від атомних станцій до цехів розливу пива. Крім німців є ще американці, японці та інша, і інша. Коштують такі комплекси, м'яко кажучи, недешево, і якщо до кожного вийде прикладати свій продукт-захисник… так-Так, ви мене правильно зрозуміли.
    по-друге, при всій красі версії про Моссаді, вірити в неї не варто. Якщо на хробака дійсно було витрачено чимало людино-місяців або навіть людино-років, як про це заявляють експерти, то подібне завершення операції - грандиознейший провал. Страшне для будь-якого розвідника поєднання відсутність результату і розголосу. Зазвичай для вирішення завдань отримання інформації і саботажу вдаються до старої, як світ, вербуванні, і у Моссада є величезний досвід роботи такого роду в арабських країнах. Ні, можна, звичайно, припустити, що програма була написана спеціально для тихого впровадження одним із співробітників АЕС, а коли щось пішло не так - хробака запустили в Інтернет для прикриття агента. Але це якщо Stuxnet точно готували для Бушера, в чому є чимало сумнівів. Про них - у наступному пункті.
    по-третє, як вдалося з'ясувати, для автоматизації електростанцій ( у тому числі і в Бушері) використовується ліцензійне обладнання Siemens, що відрізняється від традиційних PLC приблизно також, як бойовий винищувач від дельтаплана. Доля PLC - це, в кращому разі, автоматизація пивоварного заводу або газо-/нафтоперекачувальної станції. Залишається зовсім незрозумілим - які такі PLC Stuxnet зібрався перешивати в Бушері?
    Нарешті, по-четверте. Зверніть увагу на Win32 в повному назві вірусу. Ні на одному серйозному заводі, не кажучи вже про атомної станції, операційну систему Microsoft не допустять до управління дійсно важливими процесами. Там панують системи сімейства *nix (зокрема, QNX), і вірус з табору Windows для них абсолютно нешкідливий. Так що сенсація виходить із серії байок про секретарці, яка боялася заразитися вірусом від комп'ютера. Правда, найсуворіші автори страшилок уточнюють, що-де Windows PLC не управляє, але під ними є кошти для перепрограмування контролерів, і ось їх-то Stuxnet і використовує. Так трошки страшніше, однак на серйозних виробництвах ніхто не скасовував Великі Рубильники, що відповідають за дійсно важливі речі. Їх можна смикнути виключно вручну, тому що так набагато надійніше. І безпечніше. Комп'ютер до них якщо і підпустять, то не сьогодні і не завтра. А на атомній станції, швидше за все, взагалі ніколи.
    Не хочеться нав'язувати читачеві свою думку, але поки від Stuxnet дуже сильно пахне недобросовісною конкуренцією. Звідки ця ненависть саме до рішень Siemens? Кому не ліньки було витратити стільки сил і часу на великого жирного хробака, який, за великим рахунком, напаскудити не може, але осадочек залишає після себе вкрай неприємний. Дивишся, інвестори нових заводів з електростанціями подумають, так і куплять комплекс іншого виробника. Коли мова йде про сотні мільйонів і навіть мільярди доларів, не шкода витратити пару мільйонів на чорний PR.
    Так що зброя-то він зброю, але до реальних вибухів навряд чи дійде. Хіба що вибухів обурення при черговому візит в магазин або отриманні рахунки за електроенергію. Всі ці промислові війни ведуться в кінцевому підсумку за рахунок нас, споживачів.
    При написанні цієї статті були ображені у кращих почуттях сотні конспірологів