Антивирусные эксперты компании Symantec накануне выступили в американском Комитете Конгресса, сообщив о состоянии дел с новой волной атак нашумевшего сетевого червя Stuxnet. По словам Дина Тернера, директора подразделения Symantec Security Responce, сейчас в сети появляется действительно много вирусов, но большая их часть – это разработки небольших преступных элементов, цель которых заключается в краже данных пользователей или краже денег с их банковских счетов.

Однако Stuxnet отличается от все этой массы вирусов, так как нацелен он на промышленные объекты государственной важности, такие как крупные промышленные заводы или атомные электростанции. Ущерб от работы такого червя в случае негативного развития событий сейчас даже трудно себе представить. По его словам, Stuxnet – это "тревожный звонок", так как сложность, с которой создан этот код, а также глубокие профессиональные знания его создателей пугают.

Тернер говорит, что сейчас Stuxnet – это целое семейство кодов, каждый из которых нацелен на свой промышленный объект и каждый из которых атакует свою цель по-своему. Единственное, что роднит все Stuxnet так это промышленная направленность.

По его словам, система Stuxnet для атаки действовала очень профессионально – код применял две промышленных уязвимости, а также использовал сразу четыре "уязвимости нулевого дня", он скомпрометировал два цифровых сертификата и вставлял свой код в промышленные системы, управляющие процессами на атомных станциях.

Наиболее опасный моментом, связанным с червем является, его особенность, позволяющая перепрограммировать логические контроллеры. "Stuxnet – это невероятно большая и комплексная угроза. На деле, она является одной из самых сложных, которые когда-либо приходилось анализировать Symantec", – сказал Тернер.

Напомним, что буквально несколько дней назад специалисты по информационной безопасности обнаружили недостающий фрагмент семейства сетевых червей Stuxnet, таким образом эти черви способны атаковать все типы управляющих систем, используемые на современных атомных станциях и другом специализированном промышленном оборудовании.

Ранее уже стало очевидно, что черви Stuxnet нацелены на промышленные заводские системы контроля класса SCADA, производимые компанией Siemens. Распространяются эти черви либо через дыры в Windows, где нет последних версий патчей, либо через USB-накопители. Вредоносное ПО инфицирует только персональные компьютеры, подключенные к промышленным системам управления. Stuxnet в принципе способен перепрограммировать или саботировать системы, в которых он оказался.

Теперь подтверждено наличие версии Stuxnet для частотных конвертеров, используемых как минимум в Иране и Финляндии. Также было установлено, что новая версия Stuxnet атакует только конвертеры, работающие в диапазоне 807-1210 герц. Задача новой версии червя – изменить исходящие частоты и скорость связанных с ними механизмов на промышленных объектах. Такие операции в принципе способы привести к саботажу, но с другой стороны привести к проблемам, диагностировать которые на ранней стадии очень трудно.

Здесь, вероятно, стоит несколько пояснить о чем именно идет речь: низкогармонические частотные конвертеры работают на определенных частотах и они взаимодействуют с системами, необходимыми для обогащения урана в промышленных целях. В разных странах для работы конвертеров применяются разные частоты, например в США конвертеры работают на частоте 600 Герц (экспортная версия).

Эрик Чен, старший технический специалист компании Symantec, говорит, что новый образец червя – это критически важный элемент головоломки Stuxnet. "Когда у нас появились все образцы Stuxnet, мы можем точно понимать общее назначение семейства этих кодов", – говорит он.