Symantec: Обнаружена более ранняя версия Stuxnet


SymantecИсследователи компании Symantec обнаружили версию Stuxnet, разработанную, по крайней мере, на два года раньше, чем уже известные версии, и использовавшую альтернативный метод срыва процесса обогащения урана на заводе в Натанзе (Иран).

Первый вариант Stuxnet был обнаружен в 2010 году и признан самым сложным и изощренным вредоносным ПО. Программа использовала разнообразные эксплоиты, многие из которых были ранее неизвестны. До сих пор эксперты были уверены, что Stuxnet был создан не ранее 2009 года.

Исследователи Symantec заявили, что обнаружили вредоносное ПО - Stuxnet 0.5, активно использовавшееся в 2007 году. Также появились доказательства того, что создан он был еще в 2005 году, когда впервые были зарегистрированы доменные имена его C&C-серверов. Временные отметки в коде Stuxnet 0.5 указывают на период времени с 2001 года.

Эксперты Symantec считают, что Stuxnet 0.5 - это потерянное звено между Stuxnet 1.0 и Flame или Flamer, обнаруженный в 2012 году и использовавшийся в целях кибершпионажа. До сих пор считалось, что именно Flame предшествовал Stuxnet.

По словам исследователей, Stuxnet 0.5 – доказательство того, что разработчики Stuxnet и Flame сотрудничали между собой. Stuxnet 0.5 частично основывается на платформе Flame, отличающейся от платформы Stuxnet 1.0 под названием Tilded.

В отличие от Stuxnet 1.0, версия 0.5 использует только одну уязвимость в программном обеспечении Siemens Step 7 и распространяется путем копирования на флеш-накопители зараженных файлов Step 7. Siemens Step 7 – это ПО, использующееся для разработки систем автоматизации на основе программируемых логических контроллеров, управляющих промышленным оборудованием и процессами.

Согласно отчету, версия 0.5 внедряет вредоносный код в программируемый контроллер для управления клапанами центрифуг, использующихся для обогащения UF6 (гексафторид урана). Это наносит огромный ущерб, как центрифугам, так и всей системе в целом. Вредоносный код во время атаки также блокирует возможность вмешательства операторов завода и предотвращения изменения состояния клапанов.

Stuxnet 0.5 был запрограммирован, чтобы прервать контакт с C&C-сервером после 11 января 2009 года и прекратить распространение с 4 июля 2009 года. С 22 июня 2009 года начал распространяться Stuxnet 1.0, однако эксперты считают, что между этими двумя версиями была еще одна, пока не обнаруженная.


Обновлено (27.02.2013 13:58)