В последнее время в сети наблюдается много спекуляций на тему интернет-червя Stuxnet. Началось все с неизвестной уязвимости в Windows, которая использовалась для доставки вредоносного кода (т.н. пейлоуда). После выяснилось, что уязвимости две, а пейлоуд предназначен для заражения SCADA-систем производства фирмы Siemens (WinCC), контролирующих крупные производственные и энергетические автоматизированные системы. На этом этапе в прессе впервые прозвучало предположение о том, что настолько сложный механизм не может являться продуктом аматоров, и скорее всего здесь замешаны государственные спецслужбы. Все, естественно, покосились на Китай. Но вскоре отмели эту версию, так как выяснилось, что одной из наиболее пострадавших от Stuxnet инфраструктур оказалась иранская атомная энергетика. Теперь в кругу подозреваемых США и Израиль, но я уверен, что на этом тема не исчерпана, и мнение общественности еще не раз изменится.
В общем, слухов было много. Мне даже неудобно снова заводить об этом речь. Но нужно себя заставлять.
Лично я, чисто интуитивно и без претензий на достоверность выводов, сделал одно весьма любопытное предположение. Исходил я из следующих фактов:
- Иранские атомные станции пострадали. Тут без комментариев.
- Stuxnet, несомненно, наиболее сложная зловредная программа из ныне известных. Червь использует четыре 0-day уязвимости, исполняемый код подписан "честным" сертификатом реально существующей компании (Realtek), в пейлоуде доставляется руткит, способный предоставить полный доступ к зараженной системе.
- При всей своей продвинутости, Stuxnet по сути не делает ничего. Он будто бы ждет команды хозяина, но при этом совершенно ни от кого не скрывается. Он мог бы отдать контроль над системой своему автору, без следа удалить себя или скрыть следы своего проникновения и признаки присутствия, даже зарикроллить, к чертям, всю планету... Но он ничего этого не делает. Это выглядит так, будто автор (а скорее всего группа авторов) либо очень серьезно постарался в одной части проекта и совершенно не уделил внимания прочим задачам, либо не ставил перед собой целей, присущих большинству программ подобного рода. Все это выглядит как разведка боем, proof of concept. Если желаете, глобальный тест на проникновение -- проверка устойчивости отдельного класса ИТ-инфраструктур к атакам с таким вектором итакимфинансированием.
А теперь давайте немного пофантазируем. С точки зрения общественного мнения, то есть средне статистического гражданина, на кого из фигурантов происшедшего падет наименьшее подозрение? Естественно, на жертву.
P.S. Все выше изложенное является полной и абсолютной спекуляцией и не имеет отношения к проверенным фактам. Все возможные совпадения и кажущиеся намеки -- чистая случайность =)
