Исследователи обнаружили более раннюю версию Stuxnet

Во вторник, 26 февраля, на конференции RSA в Сан-Франциско компания Symantec представила отчет «Stuxnet 0.5: The Missing Link» («Stuxnet 0.5: потерянное звено»). Исследователи обнаружили версию вредоносного ПО, разработанную, по крайней мере, на два года раньше, чем уже известные версии, и использовавшую альтернативный метод срыва процесса обогащения урана на заводе в Натанзе (Иран).

Напомним, что Stuxnet был обнаружен в 2010 году и признан самым сложным и изощренным вредоносным ПО. Программа использовала разнообразные эксплоиты, многие из которых были ранее неизвестны. Также эксперты ЛК считали, что специально для создания Stuxnet был разработан новый язык программирования, однако это информация была позже опровергнута другими исследователями. До сих пор эксперты были уверены, что Stuxnet был создан не ранее 2009 года.

Исследователи Symantec заявили, что обнаружили вредоносное ПО - Stuxnet 0.5, которое активно использовалось в 2007 году. Существуют также доказательства того, что создан он был еще в 2005 году, когда впервые были зарегистрированы доменные имена его C&C-серверов. Временные отметки в коде Stuxnet 0.5 указывают на период времени с 2001 года.

Эксперты считают, что Stuxnet 0.5 является потерянным звеном между Stuxnet 1.0 и Flame или Flamer, который был обнаружен в 2012 году и использовался в целях кибершпионажа. До сих пор считалось, что именно Flame предшествовал Stuxnet.

По словам исследователей, Stuxnet 0.5 – доказательство того, что разработчики Stuxnet и Flame сотрудничали между собой. Stuxnet 0.5 частично основывается на платформе Flame, которая отличается от платформы Stuxnet 1.0 под названием Tilded.

В отличие от Stuxnet 1.0, версия 0.5 использует только одну уязвимость в программном обеспечении Siemens Step 7 и распространяется путем копирования на флеш-накопители зараженных файлов Step 7. Отметим, что Siemens Step 7 – это ПО, которое используется для разработки систем автоматизации на основе программируемых логических контроллеров, управляющих промышленным оборудованием и процессами.

Согласно отчету, версия 0.5 внедряет вредоносный код в программируемый контроллер для управления клапанами центрифуг, использующихся для обогащения UF6 (гексафторид урана). «Это наносит огромный ущерб, как центрифугам, так и всей системе в целом» - сообщили исследователи. Вредоносный код во время атаки также блокирует возможность вмешательства операторов завода и предотвращения изменения состояния клапанов.

Stuxnet 0.5 был запрограммирован, чтобы прервать контакт с C&C-сервером после 11 января 2009 года и прекратить распространение с 4 июля 2009 года. С 22 июня 2009 года начал распространяться Stuxnet 1.0, однако эксперты считают, что между этими двумя версиями была еще одна, пока не обнаруженная.