Китай обвинили в заражении ПО для истребителя F-35

Китай обвинили в заражении ПО для истребителя F-35

Предположительно инфицированное программное обеспечение пришлось переписать с нуля.

image

Затраты на программу по разработке современного истребителя F-35 существенно возросли после того, как КНР скомпрометировала производителя программного обеспечения в цепочке поставок Lockheed Martin, что привело к необходимости перезаписи с нуля потенциально уязвимой системы. Об этом заявил специалист Центра стратегических и международных исследований Джеймс Льюис (James Lewis) в ходе заседания по вопросам киберобороны британской армии.

По словам Льюиса, Китай скомпрометировал системы субподрядчика, участвующего в разработке F-35 и предположительно заразил программное обеспечение, предназначенное для истребителя. Специалист не уточнил, о каком именно ПО шла речь, и удалось ли предотвратить инфицирование.

«Lockheed Martin выполнила отличную работу по защите своих систем […], но если идти ниже по цепи, не все обеспечивают тот уровень безопасности, который вам нужен. Так что это утверждение - через субподрядчика Китай смог получить доступ [к системам]. Мы не знаем, что они могли сделать, уязвимость была закрыта, а программное обеспечение по большей части переписано с нуля», - цитирует The Register заявление Льюиса.

В прошлом Льюис говорил об этом инциденте как о слухе, частично поясняющем высокую стоимость F-35. Судя по всему, данная атака не имеет отношения к инциденту 2017 года, когда злоумышленники проникли в компьютерную сеть ВВС США и украли материалы, касающиеся F-35, в том числе несколько гигабайтов данных, относящихся к дизайну и электронным системам истребителя.

Ранее в этом году Управление эксплуатационных испытаний и оценки (DOTE) США выпустило доклад , в котором в том числе раскритиковало процесс разработки программного обеспечения для F-35. В частности, регулятор отметил, что использование методологии Agile представляет высокий риск, поскольку применение стратегии MVP (минимально жизнеспособный продукт) для разработки критически важных компонентов, таких как системы управления полетом и вооружением, нельзя считать допустимой моделью.

Минимально жизнеспособный продукт (minimum viable product, MVP) — продукт, обладающий минимальными, но достаточными для удовлетворения первых потребителей функциями. Основная задача - получение обратной связи для формирования гипотез дальнейшего развития продукта.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.