Symantec: найдена ранняя версия Stuxnet

По сообщению корпорации Symantec, обнаружена ранняя версия одного из наиболее интеллектуальных вирусов – Stuxnet, первого в истории кибероружия. Версия с номером 0.5 была активна с 2007 по 2009 гг., а ее применение могло начаться еще в ноябре 2005 г., когда был зарегистрирован ее первый C&C-сервер. В отличие от своего более известного преемника – версии 1.001, версия 0.5 использовала совершенно другой механизм атаки. Эксперты Symantec обнаружили также, что более ранняя версия вируса была частично создана на той же той же платформе, что и Flamer.

Полученные экспертами Symantec в ходе исследования данные показали, что Stuxnet версии 0.5 специально предназначался для атаки на промышленные установки SIMATIC 400 Station и SIMATIC H-Station (центрифуги для обогащения урана) иранского завода, расположенного вблизи города Натанз. Атака была построена на выведении из строя центрифуг за счет создания пятикратных перепадов давления в центрифугах, объединенных в каскады, – вирус управлял клапанами управления подачи и сброса газообразного гексафторида урана. При этом он маскировал свою деятельность, демонстрируя оператору заранее сохраненный снимок монитора нормального состояния центрифуги.

Более поздние версии вируса разрушали центрифуги за счет управления скоростью их вращения и были обнаружены в июле 2010 г. после того, как они стали поражать системы за пределами первоначальной цели. И если факт серьезного нарушения работы иранского завода по обогащению урана атаками поздних версий Stuxnet считается общепризнанным, то степень успешности атак более ранних версий вируса до сих пор не ясна.

Несмотря на семилетний возраст угрозы и дату ее деактивации, Symantec зарегистрировала небольшое количество пассивных заражений по всему миру в течение последнего года.