Первые пять жертв Stuxnet были тщательно отобраны атакующими и в итоге обеспечили им дорожную карту, которая позволяла проникнуть на завод по обогащению урана в городе Нетенз с целью подрыва ядерной программы Ирана.

Собрав подсказки, оставленные в теле червя, впервые обнаруженного в середине 2010 года, эксперты Глобального исследовательского центра «Лаборатории Касперского» (GReAT) сумели идентифицировать пять иранских компаний, которые они считают первыми жертвами заражения. «На протяжении двух лет мы собирали файлы Stuxnet, — пишут эксперты «Лаборатории Касперского» в своем отчете. — Проверив более 2000 таких файлов, мы установили все пять организаций, которые являлись первыми жертвами разных вариантов червя в 2009 и 2010 годах».

«Лаборанты» — не единственные, кто попытался проследить путь Stuxnet до его истоков. Исследователи из Symantec также установили, что распространение зловреда происходило через пять организаций. Эта информация была получена на основании собранной Symantec информации, которая показала, что червь сохраняет в логах данные об имени, домене и IP-адресе зараженной системы.

Дополнительные изыскания позволили экспертам «Лаборатории» идентифицировать эту пятерку — поставщиков систем промышленного управления, разработчиков этих систем и производителя центрифуг. Все они, похоже, имеют партнерские связи в Нетензе; две из этих пяти компаний числятся в списке санкций министерства юстиции США как субъекты, связанные с экспортом контрабанды, в том числе для военных целей.

«Чтобы успешно проникнуть в тщательно охраняемые установки, где Иран разрабатывает свою ядерную программу, атакующим пришлось решить сложную задачу: как вредоносный код может попасть в место, которое не имеет прямого подключения к Интернету? Нападение на отдельные «высокопрофильные» организации было решением, и, вероятно, успешным», — комментирует GReAT. Как оказалось, Stuxnet не ограничился этими жертвами; он начал атаковать другие организации и в считаные месяцы вышел за пределы Ирана.

Анализ вредоносного кода, найденного на компьютерах первой жертвы, Foolad Technic Engineering Co. из Исфахана, показал, что помимо центрифуг Stuxnet интересовали проекты STEP 7 компании Siemens. Найденная в сетях Foolad версия червя была скомпилирована 22 июня 2009 года; первая жертва появилась спустя несколько часов после ее выпуска. Столь короткий интервал, по словам исследователей, исключает возможность заражения с помощью USB-диска.

Foolad, вновь подвергшаяся атаке в апреле 2010 года (на сей раз это была третья версия Stuxnet), специализируется на создании автоматизированных систем для иранской промышленности, в частности для металлургических и энергетических предприятий. Данная компания также имеет тесные связи с операторами систем управления производственными процессами. «Несомненно, что в сети этой компании имеются материалы, чертежи и планы многих крупнейших промышленных предприятий в Иране, — отмечено в отчете GReAT. — Не стоит забывать о том, что помимо взаимодействия с моторами Stuxnet нес в себе и шпионский функционал и собирал информацию об обнаруженных в зараженной системе проектах STEP 7».

«Такая настойчивость авторов Stuxnet может свидетельствовать о том, что они считали Foolad Technic Engineering Co. не только одним из кратчайших путей к финальной мишени червя, но и крайне интересным объектом для сбора данных о промышленности Ирана», — полагают исследователи.

Behpajooh Co. Elec & Comp. Engineering, еще один разработчик систем автоматизации промышленных производств из Исфахана, была атакована в 2009 году и дважды в 2010 году, причем злоумышленники опробовали все три варианта Stuxnet. «Лаборанты» считают Behpajooh тем нулевым пациентом, с которого началось массовое распространение инфекции. Из сети этой компании зловред, по свидетельству GReAT, быстро проник на крупнейший в Иране металлургический комплекс Mobarakeh Steel.

«Попадание Stuxnet на данный завод, очевидно связанный с десятками других предприятий Ирана и громадным числом компьютеров на производстве, вызвало цепную реакцию стремительного распространения червя по тысячам систем в течение всего лишь двух-трех месяцев», — поясняют эксперты, добавляя, что уже в июле 2010 года данная ветвь заражений Stuxnet дошла до России и Беларуси.

Третья жертва из первой пятерки, Neda Industrial Group, была поражена 7 июля 2009 года. Примечательно, что одна из дочерних компаний Neda является поставщиком услуг по автоматизации производственных процессов в энергетическом секторе, цементной промышленности, в нефте- и газодобывающей отраслях и на нефтехимических предприятиях. Neda была атакована лишь один раз, притом за пределы организации, судя по логам, Stuxnet выйти не удалось. «Однако, возможно, это и не было его целью в данном случае, — пишет GReAT. — Как мы уже отмечали, функция кражи информации о проектах STEP 7 в зараженных системах также представляла отдельный интерес для авторов Stuxnet».

Одновременно с Neda заражению подверглась Control Gostar Jahed, еще одна иранская компания, специализирующаяся в области автоматизации промышленного производства. Она была атакована один раз; по свидетельству экспертов, это была самая короткая из известных линий распространения Stuxnet.

Пятая жертва Stuxnet, согласно GReAT, была атакована 11 мая 2010 года; в этот день были заражены три компьютера организации, которую «лаборанты» с большой долей вероятности определили как Kala Electric. Данная компания является основным разработчиком центрифуг для обогащения урана в рамках иранской ядерной программы. «Таким образом, — заключают исследователи, — выбор именно этой организации как первого звена в цепочке заражений, которая должна привести червя к цели, выглядит совершенно логичным. Даже вызывает удивление, почему эта организация не была зафиксирована в атаках 2009 года».

На миниатюре приведено изображение из отчета «Лаборатории Касперского», опубликованного на Securelist.

Категории: Вредоносные программы