Исследователи из Symantec раскрыли одну из главных загадок нашумевшего червя Stuxnet – по их данным червь был специально разработан для целенаправленной диверсии на заводах по обогащению урана. Как выяснилось, основной целью вируса были частотные преобразователи тока (модуляторы), которые
используются для управления скоростью вращения центрифуг, разделяющих уран на фракции. Более того, червь был нацелен на модуляторы двух конкретных компаний – финской и иранской.
Как рассказал в своем интервью Эрик Чен (Eric Chien), технический директор службы Symantec Security Response, вредоносная программа искала в зараженных системах частотные преобразователи, работающие в диапазоне от 800 до 1200 Гц. На самом деле, приборы с такими параметрами используются в очень малом количестве отраслей, а главным потребителем подобного оборудования выступают фабрики по обогащению урана.
Одно время в прессе циркулировали слухи о том, что вирус Stuxnet был нацелен против строящейся иранской АЭС. Учитывая тот факт, что атомные электростанции используют уже обогащенный уран, стоит предположить, что на самом деле Stuxnet не был направлен против генерирующих мощностей Ирана. Даже
если мишенью Stuxnet действительно был Иран, то диверсия должна была произойти на обогатительных фабриках, где работают частотные преобразователи, модуляторы и центрифуги. Еще
одним доводом в пользу этой версии служит доказанный факт того, что вирус Stuxnet стремился заражать промышленные управляющие системы производства немецкой компании Siemens – именно эти
системы используются в иранской обогатительной индустрии.
Кроме иранской версии у специалистов из Symantec есть еще
одно серьезное предположение – мишенью саботажной программы могло стать промышленное оборудование с числовым программным управлением. Примерами такого оборудования могут служить автоматизированные металлообрабатывающие центры и т.д. Код вируса Stuxnet изменяет логику работы контроллеров в частотных
преобразователях – после модификации частота вращения управляемого мотора сначала вырастает до 1400 с лишним герц, а затем падает до 2 Гц. Таким образом, сначала управляемый мотор разгоняется, а затем почти полностью останавливается. После разгона и остановки частота сигнала, управляющего вращением, возвращается к значению примерно 1000 Гц.
По утверждению Чена, столь резкие перепады частоты в
модуляторах могут привести к самым серьезным последствиям для оборудования вплоть до полного выхода из строя. К слову, заражаемое промышленное оборудование всегда использует сетевой протокол Profibus. Анализ кода вируса с участием специалистов по этому протоколу показало, что вирус ищет частотные преобразователи с конкретными серийными номерами. Получается, что создатели вирусов научились писать код, который будет выводить из строя только определенные единицы оборудования.
Подробнее о пугающих выводах специалистов компании Symantec после детального изучения вируса Stuxnet
можно прочитать в блоге Эрика
Чена, а также в обзорах на сайтах CNET, The
Register и Wired.
|
