После проникновения через USB-разъем Stuxnet внедряет в один из ключевых файлов операционной системы специальную программку, используя для этого еще одну глобальную, ранее не выявленную брешь, пишет Deutsche Welle. И вообще весь супертроян, как выяснилось, имеет многослойную структуру наподобие русской матрешки: удалив один слой компьютерного кода, специалисты неизменно обнаруживали под ним хорошо защищенный другой слой, и так уже четыре раза, а анализ еще не завершен. Но уже ясно, что Stuxnet использует, по меньшей мере, четыре глобальные, ранее неизвестные бреши в операционной системе Windows, а еще - две поддельные цифровые подписи, которыми производители определенных прикладных программ удостоверяют их аутентичность.
Самая последняя из расшифрованных на данный момент "матрешек" Stuxnet содержит программу для целенаправленного изменения параметров технологических процессов. Ведь сегодня все управление промышленным производством осуществляется на основе информации, поступающей от компьютерных датчиков. Они измеряют и поддерживают оптимальную температуру или давление, контролируют химический состав сырья и время включения и выключения того или иного компонента оборудования. Причем и визуализация отдельных параметров, то есть их графическое изображение на экране мониторов, и централизованное программирование отдельных управляющих компьютеров функционируют обычно на базе операционной системы Windows. Троян Stuxnet ищет именно эти элементы визуализации и через них внедряется в управление всем технологическим оборудованием.
Эксперты полагают даже, что Stuxnet может не только изменять параметры процессов, но и делать это так, что изменения не отразятся на экранах контрольных мониторов. То есть оператор, несмотря на диверсию, не заметит ничего подозрительного - по крайней мере, до тех пор, пока техногенная катастрофа не станет неизбежной.
Разработчики супертрояна должны были обладать чрезвычайно точными и детальными знаниями о конкретном производстве. Речь идет, видимо, об обогащении урана, а мишенью кибер-атаки стал Иран. Прямых доказательств пока нет, но ряд аргументов говорит в пользу именно этой версии.
Показательно, что 60 процентов случаев выявления трояна приходятся именно на долю Ирана. Но еще важнее то, что, по некоторым данным, именно весной 2009 года в иранском ядерном центре в Натанце произошла авария, настолько серьезно затормозившая обогащение урана, что главе атомного ведомства страны пришлось уйти в отставку. С тех пор данные МАГАТЭ говорят о том, что количество работающих центрифуг в Иране неуклонно снижается, хотя их общее количество столь же неуклонно растет.
Интересно, что Stuxnet был запрограммирован так, что должен был прекратить свое распространение в январе 2009 года. Это не произошло из-за наличия компьютеров с переставленным назад календарем (этот прием используют, чтобы нелегально продлить срок действия лицензионного программного обеспечения). Stuxnet продолжал распространяться и, может быть, только поэтому был, в конце концов, обнаружен.
Эксперты подчеркивают: создание такого высокоточного и высокотехнологичного кибер-оружия едва ли под силу частным лицам или криминальным группировкам. Судя по всему, здесь потрудились спецслужбы одного из технологически высокоразвитых государств.