Обнаружена ранняя версия вируса Stuxnet

Специалисты компании Symantec сообщили о выявлении более ранней версии одного из самых интеллектуальных вредоносных приложений – вируса Stuxnet, который первым начал использоваться в качестве кибероружия.

Утилита версии 0.5 полноценно функционировала с 2007 по 2009 год, а впервые она могла быть использована еще в конце осени 2005 года, когда злоумышленники зарегистрировали первый C&C-сервер. В отличие от более нашумевшего преемника (с номером 1.001), модификация 0.5 применяла совсем другой алгоритм атаки.

Специалисты также выявили, что ранняя версия вредоносного приложения частично использовала ту же платформу, что и Flamer.
Поведенные исследования показали, что Stuxnet 0.5 разработан специально для атаки на установки Simatic H-Station и Simatic 400 Station (центрифуги, предназначенные для обогащения урана) завода возле города Натанз (Иран). Цель атаки заключалась в выведении центрифуг из строя, для чего формируется пятикратный перепад давления внутри установки.

Вирус получал контроль над клапанами, которые управляли сбросом и подачей газообразного гексафторида урана. Деструктивная деятельность маскировалась при помощи демонстрации на мониторе заранее сделанного снимка.

В Symantec отметили, что следующие модификации ломали центрифуги за счет изменения скорости вращения и были обнаружены летом 2010 года – когда были атакованы устройства за пределами изначальной цели. И если факт успешной атаки на завод в пригороде города Натанз считается общепризнанным, то успешность атак ранних версий пока неизвестна.

Экспертам удалось выяснить, что версия 0.5 прекратила посылать запросы к серверам управления в январе 2009 года, а полное прекращение активности произошло в июле текущего года, практически сразу после появления Stuxnet 1.001.

Поздние версии вредоносного приложения отличает более агрессивное распространение, а также более активная эксплуатация различных уязвимостей (включая программное обеспечение от Microsoft).

Эксперты Symantec полагают, что существуют и другие модификации Stuxnet – и созданных до версии 0.5, так и промежуточных (между 0.5 и 1.001) версий. В частности некоторые модули вируса Stuxnet, выявленного в 2010 году, не используются в известных в настоящее время версиях вируса.