Обнаружена ранняя версия вируса Stuxnet

Специалисты компании Symantec сообщили о выявлении более ранней версии одного из самых интеллектуальных вредоносных приложений – вируса Stuxnet, который первым начал использоваться в качестве кибероружия.

Утилита версии 0.5 полноценно функционировала с 2007 по 2009 год, а впервые она могла быть использована еще в конце осени 2005 года, когда злоумышленники зарегистрировали первый C&C-сервер. В отличие от более нашумевшего преемника (с номером 1.001), модификация 0.5 применяла совсем другой алгоритм атаки.

Обнаружена ранняя версия вируса Stuxnet

Специалисты также выявили, что ранняя версия вредоносного приложения частично использовала ту же платформу, что и Flamer.
Поведенные исследования показали, что Stuxnet 0.5 разработан специально для атаки на установки Simatic H-Station и Simatic 400 Station (центрифуги, предназначенные для обогащения урана) завода возле города Натанз (Иран). Цель атаки заключалась в выведении центрифуг из строя, для чего формируется пятикратный перепад давления внутри установки.

Вирус получал контроль над клапанами, которые управляли сбросом и подачей газообразного гексафторида урана. Деструктивная деятельность маскировалась при помощи демонстрации на мониторе заранее сделанного снимка.

В Symantec отметили, что следующие модификации ломали центрифуги за счет изменения скорости вращения и были обнаружены летом 2010 года – когда были атакованы устройства за пределами изначальной цели. И если факт успешной атаки на завод в пригороде города Натанз считается общепризнанным, то успешность атак ранних версий пока неизвестна.

Экспертам удалось выяснить, что версия 0.5 прекратила посылать запросы к серверам управления в январе 2009 года, а полное прекращение активности произошло в июле текущего года, практически сразу после появления Stuxnet 1.001.

Поздние версии вредоносного приложения отличает более агрессивное распространение, а также более активная эксплуатация различных уязвимостей (включая программное обеспечение от Microsoft).

Эксперты Symantec полагают, что существуют и другие модификации Stuxnet – и созданных до версии 0.5, так и промежуточных (между 0.5 и 1.001) версий. В частности некоторые модули вируса Stuxnet, выявленного в 2010 году, не используются в известных в настоящее время версиях вируса.