Федеральная Служба Опасности (malaya_zemlya) wrote,
Федеральная Служба Опасности
malaya_zemlya

Categories:

Stuxnet, часть 3

Вчера, наконец, вышел обещаный отчет фирмы Symantec по поводу червя Stuxnet. Обстоятельный том на 48 страниц, пока читаю. Я только до середины дошел, но никаких сенсаций пока не увидел. Педантичный разбор кода по узлам и отсекам - тоже захватывающе, в некотором роде. На самый главный вопрос - "что оно пытается сделать и кому?" - ответа как не было, так и нет.

Кроме того, авторы отчета продемонстрировали процесс заражения индустриальных контроллеров со сцены. (Правда, видео из рук вон плохое)

Раскрылась новое обстоятельство, от которого, правда, дело не проясняется: оказывается, сырой вариат виря был у Symantec в базе подозрительного кода аж с июля 2009 года. Тогда на него никто не обратил внимания. Сейчас начали искать детские фото знаменитости, и нашли. Он был юн, неопытен, и не умел подделывать подписи на дравйверах. Контрафактные драйвера появились только прошлой зимой. IMHO, серьезный аргумент против теории едиовременного точечного удара. Если ракета цели достигла, то зачем воровать для нее новый ключ? А если не дошла, то одного ключа не хватит. И почему когда первый ключ был отозван в середине этого лета, откуда-то сразу появился червь с ключем от другой фирмы? Это вообще странно. К тому моменту Stuxnet уже палился некоторыми антивирусами. Взяли и выкинули сертификат на ветер. (Может быть, это уже была другая бригада? Не верится, чтоб профессионалы могли забыть проставить все поля.)

Фирма F-Secure составило хороший FAQ про Stuxnet. Оттуда я узнал, что вирус отмечается в виндовском реестре числом "19790509" , что очень похоже на дату. Авторы отмечают, что в 9 мая 1979 года в Тегеране был расстрелян бизнесмен Хабиб Эльганян. Это был первый еврей, казненый революционным исламским правительством, что, возможно, символизирует. (Проверка выявила, что в Израиле даты записываются в противоположном формате - дд/мм/гггг, слева направо)

В Иране произведены аресты неких людей, обвиняющихся в попытке кибершпиоеажа и кибердиверсий против иранской ядерной программы. Не знаю, откуда AFP взяло, что аресты связаны с червем, но это идея, конечно, напрашивается.

В статью в Википедии добавили информации. Пока много мусора из падкой на сенсации прессы. Дохлый эксплоит, продающий Левитру, теперь превратился в "инфекцию, занесенную через лаптопы русских контракторов в Бушере"
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 7 comments