Читаем Компьютерра PDA N59 (25.09.2010-01.10.2010) полностью

Вычислить этот регион и даже конкретное государство, против которого была направлена атака Stuxnet, оказывается совсем несложно. Как уже говорилось, в механизм распространения червя его создателями заложен счетчик, искусственно ограничивающий ареал распространения инфекции. Согласно же данным компании Symantec, тщательно регистрирующей все известные случаи заражения компьютеров этим червем, география распространения напасти в августе 2010 года выглядела следующим образом. Иран — 62 867 инфицированных машин, Индонезия — 13 336, Индия — 6 552, США — 2 913, Австралия — 2 436, Великобритания — 1 038, Малайзия — 1 013 и Пакистан — 993.

Иначе говоря, если пересчитывать в относительных долях, а не в абсолютных цифрах, то на Иран приходится почти 70% всех зараженных систем... Ответ, как говорится, очевиден.

Ну а если цель атаки ясна, то становится намного проще ответить и на вопрос о том, кто может стоять за созданием Stuxnet. Два главных и самоочевидных политических противника Ирана — это, конечно, США и Израиль. Обе страны не только известны своей жесткой позицией относительно ядерных амбиций иранского государства, но и располагают достаточным техническим потенциалом для создания и применения кибероружия уровня Stuxnet. Но хотя эти факты помогают ощутимо сузить поиск, из них, строго говоря, совершенно не следует, что червя наверняка сделали израильтяне или американцы.

Для более весомых гипотез определенно требуются дополнительные детали. Надеяться, что такие детали или подсказки будут как-то добыты из тела препарированного червя — дело в общем-то сомнительное и безнадежное. Как свидетельствуют специалисты, авторы подобных программ могут намеренно встраивать в коды программ ложные следы и указатели, запутывающие тех, кто пытается отыскать источник.

По этой причине куда более продуктивным путем изысканий представляется — для начала — поиск конкретного объекта, против которого была направлена атака Stuxnet. Учитывая обостренную скрытность Ирана во всем, что касается его ядерной программы, сделать это тоже не так-то просто. Но кое-что все же известно.

Например, Ральф Лангнер, обильно цитировавшийся выше эксперт Siemens по безопасности промышленных систем управления, предполагает, что целью червя могла быть Бушерская АЭС. Эта десятилетиями достраиваемая электростанция является, вероятно, самым знаменитым объектом иранской ядерной программы. Лангнер же в поддержку своей гипотезы напоминает, что в минувшем августе объявленный пуск объекта в очередной раз был сорван без внятного объяснения причин, а также указывает на публиковавшийся в СМИ скриншот с экрана одного из управляющих компьютеров в Бушере. Снимок, как считается, был сделан в феврале 2009 года, отображает схему работы электростанции и свидетельствует, что для управления используются Windows и программное обеспечение Siemens. То есть компоненты именно той среды, которую атакует Stuxnet. Иных аргументов в поддержку гипотезы Лангнера, в общем-то, нет.

Куда более обоснованную и правдоподобную версию выдвинул другой немецкий специалист по компьютерной безопасности — технический директор берлинской фирмы GSMK Франк Ригер (Frank Rieger). Согласно результатам анализа Ригера, вероятной целью атаки червя была не Бушерская АЭС, как ныне предполагает большинство, а фабрика по обогащению урана в Натанзе. Этот мощно укрепленный и спрятанный глубоко под землёй завод, по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС.

В поддержку своего предположения Ригер приводит впечатляющий набор сведений из доступных ему публикаций прессы и свидетельств специалистов. Цепочка доводов начинается с анализа свойств самого червя. Хотя у антивирусных фирм нет единого мнения, когда именно Stuxnet появился (в Symantec признаки инфекции отследили лишь до января 2010, а в «Лаборатории Касперского» — до июля 2009 года), по имеющимся у немецкого эксперта данным, распространение Stuxnet происходило уже в январе 2009 года.

Полгода спустя, 17 июля 2009 года, известный сайт WikiLeaks опубликовал довольно туманную новость следующего содержания: