Лаборатория Касперского: Моссад атакует Бушер

На днях Лаборатория Касперского опубликовала новость Новая Windows-уязвимость, используемая Stuxnet, закрыта при сотрудничестве «Лаборатории Касперского» и Microsoft.

Более подробно написал "главный антивирусный эксперт" «Лаборатории Касперского» Александр Гостев на secureblog: Мирт и гуава: Эпизод Мирт

Чтобы не лазить по ссылкам, скопипастю тут:

В последние дни тема Stuxnet вернулась на большие экраны новостных сайтов. Дровишек, в начавший было затухать костер, подбросили мы с Микрософтом, почти два месяца скрывая найденное.

Впрочем, пофиксано еще не все, и хотя MS считает парочку незакрытых EoP уязвимостей всего лишь important, а не критическими — я так не считаю (потому что знаю как они работают), но рассуждать на эту тему не буду.

Поговорим лучше о главном. Кто и зачем сделал Stuxnet ?

Скажем прямо, первая же версия, родившаяся лично у меня, как только была получена карта заражений и стал понятен принцип работы червя — так и осталась единственной и все последующие "находки" и сторонние факты — только добавляли кирпичиков именно к ней, а не к каким-то другим версиям. Но, чтобы не раздувать истерии (а то и международных скандалов) — лучше было помолчать.

Однако, постепенно, когда все больше и больше фактов стало проникать в СМИ — тем все чаще и чаще эта же версия стала муссироваться уже и там. Сначала все тише, но в последние дни пару дней она стала основной. Правда, пока еще не озвучена массово, но думаю вот-вот и это произойдет.

Последний гвоздик забил вчера Ральф Лангнер, рассказавший о том, что конкретно делает Stuxnet с Siemens PLC. Кто не читал — читайте, но вкратце вывод прост — Stuxnet является оружием промышленного саботажа (а не шпионажа) и явно был создан для атаки на одну единственную конкретную цель. Да, со всеми своими наворотами и зеродеями — ради одного "снайперского" выстрела.

Который, вероятно, достиг цели.

Сегодня еще один исследователь собрал все факты в кучу и вывалил полученные мысли. Что же, это действительно на все 100% то о чем думал все это время и я. Поэтому ограничусь все лишь переводом ключевых мест идеи.

Хотя, если отвечать на вопрос "кто" — Моссад. "Зачем" — Бушерская атомная электростанция в Иране.

- Иран является одним из наиболее пострадавших от червя регионов. Судя по динамике данных о заражениях — примерно в мае-июне Иран был лидером по числу заражений, потом больше заражений стало в Индии, но понятно почему — просто там больше компьютеров.

Какое производство в Иране, является самой привлекательной военной целью ? Бушерская атомная электростанция.

- Стацию в Бушере начали строить еще в 1970-е. Строительство вела компания Сименс. В 1979 году Сименс прекратил работы в этой стране (из-за революции). Впоследствии Сименс вернулся в Иран и это был один из его крупнейших рынков. В январе этого года Сименс снова обьявил о прекращении сотрудничества с Ираном. Используется ли на Бушерской АЭС софт Siemens для управления процессами — официально неизвестно (см.P.S). Однако, этим летом Сименс попался на поставке комплектующих в Бушер.

- Мысли об участии в этой истории российской компании Атомстройэкспорт оставим за рамками. Отметим только что у компании есть проекты в Индии (тоже еще одной из стран наиболее пострадавших от червя), а еще их сайт содержит iframe на эксплоиты, зачищенные пару лет назад.

- Израиль является одной из наиболее заинтересованных в _уничтожении_ Бушерской АЭС стран. Как известно, Иран подозревают в том, что на этой станции, под видом ядерного топлива, иранцы будут клепать запасы для производства собственного ядерного оружия. Которое, конечно они тут же нацелят на Израиль.

Израиль входит в число стран обладающих серьезнейшими специалистами по айти-безопасности, в том числе использованию таких технологий и для атак и для шпионажа. Все было сказано еще год назад.

- Самая клевая часть теории, которую я не знал, но просто идеально легла в тему. В книге Эштар в Библии рассказывается о том, как Эштар (бывшая женой персидского царя) сообщает Царю о заговоре против евреев. Царь в ответ разрешает евреям защитить себя и убить своих врагов.

Имя Эштар данное ей при рождении — Hadassah, что переводится как "Мирт".

Наличие в коде Stuxnet строчки "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" привело к тому, что весь цикл публикаций о нем я и назвал "Мирт и Гуава". Гуава — растение из семейства миртовых.

Растение — a plant. Электростанция — a plant.

- Бушерская АЭС должна была начать работу в августе этого года. 21 августа началась загрузка топлива, однако тут же резко застопорилась. Фактически, ее запуск был отложен. По официальной причине — "из-за сильной жары". Однако, температура в Иране в это время была абсолютно в пределах климатических норм. Задержка в запуске станции составила три недели.

Загрузка топлива в реактор займет месяца три. После этого он начнет работать.

P.S. Теперь мы знаем, что в Бушере стоит WinCC ?

**конец статьи**

Пацаны из Касперского красиво сработали. Забавно то, что по официалным каналам новость не пустили ни в одной стране. :)