Genialny Stuxnet powstał w Izraelu?

Właśnie pojawiła się kolejna poszlaka, sugerująca że robak Stuxnet - okrzyknięty najlepiej napisanym złośliwym programem w historii - jest dziełem Izraelczyków. Specjaliści z firmy Symantec znaleźli w jego kodzie odniesienia do 9 maja 1979, czyli dnia, w którym irańskie władze przeprowadziły egzekucję Habiba Elghaniana (znanego irańskiego biznesmena pochodzenia żydowskiego).

Przypomnijmy: zdaniem ekspertów ds. bezpieczeństwa Stuxnet jest najlepiej zaprojektowanym, najbardziej dopracowanym i najskuteczniejszym złośliwym programem, jaki kiedykolwiek pojawił się w Sieci. Prowadzone od ponad miesiąca analizy "szkodnika" wyjawiają coraz więcej interesujących informacji na jego temat - najważniejszą jest fakt, iż robak został stworzony z myślą o ataku na irańskie instalacje atomowe.

Iran na celowniku

Tak twierdzi m.in. Ralph Langner, ceniony specjalista zajmujący się kwestią zabezpieczeń przemysłowych systemów informatycznych. Jego zdaniem Stuxnet powstał po to, by zaatakować jeden konkretny cel - system informatyczny ośrodka atomowego w Bushehr w Iranie (oficjalnie jest to elektrownia atomowa, ale amerykański wywiad podejrzewa, że w ośrodku trwają prace nad bronią atomową).

Świadczyć ma o tym kilka faktów - m.in. to, że robak jest przystosowany do atakowania przemysłowych systemów SCADA firmy Siemens (dokładnie takich, jak te wykorzystywane w Bushehr) oraz to, że w pierwszym okresie aktywności zdecydowana większość zainfekowanych przez Stuxnet komputerów znajdowała się właśnie w Iranie. Teherańskie władze przyznały zresztą, że robak zdołał zainfekować część przemysłowych systemów informatycznych w kraju.

Za atakiem stoi Izrael?

Po opublikowaniu analiz Langnera od razu pojawiły się spekulacje, że skoro celem robaka jest Iran, to za atakiem mogą stać Izraelczycy (indywidualni hakerzy lub jakaś organizacja wojskowa lub wywiadowcza). Najnowsze doniesienia specjalistów z Symanteka pośrednio potwierdzają te sugestie - aczkolwiek pracownicy firmy zastrzegają, że to wciąż są tylko spekulacje.

Z dokumentu opublikowanego przez pracowników Symanteka - Nicolasa Falliere, Liama O Murchu and Erica Chena - wynika, że w kodzie robaka znaleziono powtarzającą się sygnaturę "19790509". Pierwsze analizy pokazały, że jest to fraza, służąca robakowi do identyfikowania komputerów, które nie powinny zostać zainfekowane - jeśli Stuxnet trafi na maszynę, która "przedstawi się" identyfikatorem zawierającym ten ciąg znaków, robak zignoruje ją.

9 maja 1979

Zdaniem ekspertów, ów ciąg znaków oznacza datę - 9 maja 1979 r. Tego dnia w Iranie doszło do ważnego wydarzenia historycznego - na rozkaz nowych władz (fundamentalistów, którzy doszli do władzy po obaleniu szacha Rezy Pahlawiego) rozstrzelano Habiba Elghaniana, biznesmena żydowskiego pochodzenia. Elghanian został oskarżony o szpiegostwo, zaś jego egzekucja była pierwszym zwiastunem serii akcji antysemickich.

Falliere, Murchu i Chen tłumaczą, że wszystko to może sugerować, iż robak faktycznie powstał w Izraelu - aczkolwiek równie prawdopodobna jest teoria, że ktoś wprowadził ową frazę do kodu w charakterze zasłony dymnej.

Z opracowania przygotowanego przez Symantec można dowiedzieć się jeszcze jednej interesującej rzeczy - Stuxnet ma zaprogramowaną "datę wygaśnięcia". Wszystko wskazuje na to, że wszystkie kopie robaka automatycznie dezaktywują się 24 czerwca 2012 r.

Chiny pod ostrzałem

Warto dodać, że Stuxnet ostatnio gwałtownie zaktywizował się w Chinach - agencja państwowa Xinhua alarmuje, iż w ostatnich dniach szkodnik zainfekował wiele milionów pecetów w Państwie Środka. Nie wiadomo na razie, z czego wynika gwałtowny wzrost liczby zarażonych maszyn (Stuxnet był obecny w tym kraju już wcześniej, ale do tej pory infekcje były sporadyczne).


Zobacz również