Каков объем исходного кода вируса stuxnet

Чтобы эффективно внедрить зловредную программу, злоумышленник должен использовать какую-либо уязвимость операционной системы или программного обеспечения. Поиск уязвимостей занимает значительное время у злоумышленников, а также для этого нужна хорошая подготовка. Существует особый класс уязвимостей, который называется 0day. 0day- термин, который обозначает уязвимости (иногда и сами зловредные программы), против которых защитные механизмы антивирусов и других программ для защиты компьютера бессильны. Такое понятие появилось потому, что злоумышленники, которые обнаружили уязвимость в программе или операционной системе, проводят свою атаку сразу же не позднее первого ("нулевого дня") дня информированности разработчика об обнаруженной ошибке. Естественно, это означает, что разработчик не успевает вовремя исправить уязвимость , что распространяет сложные эпидемии зловредных программ, которые не поддаются своевременному лечению. На данный момент различные злоумышленники фокусируют свое внимание именно в нахождении таких уязвимостей. Прежде всего, они обращают внимание на такое программное обеспечение , которое получило широкое распространение. Заражая такое программное обеспечение зловредным кодом, злоумышленник гарантировано получит максимальную отдачу от своих действий. При этом антивирусные программы будут бессильны, так как они не смогут определить зловредный код, который находится в популярной программе. Одним из таких примеров был назван пример выше, когда вирус поражал служебные файлы Delphi и тем самым внедрял свой код в различные программы, которые были откомпилированы в этом компиляторе. Так как такие программы были широкого использования, большое количество пользователей было заражено. Все это дало понять злоумышленникам, что такие атаки являются достаточно эффективными и их можно использовать и в дальнейшем. Впрочем, нахождение 0day уязвимости - это достаточно трудоемкий процесс. Для того, чтобы найти такую уязвимость , злоумышленники прибегают к различным стрессовым тестам программного обеспечения, разбору кода на части, а также поиску в программном коде разработчика различных ошибок. Но если эти действия приносят успех, и уязвимость будет найдена, то можно считать, что злоумышленники обязательно ею воспользуются. На сегодняшний день самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows , связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости, Stuxnet использовал еще три, ранее известные, уязвимости. Уязвимости "нулевого дня" также позволяют злоумышленникам создавать вредоносные программы, которые могут обходить защиту антивирусов, что также является опасным для обычного пользователя. Кроме такого рода уязвимостей (0day), существуют также и вполне обычные уязвимости, которыми постоянно пользуется злоумышленник . Другой опасной разновидностью уязвимостей являются уязвимости, которые используют Ring 0 операционной системы. Ring 0 используется для написания различных системных драйверов. Это специальный уровень, из которого можно осуществить полный контроль над операционной системой. Злоумышленник в этом случае уподобляется программисту, который пишет драйвер для операционной системы, ведь в этом случае написание зловредной программы и драйвера является идентичным случаем. Злоумышленник с помощью системных функций и вызовов пытается придать своей зловредной программе функции прохождения в Ring 0.

Если подобное сказали буквально лет 7 назад, то тогда, скорее всего, такому факту просто не поверили бы. Сейчас же опасность кражи персональных данных пользователей мобильных телефонов крайне высока. Существует большое множество зловредных программ, которые занимаются именно кражей персональных данных с мобильных телефонов пользователей. А еще совсем недавно никто и не мог предположить, что мобильные платформы заинтересуют злоумышленников. История вирусов начинается с 2004 когда. Именно этот год считается точкой отсчета для мобильных вирусов. При этом вирус , созданный в этом году, был подобран под систему Symbian. Он являлся демонстрацией самой возможности существования вирусов на платформе операционной системы Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр вируса Worm .SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно "бродить" по мобильным телефонам во всем мире. Это доставило неприятности обычным пользователям смартфонов, но эпидемии по сути не произошло, так как у антивирусных компаний тоже были исходные коды этого вируса и именно тогда начались первые выпуски антивирусов под мобильные платформы. Впоследствии стали распространяться различные сборки этого вируса, которые, впрочем, не приносили огромного вреда. Далее последовал первый бэкдор (зловредная программа , которая открывает доступ в систему извне). Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину. Впоследствии появилась еще одна зловредная программа для мобильных платформ. Программа представляет собой SIS- файл — приложение -инсталлятор для платформы Symbian. Ее запуск и установка в систему приводят к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно, в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать. Все это было подхвачено различными любителями в написании зловредных программ, которые начали плодить всевозможные модификации на старые вирусы, а также пытаться создавать свои собственные. Впрочем, на тот момент все зловредные программы под мобильные платформы были достаточно примитивными и не могли сравниться со своими аналогами зловредных программ на компьютере. Достаточно много шума наделала программа под названием Trojan.SymbOS Lockhunt. Эта программа являлась трояном. Он эксплуатирует "доверчивость" (отсутствие проверок целостности файлов). После запуска, вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещаются файл gavno. app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система , исходя только из расширения файла gavno. app , считает его исполняемым — и зависает, пытаясь запустить " приложение " после перезагрузки. Включение смартфона становится невозможным. После этих вирусов, в основном, идут однотипные вирусы, которые могут передавать сами себя посредством различных технологий.

Сама уязвимость мобильных платформ достаточно высокая, так как нет таких средств, которые надежно бы защищали мобильные платформы. К тому же необходимо учитывать и то, что современные мобильные платформы уже вплотную подбираются к обычным операционным системам, а значит и алгоритмы воздействия на них остаются похожими. Кроме того, у мобильных платформ есть два достаточно специфических метода передачи данных, которых нет у компьютеров - это технология Bluetooth и MMS . Bluetooth — технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек. ММS — относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса SMS , работающего по протоколу мобильной сети, MMS -сообщения передаются через интернет . Поэтому для отправки и приема MMS -сообщений помимо поддержки данной технологии аппаратом требуется наличие подключения к интернету.

На сегодняшний день наиболее распространены следующие операционные системы для мобильных устройств: Windows CE ( Pocket PC , Windows Mobile ), Symbian OS, Palm OS и Linux. В секторе КПК и коммуникаторов преобладает Windows , в секторе смартфонов — Symbian. Palm OS и Linux в целом по области карманных устройств распространены незначительно. О степени защищенности той или иной платформы судить пока рано. Однако результаты тестирования существующих мобильных вирусов показывают, что Symbian-телефоны автоматически обрабатывают (загружают, проигрывают, запускают) любой попавший в папку "Входящие" файл , в том числе и полученный по Bluetooth или MMS — будь это картинка, аудио- файл или инсталлятор. Windows Mobile -телефоны лишь сохраняют полученный файл в память (обычно в папку "Мои документы"). Поскольку нам не представляется возможным протестировать все существующие смартфоны и коммуникаторы, есть вероятность , что указанное отличие не столько межплатформенное, сколько межмодельное. Но даже в этом случае статистически оно сводится к межплатформенному. Исходя из всего вышесказанного, наиболее подверженной вирусным атакам и наиболее уязвимой для них выглядит платформа Symbian. Однако это не более, чем отражение текущего состояния рынка, и вряд ли может быть свидетельством "иммунности" Windows Mobile . Просто уязвимость ОС Symbian, как наиболее распространенной и вследствие этого наиболее подверженной атакам вирусописателей платформы для смартфонов, оказалась продемонстрирована в первую очередь .

Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.

Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security

• Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
• Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
• Ну и последнее – поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.

Digital Security – одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.

Итак, попробуем разобраться по порядку…

Промышленная сеть: что это такое?

Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC – контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet – это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр. Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.

Сам контроллер – это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах – обычно собственной разработки производителя, информация о которой малодоступна – QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек – оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ – Автоматизированное Рабочее Место. АРМ – это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько – их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.

Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное – о проблемах, связанных с его лечением. Итак, Stuxnet…

Stuxnet – что это такое?

Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители – как и почему, будет рассказано немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.

Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать – вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.

Лечение

Рекомендации

Об авторе

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?

Широкие массы интернет-пользователей узнали о вирусе Stuxnet благодаря журналисту Брайану Крепсу 15 июля 2010 года. Позже аналитики из американской разведки намекнули: целью вируса была ядерная программа Ирана.

По сообщению Daily Telegraph, тогдашний госсекретарь Хиллари Клинтон косвенно признавала, что вирус создали США.

Это не вирус, это какое-то кибероружие

Это произвело фурор. Впервые компьютерный троян оказывал влияние не на виртуальную инфраструктуру, а на реально работающий ' title=>промышленный объект. Согласно заложенной в нём программе, он то повышал, то понижал частоту оборотов, на которых работали газовые центрифуги. Это должно было привести к отказу оборудования.

Stuxnet поразил воображение аналитиков, во-первых, своим гигантским размером. Начальная версия занимала полмегабайта, а последняя модификация — два мегабайта. Это резко контрастировало с обычными вирусами, размер которых обычно не превышал пары десятков килобайт.

Во-вторых, он отличался повышенной сложностью. Чтобы исследовать Stuxnet, ведущим специалистам в области антивирусной защиты понадобилось более полугода. И даже после этого они не были уверены, что смогли полностью изучить все возможности вредоносной программы.

Червяк на марше

Выяснилось, что Stuxnet заражает только две модификации контроллера Siemens, которые, как считалось, использовались на иранских газовых центрифугах. Чтобы заразиться вирусом, требовалось каким-то образом записать его в контроллер. И здесь обнаружилось самое интересное.

Stuxnet выводил из строя только те машины, на которых были установлены SCADA-система WinCC и средства программирования контроллеров Siemens. Если на компьютере их не было, вирус начинал заражать имеющиеся в сети машины, пока не обнаруживал необходимых программ. При этом работающей системе он не наносил никакого вреда.

Интересно, что завод в Натанзе не имел доступа к интернету. Он был изолирован от внешнего мира. Вирус должен был активировать заранее внедрённый на объект человек.

Центр эпидемии — Иран

Основная масса сообщений о заражении шла из Ирана. По времени это совпало с отчётом Иранского ядерного агентства перед международными структурами о внезапном сокращении общего количества газовых центрифуг на 800 штук. Экспертное сообщество немедленно связало два эти факта.

В итоге разразился международный скандал. Иранские власти немедленно обвинили США и Израиль в ведении кибервойны против страны. Один из высокопоставленных чиновников, курировавших информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.

Однако системы управления АЭС делались российскими фирмами. Это фактически исключало заражение или возможный перехват управления станции.

Вирус даже если туда и внедрился, не нанёс никакого ущерба.

Вслед за Ираном повалили сообщения из Китая, где вирус заразил тысячи промышленных систем. Правда, никаких техногенных катастроф это не вызвало, даже к снижению производства не привело.

Ключ к ящику Пандоры

Все, кто комментировал ситуацию со Stuxnet, отмечали важный момент: если кто-то решился написать подобного рода систему, то он по сути стал инициатором и первопроходцем в области кибервойны. За ним, безусловно, потянутся другие.

И действительно, в последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране.

Первый формально вообще не занимался зловредной деятельностью. Его задачей было выяснить топологию сетей и найти их уязвимые места. Но Duqu имел схожие со Stuxnet части программного кода, и многие посчитали, что вирусы работали в связке. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар.

Flame оказался ещё сложнее. Исследователи стали подозревать, что это вообще не что иное как платформа для разработки вирусов. Она занималась кибершпионажем: следила за абсолютно любыми действиями пользователя на заражённом компьютере и отсылала данные на удалённый сервер.

Работал вирус в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли.

Нет сомнений: если бы злоумышленникам удалось вывести из строя нефтяное оборудование, последствия для страны были бы непредсказуемыми.

Прикладная вирусология

К тому же, пока киберпророки восторгались новыми возможностями вирусов, реальность нанесла второй суровый удар. Федерация американских учёных, пристально следившая за ядерной программой Ирана, выяснила, что к концу 2010 года количество центрифуг не только вернулось к исходному значению, но даже несколько увеличилось. Проанализировав открытые данные, они пришли к выводу: мощность иранских центрифуг увеличилась на 60 процентов. Получилось, что после вирусной атаки Иран не затормозил свою ядерную программу, а ускорил её.

Позже эти данные подтвердили в МАГАТЭ. Есть пара версий, которые объясняют этот парадокс: либо после атаки центрифуги на заводе заменили на более мощные, либо плановую модернизацию центрифуг приняли за их вывод из строя.

В любом случае, первый кавалерийский наскок, сопровождавшийся шумом и истерикой, окончился полным пшиком. Хотя, возможно, следующие попытки превзойдут все ожидания.

Взгляд в " Зеркало"

Как Лаборатория Касперского расшифровала вредоносную программу, заблокировавшую программное обеспечение иранской системы управления обогащением ядерного топлива.

Компьютерные кабели вьются по полу. Загадочные блок-схемы нарисованы на различных досках, развешанных по стенам. В зале стоит муляж Бэтмана в натуральную величину. Этот офис может показаться ничем не отличающимся от любого другого рабочего места компьютерщика (geeky workplace), но на самом деле это передний край борьбы, а точнее кибервойны (cyberwar), в которой большинство сражений разыгрываются не в далёких джунглях или пустынях, а в пригородных офисных парках, подобных этому.

В качестве старшего научного сотрудника (senior researcher) Лаборатории Касперского, ведущей компании по компьютерной безопасности, базирующейся в Москве, Ройл Шувенберг (Roel Schouwenberg) проводит свои дни (и многие ночи) здесь, в американской штаб-квартире Лаборатории в городке Уоберн (Woburn) штата Массачусетс, сражаясь с самым коварным цифровым оружием, способным нарушить водоснабжение, нанести урон электростанциям, банкам и самой инфраструктуре, которые когда-то казались неуязвимыми для атак.

Стремительное признание таких угроз началось в июне 2010 года с обнаружением Стакснет (Stuxnet), 500-килобайтного компьютерного червя, заразившего программное обеспечение по меньшей мере 14 промышленных объектов в Иране (4/5), в том числе и завод по обогащению урана. Хотя компьютерный вирус зависит от невольной жертвы его установки, червь (worm) распространяется сам по себе и часто через компьютерную сеть.

Этот червь был беспрецедентно мастерски выполненным вредоносным кусочком кода, который атаковал в три этапа. Сначала он нацеливался на компьютеры и сети Microsoft Windows, неоднократно выполняя своё самовоспроизводство. Затем он искал программное обеспечение Siemens Step7, которое также работает на Windows-платформе и используется для программирования промышленных систем управления, которые управляют оборудованием, таким как центрифуги. Наконец, он компрометировал программируемые логические контроллеры. Авторы червя могли таким образом шпионить за промышленными системами и даже вызывать ускоренное вращение центрифуг с целью их разрушения, причём незаметно для человека-оператора на заводе. (Иран пока не подтвердил сообщения о том, что Stuxnet уничтожил некоторые из его центрифуг).

Как работает Stuxnet:

1. заражение системы через USB-флеш-накопитель,
   
2. поиск целевого программного обеспечения и оборудования от Siemens,
   
3. обновление вируса через Интернет; однако, если система не является целью, вирус ничего не делает,
   
4. компрометация,
   
5. захват управления,
   
6. дезинформация и вывод из строя оборудования.
   

Вирусы не всегда были злыми. В 1990-х годах, когда Шувенберг был простым задиристым подростком (just a geeky teen), жившим в Нидерландах, а вредоносные программы (malware) обычно создавались хулиганами и хакерами (pranksters and hackers), т. е. людьми, желающими лишь вызвать сбой компьютера или изобразить каракули-граффити на вашей домашней странице AOL.

После обнаружения вирусов на своём собственном компьютере 14-летний Шувенберг связался с Лабораторией Касперского, одной из ведущих антивирусных компаний. Такие компании оцениваются в частности тем, как много вирусов они обнаружили первыми, и Kaspersky считается одной из лучших, хотя о её успехе ведутся споры. Некоторые обвиняют её в связях с российским правительством, но компания эти обвинения отрицает.

Через несколько лет после первого столкновения с вирусами Шувенберг по электронной почте спросил основателя компании Евгения Касперского, надо ли ему изучать математику в колледже, если он хочет стать специалистом по компьютерной безопасности. Касперский ответил тем, что предложил ему 17-летнему парню работу, которую тот взял. Проведя четыре года в компании в Нидерландах, он отправился в Бостон. Там Шувенберг узнал, что инженеру нужны специфические навыки для борьбы с вредоносными программами, потому что для анализа, а по существу обратного проектирования (reverse engineering) большинства вирусов, написанных для Windows, требуется знание языка ассемблера для процессоров Intel x86.

1981. Вирус Elk Cloner, написанный для системы Apple II Скрентой (Richard Skrenta), привёл к первой крупномасштабной компьютерной вирусной эпидемии в истории.

1986. Вирус для загрузочного сектора Brain (он же пакистанский грипп, Pakistani flu), первый вирус для IBM PC-совместимых компьютеров, вышел на свободу и вызвал эпидемию. Он был создан в Лахоре, Пакистан, 19-летним Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амджадом Фарук Алви (Amjad Farooq Alvi).

1992. Вирус Michelangelo, опасность которого была раздута специалистом по компьютерной безопасности Макафи (John McAfee), предсказавшим, что 6 марта вирус уничтожит информацию на миллионах компьютеров, однако фактический ущерб был минимальным.

2003. Червь SQL Slammer или так называемый червь Sapphire атаковал уязвимости в Microsoft SQL-сервере и Microsoft SQL Server Data Engine и стал самым быстрым в распространении червём всех времён, он врезался в Интернет в течение 15 минут после высвобождения (release).

2010. Обнаружен червь Стакснет (Stuxnet). Это первый известный червь, атакующий SCADA-системы, т. е. автоматизированные системы управления технологическими процессами (АСУ ТП).

2011. Обнаружен червь Дюку (Duqu). В отличие от близкого к нему Stuxnet он был предназначен только для сбора информации, а не для вмешательства в производственные процессы.

2012. Обнаружен Flame, используемый для кибершпионажа в Иране и других странах Ближнего Востока.

В мае 2012 года Лаборатория Касперского получила запрос от Международного союза по электросвязи (International Telecommunication Union), учреждения ООН, которое управляет информационными и коммуникационными технологиями, на исследование фрагмента вредоносной программы, которая подозревалась в уничтожении файлов нефтяных компаний на компьютерах в Иране. В то время Шувенберг и его коллеги уже искали вариации вируса Stuxnet. Они знали, что в сентябре 2011 года венгерские специалисты обнаружили вирус Duqu, который был разработан для кражи информации в промышленных системах управления.

Выполняя просьбу ООН, автоматизированная система Касперского определила ещё один вариант Stuxnet. Сначала Шувенберг и его группа пришли к выводу, что система сделала ошибку, потому что вновь обнаруженный вирус (malware) не показал очевидного сходства со Stuxnet. Однако после погружения в код более глубоко они обнаружили следы другого файла, называемого Flame, который очевидно был начальной итерацией Stuxnet. Сначала Flame и Stuxnet рассматривались как полностью независимые вредоносные программы, но теперь исследователи поняли, что Flame был на самом деле предшественником Stuxnet, который как-то остался незамеченным.

В то время как Stuxnet был предназначен для вывода из строя оборудования, целью Flame было просто шпионить за людьми. Распространившись с USB-флешки, он может заражать принтеры, работающие совместно в одной сети. Как только Flame компрометирует машину, он может незаметно по ключевым словам искать секретные pdf-файлы, а затем подготавливать и передавать обобщающую информацию о найденном документе, и всё это не будучи обнаруженным.