Майбутнє війни могло тільки розпочатися, але замість того, щоб бути провіщеним вибухом, воно розпочалося без звуку та жодної жертви.
Це перший у своєму роді і може бути сигналом про те, як відтепер ведуться всі війни. Це кіберзброя настільки точна, що може знищити ціль ефективніше, ніж звичайна вибухівка, а потім просто видалити себе, залишивши жертв винними у собі. Це така страшна зброя, що, можливо, вона може завдати більше, ніж просто пошкодити фізичні предмети, вона може вбити ідеї. Це хробак Stuxnet, якого багато хто охрестив як першу у світі справжню зброю кібервійни, і його першою мішенню став Іран.
Світанок кібервійни
Stuxnet майже як щось із роману Тома Кленсі. Замість того, щоб відправляти ракети для знищення атомної станції, яка загрожує всьому регіону і всьому світу, і під наглядом президента, який заявив, що хотів би, щоб ціла раса людей була "знищена з карти", простий комп'ютерний вірус може бути введено, що зробить роботу набагато ефективніше. Атака ракетою на конструкцію може призвести до війни, а крім того, будівлі можна перебудувати. Але заразити систему настільки повно, що люди, які її використовують, починають сумніватися у своїй вірі у власні здібності, матиме набагато більш руйнівні довгострокові наслідки.
У рідкісний момент відкритості з боку Ірану країна підтвердила, що шкідливе програмне забезпечення Stuxnet (назва походить від ключових слів, закопаних у коді), яке було спочатку виявлено в липні, завдало шкоди ядерним амбіціям країни. Незважаючи на те, що Іран применшує інцидент, деякі повідомлення свідчать про те, що цей хробак був настільки ефективним, що, можливо, він відкинув іранську ядерну програму на кілька років.
Замість того, щоб просто заразити систему та знищити все, до чого вона торкається, Stuxnet набагато складніший за це і набагато ефективніший.
Хробак розумний і пристосований. Коли він потрапляє в нову систему, він залишається неактивним і засвоює систему безпеки комп’ютера. Після того, як він зможе діяти, не викликаючи тривоги, він шукає цілком конкретні цілі і починає атакувати певні системи. Замість того, щоб просто знищити цілі, він робить щось набагато ефективніше - вводить їх в оману.
У програмі ядерного збагачення центрифуга є основним інструментом, необхідним для очищення урану. Кожна побудована центрифуга відповідає тій же основній механіці, але німецький виробник Siemens пропонує те, що багато хто вважає найкращим у галузі. Stuxnet розшукав контролери Siemens і взяв на себе команду щодо обертання центрифуги. Але замість того, щоб просто змусити машини крутитися, поки вони не знищили себе - що черв'як був більш ніж здатний зробити - Stuxnet вніс тонкі і набагато більш хитрі зміни в машинах.
Коли зразок урану вставляли в заражену Stuxnet центрифугу для доопрацювання, вірус наказав машині обертатися швидше, ніж було призначено, а потім раптово зупинився. Результатами стали тисячі машин, які зношені роками раніше запланованого терміну, і що більш важливо, зіпсовані зразки. Але справжня хитрість вірусу полягала в тому, що, поки він саботував механізми, він фальсифікував показання і видавав, ніби все працює в межах очікуваних параметрів.
Через кілька місяців центрифуги почали зношуватися та руйнуватися, але оскільки показання все ще виявилися в межах норм, вчені, пов'язані з проектом, почали самі здогадуватися. Іранські агенти безпеки розпочали розслідування несправностей, а персонал ядерних установок жив під хмарою страху та підозр. Це тривало більше року. Якби вірус зумів повністю уникнути виявлення, врешті-решт він би повністю видалився і залишив іранців, дивуючись, що вони роблять неправильно.
Протягом 17 місяців вірус встиг спокійно проникнути в іранські системи, повільно знищуючи життєво важливі зразки та пошкоджуючи необхідне обладнання. Можливо, більше, ніж пошкодження техніки та зразків, був хаос, в який була кинута програма.
Іранці з неохотою визнають частину шкоди
Президент Ірану Махмуд Ахмадінежад заявив, що Stuxnet "зумів створити проблеми для обмеженої кількості наших центрифуг", що є зміною порівняно з попереднім твердженням Ірану про те, що черв'як заразив 30 000 комп'ютерів, але не вплинув на ядерні об'єкти. Деякі звіти свідчать про те, що на об'єкті Натанц, в якому розміщені програми збагачення Ірану, 5084 із 8856 центрифуг, що використовуються на іранських ядерних установках, були виведені з мережі, можливо, через пошкодження, а завод був змушений зупинити щонайменше двічі через наслідки вірусу.
Stuxnet також націлився на парову турбіну російського виробництва, яка працює на потужності Бушера, але, схоже, вірус був виявлений до того, як може бути завдана реальна шкода. Якби вірус не був виявлений, він врешті-решт запустив би частоту обертання турбін надто високо і завдав би непоправної шкоди всій електростанції. Системи температури та охолодження також були визначені як цілі, але результати дії хробака на цих системах не ясні.
Відкриття хробака
У червні цього року білоруські антивірусні спеціалісти VirusBlokAda виявили на комп'ютері іранського замовника раніше невідому програму зловмисного програмного забезпечення. Дослідивши його, антивірусна компанія виявила, що він був спеціально розроблений для орієнтації на системи управління SCADA (контрольний контроль та збір даних) Siemens, які є пристроями, що використовуються у великому виробництві. Перша підказка про те, що в цьому хробаку щось інше, полягала в тому, що після того, як було піднято попередження, кожна компанія, яка намагалася передати попередження, згодом була атакована і змушена закрити принаймні на 24 години. Методи та причини нападів досі залишаються загадкою.
Після виявлення вірусу такі компанії, як Symantec та Kaspersky, дві найбільші антивірусні компанії у світі, а також кілька спецслужб, почали досліджувати Stuxnet і виявили результати, які швидко дали зрозуміти, що це не звичайне шкідливе програмне забезпечення.
До кінця вересня компанія Symantec виявила, що майже 60 відсотків усіх машин, заражених у світі, розташовані в Ірані. Після того, як це було виявлено, ставало все більш очевидним, що вірус не був створений просто для того, щоб створювати проблеми, як багато шкідливих програм, але він мав цілком конкретну мету і ціль. Рівень витонченості також був значно вищим за все, що бачили раніше, і спонукав Ральфа Лангнера, експерта з комп'ютерної безпеки, який вперше виявив вірус, заявити, що це "подібно приходу F-35 на поле бою Першої світової війни".
Як це працювало
Stuxnet спеціально націлений на операційні системи Windows 7, що, не випадково, є тією ж операційною системою, що використовується на іранській АЕС. Черв'як використовує чотири атаки нульового дня і спеціально націлений на програмне забезпечення SCADA WinCC / PCS 7 від Siemens. Загроза нульового дня - це вразливість, яка або невідома, або не анонсована виробником. Це, як правило, критично важливі для системи вразливості, і після їх виявлення їх негайно виправляють. У цьому випадку два елементи нульового дня були виявлені і були близькі до випуску виправлень, але двох інших ніхто ніколи не виявив. Як тільки черв'як опинився в системі, він почав використовувати інші системи в локальній мережі, на яку він націлювався.
Коли Stuxnet пробивався через іранські системи, безпека системи поставила під сумнів надання законного сертифіката. Потім зловмисне програмне забезпечення представило два справжні сертифікати, один від виробника мікросхем JMicron, а інший від виробника комп'ютерного обладнання Realtek. Обидві компанії знаходяться на Тайвані, лише за кілька кварталів одне від одного, і обидва сертифікати підтвердили, що їх викрали. Ці автентичні сертифікати є однією з причин того, що хробак так довго не міг залишатися виявленим.
Шкідливе програмне забезпечення також мало можливість спілкуватися через рівноправний обмін, коли було підключення до Інтернету, що дозволило йому оновити за необхідності та повідомити про свій прогрес. Сервери, з якими Stuxnet спілкувався, знаходились у Данії та Малайзії, і обидва вони були вимкнені, як тільки підтвердилось, що черв'як потрапив до об'єкту Натанц.
Коли Stuxnet почав поширюватися по іранських системах, він почав націлюватись лише на «перетворювачі частоти», відповідальні за центрифуги. Використовуючи прилади змінної частоти як маркери, черв'як спеціально шукав накопичувачі двох постачальників: Vacon, який базується у Фінляндії, та Fararo Paya, який базується в Ірані. Потім він відстежує зазначені частоти і атакує лише в тому випадку, якщо система працює від 807 Гц до 1210 Гц, що є досить рідкісною частотою, яка пояснює, як черв'як може так конкретно націлювати іранські атомні електростанції, незважаючи на поширення по всьому світу. Потім Stuxnet приступає до зміни вихідної частоти, що впливає на підключені двигуни. Хоча щонайменше 15 інших систем Siemens повідомили про зараження, жодна з них не зазнала жодного збитку від хробака.
Щоб спочатку дістатися до ядерної установки, хробака потрібно було ввести в систему, можливо, на USB-накопичувачі. Іран використовує систему безпеки "повітряного проміжку", тобто заклад не має зв'язку з Інтернетом. Це може пояснити, чому хробак розповсюдився дотепер, оскільки єдиним способом заразити систему є націлювання на широку територію та дія троянських програм, чекаючи, поки іранський працівник ядерної галузі отримає заражений файл далеко від об'єкта та фізично внести його в рослину. Через це буде майже неможливо точно знати, де і коли почалася інфекція, оскільки її могли завезти кілька нічого не підозрюючих працівників.
Але звідки він взявся, і хто його розробив?
Підозри про те, звідки походить черв’як, розгулюються, і найбільш вірогідним єдиним підозрою є Ізраїль. Після ретельного дослідження вірусу "Лабораторія Касперського" оголосила, що рівень атаки та витонченість, з якою він був здійснений, могли бути здійснені лише "за підтримки національної держави", що виключає приватні хакерські групи або навіть більші групи, які використовував хакерство як засіб досягнення мети, наприклад, російську мафію, яку підозрюють у створенні троянського хробака, відповідального за викрадення у британського банку понад 1 мільйона доларів.
Ізраїль повністю визнає, що вважає кібервійну базою своєї оборонної доктрини, і група, відома як Unit 8200, ізраїльські сили оборони, яку вважають грубим еквівалентом АНБ США, буде найбільш вірогідною групою відповідальних за це.
Підрозділ 8200 є найбільшим підрозділом ізраїльських сил оборони, проте більшість його операцій невідомі - навіть особа бригадного генерала, який керує цим підрозділом, засекречена. Серед його численних подвигів один з довідок стверджує, що під час ізраїльської авіаудару по підозрюваному сирійському ядерному об'єкту в 2007 році підрозділ 8200 активував секретний перемикач кіберзахисту, який деактивував великі ділянки сирійського радара.
Для подальшого підтвердження цієї теорії Ізраїль у 2009 р. Відсунув дату, коли він очікує, що Іран матиме елементарне ядерне озброєння, на 2014 р. Це, можливо, було результатом слухання проблем, або це могло припустити, що Ізраїль нічого не знав. ще зробив.
США також є головним підозрюваним, і в травні цього року Іран стверджував, що заарештував 30 осіб, які, як вона стверджує, були залучені в допомогу США в проведенні проти Ірану "кібервійни". Іран також заявив, що адміністрація Буша профінансувала план дестабілізації Ірану на 400 мільйонів доларів за допомогою кібератак. Іран стверджував, що адміністрація Обами продовжила той самий план і навіть пришвидшила деякі проекти. Критики заявляють, що претензії Ірану - це просто привід для подолання "небажаних" ситуацій, а арешти - один із багатьох суперечок між Іраном та США.
Але оскільки вірус продовжує вивчатися і з’являється більше відповідей щодо його функції, все більше загадок про його походження з’являється.
За даними Microsoft, на вірус знадобилося б щонайменше 10 000 годин кодування, а на команду з п’яти людей або більше - принаймні півроку самовідданої роботи. Зараз багато хто припускає, що для цього потрібні спільні зусилля розвідувальних спільнот кількох країн, які працюють разом над створенням хробака. Хоча ізраїльтяни можуть мати рішучість і техніків, деякі стверджують, що для кодування шкідливого програмного забезпечення вимагатиметься рівня технологій США. Щоб знати точну природу обладнання Siemens настільки, наскільки Stuxnet міг би припустити участь Німеччини, а росіяни могли брати участь у деталізації характеристик використовуваної російської техніки. Черв'як був розроблений для роботи на частотах, що включали фінські компоненти, що свідчить про те, що до нього залучені також Фінляндія та, можливо, НАТО. Але загадків все-таки більше.
Черв'як не був виявлений через його дії на іранських ядерних установках, а скоріше в результаті широко розповсюдженого зараження Stuxnet. Центральне ядро переробки Іранського атомного заводу знаходиться глибоко під землею і повністю відрізане від Інтернету. Щоб хробак заразив систему, він повинен бути занесений на комп’ютер або флешку одного з працівників. Все, що потрібно, - це один працівник взяти роботу з собою додому, а потім повернутися і вставити в комп’ютер щось таке нешкідливе, як флешка, і Stuxnet розпочне свій тихий похід до конкретного механізму, якого хотів.
Але тоді виникає запитання: чому люди, відповідальні за вірус, розробили таку неймовірно досконалу кіберзброю, а потім випустили її, можливо, таким недбалим методом? Якщо метою було залишитись не виявленим, випуск вірусу, який має здатність до реплікації зі швидкістю, яку він показав, є недбалим. Справа була в тому, коли, а не якщо вірус буде виявлений.
Найімовірніша причина полягає в тому, що розробникам просто було все одно. Щоб більш акуратно посадити шкідливе програмне забезпечення, знадобилося б набагато більше часу, і передача хробака в конкретні системи може зайняти набагато більше часу. Якщо країна шукає негайних результатів, щоб зупинити те, що вона може сприймати як майбутню атаку, тоді швидкість може перевершити обережність. Іранська атомна електростанція - єдина заражена система, яка повідомляє про реальний збиток від Stuxnet, тому ризик для інших систем, здається, мінімальний.
То що далі?
Siemens випустив інструмент виявлення та видалення для Stuxnet, але Іран все ще намагається повністю видалити шкідливе програмне забезпечення. Ще 23 листопада іранський завод Натанц був змушений закрити, і очікуються подальші затримки. Зрештою, ядерна програма повинна бути відновлена і запущена.
В окремій, але, можливо, пов’язаній історії, на початку цього тижня двоє іранських учених загинули в результаті окремих, але однакових бомбових атак у Тегерані, Іран. На прес-конференції наступного дня президент Ахмадінежад сказав журналістам, що "безсумнівно, рука вбивства сіоністського режиму та урядів Заходу".
Раніше сьогодні іранські чиновники стверджували, що здійснили кілька арештів під час вибухів, і, хоча особи підозрюваних не розголошуються, міністр розвідки Ірану заявив: , з арештом цих людей ми знайдемо нові підказки для арешту інших елементів ",
Поєднання вибухів та збитків, спричинених вірусом Stuxnet, повинно сильно вплинути на майбутні переговори між Іраном та конфедерацією шести держав Китаю, Росії, Франції, Великобританії, Німеччини та США 6 та 7 грудня. переговори покликані продовжити діалог щодо можливих ядерних амбіцій Ірану.
