Бъдещето на военните действия може току-що да е започнало, но вместо да бъде предвестено от експлозия, то започна без звук или нито една жертва.
Това е първото по рода си и може да бъде сигнал за начините, по които се водят всички войни оттук нататък. Това е толкова прецизно кибер оръжие, че може да унищожи цел по-ефективно от конвенционален експлозив и след това просто да се изтрие, оставяйки жертвите да обвиняват себе си. Това е оръжие, което е толкова ужасно, че може да направи нещо повече от просто увреждане на физически обекти, то може да убие идеи. Това е червеят Stuxnet, наречен от мнозина първото в света истинско оръжие за кибервойна, а първата му цел беше Иран.
Препоръчани видеоклипове
Зората на кибервойната
Stuxnet е почти като нещо от роман на Том Кланси. Вместо да изпрати ракети, за да унищожи ядрена централа, която заплашва целия регион и света и се контролира от президент, който твърди, че той би искал да види цяла раса от хора „изтрита от картата“, може да бъде въведен прост компютърен вирус, който ще свърши работата много повече ефективно. Атакуването на структура с ракети може да доведе до война, а освен това сградите могат да бъдат възстановени. Но заразяването на една система толкова пълно, че хората, които я използват, да започнат да се съмняват в вярата си в собствените си способности, ще има много по-опустошителни дългосрочни ефекти.
В един рядък момент на откритост от Иран, нацията го направи потвърдено че зловредният софтуер Stuxnet (името произлиза от ключови думи, заровени в кода), който първоначално беше открит през юли, е навредил на ядрените амбиции на страната. Въпреки че Иран омаловажава инцидента, някои доклади предполагат, че червеят е бил толкова ефективен, че може да е върнал иранската ядрена програма с няколко години назад.
Вместо просто да зарази система и да унищожи всичко, до което се докосне, Stuxnet е много по-сложен от това и също много по-ефективен.
Червеят е умен и адаптивен. Когато влезе в нова система, той остава латентен и научава системата за сигурност на компютъра. След като може да работи без да вдига тревога, той търси много специфични цели и започва да атакува определени системи. Вместо просто да унищожи целите си, той прави нещо много по-ефективно - подвежда ги.
В програмата за ядрено обогатяване центрофугата е основен инструмент, необходим за рафиниране на урана. Всяка създадена центрофуга следва една и съща основна механика, но немският производител Siemens предлага това, което мнозина смятат за най-доброто в индустрията. Stuxnet потърси контролерите на Siemens и пое командването на начина, по който се върти центрофугата. Но вместо просто да принуди машините да се въртят, докато се самоунищожат - което червеят беше повече от способен да направи - Stuxnet направи фини и много по-коварни промени в машините.
Когато проба от уран беше поставена в инфектирана със Stuxnet центрофуга за пречистване, вирусът щеше да нареди на машината да се върти по-бързо, отколкото е предназначена, след което внезапно да спре. Резултатите бяха хиляди машини, които се износиха години предсрочно, и което е по-важно, съсипани образци. Но истинският трик на вируса беше, че докато саботираше машината, той фалшифицираше показанията и изглеждаше така, сякаш всичко работи в рамките на очакваните параметри.
След месеци на това, центрофугите започнаха да се износват и да се счупят, но тъй като показанията все още изглеждаше в рамките на нормите, учените, свързани с проекта, започнаха да предполагат себе си. Иранските агенти по сигурността започнаха да разследват провалите, а персоналът на ядрените съоръжения живееше под облак от страх и подозрение. Това продължи повече от година. Ако вирусът беше успял напълно да избегне откриването, той в крайна сметка щеше да се изтрие напълно и да остави иранците да се чудят какво правят грешно.
В продължение на 17 месеца вирусът успя тихо да си проправи път в иранските системи, като бавно унищожи жизненоважни проби и повреди необходимото оборудване. Може би повече от щетите по машините и пробите беше хаосът, в който беше хвърлена програмата.
Иранците неохотно признават част от щетите
Иранският президент Махмуд Ахмадинеджад го направи твърдеше че Stuxnet „успя да създаде проблеми за ограничен брой от нашите центрофуги“, което е промяна от По-ранното твърдение на Иран, че червеят е заразил 30 000 компютъра, но не е засегнал ядрената съоръжения. Някои доклади предполагам в съоръжението в Натанц, където се помещават иранските програми за обогатяване, 5084 от 8856 центрофуги, използвани в иранската ядрена съоръженията бяха изключени, вероятно поради повреда, и централата беше принудена да спира поне два пъти поради ефектите от вирус.
Stuxnet също се насочи към произведената в Русия парна турбина, която захранва съоръжението в Бушер, но изглежда, че вирусът е бил открит, преди да бъдат нанесени реални щети. Ако вирусът не беше разкрит, той в крайна сметка щеше да доведе до твърде високи обороти на турбините и да причини непоправими щети на цялата електроцентрала. Системите за температура и охлаждане също са идентифицирани като цели, но резултатите от червея върху тези системи не са ясни.
Откриването на червея
През юни тази година базираните в Беларус антивирусни специалисти VirusBlokAda откриха неизвестна досега програма за зловреден софтуер на компютъра на ирански клиент. След като го проучи, антивирусната компания откри, че той е специално проектиран да насочва към Siemens SCADA (надзорен контрол и събиране на данни) системи за управление, които са устройства, използвани в голям мащаб производство. Първата следа, че нещо е различно с този червей, беше, че след като сигналът е бил повдигнат, всеки компания, която се опита да предаде сигнала, впоследствие беше атакувана и принудена да спре работа за поне 24 часа часа. Методите и причините за атаките все още са загадка.
След като вирусът беше открит, компании като Symantec и Kaspersky, две от най-големите антивирусни компании в света, както и няколко разузнавателни агенции започнаха да проучват Stuxnet и откриха резултати, които бързо направиха очевидно, че това не е обикновен зловреден софтуер.
До края на септември Symantec откри, че близо 60 процента от всички заразени машини в света се намират в Иран. След като това беше открито, ставаше все по-очевидно, че вирусът не е създаден просто да създава проблеми, каквито са много зловреден софтуер, но имаше много специфична цел и a мишена. Нивото на сложност също беше доста над всичко виждано преди, което накара Ралф Лангнер, експертът по компютърна сигурност, който пръв откри вируса, да декларирам че е „като пристигането на F-35 на бойното поле на Първата световна война“.
Как работи
Stuxnet е насочен специално към операционните системи Windows 7, което неслучайно е същата операционна система, използвана в иранската атомна електроцентрала. Червеят използва четири атаки с нулев ден и е насочен специално към софтуера WinCC/PCS 7 SCADA на Siemens. Заплахата от нулев ден е уязвимост, която е неизвестна или не е обявена от производителя. Това обикновено са критични за системата уязвимости и след като бъдат открити, незабавно се коригират. В този случай двата елемента от нулевия ден бяха открити и бяха близо до пускането на корекции, но други два никога не бяха открити от никого. След като червеят беше в системата, той започна да експлоатира други системи в локалната мрежа, към която беше насочен.
Докато Stuxnet си проправяше път през иранските системи, беше предизвикан от сигурността на системата да представи легитимен сертификат. След това зловредният софтуер представи два автентични сертификата, единият от производителя на схеми JMicron, а другият от производителя на компютърен хардуер Realtek. И двете компании се намират в Тайван само на няколко пресечки една от друга и беше потвърдено, че и двата сертификата са откраднати. Тези автентични сертификати са една от причините червеят да остане незабелязан толкова дълго.
Злонамереният софтуер също имаше способността да комуникира чрез peer-to-peer споделяне, когато имаше интернет връзка, което му позволяваше да надгражда, ако е необходимо, и да отчита напредъка си. Сървърите, с които комуникира Stuxnet, се намират в Дания и Малайзия и и двата бяха затворени, след като се потвърди, че червеят е влязъл в съоръжението в Натанц.
Когато Stuxnet започна да се разпространява в иранските системи, той започна да се насочва само към „честотните преобразуватели“, отговорни за центрофугите. Използвайки устройства с променлива честота като маркери, червеят търсеше специално устройства от двама доставчици: Vacon, който е базиран във Финландия, и Fararo Paya, който е базиран в Иран. След това следи определените честоти и атакува само ако системата работи между 807Hz и 1210Hz, доста рядко честота, която обяснява как червеят може да се насочи толкова конкретно към иранските ядрени централи, въпреки че се разпространява по света. След това Stuxnet започва да променя изходната честота, което засяга свързаните двигатели. Въпреки че най-малко 15 други системи на Siemens са съобщили за инфекция, никоя не е претърпяла щети от червея.
За да достигне първо до ядреното съоръжение, червеят трябваше да бъде въведен в системата, вероятно на USB устройство. Иран използва система за сигурност „въздушна междина“, което означава, че съоръжението няма връзка с интернет. Това може да обясни защо червеят се е разпространил толкова много, тъй като единственият начин той да зарази системата е да се насочи към широка област и да действа като Троянски кон, докато чака ирански ядрен служител да получи заразен файл далеч от съоръжението и физически да го пренесе в растение. Поради това ще бъде почти невъзможно да се знае точно къде и кога е започнала инфекцията, тъй като може да е била внесена от няколко нищо неподозиращи служители.
Но откъде идва и кой го е разработил?
Подозренията за произхода на червея са широко разпространени и най-вероятният единствен заподозрян е Израел. След щателно проучване на вируса, Kaspersky Labs обяви че нивото на атаката и сложността, с която е била изпълнена, са могли да бъдат извършени само „с подкрепата на националната държава“, което изключва частен хакер групи или дори по-големи групи, които използват хакерството като средство за постигане на цел, като например руската мафия, за която се подозира, че е създала троянски червей, отговорен за кражба 1 милион долара от британска банка.
Израел напълно признава, че смята кибервойната за стълб на своята отбранителна доктрина, а групата, известна като Unit 8200, Израелските отбранителни сили, считани за груб еквивалент на NSA на Съединените щати, биха били най-вероятната група отговорен.
Отделение 8200 е най-голямото подразделение в израелските отбранителни сили и въпреки това по-голямата част от неговите операции са неизвестни – дори самоличността на бригадния генерал, който отговаря за отряда, е класифицирана. Сред многото му подвизи, един отчет твърди, че по време на израелски въздушен удар срещу предполагаемо сирийско ядрено съоръжение през 2007 г., модул 8200 е активирал таен превключвател за киберпрекъсване, който е деактивирал големи участъци от сирийския радар.
За да придаде допълнителна достоверност на тази теория, през 2009 г. Израел отложи датата, когато очаква Иран да разполага с рудиментарно ядрено оръжие до 2014 г. Това може да е резултат от чуване за проблеми или може да предполага, че Израел е знаел нещо, което никой друг не е знаел.
САЩ също са основен заподозрян, а през май тази година Иран заяви, че е заподозрян арестуван 30 души, за които се твърди, че са участвали в подпомагането на САЩ да водят „кибервойна“ срещу Иран. Иран също така твърди, че администрацията на Буш е финансирала план за 400 милиона долара за дестабилизиране на Иран чрез използване на кибератаки. Иран твърди, че администрацията на Обама е продължила същия план и дори е ускорила някои от проектите. Критиците заявяват, че твърденията на Иран са просто извинение за премахване на „нежеланите“, а арестите са една от многото точки на спорове между Иран и САЩ.
Но тъй като вирусът продължава да се изучава и се появяват повече отговори относно неговата функция, се повдигат повече мистерии за неговия произход.
Според Microsoft вирусът би отнел най-малко 10 000 часа кодиране и би отнел екип от петима или повече души поне шест месеца всеотдайна работа. Мнозина сега спекулират, че ще са необходими комбинираните усилия на разузнавателните общности на няколко нации, които работят заедно за създаването на червея. Въпреки че израелците може да имат решителността и техниците, някои твърдят, че ще изисква нивото на технологията на Съединените щати, за да кодира зловреден софтуер. Да се знае точното естество на машините на Siemens до степента, в която Stuxnet успя, може да подсказва немски участие и руснаците може да са участвали в детайлизирането на спецификациите на руската машина използвани. Червеят е пригоден да работи на честоти, които включват финландски компоненти, което предполага, че Финландия, а може би и НАТО също е замесена. Но има още мистерии.
Червеят не е открит поради действията си в иранските ядрени съоръжения, а по-скоро в резултат на широко разпространената инфекция на Stuxnet. Централното ядро за обработка на иранския ядрен завод се намира дълбоко под земята и е напълно откъснато от интернет. За да може червеят да зарази системата, той трябва да е бил внесен в компютъра или флашка на член на персонала. Всичко, което е необходимо, е един служител да вземе работата със себе си вкъщи, след което да се върне и да вмъкне нещо като безвреден като флашка в компютъра и Stuxnet ще започне своя тих марш към специфичната машина то искаше.
Но след това възниква въпросът: защо хората, отговорни за вируса, са разработили такова невероятно сложно кибероръжие и след това са го пуснали по този, безспорно, толкова небрежен метод? Ако целта е била да останем незабелязани, пускането на вирус, който има способността да се размножава със скоростта, която е показал, е небрежно. Беше въпрос кога, а не дали вирусът ще бъде открит.
Най-вероятната причина е, че на разработчиците просто не им пука. По-внимателното поставяне на зловреден софтуер би отнело много повече време, а предаването на червея в конкретните системи може да отнеме много повече време. Ако една държава търси незабавни резултати, за да спре това, което може да види като предстояща атака, тогава скоростта може да надделее над предпазливостта. Иранската ядрена централа е единствената заразена система, която отчита реални щети от Stuxnet, така че рискът за други системи изглежда минимален.
Какво следва?
Siemens пусна инструмент за откриване и премахване за Stuxnet, но Иран все още го прави борещ се за да премахнете напълно зловреден софтуер. Съвсем наскоро, на 23 ноември, иранското съоръжение в Натанц беше принуден да се затвори и се очакват допълнителни забавяния. В крайна сметка ядрената програма трябва да бъде възстановена.
В отделна, но вероятно свързана история, по-рано тази седмица двама ирански учени бяха убити от различни, но идентични бомбени атаки в Техеран, Иран. На пресконференция на следващия ден президентът Ахмадинеджад каза репортери, че „Несъмнено ръката на ционисткия режим и западните правителства е замесена в убийството“.
По-рано днес ирански официални лица твърдеше е извършил няколко ареста при бомбените атентати и въпреки че самоличността на заподозрените не е разкрита, министърът на разузнаването на Иран каза, че „ три шпионски агенции на Мосад, ЦРУ и МИ6 имаха роля в (атаките) и с арестуването на тези хора ще намерим нови улики за арестуване на други елементи,”
Комбинацията от бомбардировките и щетите, причинени от вируса Stuxnet, трябва да натежат много над предстоящите преговори между Иран и шестнационална конфедерация от Китай, Русия, Франция, Великобритания, Германия и САЩ на 6 декември и 7. Разговорите имат за цел да продължат диалога относно възможните ядрени амбиции на Иран.
