Budoucnost válčení možná právě začala, ale místo toho, aby ji ohlašoval výbuch, začala bez zvuku a bez jediné oběti.
Je první svého druhu a mohl by být signálem toho, jak se od nynějška vedou všechny války. Je to kybernetická zbraň tak přesná, že dokáže zničit cíl účinněji než konvenční výbušnina, a pak se jednoduše smazat a nechat oběti, aby se obviňovaly samy. Je to zbraň, která je tak strašná, že by mohla udělat víc než jen poškodit fyzické předměty, mohla by zabíjet myšlenky. Je to červ Stuxnet, mnohými přezdívaný jako první skutečná zbraň kybernetické války na světě a jeho prvním cílem byl Írán.
Doporučená videa
Úsvit kybernetické války
Stuxnet je skoro jako něco z románu Toma Clancyho. Spíše než posílání raket ke zničení jaderné elektrárny, která ohrožuje celý region a svět a na kterou dohlíží prezident, který prohlásil že by rád viděl celou rasu lidí „vymazanou z mapy“, může být zaveden jednoduchý počítačový virus, který tuto práci zvládne mnohem lépe účinně. Útok raketami na strukturu může vést k válce a kromě toho lze budovy přestavět. Ale infikovat systém tak dokonale, že lidé, kteří jej používají, začnou pochybovat o své víře ve vlastní schopnosti, bude mít z dlouhodobého hlediska mnohem ničivější důsledky.
Ve vzácném okamžiku otevřenosti ze strany Íránu má národ potvrzeno že malware Stuxnet (název pochází z klíčových slov pohřbených v kódu), který byl původně objeven v červenci, poškodil jaderné ambice země. I když Írán incident zlehčuje, někteří zprávy naznačují, že červ byl tak účinný, že mohl zpozdit íránský jaderný program o několik let.
Spíše než jednoduše infikovat systém a zničit vše, čeho se dotkne, je Stuxnet mnohem sofistikovanější a také mnohem efektivnější.
Červ je chytrý a přizpůsobivý. Když vstoupí do nového systému, zůstane nečinný a naučí se bezpečnostní systém počítače. Jakmile dokáže fungovat bez vyvolání poplachu, vyhledá velmi specifické cíle a začne útočit na určité systémy. Místo toho, aby jednoduše zničila své cíle, udělá něco mnohem efektivnějšího – svede je z omylu.
V programu jaderného obohacování je centrifuga základním nástrojem potřebným k rafinaci uranu. Každá postavená odstředivka má stejnou základní mechaniku, ale německý výrobce Siemens nabízí to, co mnozí považují za nejlepší v oboru. Stuxnet vyhledal řídicí jednotky Siemens a převzal velení nad tím, jak se centrifuga otáčí. Ale místo toho, aby prostě nutil stroje, aby se točily, dokud se samy nezničily – čehož byl červ více než schopen – provedl Stuxnet na strojích jemné a mnohem ošidnější změny.
Když byl vzorek uranu vložen do centrifugy infikované Stuxnetem za účelem upřesnění, virus dal stroji příkaz, aby se točil rychleji, než pro jaký byl navržen, a pak se náhle zastavil. Výsledkem byly tisíce strojů, které se opotřebovaly roky před plánovaným termínem, a co je důležitější, zničené vzorky. Ale skutečný trik viru spočíval v tom, že zatímco sabotoval strojní zařízení, zfalšoval údaje a vypadalo to, jako by vše fungovalo v rámci očekávaných parametrů.
Po měsících se odstředivky začaly opotřebovávat a lámat, ale stejně jako hodnoty stále Zdálo se, že je v rámci norem, začali vědci spojení s projektem hádat oni sami. Íránští bezpečnostní agenti začali selhání vyšetřovat a zaměstnanci jaderných zařízení žili pod mrakem strachu a podezření. Toto trvalo více než rok. Pokud by se virus dokázal zcela vyhnout detekci, nakonec by se zcela vymazal a nechal Íránce přemýšlet, co dělají špatně.
17 měsíců se viru dařilo tiše pronikat do íránských systémů, pomalu ničit životně důležité vzorky a poškozovat potřebné vybavení. Možná víc než poškození strojů a vzorků byl chaos, do kterého byl program uvržen.
Íránci neochotně přiznávají některé škody
Íránský prezident Mahmúd Ahmadínežád ano tvrdil že Stuxnet „dokázal vytvořit problémy pro omezený počet našich odstředivek“, což je změna Dřívější tvrzení Íránu, že červ infikoval 30 000 počítačů, ale neovlivnil jadernou energii zařízení. Některé zprávy navrhnout v zařízení v Natanzu, kde sídlí íránské obohacovací programy, 5 084 z 8 856 centrifug používaných v íránském jaderném zařízení zařízení byla odstavena, pravděpodobně kvůli poškození, a elektrárna byla nucena odstavit nejméně dvakrát kvůli účinkům virus.
Stuxnet se také zaměřil na parní turbínu ruské výroby, která pohání zařízení v Búšehru, ale zdá se, že virus byl objeven dříve, než došlo ke skutečnému poškození. Pokud by se virus neodhalil, nakonec by rozběhl otáčky turbín příliš vysoko a způsobil by nenapravitelné škody na celé elektrárně. Teplotní a chladicí systémy byly také identifikovány jako cíle, ale výsledky červa na těchto systémech nejsou jasné.
Objev červa
V červnu tohoto roku našli běloruští antiviroví specialisté VirusBlokAda v počítači íránského zákazníka dosud neznámý malwarový program. Po jeho prozkoumání antivirová společnost zjistila, že byl speciálně navržen tak, aby cílil na Siemens SCADA (dohledové řízení a sběr dat) systémy řízení, což jsou zařízení používaná ve velkém měřítku výrobní. Prvním vodítkem, že je na tomto červu něco jiného, bylo to, že jakmile bylo varování spuštěno, každý Společnost, která se pokusila předat výstrahu, byla následně napadena a nucena ukončit činnost nejméně na 24 hodin. Metody a důvody útoků jsou stále záhadou.
Jakmile byl virus objeven, společnosti jako Symantec a Kaspersky, dvě z největších antivirových společností na světě, několik zpravodajských agentur začalo zkoumat Stuxnet a našlo výsledky, které rychle ukázaly, že se nejedná o obyčejný malware.
Do konce září Symantec zjistil, že téměř 60 procent všech infikovaných počítačů na světě se nachází v Íránu. Jakmile to bylo objeveno, bylo stále více zřejmé, že virus nebyl navržen prostě způsobit problémy, jako mnoho kusů malwaru, ale mělo to velmi specifický účel a cílová. Úroveň sofistikovanosti také výrazně převyšovala vše, co bylo dříve vidět, což přimělo Ralpha Langnera, experta na počítačovou bezpečnost, který virus poprvé objevil, prohlásit že to bylo „jako příjezd F-35 na bojiště první světové války“.
Jak to fungovalo
Stuxnet se konkrétně zaměřuje na operační systémy Windows 7, což je ne náhodou stejný operační systém používaný v íránské jaderné elektrárně. Červ využívá čtyři zero-day útoky a specificky se zaměřuje na software WinCC/PCS 7 společnosti Siemens SCADA. Hrozba zero-day je zranitelnost, která je buď neznámá, nebo neoznámená výrobcem. Obecně se jedná o systémové kritické zranitelnosti a jakmile jsou objeveny, okamžitě opraveny. V tomto případě byly dva prvky zero-day objeveny a byly blízko vydání oprav, ale dva další nikdy nikdo neobjevil. Jakmile byl červ v systému, začal využívat další systémy v místní síti, na kterou se zaměřoval.
Když si Stuxnet procházel íránskými systémy, byl vyzván zabezpečením systému, aby předložil legitimní certifikát. Malware poté předložil dva autentické certifikáty, jeden od výrobce obvodů JMicron a druhý od výrobce počítačového hardwaru Realtek. Obě společnosti sídlí na Tchaj-wanu jen bloky od sebe a oba certifikáty byly potvrzeny jako odcizené. Tyto autentické certifikáty jsou jedním z důvodů, proč byl červ schopen zůstat tak dlouho nedetekován.
Malware měl také schopnost komunikovat prostřednictvím sdílení peer-to-peer, když bylo k dispozici připojení k internetu, což mu umožňovalo upgradovat podle potřeby a podávat zprávy o jeho průběhu. Servery, se kterými Stuxnet komunikoval, se nacházely v Dánsku a Malajsii a oba byly vypnuty, jakmile bylo potvrzeno, že se červ dostal do zařízení v Natanzu.
Jak se Stuxnet začal šířit po íránských systémech, začal se zaměřovat pouze na „frekvenční měniče“ zodpovědné za centrifugy. Červ pomocí měničů s proměnnou frekvencí jako markerů hledal speciálně měniče od dvou prodejců: Vacon, který sídlí ve Finsku, a Fararo Paya, který sídlí v Íránu. Poté monitoruje zadané frekvence a útočí pouze v případě, že systém běží mezi 807 Hz a 1210 Hz, což je poměrně vzácné frekvence, která vysvětluje, jak se červ mohl tak specificky zaměřit na íránské jaderné elektrárny, přestože se rozšířil po celém světě. Stuxnet pak začne měnit výstupní frekvenci, která ovlivňuje připojené motory. Ačkoli nejméně 15 dalších systémů Siemens hlásilo infekci, žádný z nich neutrpěl poškození červem.
Aby se červ nejprve dostal do jaderného zařízení, musel být přenesen do systému, možná na USB disku. Írán používá bezpečnostní systém „vzduchové mezery“, což znamená, že zařízení nemá připojení k internetu. To by mohlo vysvětlovat, proč se červ rozšířil tak daleko, protože jediný způsob, jak infikovat systém, bylo zaměřit se na širokou oblast a působit jako Trojan při čekání na íránského jaderného zaměstnance, který obdrží infikovaný soubor ze zařízení a fyzicky jej donese rostlina. Z tohoto důvodu bude téměř nemožné přesně vědět, kde a kdy infekce začala, protože ji mohlo přinést několik nic netušících zaměstnanců.
Ale odkud se vzal a kdo ho vyvinul?
Podezření, odkud červ pochází, je na denním pořádku a nejpravděpodobnějším jediným podezřelým je Izrael. Po důkladném prozkoumání viru Kaspersky Labs oznámil že úroveň útoku a sofistikovanost, s jakou byl proveden, mohly být provedeny pouze „s podporou národního státu“, což vylučuje soukromého hackera skupiny nebo dokonce větší skupiny, které používají hackování jako prostředek k dosažení cíle, jako je ruská mafie, která je podezřelá z vytvoření trojského červa odpovědného za krást přes 1 milion dolarů z britské banky.
Izrael plně přiznává, že považuje kybernetickou válku za pilíř své obranné doktríny, a skupina známá jako Unit 8200, tzv. Nejpravděpodobnější skupinou by byly izraelské obranné síly považované za hrubý ekvivalent americké NSA odpovědný.
Jednotka 8200 je největší divizí v izraelských obranných silách, a přesto je většina jejích operací neznámá – dokonce i totožnost brigádního generála, který má na starosti jednotku, je tajná. Mezi jeho mnoha exploity je jeden zpráva tvrdí, že během izraelského náletu na podezřelé syrské jaderné zařízení v roce 2007 jednotka 8200 aktivovala tajný kybernetický spínač, který deaktivoval velké části syrského radaru.
Aby tuto teorii ještě více podpořil, Izrael v roce 2009 posunul datum, kdy očekává, že Írán bude mít základní jaderné zbraně, na rok 2014. Mohlo to být důsledkem vyslechnutí problémů, nebo to mohlo naznačovat, že Izrael věděl něco, co nikdo jiný.
USA jsou také hlavním podezřelým a v květnu tohoto roku Írán tvrdil, že ano zatčen 30 lidí, o nichž tvrdí, že se podílelo na pomoci USA vést „kybernetickou válku“ proti Íránu. Írán také tvrdil, že Bushova administrativa financovala 400 miliony dolarů plán na destabilizaci Íránu pomocí kybernetických útoků. Írán tvrdil, že Obamova administrativa pokračovala ve stejném plánu a některé projekty dokonce urychlila. Kritici uvedli, že íránská tvrzení jsou pouze záminkou k potlačení „nežádoucích“ a zatčení jsou jedním z mnoha sporných bodů mezi Íránem a USA.
Ale jak je virus nadále studován a objevují se další odpovědi týkající se jeho funkce, objevují se další záhady ohledně jeho původu.
Podle Microsoftu by virus zabral nejméně 10 000 hodin kódování a tým pěti nebo více lidí by zabral nejméně šest měsíců oddané práce. Mnozí nyní spekulují, že by to vyžadovalo společné úsilí zpravodajských komunit několika národů, které všechny spolupracují na vytvoření červa. Zatímco Izraelci mohou mít odhodlání a techniky, někteří tvrdí, že by to vyžadovalo úroveň technologie Spojených států, aby kódoval malware. Znát přesnou povahu strojů Siemens v rozsahu, v jakém to dělal Stuxnet, by mohlo naznačovat němčinu zapojení a Rusové se možná podíleli na podrobnostech specifikací ruských strojů použitý. Červ byl přizpůsoben k provozu na frekvencích, které zahrnovaly finské komponenty, což naznačuje, že Finsko a možná i NATO je zapojeno také. Záhad je ale ještě více.
Červ nebyl detekován kvůli jeho akcím v íránských jaderných zařízeních, ale spíše v důsledku rozšířené infekce Stuxnet. Centrální zpracovatelské jádro íránského jaderného zpracovatelského závodu se nachází hluboko pod zemí a je zcela odříznuto od internetu. Aby červ infikoval systém, musí být přenesen na počítač nebo flash disk některého ze zaměstnanců. Stačilo by, aby si jeden zaměstnanec vzal práci domů, pak se vrátil a vložil něco jako neškodný jako flash disk do počítače a Stuxnet by zahájil svůj tichý pochod ke konkrétnímu stroji to chtělo.
Vyvstává však otázka: Proč lidé zodpovědní za virus vyvinuli tak neuvěřitelně sofistikovanou kybernetickou zbraň a pak ji vydali způsobem, který je pravděpodobně tak nedbalý? Pokud bylo cílem zůstat neodhaleno, uvolnění viru, který má schopnost replikovat se rychlostí, kterou ukázal, je nedbalé. Šlo o to, kdy, ne jestli, bude virus objeven.
Nejpravděpodobnějším důvodem je, že to vývojářům bylo jedno. Pečlivější umístění malwaru by zabralo mnohem více času a přenos červa do konkrétních systémů by mohl trvat mnohem déle. Pokud země hledá okamžité výsledky k zastavení toho, co by mohla považovat za blížící se útok, pak rychlost může převážit opatrnost. Íránská jaderná elektrárna je jediným infikovaným systémem, který hlásí jakékoli skutečné škody od Stuxnetu, takže riziko pro ostatní systémy se zdá být minimální.
Tak co dál?
Siemens vydal nástroj pro detekci a odstranění pro Stuxnet, ale Írán stále je bojující k úplnému odstranění malwaru. Ještě 23. listopadu bylo íránské zařízení v Natanzu nucený vypnout a očekávají se další zpoždění. Nakonec by měl být jaderný program znovu spuštěn.
V samostatném, ale možná souvisejícím příběhu, začátkem tohoto týdne byli dva íránští vědci zabiti samostatnými, ale stejnými bombovými útoky v Teheránu v Íránu. Na tiskové konferenci následujícího dne prezident Ahmadínežád řekl reportéři, že „na atentátu je nepochybně zapojena ruka sionistického režimu a západních vlád“.
Dnes dříve, íránští představitelé tvrdil k několika zatčením při bombových útocích, a přestože totožnost podezřelých nebyla zveřejněna, íránský ministr pro zpravodajství řekl: tři špionážní agentury Mossad, CIA a MI6 sehrály roli v (útocích) a po zatčení těchto lidí najdeme nové stopy k zatčení dalších Prvky,"
Kombinace bombových útoků a škod způsobených virem Stuxnet by měla těžce zavážit nad nadcházejícími rozhovory mezi Íránem a šestičlennou konfederací Číny, Ruska, Francie, Velké Británie, Německa a USA dne 6. a 7. Rozhovory mají pokračovat v dialogu o možných jaderných ambicích Íránu.
