Sodankäynnin tulevaisuus saattoi olla juuri alkanut, mutta räjähdyksen sijaan se alkoi ilman ääntä tai yhtäkään uhria.
Se on ensimmäinen laatuaan, ja se voi olla merkki tavoista, joilla kaikkia sotia käydään tästä lähtien. Se on niin tarkka kyberase, että se voi tuhota kohteen tehokkaammin kuin perinteinen räjähde ja sitten yksinkertaisesti poistaa itsensä, jolloin uhrit jäävät syyttämään itseään. Se on ase, joka on niin kauhea, että se voisi mahdollisesti tehdä enemmän kuin vain vahingoittaa fyysisiä esineitä, se voi tappaa ideoita. Se on Stuxnet-mato, jota monet ovat kutsuneet maailman ensimmäiseksi todelliseksi kybersodankäynnin aseeksi, ja sen ensimmäinen kohde oli Iran.
Suositellut videot
Kybersodan alku
Stuxnet on melkein kuin jotain Tom Clancyn romaanista. Sen sijaan, että lähettäisimme ohjuksia tuhoamaan ydinvoimalaa, joka uhkaa koko aluetta ja maailmaa ja jota valvoo presidentti, joka on vaatinut että hän haluaisi nähdä kokonaisen ihmisrodun "pyyhkivän pois kartalta", voidaan tuoda esiin yksinkertainen tietokonevirus, joka tekee työn paljon enemmän tehokkaasti. Rakenteeseen hyökkääminen ohjuksilla voi johtaa sotaan, ja lisäksi rakennuksia voidaan rakentaa uudelleen. Mutta järjestelmän saastuttamisella niin täydellisesti, että sitä käyttävät ihmiset alkavat epäillä uskoaan omiin kykyihinsä, on paljon tuhoisampia pitkän aikavälin vaikutuksia.
Harvinaisena Iranin avoimuuden hetkinä kansakunta on vahvistettu että alun perin heinäkuussa löydetty Stuxnet-haittaohjelma (nimi tulee koodiin hautautuneista avainsanoista) on vahingoittanut maan ydintavoitteita. Vaikka Iran vähättelee tapausta, jotkut raportteja vihjaavat, että mato oli niin tehokas, että se saattoi hidastaa Iranin ydinohjelmaa useilla vuosilla.
Sen sijaan, että vain tartuttaisi järjestelmää ja tuhoaisi kaiken, mitä se koskettaa, Stuxnet on paljon kehittyneempi ja myös tehokkaampi.
Mato on älykäs ja sopeutuvainen. Kun se tulee uuteen järjestelmään, se pysyy lepotilassa ja oppii tietokoneen turvajärjestelmän. Kun se voi toimia ilman hälytystä, se etsii sitten hyvin erityisiä kohteita ja alkaa hyökätä tiettyihin järjestelmiin. Sen sijaan, että tuhoaisi kohteensa, se tekee jotain paljon tehokkaampaa – se johtaa heidät harhaan.
Ydinrikastusohjelmassa sentrifugi on uraanin jalostamiseen tarvittava perustyökalu. Jokainen rakennettu sentrifugi noudattaa samaa perusmekaniikkaa, mutta saksalainen valmistaja Siemens tarjoaa monien mielestä alan parhaita. Stuxnet etsi Siemensin ohjaimia ja otti hallintaansa sentrifugin pyörimistavan. Mutta sen sijaan, että vain pakottaisi koneet pyörimään, kunnes ne tuhosivat itsensä – mitä mato oli enemmän kuin kyennyt tekemään – Stuxnet teki hienovaraisia ja paljon kieroutuneempia muutoksia koneisiin.
Kun uraaninäyte työnnettiin Stuxnet-infektoituneeseen sentrifugiin jalostusta varten, virus käski konetta pyörimään nopeammin kuin se oli suunniteltu ja pysähtyi sitten yhtäkkiä. Tuloksena oli tuhansia koneita, jotka kuluivat vuosia etuajassa, ja mikä tärkeintä, pilaantuneita näytteitä. Mutta viruksen todellinen temppu oli, että samalla kun se sabotoi koneistoa, se väärensi lukemat ja sai vaikutelman siltä, että kaikki toimisi odotettujen parametrien puitteissa.
Kuukausien jälkeen sentrifugit alkoivat kulua ja rikkoutua, mutta lukemat edelleen näytti olevan normien sisällä, hankkeeseen liittyvät tutkijat alkoivat arvailla itse. Iranin turvallisuusagentit alkoivat tutkia epäonnistumisia, ja ydinlaitosten henkilökunta eli pelon ja epäilyksen pilvessä. Tätä jatkui yli vuoden. Jos virus olisi onnistunut välttämään havaitsemisen kokonaan, se olisi lopulta poistanut itsensä kokonaan ja jättänyt iranilaiset miettimään, mitä he tekivät väärin.
Virus onnistui tunkeutumaan hiljaa 17 kuukauden ajan Iranin järjestelmiin, tuhoten hitaasti tärkeitä näytteitä ja vaurioittaen tarvittavia laitteita. Ehkä enemmän kuin koneille ja näytteille aiheutunut vahinko oli se kaaos, johon ohjelma joutui.
Iranilaiset myöntävät vastahakoisesti osan vahingoista
Iranin presidentti Mahmoud Ahmadinejad on väitti että Stuxnet "onnistui aiheuttamaan ongelmia rajoitetulle määrälle sentrifugejamme", mikä on muutos Iranin aikaisempi väite, jonka mukaan mato oli tartuttanut 30 000 tietokonetta, mutta se ei ollut vaikuttanut ydinvoimaan tilat. Jotkut raportit ehdottaa Natanzin laitoksessa, jossa Iranin rikastusohjelmat sijaitsevat, 5 084 8 856 sentrifugista, jotka ovat käytössä Iranin ydinvoimalassa tilat poistettiin käytöstä mahdollisesti vaurioiden vuoksi, ja laitos on joutunut sulkemaan vähintään kaksi kertaa virus.
Stuxnet kohdistui myös venäläiseen höyryturbiiniin, joka käyttää Bushehrin laitosta, mutta näyttää siltä, että virus löydettiin ennen kuin todellista vahinkoa voitiin tehdä. Jos virusta ei olisi paljastettu, se olisi lopulta nostanut turbiinien kierrosluvut liian korkealle ja aiheuttanut korjaamattomia vahinkoja koko voimalaitokselle. Lämpötila- ja jäähdytysjärjestelmät on myös tunnistettu kohteiksi, mutta madon tulokset näissä järjestelmissä eivät ole selviä.
Madon löytö
Tämän vuoden kesäkuussa valkovenäläinen virustorjuntaasiantuntija VirusBlokAda löysi aiemmin tuntemattoman haittaohjelmaohjelman iranilaisen asiakkaan tietokoneelta. Tutkittuaan sitä virustorjuntayritys havaitsi, että se oli erityisesti suunniteltu kohdistamaan Siemens SCADA (valvonta- ja tiedonhankinta) hallintajärjestelmät, jotka ovat laajassa mittakaavassa käytettyjä laitteita valmistus. Ensimmäinen vihje siitä, että jotain oli erilaista tässä matossa, oli se, että kun hälytys oli nostettu, jokainen Hälytyksen välittämistä yrittänyt yritys joutui myöhemmin hyökkäyksen kohteeksi ja pakotettiin sulkeutumaan vähintään 24:ksi tuntia. Hyökkäysten menetelmät ja syyt ovat edelleen mysteeri.
Kun virus oli löydetty, yritykset, kuten Symantec ja Kaspersky, kaksi maailman suurinta virustorjuntayritystä, sekä useat tiedustelupalvelut, alkoivat tutkia Stuxnetiä ja löysivät tuloksia, jotka tekivät nopeasti selväksi, että kyseessä ei ollut tavallinen haittaohjelma.
Syyskuun loppuun mennessä Symantec oli havainnut, että lähes 60 prosenttia kaikista maailman tartunnan saaneista koneista sijaitsee Iranissa. Kun se oli löydetty, kävi yhä selvemmäksi, että virusta ei ollut suunniteltu yksinkertaisesti aiheuttaa ongelmia, kuten monet haittaohjelmat ovat, mutta sillä oli hyvin erityinen tarkoitus ja a kohde. Hienostuneisuus oli myös selvästi ennen nähtyä korkeampaa, mikä sai viruksen ensimmäisenä löytäneen tietoturvaasiantuntijan Ralph Langnerin julistaa että se oli "kuin F-35:n saapuminen ensimmäisen maailmansodan taistelukentälle".
Miten se toimi
Stuxnet on kohdistettu erityisesti Windows 7 -käyttöjärjestelmiin, jotka eivät sattumalta ole sama käyttöjärjestelmä, jota käytetään Iranin ydinvoimalassa. Mato käyttää neljää nollapäivän hyökkäystä ja kohdistuu erityisesti Siemensin WinCC/PCS 7 SCADA -ohjelmistoon. Nollapäivän uhka on haavoittuvuus, joka on joko tuntematon tai valmistajan ilmoittamatta. Nämä ovat yleensä järjestelmäkriittisiä haavoittuvuuksia, ja kun ne löydetään, ne korjataan välittömästi. Tässä tapauksessa kaksi nollapäivän elementtiä oli löydetty ja ne olivat lähellä korjausten vapauttamista, mutta kahta muuta ei kukaan ollut koskaan löytänyt. Kun mato oli järjestelmässä, se alkoi sitten hyödyntää muita järjestelmiä paikallisessa verkossa, johon se kohdistui.
Kun Stuxnet kävi läpi Iranin järjestelmiä, järjestelmän turvallisuus haastoi sen esittämään laillisen varmenteen. Haittaohjelma esitti sitten kaksi autenttista varmennetta, toisen piirivalmistajalta JMicron ja toisen tietokonelaitteistovalmistaja Realtekilta. Molemmat yritykset sijaitsevat Taiwanissa vain korttelin päässä toisistaan, ja molemmat todistukset vahvistettiin varastetuiksi. Nämä autenttiset varmenteet ovat yksi syy siihen, että mato pystyi pysymään havaitsematta niin pitkään.
Haittaohjelma pystyi myös kommunikoimaan vertaisjaon kautta Internet-yhteyden ollessa olemassa, jolloin se pystyi päivittämään tarpeen mukaan ja raportoimaan edistymisestään. Palvelimet, joiden kanssa Stuxnet kommunikoi, sijaitsivat Tanskassa ja Malesiassa, ja molemmat suljettiin, kun madon vahvistettiin saapuneen Natanzin laitokseen.
Kun Stuxnet alkoi levitä kaikkialle Iranin järjestelmiin, se alkoi kohdistaa vain sentrifugeista vastuussa oleviin "taajuusmuuntajiin". Vaihtuvataajuisia asemia merkitsijöinä mato etsii nimenomaan asemia kahdelta toimittajalta: Suomessa sijaitsevalta Vaconilta ja iranilaiselta Fararo Payalta. Se tarkkailee sitten määritettyjä taajuuksia ja hyökkää vain, jos järjestelmä on käynnissä välillä 807 Hz - 1210 Hz, melko harvinainen Taajuus, joka selittää, kuinka mato saattoi kohdistaa erityisesti Iranin ydinvoimaloihin, vaikka se levisi ympäri maailmaa. Stuxnet ryhtyy sitten muuttamaan lähtötaajuutta, mikä vaikuttaa kytkettyihin moottoreihin. Vaikka ainakin 15 muuta Siemensin järjestelmää on ilmoittanut tartunnasta, yksikään niistä ei ole vahingoittanut matoa.
Ensin päästäkseen ydinlaitokselle mato piti tuoda järjestelmään, mahdollisesti USB-asemalle. Iran käyttää "ilmavälin" turvajärjestelmää, mikä tarkoittaa, että laitoksella ei ole yhteyttä Internetiin. Tämä saattaa selittää, miksi mato on levinnyt niin pitkälle, koska ainoa tapa tartuttaa järjestelmää on kohdistaa laajalle alueelle ja toimia Troijalainen odottaessaan Iranin ydintyöntekijän vastaanottavan tartunnan saaneen tiedoston pois laitoksesta ja tuovan sen fyysisesti tehdas. Tästä johtuen on lähes mahdotonta tietää tarkalleen missä ja milloin tartunta on alkanut, sillä tartunnan saattoi olla useiden aavistamattomien työntekijöiden toimesta.
Mutta mistä se tuli ja kuka sen kehitti?
Epäilyt madon alkuperästä ovat rehottavat, ja todennäköisin yksittäinen epäilty on Israel. Tutkittuaan perusteellisesti viruksen Kaspersky Labs ilmoitti että hyökkäyksen taso ja hienostuneisuus, jolla se toteutettiin, olisi voitu toteuttaa vain "kansallisvaltion tuella", mikä sulkee pois yksityisen hakkerin ryhmät tai jopa suuremmat ryhmät, jotka ovat käyttäneet hakkerointia päämääränsä saavuttamiseksi, kuten Venäjän mafia, jonka epäillään luoneen troijalaisen madon, joka on vastuussa varastamalla yli 1 miljoona dollaria brittiläisestä pankista.
Israel myöntää täysin, että se pitää kybersodankäyntiä puolustusdoktriininsa pilarina, ja Unit 8200 -niminen ryhmä Israelin puolustusvoimat, joita pidetään Yhdysvaltain NSA: n karkeana vastineena, olisi todennäköisin ryhmä vastuussa.
Yksikkö 8200 on Israelin puolustusvoimien suurin divisioona, mutta suurin osa sen toiminnasta on tuntematon – jopa yksikköä vastaavan prikaatikenraalin henkilöllisyys on salattu. Sen monien hyväksikäyttöjen joukossa yksi raportti väittää, että Israelin ilmaiskun aikana epäiltyä Syyrian ydinlaitosta vastaan vuonna 2007 yksikkö 8200 aktivoi salaisen kybertappamiskytkimen, joka deaktivoi suuret osat Syyrian tutkasta.
Tämän teorian uskottavuuden lisäämiseksi Israel siirsi vuonna 2009 päivämäärää, jolloin se odottaa Iranilla olevan alkeellisia ydinaseita, vuoteen 2014. Tämä saattoi johtua ongelmista, tai se saattoi viitata siihen, että Israel tiesi jotain, jota kukaan muu ei tiedä.
Yhdysvallat on myös pääepäilty, ja tämän vuoden toukokuussa Iran väitti tehneensä pidätetty Sen mukaan 30 ihmistä auttoi Yhdysvaltoja käymään "kybersotaa" Irania vastaan. Iran on myös väittänyt, että Bushin hallinto rahoitti 400 miljoonan dollarin suunnitelman Iranin horjuttamiseksi käyttämällä kyberhyökkäyksiä. Iran on väittänyt, että Obaman hallinto on jatkanut samaa suunnitelmaa ja jopa nopeuttanut joitakin projekteja. Kriitikot ovat todenneet, että Iranin väitteet ovat yksinkertaisesti tekosyy "ei-toivottujen" karsimiseen, ja pidätykset ovat yksi monista Iranin ja Yhdysvaltojen välisistä kiistakohdista.
Mutta kun viruksen tutkimista jatketaan ja sen toimintaan liittyviä vastauksia saatiin lisää, sen alkuperästä herää lisää mysteereitä.
Microsoftin mukaan virus olisi vaatinut vähintään 10 000 tuntia koodausta ja vaatinut viiden tai useamman hengen tiimin vähintään kuuden kuukauden omistautuneen työn. Monet spekuloivat nyt, että se vaatisi useiden kansakuntien tiedusteluyhteisöjen yhteisiä ponnisteluja, jotka kaikki työskentelevät yhdessä madon luomiseksi. Vaikka israelilaisilla saattaa olla päättäväisyyttä ja teknikot, jotkut väittävät, että haittaohjelmien koodaaminen vaatisi Yhdysvaltojen teknologian tasoa. Tietää Siemensin koneiston tarkan luonteen siinä määrin kuin Stuxnet saattoi ehdottaa saksaa osallisuutta, ja venäläiset ovat saattaneet olla mukana venäläisen koneiston yksityiskohtien määrittelyssä käytetty. Mato on räätälöity toimimaan taajuuksilla, joilla oli suomalaisia komponentteja, mikä viittaa siihen, että myös Suomi ja ehkä Nato ovat mukana. Mutta mysteereitä on vielä lisää.
Matoa ei havaittu sen toiminnan vuoksi Iranin ydinlaitoksissa, vaan pikemminkin Stuxnetin laajalle levinneen tartunnan seurauksena. Iranin ydinkäsittelylaitoksen keskusprosessointiydin sijaitsee syvällä maan alla ja on täysin erillään Internetistä. Jotta mato voi tartuttaa järjestelmän, sen on täytynyt tuoda henkilökunnan jäsenen tietokoneeseen tai flash-asemaan. Tarvittaisiin vain yksi työntekijä, joka ottaa työt mukaansa kotiin, palaa sitten ja lisää jotain vaaraton kuin flash-asema tietokoneeseen, ja Stuxnet aloittaisi hiljaisen marssinsa tiettyihin koneisiin se halusi.
Mutta sitten kysymys kuuluu: miksi viruksesta vastuussa olevat ihmiset kehittivät niin uskomattoman hienostuneen kyberaseen ja vapauttivat sen sitten kiistatta niin huolimattomalla menetelmällä? Jos tavoitteena oli pysyä havaitsematta, sellaisen viruksen vapauttaminen, jolla on kyky replikoitua osoittamallaan nopeudella, on huolimatonta. Kyse oli siitä, milloin virus löydettäisiin, ei jos.
Todennäköisin syy on se, että kehittäjät eivät yksinkertaisesti välittäneet. Haittaohjelman huolellisempi istuttaminen olisi vienyt paljon enemmän aikaa, ja madon siirtyminen tiettyihin järjestelmiin saattaa kestää paljon kauemmin. Jos maa etsii välittömiä tuloksia uhkaavan hyökkäyksen pysäyttämiseksi, nopeus saattaa olla varovainen. Iranin ydinvoimala on ainoa tartunnan saanut järjestelmä, joka raportoi todellisista Stuxnetin aiheuttamista vahingoista, joten riski muille järjestelmille näyttää olevan minimaalinen.
Mitä seuraavaksi?
Siemens on julkaissut tunnistus- ja poistotyökalun Stuxnetille, mutta Iran on edelleen kamppailee poistaaksesi haittaohjelman kokonaan. Vielä 23. marraskuuta Iranin Natanzin laitos oli pakko suljetaan, ja lisää viivästyksiä odotetaan. Lopulta ydinohjelman pitäisi olla taas käynnissä.
Erillisessä, mutta mahdollisesti liittyvässä tarinassa aiemmin tällä viikolla kaksi iranilaista tiedemiestä kuoli erillisissä, mutta identtisissä pommi-iskuissa Teheranissa, Iranissa. Seuraavan päivän lehdistötilaisuudessa presidentti Ahmadinejad kertonut Toimittajat sanoivat, että "epäilemättä sionistisen hallinnon ja länsimaiden hallitusten käsi on osallisena salamurhassa."
Aiemmin tänään Iranin virkamiehet väitti tehnyt useita pidätyksiä pommi-iskuissa, ja vaikka epäiltyjen henkilöllisyyttä ei ole julkistettu, Iranin tiedusteluministeri on sanonut: kolmella Mossadin, CIA: n ja MI6:n vakoojavirastolla oli rooli (hyökkäyksissä) ja näiden ihmisten pidätyksessä löydämme uusia johtolankoja muiden pidättämiseen. elementtejä,"
Pommi-iskujen ja Stuxnet-viruksen aiheuttamien vahinkojen yhdistelmän pitäisi painaa voimakkaasti tuleviin neuvotteluihin Iranin ja Kiinan, Venäjän, Ranskan, Ison-Britannian, Saksan ja Yhdysvaltojen kuuden maan liittovaltion välillä 6. joulukuuta ja 7. Neuvotteluilla on tarkoitus jatkaa vuoropuhelua Iranin mahdollisista ydintavoitteista.
