미래의 전쟁은 이제 막 시작되었을지 모르지만, 폭발이 예고되기는커녕 소리도 없이, 단 한 명의 사상자도 없이 시작되었습니다.
이는 최초의 전쟁이며 앞으로 모든 전쟁이 진행되는 방식을 알려주는 신호가 될 수 있습니다. 이는 기존의 폭발물보다 더 효과적으로 목표물을 파괴할 수 있을 정도로 정밀한 사이버 무기이며, 그 다음에는 단순히 자신을 삭제하여 피해자가 스스로 책임을 지게 할 수 있습니다. 그것은 물리적인 물체를 손상시키는 것 이상으로 아이디어를 죽일 수도 있을 정도로 끔찍한 무기입니다. 세계 최초의 실제 사이버 전쟁 무기로 많은 사람들이 꼽는 스턱스넷(Stuxnet) 웜이 그 첫 번째 목표는 이란이었습니다.
추천 동영상
사이버 전쟁의 새벽
Stuxnet은 Tom Clancy 소설에 나오는 것과 거의 비슷합니다. 지역 전체와 세계를 위협하고 대통령이 감독하는 원자력 발전소를 파괴하기 위해 미사일을 보내는 것보다 그는 전체 종족이 "지도에서 지워지는" 것을 보고 싶다고 말하면서 훨씬 더 많은 일을 수행할 간단한 컴퓨터 바이러스를 도입할 수 있습니다. 효과적으로. 미사일로 구조물을 공격하면 전쟁이 발생할 수 있고, 게다가 건물을 재건할 수도 있습니다. 그러나 시스템을 너무 완벽하게 감염시켜 이를 사용하는 사람들이 자신의 능력에 대한 믿음을 의심하기 시작하면 훨씬 더 파괴적인 장기적 영향을 미칠 것입니다.
이란이 보기 드문 개방의 순간에 국가는 확인됨 지난 7월 처음 발견된 스턱스넷(Stuxnet) 악성코드(코드에 묻혀있는 키워드에서 유래한 이름)가 국가의 핵 야망을 손상시켰다는 것이다. 이란은 이 사건을 경시하고 있지만 일부는 보고서 웜이 매우 효과적이었기 때문에 이란의 핵 프로그램이 몇 년 동안 지연되었을 수도 있다고 제안합니다.
단순히 시스템을 감염시키고 시스템에 닿는 모든 것을 파괴하는 것보다 Stuxnet은 그보다 훨씬 더 정교하고 효과적입니다.
벌레는 영리하고 적응력이 뛰어납니다. 새로운 시스템에 진입하면 휴면 상태를 유지하며 컴퓨터의 보안 시스템을 학습합니다. 경보를 울리지 않고 작동할 수 있게 되면 매우 구체적인 목표를 찾아 특정 시스템을 공격하기 시작합니다. 단순히 목표물을 파괴하는 것이 아니라 훨씬 더 효과적인 일을 합니다. 즉, 목표물을 오도하는 것입니다.
핵 농축 프로그램에서 원심분리기는 우라늄을 정제하는 데 필요한 기본 도구입니다. 제작된 각 원심분리기는 동일한 기본 메커니즘을 따르지만, 독일 제조업체인 Siemens는 많은 사람들이 업계 최고라고 생각하는 기능을 제공합니다. Stuxnet은 Siemens 컨트롤러를 찾아 원심분리기의 회전 방식을 제어했습니다. 그러나 단순히 기계가 스스로 파괴될 때까지 강제로 회전시키는 것이 아니라(웜의 능력 이상으로) Stuxnet은 기계에 미묘하고 훨씬 더 기만적인 변경을 가했습니다.
정제를 위해 스턱스넷에 감염된 원심분리기에 우라늄 샘플을 삽입하면, 바이러스는 기계에 설계된 것보다 더 빠르게 회전하도록 명령한 다음 갑자기 멈춥니다. 그 결과 수천 대의 기계가 예정보다 몇 년 앞서 닳아버렸고, 더 중요하게는 샘플이 망가졌습니다. 그러나 바이러스의 진짜 속임수는 기계를 파괴하면서 판독값을 위조하고 모든 것이 예상된 매개변수 내에서 작동하는 것처럼 보이게 만드는 것이었습니다.
몇 달이 지나자 원심분리기는 마모되고 부서지기 시작했습니다. 표준 내에 있는 것으로 보였지만 프로젝트와 관련된 과학자들은 다시 추측하기 시작했습니다. 그들 자신. 이란 보안요원들은 실패 사례를 조사하기 시작했고, 핵시설 직원들은 두려움과 의심에 휩싸였습니다. 이것은 1년 넘게 계속되었습니다. 만약 바이러스가 탐지를 완전히 피할 수 있었다면 결국 바이러스는 완전히 스스로 삭제되어 이란인들이 자신들이 무엇을 잘못하고 있는지 궁금해하게 되었을 것입니다.
17개월 동안 바이러스는 조용히 이란 시스템에 침투하여 중요한 샘플을 천천히 파괴하고 필요한 장비를 손상시켰습니다. 아마도 기계와 샘플의 손상보다 더 큰 것은 프로그램이 혼란에 빠졌기 때문일 것입니다.
이란인들은 일부 피해를 마지못해 인정한다.
마흐무드 아마디네자드 이란 대통령은 주장하다 Stuxnet은 "제한된 수의 원심분리기에 문제를 일으켰습니다". 웜이 30,000대의 컴퓨터를 감염시켰지만 핵에는 영향을 미치지 않았다는 이란의 이전 주장 시설. 일부 보고서 제안하다 이란의 농축 프로그램을 수용하는 나탄즈 시설에서 이란 핵 시설에서 사용되는 원심분리기 8,856개 중 5,084개 피해로 인해 시설이 가동 중단되었으며, 이번 사태로 인해 공장이 최소 두 번 폐쇄되었습니다. 바이러스.
Stuxnet은 또한 Bushehr 시설에 전력을 공급하는 러시아산 증기 터빈을 표적으로 삼았지만 실제 피해가 발생하기 전에 바이러스가 발견된 것으로 보입니다. 바이러스가 발견되지 않았다면 결국 터빈의 RPM이 너무 높아져 발전소 전체에 돌이킬 수 없는 피해를 입혔을 것입니다. 온도 및 냉각 시스템도 표적으로 식별되었지만 이러한 시스템에 대한 웜의 결과는 명확하지 않습니다.
벌레의 발견
올해 6월, 벨로루시에 본사를 둔 바이러스 백신 전문가인 VirusBlokAda는 이란 고객의 컴퓨터에서 이전에 알려지지 않은 악성 코드 프로그램을 발견했습니다. 바이러스 백신 회사는 이를 조사한 후 Siemens SCADA를 표적으로 삼도록 특별히 설계되었음을 발견했습니다. (감시 제어 및 데이터 수집) 관리 시스템은 대규모로 사용되는 장치입니다. 조작. 이 웜에 대해 뭔가 다르다는 첫 번째 단서는 일단 경고가 발생하면 모든 경고를 전달하려던 회사는 이후 공격을 받아 최소 24년 동안 문을 닫아야 했습니다. 시간. 공격 방법과 이유는 여전히 미스터리다.
바이러스가 발견되자 세계 최대 규모의 바이러스 백신 회사인 Symantec 및 Kaspersky와 같은 회사는 물론 여러 정보 기관이 Stuxnet을 조사하기 시작했고 결과를 통해 이것이 일반적인 악성 코드가 아니라는 것이 금방 분명해졌습니다.
9월 말까지 시만텍은 전 세계에 감염된 모든 시스템의 거의 60%가 이란에 있다는 사실을 발견했습니다. 그것이 발견되자 바이러스가 설계되지 않았다는 것이 점점 더 분명해졌습니다. 많은 맬웨어가 그러하듯 단순히 문제를 일으키기 위한 것이었지만 매우 구체적인 목적과 표적. 그 정교함의 수준도 이전에 볼 수 없었던 수준을 뛰어넘어 이 바이러스를 처음 발견한 컴퓨터 보안 전문가인 랄프 랭너(Ralph Langner)는 이렇게 말했습니다. 선언하다 그것은 “제1차 세계 대전의 전장에 F-35가 도착하는 것과 같다”고 했습니다.
작동 방식
Stuxnet은 특히 Windows 7 운영 체제를 대상으로 하며, 이는 우연히도 이란 원자력 발전소에서 사용된 것과 동일한 운영 체제입니다. 이 웜은 4번의 제로데이 공격을 사용하며 특히 Siemens의 WinCC/PCS 7 SCADA 소프트웨어를 표적으로 삼습니다. 제로데이 위협은 제조업체가 알려지지 않았거나 발표하지 않은 취약점입니다. 이는 일반적으로 시스템에 치명적인 취약점이며, 발견되면 즉시 패치됩니다. 이 경우 제로데이 요소 중 두 개가 발견되어 수정 사항이 거의 릴리스될 뻔했지만 다른 두 개는 누구도 발견한 적이 없었습니다. 웜이 시스템에 침투한 후 목표로 삼은 로컬 네트워크의 다른 시스템을 악용하기 시작했습니다.
Stuxnet이 이란 시스템을 통과하면서 시스템 보안 문제로 인해 합법적인 인증서를 제시해야 한다는 문제가 발생했습니다. 그런 다음 악성 코드는 회로 제조업체인 JMicron과 컴퓨터 하드웨어 제조업체인 Realtek의 두 가지 인증 인증서를 제시했습니다. 두 회사는 서로 불과 몇 블록 떨어진 대만에 위치하고 있으며 두 인증서 모두 도난당한 것으로 확인되었습니다. 이러한 정품 인증서는 웜이 오랫동안 탐지되지 않은 채로 남아 있을 수 있었던 이유 중 하나입니다.
또한 이 악성코드는 인터넷 연결이 있을 때 P2P 공유를 통해 통신할 수 있는 능력이 있어서 필요에 따라 업그레이드하고 진행 상황을 다시 보고할 수 있었습니다. Stuxnet이 통신한 서버는 덴마크와 말레이시아에 있었으며 웜이 Natanz 시설에 들어간 것으로 확인된 후 두 서버 모두 종료되었습니다.
Stuxnet이 이란 시스템 전체로 확산되기 시작하면서 원심분리기를 담당하는 "주파수 변환기"만을 표적으로 삼기 시작했습니다. 가변 주파수 드라이브를 마커로 사용하여 웜은 특히 핀란드에 본사를 둔 Vacon과 이란에 본사를 둔 Fararo Paya라는 두 공급업체의 드라이브를 찾았습니다. 그런 다음 지정된 주파수를 모니터링하고 시스템이 807Hz에서 1210Hz 사이에서 실행되는 경우에만 공격합니다. 이는 웜이 전 세계로 확산됨에도 불구하고 어떻게 이란의 원자력 발전소를 구체적으로 표적으로 삼을 수 있는지를 설명하는 빈도입니다. 그런 다음 Stuxnet은 연결된 모터에 영향을 미치는 출력 주파수를 변경하기 시작합니다. 적어도 15개의 다른 Siemens 시스템이 감염되었다고 보고했지만 웜으로 인한 피해를 입은 시스템은 없습니다.
먼저 핵 시설에 도달하려면 USB 드라이브를 통해 웜을 시스템으로 가져와야 했습니다. 이란은 "공극" 보안 시스템을 사용하는데, 이는 시설이 인터넷에 연결되어 있지 않음을 의미합니다. 이는 웜이 지금까지 확산된 이유를 설명할 수 있습니다. 시스템을 감염시키는 유일한 방법은 넓은 지역을 대상으로 하여 다음과 같이 행동하는 것입니다. 이란 원자력 직원이 시설에서 감염된 파일을 받아 물리적으로 시설로 가져오기를 기다리는 동안 트로이 목마 식물. 이 때문에 감염이 의심되지 않는 여러 직원에 의해 유입되었을 수 있으므로 감염이 언제 어디서 시작되었는지 정확히 아는 것은 거의 불가능합니다.
하지만 그것은 어디서 왔으며, 누가 개발했는가?
웜이 어디서 발생했는지에 대한 의혹이 만연하고 있으며 가장 유력한 용의자는 이스라엘입니다. 카스퍼스키랩은 바이러스에 대한 철저한 연구 끝에 발표 공격 수준과 실행의 정교함은 개인 해커를 배제하는 "국가의 지원"을 통해서만 수행될 수 있었습니다. 또는 러시아 마피아와 같이 해킹을 목적 수단으로 사용하는 더 큰 그룹은 트로이 목마 웜을 생성한 것으로 의심됩니다. 훔쳐가다 100만 달러 영국 은행에서.
이스라엘은 사이버전을 자국 국방 교리의 핵심으로 간주하고 있으며, 8200부대로 알려진 그룹이 미국의 NSA와 대략적으로 동등한 것으로 간주되는 이스라엘 국방군이 가장 유력한 그룹이 될 것입니다. 책임이 있는.
8200부대는 이스라엘 방위군에서 가장 큰 사단이지만 대부분의 작전 내용은 알려지지 않았다. 심지어 부대를 맡은 준장의 신원도 기밀이다. 많은 익스플로잇 중 하나는 보고서 2007년 이스라엘이 시리아 핵시설로 의심되는 곳을 공습하는 동안 8200부대가 시리아 레이더의 상당 부분을 비활성화하는 비밀 사이버 킬 스위치를 활성화했다고 주장합니다.
이 이론에 대한 신빙성을 더욱 높이기 위해 이스라엘은 2009년 이란이 초보적인 핵무기를 보유할 것으로 예상되는 날짜를 2014년으로 연기했습니다. 이는 문제를 들은 결과일 수도 있고, 이스라엘이 다른 어느 누구도 알지 못했던 것을 알고 있었음을 시사할 수도 있습니다.
미국도 유력 용의자로 올해 5월 이란이 주장한 바 있다. 체포되다 미국이 이란을 상대로 '사이버 전쟁'을 벌이는 데 30명이 연루됐다고 주장했다. 이란은 또한 부시 행정부가 사이버 공격을 통해 이란을 불안정하게 만들려는 계획에 4억 달러를 지원했다고 주장했습니다. 이란은 오바마 행정부가 동일한 계획을 지속했으며 일부 프로젝트에 속도를 내기까지 했다고 주장했습니다. 비평가들은 이란의 주장은 단순히 "바람직하지 않은 사람들"을 근절하기 위한 구실일 뿐이며 이번 체포는 이란과 미국 사이의 많은 논쟁점 중 하나라고 말했습니다.
그러나 바이러스에 대한 연구가 계속되고 그 기능에 대한 더 많은 답변이 나오면서 그 기원에 대한 더 많은 미스터리가 제기되고 있습니다.
마이크로소프트에 따르면, 이 바이러스는 최소 10,000시간의 코딩 작업과 5명 이상의 팀, 최소 6개월의 전담 작업이 필요하다고 합니다. 현재 많은 사람들은 이 웜을 생성하려면 여러 국가의 정보 기관이 함께 협력해야 한다고 추측하고 있습니다. 이스라엘 사람들은 결단력과 기술자를 보유하고 있을지 모르지만 일부에서는 악성 코드를 코딩하려면 미국 수준의 기술이 필요하다고 주장합니다. Stuxnet이 독일어를 암시할 정도로 Siemens 기계의 정확한 특성을 아는 것 러시아 기계의 사양을 자세히 설명하는 데 러시아인이 관여했을 수도 있습니다. 사용된. 이 웜은 핀란드 구성 요소와 관련된 주파수에서 작동하도록 맞춤화되었으며, 이는 핀란드와 아마도 NATO도 관련되어 있음을 시사합니다. 그러나 아직 더 많은 미스터리가 있습니다.
이 웜은 이란 핵 시설에서의 활동으로 인해 발견된 것이 아니라 Stuxnet의 광범위한 감염으로 인해 발견되었습니다. 이란 원자력발전소의 중앙처리코어는 지하 깊은 곳에 위치해 인터넷과 완전히 단절됐다. 웜이 시스템을 감염시키려면 직원의 플래시 드라이브나 컴퓨터에 웜이 들어와야 합니다. 필요한 것은 한 명의 직원이 일을 집으로 가져간 다음 돌아와서 다음과 같이 무언가를 삽입하는 것뿐입니다. 컴퓨터에 플래시 드라이브처럼 무해하며 Stuxnet은 특정 기계에 대한 조용한 행진을 시작할 것입니다. 그것은 원했다.
그러나 그렇다면 질문은 다음과 같습니다. 왜 바이러스에 책임이 있는 사람들은 그렇게 믿을 수 없을 만큼 정교한 사이버 무기를 개발한 다음 틀림없이 그토록 엉성한 방법으로 그것을 공개했을까요? 탐지되지 않은 상태로 유지하는 것이 목표라면, 표시된 속도로 복제할 수 있는 능력을 갖춘 바이러스의 방출은 엉성합니다. 바이러스가 발견될지 여부가 아니라 언제 발견될지가 문제였습니다.
가장 가능성이 높은 이유는 개발자가 단순히 신경 쓰지 않았기 때문입니다. 맬웨어를 더 조심스럽게 심는 데는 훨씬 더 많은 시간이 걸리고 웜을 특정 시스템으로 전송하는 데도 훨씬 더 오랜 시간이 걸릴 수 있습니다. 국가가 임박한 공격으로 간주되는 것을 중단하기 위해 즉각적인 결과를 찾고 있다면 속도가 주의보다 중요할 수 있습니다. 이란 원자력 발전소는 Stuxnet으로 인한 실제 피해를 보고한 유일한 감염된 시스템이므로 다른 시스템에 대한 위험은 최소화된 것으로 보입니다.
그럼 다음은 무엇입니까?
Siemens는 Stuxnet 탐지 및 제거 도구를 출시했지만 이란은 여전히 고군분투하는 악성코드를 완전히 제거하려면 최근 11월 23일에는 이란의 Natanz 시설이 폐쇄되었습니다. 강요된 폐쇄되며, 추가 지연이 예상됩니다. 결국 핵 프로그램은 다시 가동되어야 한다.
별개이지만 관련 가능성이 있는 이야기에서는 이번 주 초 이란 테헤란에서 두 명의 이란 과학자가 서로 다르지만 동일한 폭탄 공격으로 사망했습니다. 다음날 기자회견에서 아마디네자드 대통령은 말했다 기자들은 “의심할 여지없이 시오니스트 정권과 서구 정부의 손이 암살에 연루됐다”고 말했다.
오늘 오전 이란 관리들은 주장하다 폭탄 테러로 여러 사람을 체포했으며 용의자의 신원은 공개되지 않았지만 이란 정보부 장관은 다음과 같이 말했습니다. Mossad, CIA, MI6의 세 스파이 기관이 (공격)에 역할을 했고, 이 사람들의 체포로 우리는 다른 사람들을 체포할 새로운 단서를 찾을 것입니다. 강요,"
폭격과 스턱스넷(Stuxnet) 바이러스로 인한 피해의 결합은 다가오는 회담에 큰 부담이 될 것입니다 이란은 12월 6일 중국, 러시아, 프랑스, 영국, 독일, 미국으로 구성된 6개국 연합과 이란 간 협상을 벌였다. 그리고 7. 이번 회담은 이란의 핵 야망 가능성에 관한 대화를 계속하기 위한 것입니다.
