Kara nākotne var būt tikko sākusies, bet tā vietā, lai to vēstītu sprādziens, tā sākās bez skaņas vai neviena upura.
Tas ir pirmais šāda veida gadījums, un tas varētu būt signāls par to, kā turpmāk tiek izcīnīti visi kari. Tas ir tik precīzs kiberierocis, ka spēj iznīcināt mērķi efektīvāk nekā parasts sprāgstviela un pēc tam vienkārši izdzēst sevi, atstājot upurus vainot pašiem. Tas ir tik šausmīgs ierocis, ka tas varētu darīt vairāk nekā tikai sabojāt fiziskus objektus, bet arī iznīcināt idejas. Tas ir Stuxnet tārps, ko daudzi dēvē par pasaulē pirmo īsto kiberkara ieroci, un tā pirmais mērķis bija Irāna.
Ieteiktie videoklipi
Kiberkara rītausma
Stuxnet ir gandrīz kā kaut kas no Toma Klensija romāna. Tā vietā, lai nosūtītu raķetes, lai iznīcinātu atomelektrostaciju, kas apdraud visu reģionu un pasauli un kuru pārrauga prezidents, kurš ir apgalvojis ka viņš vēlētos, lai vesela cilvēku rase tiktu “noslaucīta no kartes”, var tikt ieviests vienkāršs datorvīruss, kas paveiks šo darbu daudz vairāk efektīvi. Uzbrukums struktūrai ar raķetēm var izraisīt karu, turklāt ēkas var tikt pārbūvētas. Bet inficēt sistēmu tik pilnīgi, ka cilvēki, kas to izmanto, sāk šaubīties par savu ticību savām spējām, radīs daudz postošākas ilgtermiņa sekas.
Retā atklātības brīdī no Irānas tauta to ir izdarījusi apstiprināja ka Stuxnet ļaunprogrammatūra (nosaukums cēlies no kodā apraktajiem atslēgvārdiem), kas sākotnēji tika atklāta jūlijā, ir iedragājusi valsts kodolieroču ambīcijas. Lai gan Irāna šo incidentu mazina, daži ziņojumi liecina, ka tārps bija tik efektīvs, ka tas varētu būt par vairākiem gadiem aizkavējis Irānas kodolprogrammu.
Tā vietā, lai vienkārši inficētu sistēmu un iznīcinātu visu, kam tā pieskaras, Stuxnet ir daudz sarežģītāks un arī daudz efektīvāks.
Tārps ir gudrs un spējīgs pielāgoties. Ieejot jaunā sistēmā, tā paliek neaktīva un apgūst datora drošības sistēmu. Kad tas var darboties, neradot trauksmi, tas meklē ļoti konkrētus mērķus un sāk uzbrukt noteiktām sistēmām. Tā vietā, lai vienkārši iznīcinātu savus mērķus, tas dara kaut ko daudz efektīvāku — tas tos maldina.
Kodolbagātināšanas programmā centrifūga ir būtisks instruments, kas nepieciešams urāna attīrīšanai. Katra uzbūvēta centrifūga darbojas pēc vienas un tās pašas pamata mehānikas, taču vācu ražotājs Siemens piedāvā to, ko daudzi uzskata par labāko nozarē. Stuxnet meklēja Siemens kontrolierus un pārņēma centrifūgas griešanās veidu. Bet tā vietā, lai vienkārši piespiestu mašīnas griezties, līdz tās iznīcina sevi — ko tārps bija vairāk nekā spējīgs, — Stuxnet ieviesa smalkas un daudz viltīgākas izmaiņas mašīnās.
Kad urāna paraugs tika ievietots Stuxnet inficētā centrifūgā pilnveidošanai, vīruss pavēlēja iekārtai griezties ātrāk, nekā tas bija paredzēts, un pēc tam pēkšņi apstājās. Rezultāti bija tūkstošiem iekārtu, kas nolietojās vairākus gadus pirms grafika, un, vēl svarīgāk, tika sabojāti paraugi. Taču vīrusa īstā viltība bija tāda, ka laikā, kad tas sabotēja tehniku, tas falsificēja rādījumus un lika izskatīties tā, it kā viss darbotos paredzētajos parametros.
Pēc vairākiem mēnešiem centrifūgas sāka nolietoties un salūzt, taču rādījumi joprojām ir palikuši šķita, ka tas ir normas robežās, ar projektu saistītie zinātnieki sāka minēt paši. Irānas drošības aģenti sāka izmeklēt neveiksmes, un kodolobjektu darbinieki dzīvoja baiļu un aizdomu mākonī. Tas turpinājās vairāk nekā gadu. Ja vīrusam būtu izdevies pilnībā izvairīties no atklāšanas, tas galu galā būtu pilnībā izdzēsis sevi un liktu irāņiem domāt, ko viņi dara nepareizi.
17 mēnešus vīrusam izdevās mierīgi iekļūt Irānas sistēmās, lēnām iznīcinot vitāli svarīgus paraugus un sabojājot nepieciešamo aprīkojumu. Iespējams, ka vairāk par iekārtu un paraugu bojājumiem bija haoss, kurā programma tika iemesta.
Irāņi nelabprāt atzīst daļu no zaudējumiem
Irānas prezidents Mahmuds Ahmadinedžads ir apgalvoja ka Stuxnet “izdevās radīt problēmas ierobežotam skaitam mūsu centrifūgu”, kas ir izmaiņas no Irānas iepriekšējais apgalvojums, ka tārps bija inficējis 30 000 datoru, bet nav ietekmējis kodolenerģiju labierīcības. Daži ziņojumi ieteikt Natanzas objektā, kurā atrodas Irānas bagātināšanas programmas, 5084 no 8856 centrifūgām, kas tiek izmantotas Irānas kodolreaktorā iekārtas tika izslēgtas, iespējams, bojājumu dēļ, un rūpnīca ir bijusi spiesta vismaz divas reizes slēgt vīruss.
Stuxnet mērķēja arī uz Krievijā ražoto tvaika turbīnu, kas darbina Bušeras iekārtu, taču šķiet, ka vīruss tika atklāts, pirms tika nodarīts reāls kaitējums. Ja vīruss nebūtu atklāts, tas galu galā būtu pārāk augsts turbīnu apgriezienu skaits un radījis neatgriezenisku kaitējumu visai spēkstacijai. Temperatūras un dzesēšanas sistēmas arī ir identificētas kā mērķi, taču tārpa rezultāti šajās sistēmās nav skaidri.
Tārpa atklāšana
Šā gada jūnijā Baltkrievijas antivīrusu speciālisti VirusBlokAda kāda Irānas klienta datorā atrada iepriekš nezināmu ļaunprogrammatūru. Pēc tā izpētes antivīrusu uzņēmums atklāja, ka tas ir īpaši izstrādāts, lai mērķētu uz Siemens SCADA (pārraudzības kontroles un datu iegūšanas) vadības sistēmas, kas ir liela mēroga ierīces ražošana. Pirmā norāde, ka šajā tārpā kaut kas atšķiras, bija tas, ka, tiklīdz brīdinājums tika paaugstināts, katru reizi Uzņēmums, kas mēģināja nodot trauksmi, pēc tam tika uzbrukts un bija spiests slēgt darbību vismaz uz 24 stundas. Uzbrukumu metodes un iemesli joprojām ir noslēpums.
Kad vīruss bija atklāts, tādi uzņēmumi kā Symantec un Kaspersky, divas no lielākajām pretvīrusu kompānijām pasaulē, kā arī vairākas izlūkošanas aģentūras, sāka pētīt Stuxnet un atrada rezultātus, kas ātri lika saprast, ka šī nav parasta ļaunprogrammatūra.
Līdz septembra beigām Symantec bija atklājis, ka gandrīz 60 procenti no visām pasaulē inficētajām mašīnām atrodas Irānā. Kad tas tika atklāts, kļuva arvien skaidrāks, ka vīruss nebija izstrādāts vienkārši radīt problēmas, tāpat kā daudzas ļaunprogrammatūras daļas, taču tai bija ļoti konkrēts mērķis un a mērķis. Arī sarežģītības līmenis bija krietni augstāks par iepriekš redzēto, liekot Ralfam Langneram, datoru drošības ekspertam, kurš pirmo reizi atklāja vīrusu, paziņot ka tas bija "kā F-35 ierašanās Pirmā pasaules kara kaujas laukā".
Kā tas darbojās
Stuxnet īpaši paredzēts operētājsistēmām Windows 7, kas nav nejauši tā pati operētājsistēma, ko izmanto Irānas atomelektrostacijā. Tārps izmanto četrus nulles dienas uzbrukumus un īpaši mērķēts uz Siemens WinCC/PCS 7 SCADA programmatūru. Nulles dienas draudi ir ievainojamība, kas nav zināma vai ražotājam nav paziņota. Tās parasti ir sistēmai kritiskas ievainojamības, un, tiklīdz tās tiek atklātas, tās nekavējoties tiek labotas. Šajā gadījumā divi no nulles dienas elementiem bija atklāti un bija tuvu tam, lai tiktu atbrīvoti labojumi, bet divus citus nekad neviens nebija atklājis. Kad tārps bija sistēmā, tas sāka izmantot citas sistēmas lokālajā tīklā, uz kuru tas bija vērsts.
Kamēr Stuxnet strādāja cauri Irānas sistēmām, sistēmas drošība to izaicināja uzrādīt likumīgu sertifikātu. Pēc tam ļaunprogrammatūra uzrādīja divus autentiskus sertifikātus, vienu no ķēdes ražotāja JMicron un otru no datoru aparatūras ražotāja Realtek. Abi uzņēmumi atrodas Taivānā tikai dažu kvartālu attālumā viens no otra, un tika apstiprināts, ka abi sertifikāti ir nozagti. Šie autentiskie sertifikāti ir viens no iemesliem, kāpēc tārps tik ilgi varēja palikt neatklāts.
Ļaunprātīgajai programmatūrai bija arī iespēja sazināties, izmantojot vienādranga koplietošanu, kad bija pieejams interneta savienojums, kas ļāva tai vajadzības gadījumā jaunināt un ziņot par progresu. Serveri, ar kuriem Stuxnet sazinājās, atradās Dānijā un Malaizijā, un abi tika slēgti, tiklīdz tika apstiprināts, ka tārps ir nokļuvis Natanzas objektā.
Kad Stuxnet sāka izplatīties visā Irānas sistēmās, tas sāka mērķēt tikai uz "frekvences pārveidotājiem", kas ir atbildīgi par centrifūgām. Izmantojot mainīgas frekvences diskus kā marķierus, tārps īpaši meklēja divu pārdevēju diskus: Vacon, kas atrodas Somijā, un Fararo Paya, kas atrodas Irānā. Pēc tam tas uzrauga norādītās frekvences un uzbrūk tikai tad, ja sistēma darbojas no 807 Hz līdz 1210 Hz, kas ir diezgan reti. biežums, kas izskaidro, kā tārps var tik īpaši mērķēt uz Irānas atomelektrostacijām, neskatoties uz to, ka tas izplatās visā pasaulē. Pēc tam Stuxnet sāk mainīt izejas frekvenci, kas ietekmē pievienotos motorus. Lai gan vismaz 15 citas Siemens sistēmas ir ziņojušas par inficēšanos, neviena no tārpiem nav nodarījusi bojājumus.
Lai vispirms sasniegtu kodoliekārtu, tārps bija jāievada sistēmā, iespējams, USB diskdzinī. Irāna izmanto "gaisa spraugas" drošības sistēmu, kas nozīmē, ka objektam nav savienojuma ar internetu. Tas varētu izskaidrot, kāpēc tārps ir izplatījies līdz šim, jo vienīgais veids, kā tas var inficēt sistēmu, ir mērķēt uz plašu apgabalu un darboties kā Trojas zirgs, gaidot, kad Irānas kodolenerģijas darbinieks saņems inficētu failu prom no objekta un fiziski ienesīs to augu. Šī iemesla dēļ būs gandrīz neiespējami precīzi zināt, kur un kad infekcija sākās, jo, iespējams, to ienesuši vairāki nenojauš darbinieki.
Bet no kurienes tas radās un kas to izstrādāja?
Aizdomas par tārpa izcelsmi ir niknas, un, visticamāk, vienīgais aizdomās turamais ir Izraēla. Pēc rūpīgas vīrusa izpētes Kaspersky Labs paziņoja ka uzbrukuma līmeni un sarežģītību, ar kādu tas tika izpildīts, varēja veikt tikai "ar nacionālās valsts atbalstu", kas izslēdz privātu hakeru grupas vai pat lielākas grupas, kas ir izmantojušas uzlaušanu kā līdzekli mērķa sasniegšanai, piemēram, Krievijas mafija, kas tiek turēta aizdomās par Trojas tārpa izveidošanu, kas ir atbildīgs par zog pāri 1 miljons dolāru no britu bankas.
Izraēla pilnībā atzīst, ka tā uzskata kiberkaru par savas aizsardzības doktrīnas pīlāru, un grupa, kas pazīstama kā Unit 8200, Izraēlas aizsardzības spēki, kas tiek uzskatīti par aptuvenu ASV NSA ekvivalentu, būtu visticamākā grupa atbildīgs.
8200. vienība ir Izraēlas Aizsardzības spēku lielākā divīzija, tomēr lielākā daļa tās operāciju nav zināma — pat par vienību atbildīgā brigādes ģenerāļa identitāte ir klasificēta. Starp tās daudzajiem varoņdarbiem viens Ziņot apgalvo, ka Izraēlas uzlidojuma laikā iespējamam Sīrijas kodolobjektam 2007. gadā vienība 8200 aktivizēja slepenu kibernogalināšanas slēdzi, kas deaktivizēja lielas Sīrijas radara daļas.
Lai vēl vairāk apstiprinātu šo teoriju, Izraēla 2009. gadā pārcēla datumu, kad tā paredz, ka Irānai būs elementāri kodolieroči, uz 2014. gadu. Tas var būt saistīts ar dzirdēšanu par problēmām, vai arī tas varētu likt domāt, ka Izraēla zināja kaut ko tādu, ko neviens cits nezina.
ASV ir arī galvenā aizdomās turamā, un šā gada maijā Irāna apgalvoja, ka tā ir bijusi arestēts Tā apgalvo, ka 30 cilvēki bija iesaistīti, palīdzot ASV uzsākt “kiberkaru” pret Irānu. Irāna arī apgalvoja, ka Buša administrācija finansējusi 400 miljonu dolāru plānu Irānas destabilizēšanai, izmantojot kiberuzbrukumus. Irāna ir apgalvojusi, ka Obamas administrācija ir turpinājusi to pašu plānu un pat paātrinājusi dažus projektus. Kritiķi ir paziņojuši, ka Irānas apgalvojumi ir tikai attaisnojums, lai izskaustu "nevēlamos", un aresti ir viens no daudzajiem strīdiem starp Irānu un ASV.
Bet, tā kā vīruss tiek turpināts pētīt un parādījās vairāk atbilžu par tā darbību, tiek izvirzīti arvien vairāk noslēpumu par tā izcelsmi.
Pēc Microsoft domām, vīruss būtu prasījis vismaz 10 000 kodēšanas stundu un piecu cilvēku vai vairāk cilvēku komandai vismaz sešus mēnešus veltīta darba. Daudzi tagad spekulē, ka tam būtu nepieciešami vairāku valstu izlūkošanas kopienu kopīgi pūliņi, kas strādā kopā, lai izveidotu tārpu. Lai gan izraēliešiem varētu būt apņēmība un tehniķi, daži apgalvo, ka ļaunprātīgas programmatūras kodēšanai būtu nepieciešams ASV tehnoloģiju līmenis. Lai zinātu precīzu Siemens tehnikas būtību tādā mērā, kā Stuxnet to darīja, varētu ieteikt vācu valodu iesaistīšanos, un krievi varēja būt iesaistīti Krievijas tehnikas specifiku precizēšanā lietots. Tārps tika pielāgots darbam frekvencēs, kurās bija iesaistīti Somijas komponenti, kas liecina, ka ir iesaistīta arī Somija un, iespējams, NATO. Bet joprojām ir vairāk noslēpumu.
Tārps netika atklāts tā darbības dēļ Irānas kodolobjektos, bet gan plaši izplatītās Stuxnet infekcijas rezultātā. Irānas kodolapstrādes rūpnīcas centrālais apstrādes kodols atrodas dziļi pazemē un ir pilnībā atdalīts no interneta. Lai tārps varētu inficēt sistēmu, tas ir jāienes datorā vai kāda darbinieka zibatmiņas diskā. Vajag tikai vienu darbinieku, lai paņemtu darbu līdzi uz mājām, pēc tam atgrieztos un ievietotu kaut ko kā nekaitīgs kā zibatmiņas disks datorā, un Stuxnet sāktu savu kluso gājienu uz konkrēto tehniku tā gribēja.
Bet tad rodas jautājums: kāpēc cilvēki, kas ir atbildīgi par vīrusu, izstrādāja tik neticami izsmalcinātu kiberieroci un pēc tam palaida to vaļā, izmantojot, iespējams, tik apliets metodi? Ja mērķis bija palikt neatklātam, vīrusa izlaišana, kas spēj vairoties ar parādīto ātrumu, ir aplieta. Tas bija jautājums par to, kad vīruss tiks atklāts, nevis par to.
Visticamākais iemesls ir tas, ka izstrādātājiem vienkārši bija vienalga. Lai rūpīgāk instalētu ļaunprātīgu programmatūru, būtu bijis nepieciešams daudz vairāk laika, un tārpa pārsūtīšana konkrētajās sistēmās varētu aizņemt daudz ilgāku laiku. Ja valsts meklē tūlītējus rezultātus, lai apturētu to, ko tā varētu uzskatīt par tuvojošos uzbrukumu, ātrums var būt pārāks par piesardzību. Irānas atomelektrostacija ir vienīgā inficētā sistēma, kas ziņo par reāliem Stuxnet bojājumiem, tāpēc šķiet, ka risks citām sistēmām ir minimāls.
Nu ko tālāk?
Siemens ir izlaidis Stuxnet noteikšanas un noņemšanas rīku, bet Irāna joprojām ir cīnās lai pilnībā noņemtu ļaunprātīgu programmatūru. Vēl 23. novembrī Irānas objekts Natanzā bija piespiedu kārtā slēgt, un ir gaidāma turpmāka kavēšanās. Galu galā kodolprogrammai vajadzētu atkal darboties.
Atsevišķā, bet, iespējams, saistītā stāstā, šīs nedēļas sākumā divi Irānas zinātnieki tika nogalināti atsevišķos, bet identiskos bumbas uzbrukumos Teherānā, Irānā. Nākamajā dienā preses konferencē prezidents Ahmadinedžads stāstīja reportieriem, ka "neapšaubāmi, slepkavībā ir iesaistīta cionistu režīma un Rietumu valdību roka."
Agrāk šodien Irānas amatpersonas apgalvoja Irānas izlūkošanas ministrs ir teicis: trīs spiegu aģentūrām Mossad, CIP un MI6 bija loma (uzbrukumos), un, arestējot šos cilvēkus, mēs atradīsim jaunus pavedienus, lai arestētu citus elementi,"
Sprādzienu un Stuxnet vīrusa nodarīto postījumu kombinācijai vajadzētu būt nozīmīgai gaidāmajām sarunām. 6. decembrī starp Irānu un sešu valstu konfederāciju, kurā ietilpst Ķīna, Krievija, Francija, Lielbritānija, Vācija un ASV un 7. Sarunas paredzētas, lai turpinātu dialogu par Irānas iespējamām kodolambīcijām.